A contrario des directions financières, les directions informatiques, très grandes entreprises mises à part, demeurent assez peu familières avec une approche d’audit. Pourquoi sommes-nous audités ? Qui est à l’origine de cet audit ? Qu’est-ce que cela va apporter ? Autant de questions que se posent nombre d’acteurs des projets informatiques.

La nécessité de l’audit informatique apparaît avec la prise de conscience du caractère stratégique des systèmes pour l’entreprise (fonctions opérationnelles, financières, analytiques…). L’audit informatique répond également à des exigences normatives en matière de contrôle interne (Sarbanes-Oxley, Loi de Sécurité Financière….).

L’audit informatique intéresse donc en premier lieu la Direction Générale de l’entreprise afin de s’assurer que les projets et les systèmes supportent bien toutes les dimensions de ces enjeux clés. L’audit informatique intéresse également la Direction des Systèmes d’Information, parce que cette direction est en premier chef concernée par les constats, les risques et les recommandations formulés par les auditeurs, mais surtout parce que les conclusions d’audit doivent constituer un levier de progrès continu.

Les principaux points d’attention des auditeurs informatiques se portent généralement d’abord sur la sécurité logique (accès, mots de passe, protection réseau…), puis sur les problématiques de sauvegarde (back-up, restore, disaster recovery plan et business continuity plan), viennent ensuite les questions de méthodologie projet et les contrôles métiers automatisées dans les systèmes.

Si les accès intéressent en premier les auditeurs, c’est à la fois parce que

– les enjeux et la perception de ces risques sont clairs pour les acteurs métiers et IT,

– l’approche d’audit est maîtrisée,

– les expertises techniques sont les plus développées sur ces points.

Pour répondre aux exigences des auditeurs, et notamment en matière d’accès, la mise en place de procédures documentées constitue la meilleure façon de répondre aux questions.

La fréquence des changements d’organisation et des mouvements humains dans l’entreprise rendent difficile voire quasi impossible une gestion efficace de ses procédures sans recourir à des outils de gestion. La mise en place de tels outils constitue donc un moyen efficace pour fiabiliser ses procédures et fournir une documentation consistante aux auditeurs qui en sont friands.

Par exemple, la mise en place d’un outil de gestion des incidents permet de tracer les actions correctives, de suivre les délais de résolution, de piloter les ressources et mesurer l’efficacité des prestataires.

Autre exemple, l’utilisation d’outil de gestion des accès doit permettre de vérifier les procédures de gestion des comptes utilisateurs, de contrôler la cohérence de la liste des utilisateurs avec les personnes travaillant pour l’entreprise, de s’assurer de la correcte déclinaison des droits d’accès dans le système en fonction des responsabilités dans l’entreprise.

En conclusion, l’audit informatique doit constituer un moyen de faire progresser l’entreprise. Il s’agit d’une approche au service du management qui doit pour être mise en œuvre pour améliorer les méthodes de la direction informatique et de ses clients.

Censio peut vous aider à préparer vos audits, sur l’ensemble des aspects de l’audit informatique. Expert SAP, Censio vous propose également Smart qui peut aussi bien être utilisé comme système de gestion des accès SAP ERP que comme un outil d’audit pour vos missions d’audit interne.

Pour plus d’informations, n’hésitez pas à nous contacter et à consulter notre page web dédié à SMART.

Un commentaire pour “L’audit informatique : Pourquoi ? Pour qui ? Et comment répondre aux exigences des auditeurs ?”

  1. Compliance consultant dit :

    Article très intéressant. Merci.

Laisser un commentaire