Audit de la gouvernance des systèmes

d'informations

Sur la nécessité pour les organisations de gouverner le traitement de

l'information

Tout audit implique d’apprécier la qualité de l’organisation mise en place par le métier concerné
pour la réalisation de ses tâches. Mais il est des organisations qui dépassent les frontières des
seules directions du fait qu’elles supportent des activités par nature transverse. C’est le cas de
l’informatique. Les systèmes d’informations ne sont pas l’apanage des informaticiens. Toute
direction est concernée par les outils informatiques, principalement en tant qu’utilisatrice. Cette
position n’exonère pourtant aucune d’elle quant à sa responsabilité en matière de qualité des
systèmes d’informations. Même si en amont ce sont les concepteurs et les programmeurs des
outils qui conditionnent l’environnement informatique, les utilisateurs en aval participent de
l’efficacité du système dans sa globalité. Cette efficacité se mesure dans la capacité des outils
à répondre en continu et dans les meilleurs délais aux besoins de l’organisation pour le
traitement des informations. Ainsi, la gouvernance des systèmes informatiques est un enjeu
majeur pour toute entité. L‘information est en effet devenue une ressource aussi importante que
d’autres, comme l’énergie par exemple, et à sa suite la donnée traitée est un levier de
communication, interne et externe, donc de compétitivité. Gouverner le traitement de
l’information est par conséquent un sujet de grande attention pour toute organisation, donc
également pour l’audit interne.

Les points de vigilance en matière de gouvernance des systèmes d'informations

Réviser la gouvernance des systèmes d’informations n’est pas un exercice facile pour
l’auditeur. En effet, les effets de cette gouvernance sont multiples au sein des directions
opérationnelles. Il y a certes des éléments dits chapeau, donc facilement identifiables, comme
les politiques et les chartes. Leur objet est d’impulser au sein de l’organisation une démarche
hiérarchisée, cohérente, systématique pour finalement collecter, traiter, diffuser, stocker de
l’information, avec des impératifs en termes de sécurisation et de confidentialité. Mais ces
orientations s’appliquent de façon diffuse sur un plan opérationnel. Ainsi, il n’est pas inutile
pour l’auditeur de disposer de repères généraux pour s’y référer afin d’éviter de se perdre dans
les détails. S’agissant de la gouvernance des systèmes d’informations, il est possible d’identifier
des points clés de vigilance pour un traitement de l’information et une production de données
de qualité :

 séparation des fonctions pour la conception, la programmation, la maintenance, la

mise en production des outils informatiques, à la fois pour prévenir la fraude et
minimiser le risque homme-clef ;
  encadrement des prestations informatiques afin d’éviter une dépendance trop forte
de l’organisation vis-à-vis d’un ou plusieurs sous-traitants pour des activités impactant
toutes ses directions opérationnelles ;

 actualisation des connaissances informatiques, aussi bien pour les informaticiens que
pour les utilisateurs, en vue de minimiser le risque d’obsolescence des systèmes
d’informations et le risque d’erreur dans l’emploi des outils informatiques ;

 formalisation de l’environnement informatique, notamment au travers d’une

cartographie des systèmes d’informations mettant en évidence les interactions et
interfaces entre les outils, pour conserver une vue d’ensemble et ainsi ne pas se laisser
disperser par des développements informatiques tout azimut…

Les bonnes pratiques concernant la gouvernance des systèmes d'informations

En plus des points de vigilance, l’auditeur compétera son référentiel des bonnes pratiques en
matière de gouvernance des systèmes d’informations, celles-ci étant principalement les
suivantes :

 Mise en place d’une fonction centralisée, au sein de la Direction des risques, donc
indépendante des fonctions informatiques, pour contrôler les accès aux outils et vérifier
les habilitations pour les programmer, les modifier, les employer. Cette fonction serait
également chargée de prévenir les ruptures de traitement de l’information et d’encadrer
leur sécurisation ;

 Revue annuelle par le Comité des risques des contrats avec les prestataires
informatiques ;

 Intégration dans le dispositif global de gestion des risques les activités de nature
informatique et de leur impact dans les différentes Directions ;

 Développement des connaissances sur base d’un plan de formation concernant aussi
bien les informaticiens que les utilisateurs des outils ;

 Participation conjointe des informaticiens et des utilisateurs pour tout projet de

développement des outils.