Technologies de l’information : Produire des audits et des rapports plus efficaces

par Martín Rubione, chef du département d’audit des technologies de l’information, Institution supérieure de contrôle de l’Argentine

Les audits des technologies de l’information (TI) sont souvent complexes et les résultats des audits ont tendance à se traduire par des rapports techniques rédigés dans un langage technique. Comme l’indiquent les normes internationales des institutions supérieures de contrôle des finances publiques (ISSAI) 5300, très peu de personnes trouvent attrayants ou compréhensibles des documents aussi longs et compliqués.

L’Institution supérieure de contrôle (ISC) d’Argentine réalise des audits informatiques depuis plus d’une douzaine d’années et a pris des mesures pour changer cette réalité.

L’ISC d’Argentine n’est pas une cour des comptes, c’est un bureau de contrôle. Si l’ISC peut formuler des recommandations, elle ne peut pas les mettre en œuvre. Pour cette raison, persuader les entités contrôlées d’améliorer la gestion des technologies de l’information sur la base des constatations d’un audit peut être complexe, diversifié et inclure souvent les opinions des parties prenantes (qui doivent comprendre le rapport).

La vision de l’ISC Argentine – contribuer à l’amélioration de la gestion publique – a guidé son parcours vers la création d’audits informatiques plus efficaces et de rapports plus compréhensibles pour toutes les parties prenantes. L’approfondissement et la simplification de cette notion ont permis de mettre en lumière trois actions principales : modifier l’approche de la planification annuelle, revoir la portée et la nature des audits informatiques et découvrir de nouveaux modes de communication.

Modifier l’approche de la planification informatique
Le service de contrôle informatique de l’ISC d’Argentine a commencé à systématiser le processus de planification annuelle en (1) identifiant les organismes publics soumis à des contrôles informatiques et (2) en choisissant un ensemble de variables correspondant à la nature des contrôles informatiques, ce qui s’est avéré problématique, car le processus exigeait de mesurer et de classer chaque organisme en fonction du risque.

Les enseignements tirés du passage à ce processus annuel systématisé sont les suivants :

• La population des “organisations publiques” identifiée à l’origine ne devrait pas être le seul aspect pris en compte lors du choix des meilleurs audits futurs à réaliser – il existe d’autres dimensions possibles à analyser, y compris les logiciels d’application ; et
• Il est important de prendre en considération les facteurs qui concernent les parties prenantes et qui peuvent varier d’une localité à l’autre et d’une région à l’autre.

La modification de l’approche de planification permet d’aligner le travail d’audit sur la vision institutionnelle et de produire des rapports d’audit informatique plus intéressants et plus efficaces, notamment en mesurant et en analysant les dimensions sociales.

Révision de la portée et de la nature des audits informatiques
Les auditeurs informatiques possèdent des connaissances et des compétences spécifiques – matériel, logiciels, communications et sécurité – et leur champ d’application se concentre généralement sur l’infrastructure et les processus informatiques.

Les audits informatiques autonomes sont utiles, mais leur valeur est encore plus grande lorsque leur champ d’application est élargi. La révision de l’étendue et de la nature de l’audit informatique pour inclure l’ensemble du processus du système d’information (SI) peut conduire à des audits informatiques plus efficaces.

Le processus SI implique de nombreuses personnes, des quantités massives de logiciels, une infrastructure informatique, des bases de données et des procédures manuelles. Cela commence par la coordination budgétaire afin d’obtenir les bonnes ressources de la bonne manière et de générer des informations fiables et en temps voulu pour les décideurs.

Bien que l’audit du processus SI puisse dépasser le cadre conventionnel, il s’avère plus utile, car les audits centrés sur un aspect particulier (comme une application logicielle) sans tenir compte des étapes du processus SI, pourraient donner des résultats où le SI (dans son ensemble) n’est pas fiable.

La grande diversité des structures organisationnelles et les différents contextes dans lesquels elles opèrent sont autant de défis que les ISC doivent relever pour élargir le champ d’application et la nature d’un contrôle des technologies de l’information. Par ailleurs, si les audits informatiques sont possibles grâce à des équipes pluridisciplinaires, chaque auditeur possède un ensemble de compétences et une spécialisation spécifiques. Par conséquent, la répartition des auditeurs entre les équipes d’audit de performance n’apporte peut-être pas la même valeur ajoutée que le partage d’un espace commun. Une analyse plus approfondie est nécessaire dans ce domaine.

Découvrir de nouvelles façons de communiquer
Il est difficile de faire lire un bon livre aux gens, alors comment les convaincre de lire un rapport d’audit ? La communication des rapports d’audit, en particulier des rapports d’audit informatique, a été un problème pendant de nombreuses années, car les rapports d’audit informatique ont tendance à être longs et pleins de jargon technique.

De nombreux responsables et autorités ont demandé que les rapports d’audit informatique soient raccourcis, et les appels aux auditeurs pour qu’ils utilisent un langage plus pratique sont de plus en plus nombreux.

SAI Argentine fait régulièrement référence à une analogie météorologique pour aider ses auditeurs à mieux comprendre le fossé entre le langage technique et le langage pratique : La météorologie est peut-être une science plus difficile que l’informatique, car elle repose sur des théories du chaos. Cependant, “Accuweather” insiste pour nous montrer (à nous, non-spécialistes qui ne comprenons presque rien aux isobares et aux isothermes) des images de nuages, de soleils et de parapluies.

L’expansion des réseaux sociaux, qui mettent plus facilement l’information entre les mains des parties prenantes, a accru la nécessité de combler le fossé du langage technique et de le faire d’une nouvelle manière en utilisant moins de mots, par exemple au moyen de vidéos et d’infographies.

Pour répondre à ce besoin, l’ISC Argentine a créé une production vidéo disponible ici (en espagnol) qui détaille les résultats d’un audit informatique réalisé sur les systèmes d’information du Contrôle de l’industrie de la pêche (FIC).

L’audit du FIC reflète pleinement les trois actions principales que l’ISC d’Argentine a jugées utiles pour créer des audits informatiques plus efficaces et des rapports d’audit informatique plus compréhensibles :

• Changement de l’approche de la planification informatique : l’audit n’aurait pas été considéré comme important si l’ISC d’Argentine s’était concentrée uniquement sur le classement des entités publiques ;
• Révision de la portée et de la nature des audits informatiques : L’ISC d’Argentine a élargi le champ d’application de l’audit pour y inclure l’ensemble du processus de la société de l’information ; et
• Découvrir de nouvelles façons de communiquer : Pour mieux expliquer l’audit à toutes les parties prenantes, il a été traduit visuellement dans une vidéo.