Академический Документы
Профессиональный Документы
Культура Документы
Il y a bien des situations o l'audit peut favoriser le progrs, la mise niveau, l'efficience, la maturit des systmes d'information... Quelles que soient les situations, l'audit "pratique" est utilis comme un outil de mesure. Vincent IACOLARE (28/01/2009)
Sommaire
L'audit financier sinon rien ? ..............................................................................................1
L'audit des systmes d'information est souvent vu sous l'angle des audits financiers :.............................1 Y-a-t-il d'autres approches que "financire" de l'audit des systmes d'information ?.................................2
L'audit des systmes d'information est souvent vu sous l'angle "audit financier". Est-ce la seule approche ? Il y a pourtant bien des situations o l'audit peut favoriser le progrs, la mise niveau, l'efficience, la maturit des systmes d'information ... et donc avec une approche plus "pratique". Quelles que soient les situations, l'audit "pratique" est utilis comme un outil de mesure. L'audit se prsente alors comme un examen mthodique et indpendant permettant de mesurer une situation par rapport un rfrentiel. Les caractres "mthodique" et "indpendant" sont essentiels. Mais l'auditeur et sa ncessaire matrise oprationnelle des systmes d'information sont fondamentaux.
L'AUDIT FINANCIER SINON RIEN ? L'audit des systmes d'information est souvent vu sous l'angle des audits financiers :
* Qui est demandeur de ce type d'audit ?
09 79 36 87 24
Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite
Le demandeur peut tre interne (direction financire, maison mre, etc.) ou externe (la Commission Europenne, OSEO, la DGI, mission de commissaire aux comptes, etc.). * Quelles informations sont importantes? Toutes les informations (financires ou non) lies la pertinence des dpenses peuvent tre importantes. Des audits et expertises techniques font souvent partie d'un audit financier. Une information isole n'est pas significative. Ce sont les associations d'informations qui permettent de tirer des conclusions * Quels sont les objectifs, consquences (et sanctions) d'un audit financier ? L'objectif n'est pas de "punir", mais d'identifier des risques et des faiblesses, et d'en tirer des recommandations pour des actions correctives. Cependant, il est vrai qu'il y a souvent des consquences financires (Crdit Impts Recherche, subventions europennes, approbation des comptes, etc.)
AUDIT COMME OUTIL DE MESURE, A FONCTIONNE COMMENT ? Que peut-on bien mesurer ?
L'audit "pratique" sert mesurer :
SYNERTAL SARL au capital de 10 000
55, chemin du cros du pont F-13710 Fuveau
09 79 36 87 24
Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite
* si les activits et les rsultats satisfont aux dispositions prtablies * si ces dispositions sont mises en uvre de faon efficace, efficiente... * si elles sont aptes atteindre les objectifs. Comme tout outil de mesure, un audit n'a de rel intrt que si il permet de raliser une mesure fiable. Quel crdit peut-on donner la temprature restitue par un thermomtre dfaillant ?
09 79 36 87 24
Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite
* Certifier au sens produit ou service (par exemple, certification Microsoft, certification SAP...) Quel que soit l'objectif de la mesure, l'audit "pratique" s'attachent rendre l'audit oprationnel, efficient (atteindre l'objectif en mobilisant les moyens les plus pertinents, dans la dure la plus limite possible) et utile tant pour l'audit que pour le commanditaire de l'audit.
- Pour voir le maximum de thmes en un minimum de temps (L'audit est un chantillonnage. On ne voit pas tout. Il faut rationaliser son temps) * Faire un audit de 20, 30 ou 40 jours n'a pas de sens. Il est ncessaire de travailler en couche progressive, chantillonner, croiser.... pour assurer la couverture la plus complte possible en auditant le juste ncessaire (principe de Pareto, loi des 20-80) * Mobiliser les bons auditeurs sur les bons thmes, au bon moment, aux bons endroits * Croiser les sources d'information - Pour garantir la qualit des observations (croisement des sources d'information, notion de rebouclage et de cycle de vie Plan-Do-Check-Act, ...)
