La gestion des risques des systèmes d’information… voilà un sujet qui a tendance à « crisper » bon nombre d’auditeurs et de contrôleurs internes généralistes, lesquels peuvent être tentés de renvoyer la balle systématiquement du côté des directions des systèmes d’information lorsqu'on évoque les risques et contrôles des SI. Mais peut-on éviter de s’intéresser aux systèmes d’information ?
A moins que votre organisation n’enregistre, ne traite et n’archive l’ensemble de ses données sur des cahiers, la réponse est non :). Les organisations sont de plus en plus informatisées, les processus et les prises de décisions automatisés. Du simple fichier excel aux progiciels les plus avancés, les données, procédures et contrôles (→la matière première de l’auditeur interne) sont désormais de plus en plus intégrés dans les SI. Par ailleurs, les SI portent en eux-mêmes des risques et opportunités devant être pris en compte au niveau de l’environnement général de contrôle de l’organisation.
Que cherchons-nous à faire ? La norme 1210.A3 des Normes de the institute of internal auditors stipule que « les auditeurs internes doivent posséder des connaissances suffisantes des principaux risques et contrôles relatifs aux systèmes d’information, et des techniques d'audit informatisées susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité première est l'audit informatique. » Il n’est donc pas question ici de se transformer en expert des SI. L’essentiel pour l’auditeur/contrôleur interne / gestionnaire de risques est d’acquérir une compréhension suffisamment développée des principaux enjeux / concepts / terminologie des SI, de façon à être en mesure de mener à bien ses missions.
A bientôt sur le blog et n’hésitez pas à vous abonner à la newsletter pour suivre les nouveaux posts !