Il s’agit souvent d’une terrible nouvelle lorsque le DSI apprend qu’un audit va être déclenché au sein de son département. Du coup les questions fusent « mon entreprise est-elle sur le point d’être vendue ou en proie à de graves difficultés ? Une réorganisation est-elle planifiée ? Sommes-nous, mes équipes et moi-même, à la hauteur des attentes ? Suis-je menacé ? ». Les premières réactions sont souvent vives, des questions se posent et les équipes sont perturbées. En résumé, l’annonce de l’arrivée « des » auditeurs est toujours synonyme d’inquiétude. Comment démystifier l’Audit SI ?
Un audit peut être perçu comme une punition
Souvent, un audit SI est imposé au département, il peut être déclenché suite à la survenance d’un élément extérieur à l’entreprise (rachat, vente, contrôle décidé par le Commissaire aux Comptes) ou lié au contrôle interne de l’entreprise ou du groupe auquel appartient cette entreprise (conformité aux règlementations en vigueur, validation des processus, contrôle de performance du département, vérification des dirigeants). Il est dans ce cas imposé par une personne externe au département et le dirigeant ne peut que le subir. Bien entendu, l’arrivée des auditeurs va perturber le fonctionnement normal du département, réaffecter des ressources, réaligner des priorités, mais il est un mal nécessaire qui peut aider le dirigeant dans ses missions en les recentrant au service des utilisateurs, et non simplement en facilitant son travail de tous les jours pour son simple confort personnel (think big, think corporate). Un audit de contrôle est toujours suivi de recommandations, lesquelles sont au service de la bonne conduite de l’entreprise. Lorsqu’il est déclenché dans une phase de due diligence, un audit servira toujours ultérieurement, une fois l’opération réalisée, ne serait-ce que pour construire efficacement son département au service, réel et nécessaire, des métiers.
L’audit SI, une opportunité ?
Mais le DSI peut aussi décider lui-même de faire appel à une équipe d’auditeurs. Dans ce cas, l’audit sera alors perçu de façon beaucoup plus positive. Il pourra par exemple lancer un audit préalablement à l’arrivée des auditeurs « officiels », afin de s’assurer que les fondamentaux sont en place. Il a ainsi la possibilité de corriger en urgence d’éventuelles procédures mal appliquées, avant le début de l’audit « officiel ». Audit ne doit donc pas systématiquement rimer avec contrôle mais également avec conseil. Le Directeur des Systèmes d’Information peut avoir besoin d’un avis, d’un regard extérieur, qui le confortera dans ses choix initiaux ou l’orientera dans une autre direction à laquelle il n’avait pas nécessairement pensé, étant isolé dans ses idées car à l’étroit dans son entreprise. C’est ce que nous appelons « think outside the box », particulièrement utile avant le démarrage d’un projet de transformation majeure (comme un ERP) ou de façon récurrente comme l’établissement d’un budget.
2 Responses
RépondreTrackbacks/Pingbacks