Plan d’audit SI : une meilleure couverture du risque IT dans la durée

4 questions à Jean de Laforcade
Associé Risk IT, PwC France

L’externalisation des services informatiques, le recours à des applications en mode SaaS et aux infrastructures cloud sont autant de facteurs à prendre en compte dans une tendance d’ouverture grandissante des SI.

Plus globalement, l’accélération des projets de transformation et de modernisation des Systèmes d’Information, l’impact de la digitalisation et de la robotisation amènent l’entreprise à faire face à davantage de risques qu’il lui faut considérer et maîtriser.

Pourquoi un plan d’Audit SI ? Quelle valeur ajoutée ? Que doit-il prendre en compte ?

Quel est l’objectif d’un plan d’audit des Systèmes d’Information dans le cadre du plan d’audit d’une Direction Audit Interne ?

Les Directions d’Audit Interne (DAI) définissent un plan d’audit annuel qui, bien souvent, intègre déjà la réalisation de missions portant sur le volet Systèmes d’Information. L’enjeu n’est donc pas de développer un second plan d’audit distinct qui serait cantonné aux SI mais bien d’alimenter le plan global dont l’objectif est d’obtenir une meilleure couverture du risque IT dans la durée.

Nous constatons que toutes les DAI ne disposent pas aujourd’hui d’une cartographie des risques IT ou des compétences techniques suffisantes pour aborder de façon satisfaisante la couverture des risques IT à travers les missions de leur plan d’audit actuel. De ce fait les DAI se positionnent plutôt sur des audits réalisés en réaction à des problèmes, ponctuels ou récurrents, ou prennent en compte uniquement des sujets d’actualité, notamment en réponse aux attentes du Management ou d’administrateurs. La cybersécurité en est un parfait exemple. Certaines d’entre elles éprouvent des difficultés à sortir de leur zone de confort.

Quelle est la valeur ajoutée d’un plan d’audit SI ?

Le plan d’audit des SI, tout comme le plan d’audit, a comme principal enjeu d’offrir une meilleure assurance et plus de visibilité sur la maîtrise des risques IT et sur la capacité de l’organisation à atteindre ses objectifs. Le plan d’audit SI doit permettre d’amener davantage de pertinence et une cohérence d’ensemble dans la couverture des risques et thématiques IT. Il faut donc se projeter sur une vision à moyen terme et pas sur une seule année afin de garantir un enchaînement des missions d’audit avec un périmètre de revue optimal.

L’enjeu est de réaliser des missions spécifiques sur les problématiques IT mais aussi, le cas échéant, d’embarquer, au sein d’une mission métier, les compétences d’un auditeur spécialisé dans l’audit des SI. Cela permet ainsi de couvrir spécifiquement les risques et le contrôle interne informatique. Dans ce dernier cas on parle d’audit intégré (« integrated audit »).

Quels sont, selon vous, les éléments à prendre en compte pour bâtir un plan d’audit des SI ?

Différents éléments doivent être considérés mais il sera toujours nécessaire au préalable de mener une phase de prise de connaissance afin de disposer d’une vue globale et à jour de l’organisation IT.

Pour cela, il faut appréhender le contexte informatique à travers l’organisation, les applications et systèmes clés, les localisations au niveau groupe, les prestataires majeurs… et identifier les changements à venir en lien avec l’évolution du SI.

Parmi les éléments clés à prendre en compte figurent la cartographie des risques IT, le schéma directeur des SI ou plan de transformation digital qu’il faudra mettre en perspective de la stratégie de développement de l’entreprise.

Enfin, quels sont les aspects critiques à considérer ?

L’externalisation des services informatiques, l’implémentation d’applications en mode SaaS, l’usage d’infrastructures cloud sont autant de facteurs d’ouverture du SI et de risques qui amènent à sortir du périmètre de revue classique d’une Direction des Systèmes d’Information. L’usage de la robotisation (Robotic Process Automation) apporte aussi son lot de risques tant au niveau de la mise en œuvre du projet qu’au niveau de la solution implémentée. Au sens large, c’est bien la transformation de l’organisation qui amène les principales problématiques nouvelles à traiter.

Pour mener à bien les missions du plan, il est nécessaire de s’interroger sur la capacité de l’entreprise à s’appuyer sur des ressources internes pour mener les travaux. Nous constatons que le manque de ressources ou de compétences spécifiques à l’audit interne est souvent un frein à la réalisation du plan sur le volet SI. Il est ainsi parfois nécessaire pour les entreprises de se tourner vers des ressources expertes d’une autre direction en interne ou vers un prestataire externe venant en appui.

Contactez-nous

Jean de Laforcade

Associé Risk IT, PwC France

Tel : +33 156576419

Suivez-nous !