27 1 211KB
Audit de la d'informations
gouvernance
des
systèmes
Sur la nécessité pour les organisations de gouverner le traitement de l'information Tout audit implique d’apprécier la qualité de l’organisation mise en place par le métier concerné pour la réalisation de ses tâches. Mais il est des organisations qui dépassent les frontières des seules directions du fait qu’elles supportent des activités par nature transverse. C’est le cas de l’informatique. Les systèmes d’informations ne sont pas l’apanage des informaticiens. Toute direction est concernée par les outils informatiques, principalement en tant qu’utilisatrice. Cette position n’exonère pourtant aucune d’elle quant à sa responsabilité en matière de qualité des systèmes d’informations. Même si en amont ce sont les concepteurs et les programmeurs des outils qui conditionnent l’environnement informatique, les utilisateurs en aval participent de l’efficacité du système dans sa globalité. Cette efficacité se mesure dans la capacité des outils à répondre en continu et dans les meilleurs délais aux besoins de l’organisation pour le traitement des informations. Ainsi, la gouvernance des systèmes informatiques est un enjeu majeur pour toute entité. L‘information est en effet devenue une ressource aussi importante que d’autres, comme l’énergie par exemple, et à sa suite la donnée traitée est un levier de communication, interne et externe, donc de compétitivité. Gouverner le traitement de l’information est par conséquent un sujet de grande attention pour toute organisation, donc également pour l’audit interne.
Les points de vigilance en matière de gouvernance des systèmes d'informations Réviser la gouvernance des systèmes d’informations n’est pas un exercice facile pour l’auditeur. En effet, les effets de cette gouvernance sont multiples au sein des directions opérationnelles. Il y a certes des éléments dits chapeau, donc facilement identifiables, comme les politiques et les chartes. Leur objet est d’impulser au sein de l’organisation une démarche hiérarchisée, cohérente, systématique pour finalement collecter, traiter, diffuser, stocker de l’information, avec des impératifs en termes de sécurisation et de confidentialité. Mais ces orientations s’appliquent de façon diffuse sur un plan opérationnel. Ainsi, il n’est pas inutile pour l’auditeur de disposer de repères généraux pour s’y référer afin d’éviter de se perdre dans les détails. S’agissant de la gouvernance des systèmes d’informations, il est possible d’identifier des points clés de vigilance pour un traitement de l’information et une production de données de qualité :
séparation des fonctions pour la conception, la programmation, la maintenance, la mise en production des outils informatiques, à la fois pour prévenir la fraude et minimiser le risque homme-clef ;
encadrement des prestations informatiques afin d’éviter une dépendance trop forte de l’organisation vis-à-vis d’un ou plusieurs sous-traitants pour des activités impactant toutes ses directions opérationnelles ;
actualisation des connaissances informatiques, aussi bien pour les informaticiens que pour les utilisateurs, en vue de minimiser le risque d’obsolescence des systèmes d’informations et le risque d’erreur dans l’emploi des outils informatiques ;
formalisation de l’environnement informatique, notamment au travers d’une cartographie des systèmes d’informations mettant en évidence les interactions et interfaces entre les outils, pour conserver une vue d’ensemble et ainsi ne pas se laisser disperser par des développements informatiques tout azimut…
Les bonnes pratiques concernant la gouvernance des systèmes d'informations En plus des points de vigilance, l’auditeur compétera son référentiel des bonnes pratiques en matière de gouvernance des systèmes d’informations, celles-ci étant principalement les suivantes :
Mise en place d’une fonction centralisée, au sein de la Direction des risques, donc indépendante des fonctions informatiques, pour contrôler les accès aux outils et vérifier les habilitations pour les programmer, les modifier, les employer. Cette fonction serait également chargée de prévenir les ruptures de traitement de l’information et d’encadrer leur sécurisation ;
Revue annuelle par le Comité des risques des contrats avec les prestataires informatiques ;
Intégration dans le dispositif global de gestion des risques les activités de nature informatique et de leur impact dans les différentes Directions ;
Développement des connaissances sur base d’un plan de formation concernant aussi bien les informaticiens que les utilisateurs des outils ;
Participation conjointe des informaticiens et des utilisateurs pour tout projet de développement des outils.