09 79 36 87 24
Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite
- Planifier l'audit pour mobiliser les bons acteurs, aux bons endroits, sur les bons sujets, au bon moment. Pour cela mobiliser des auditeurs intervenant sur site pour tout ou partie des thmes, appuys par des experts consultables ponctuellement distance sur une thmatique prcise donne - Intgrer l'ensemble des objectifs (financier, technique, outils, stratgique, ...) et rfrentiels (iso 9001, Cobit, ...) pour en tenir compte lors d'un seul et mme audit. Pour ne pas juxtaposer des sries d'audits, chacun centr sur une thmatique donne
Indpendant, comment ?
En dfinissant clairement et prcisment la mission de l'audit (activit, sites, dure, charge, livrable, contraintes, pr-requis...) En mobilisant des auditeurs qui ne peuvent tre "juge" et "partie", c'est--dire indpendant du domaine audit. En sparant bien les intrts personnels de l'auditeur ( oublier pendant l'audit) des intrts de l'audit (objectifs du commanditaire satisfaire, obtention de l'adhsion des audits). L'auditeur ne ralise pas l'audit pour son besoin personnel, sa culture, son business... mais pour mener bien la mission qui lui est confie. En faisant suivre et coordonner le travail des auditeurs et les livrables par un tiers expriments, aguerri aux techniques d'audit, et digne de confiance.
Un rfrentiel peut tre constitu sur mesure, par l'exprience, selon les spcificits de l'organisme... Par exemple, un rfrentiel d'audit de niveau global permettant d'apprhender le systme d'information d'un organisme aborde des thmes du type : primtre et contexte de l'audit, architecture du systme d'information, rseau et tlcom, Web et Internet, matriels (couvrant le primtre), caractristiques par type de matriel, logiciels par type de matriel (poste client, serveurs...), applications logicielles dveloppes ou du commerce ou libre, description fonctionnelle du besoin des
SYNERTAL SARL au capital de 10 000
55, chemin du cros du pont F-13710 Fuveau
09 79 36 87 24
Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite
applications logicielles, description de la solution technique retenue, critres de choix/ slection des matriels, logiciels, rseaux..., cots, scurit, organisation & responsabilits... Concernant les normes et standards en matire de systmes d'information, plusieurs rfrentiels existent. Ils s'appliquent des domaines distincts et sur des primtres divers : dveloppement logiciel, services de production informatique, gestion globale du systme d'information, scurit... Par exemple : * iso 9001 (cre en 1987). Norme de type systme (structure selon le cycle PlanDo-Check-Act). Dfinit des rgles standards respecter pour tout organisme souhaitant fournir ses produits et ses services de qualit. * iso 20000-1. Norme de type systme. Dfinit des rgles standards respecter pour tout organisme fournissant des services et souhaitant atteindre un excellent niveau de matrise de ses activits en vue de satisfaire ses clients. * iso 27001. Norme de type systme. Dfinit des rgles standards en matire de scurit (confidentialit, intgrit, disponibilit) des systmes d'information respecter pour tout organisme souhaitant en garantir la matrise dans la ralisation de ses activits en rponse ses propres exigences internes ou celles de ses clients. * Cobit, Control Objectives for information and Related technologies (dvelopp en 1996) permet de matriser les risques attachs aux systmes d'information & de contrler les investissements. * CMMi, Capability Maturity Model Integrated. Ensemble de bonnes pratiques permettant d'valuer le degr de maturit d'un organisme ou d'un service. * ITIL, IT Infrastructure Library (20 ans d'existence et d'exprience), rfrentiel de bonnes pratiques de la Gestion des Services Informatiques, * Six Sigma est une discipline d'analyse base sur des faits vrifiables statistiquement pour amliorer les processus cls de l'organisme (processus d'amlioration orient client).
WWW.SYNERTAL.COM
NOTRE
09 79 36 87 24
Audit pratique des SI-c est quoi_www.synertal.com_syn.doc version du 28/01/09 par Iacolare 28/01/09 Synertal - Diffusion-reproduction interdite