A l'affut de nouveautés et assoifé de connaissances
ASK Conseil |
Le concept d'audit des systèmes d'information, apparu au cours des années 1970, a pour but d'évaluer la mise en conformité des processus et méthodes de l'entreprise avec un ensemble de règles en vigueur (fiscales, juridiques, technologiques...).
Cependant, l'apparition de la loi de sécurité financière dès le début des années 1990, ainsi que les nouvelles exigences réglementaires de type Sarbanes-Oxley (lire l'article du 22/02/2005), ont eu pour effet de généraliser et de systématiser la pratique de ces audits.
| |
Lorsque l'entreprise décide - ou est contrainte - de réaliser un audit, elle est alors amenée à se poser des questions sur la façon de le mener à bien et d'appréhender avec le plus d'objectivité possible les résultats des investigations opérées. Les conseils suivants - non exhaustifs - permettent de s'y préparer.
1) Bien délimiter le champs d'investigation et les enjeux de l'audit
L'audit des systèmes d'information (SI) couvre des domaines aussi différents que ceux liés aux processus, à la sécurité du système d'information, à la gestion des droits d'accès ou aux applicatifs métiers (audit de codes...).
L'une des principales problématiques auxquelles les entreprises sont confrontées lors de la mise en place d'une procédure d'audit est "de savoir si les enjeux stratégiques de la direction générale sont correctement déclinés à l'échelle du SI, conformément à la gouvernance d'entreprise", note Dominique Moisand, PDG du Cabinet ASK Conseil et vice-président de l'AFAI (Association Française de l'Audit et du conseil Informatique).
"La typologie d'audits est vaste et se