Un référentiel d’audit, pour quoi faire ?
Lors de mes différentes missions de conseil, il m’arrive souvent de prendre connaissance de divers rapports d’audit. Force est de constater que peu de rapports répondent réellement à ce que l’on pourrait qualifier de « Rapport d’audit ». En effet, la technique de l’audit informatique relève d’une démarche très précise. De nombreuses personnes confondent souvent diagnostic et audit voire même audit et rédaction de cahier des charges.
Le succès d’une mission d’audit dépend du respect d’un certain nombre de points. Parmi ces points, il en existe un en particulier qui me semble essentiel, à savoir le référentiel d’audit.
En effet, dans le cadre d’une mission d’audit, il est notamment nécessaire d’examiner et de contrôler la mise en œuvre de procédures qu’elles soient internes ou externes, ou le respect de normes.
Dans la pratique, l’expérience montre que les procédures sont souvent incomplètes et parfois mêmes inexistantes.
L’auditeur est aussi parfois amené à détecter l’origine d’un problème connu et à fournir des recommandations.
Dans tous les cas, l’auditeur doit être en mesure d’indiquer les procédures qui devraient exister et être appliquées afin de permettre d’améliorer la situation existante.
Le premier réflexe naturel de l’auditeur est de se baser sur son expérience et le bon sens afin de déterminer ce qui devrait exister.
Bien entendu, le réflexe de l’audité sera de démontrer qu’il travaille bien et que les propositions avancées par l’auditeur ne sont pas fondées et sont donc inutiles ou ne sont pas les bonnes.
L’informatique est un monde d’ingénierie dont les différents aspects sont régis par des règles bien spécifiques. Il est toujours possible de ne pas respecter certaines des règles. Par exemple : il est possible de mener a bien un projet informatique sans tenir de planning. Il est aussi possible de développer une application informatique qui fonctionne sans respecter aucune norme de codage. Avec un peu de chance, il se peut que les travaux se déroulent correctement.
Moins on se repose sur des règles et procédures plus les risques de problèmes et d’échecs sont importants.
Evidemment, plus on souhaite que les travaux se déroulent correctement, plus il est nécessaire de se conformer aux règles de l’art.
Si l’expérience et le bon sens sont bien évidemment des éléments importants dans les missions d’audit, ils sont loin d’être suffisants et c’est ici qu’intervient la notion de référentiel d’audit.
Un référentiel d’audit correspond à un recueil de règles, procédures et/ou bonnes pratiques reconnues au plan international et sur lequel l’auditeur pourra s’appuyer pour formuler ses recommandations. Dans le domaine de l’informatique, il en existe notamment deux qui sont particulièrement répandus, à savoir COBIT et ITIL.
Pour certains domaines informatiques bien spécifiques, il est également possible de s’appuyer sur des référentiels plus ciblés tels que par exemple l’ISO/CEI 27000 pour la sécurité de l’information.
Ces éléments permettent ainsi à l’auditeur de renforcer considérablement la pertinence de ses recommandations.
Maintenant, il est clair qu’il ne s’agit pas de prendre l’état de l’art pour le recommander au client. Il existe différents degrés de mise en œuvre que l’auditeur expérimenté saura déterminer de façon pertinente par rapport au contexte de son client.