Audit Processus Métier

Audit Processus Métier

Pourquoi un audit processus métier ?

Les  processus  sont  désormais  pour  la  plupart  très  fortement  dépendants des outils informatiques. Dans le meilleur des cas, ils s’appuient sur un système  informatique  répondant à leurs besoins. Souvent, ils s’appuient au  fil  de  leur  déroulement  sur  des  outils  disparates,  conçus  dans  une logique d’organisation et leur imposant des ruptures de charges. Ainsi, la performance d’un processus est intimement liée à l’alignement et à la qualité des systèmes informatiques. Dans une organisation pratiquant le pilotage par les processus (niveau de maturité  encore  peu  répandu  dans  l’administration),  les  projets informatiques  devraient  être  pensés  nativement  dans  une  logique  de processus.

L’audit d’un processus doit donc inclure un audit des outils informatiques sur lesquels il s’appuie. Cet audit doit inclure l’examen des données et informations   manipulées   au   cours   du   déroulement   du   processus,   y compris celles provenant d’autres processus, des applications qui servent ou   automatisent   tout   ou   partie   des   tâches   ou   procédures   qui   le composent,   et   des   infrastructures   informatiques   de   traitement   et communication qu’il utilise.
L’auditeur devra donc, à l’occasion de l’audit d’un processus :
– étudier à travers les documents décrivant le processus et rendant compte  de  son  fonctionnement,  les  données  et  informations manipulées,  et  les  applications  et  les  infrastructures
utilisées.  À défaut,  il  devra  lui-même décrire le processus avant d’identifier ces éléments;
– vérifier   que   les   instances   de   gouvernance   qui   pilotent   ce processus  sont  également  compétentes  pour  orienter  les  SI  y concourant;
– vérifier l’alignement stratégique des outils informatiques et des processus qu’ils servent. Cette approche devra être  étendue  aux projets applicatifs;
– vérifier  que  la  sécurité  physique  et  logique  de  ces  données, informations,  applications  et  infrastructures  est  en  cohérence avec l’analyse des risques de ce processus. Il devra au préalable vérifier la pertinence de cette analyse des risques, voire procéder à sa propre analyse des risques;
– étudier  le  dispositif  de  contrôle  interne  destiné  à  maîtriser  ce processus, vérifier s’il existe qu’il est pertinent, et s’assurer que les  outils  informatiques  y  contribuent  de  manière  efficace  et efficiente;
– vérifier   que   les   infrastructures   (particulièrement   réseaux   et serveurs)  et  les  dispositifs  d’assistance  aux  usagers  de  ces systèmes sont suffisants pour répondre aux besoins du processus

Quel audit processus métier ?

L’auditeur devra rencontrer:
– la    direction    générale    pour    évaluer    dans    quelle    mesure l’organisation pilote ses processus, voire pratique le pilotage par les   processus,   mesurer   son   degré   de   sensibilisation   au   fait informatique et vérifier que l’organisation qu’elle a mise en place pour piloter ses SI est en cohérence avec celle mise en place pour piloter les processus;
– la  ou les  directions  concernées  par  le  processus  audité,  pour évaluer  le  degré  de  maturité  de  leur  approche  du  processus,  et étudier l’organisation qu’elles ont mise en place en vue de définir et  exprimer  des  besoins  en  matière  informatique  qui  soient  bien alignés avec leurs processus;
– s’ils existent, le pilote du processus audité et la direction chargée du  pilotage  des  processus ou  du  pilotage  par  les  processus,  pour évaluer  leur degré  de  sensibilisation  au  fait  informatique  et  la qualité de leurs relations avec la direction chargée des SI;
– la  direction  chargée  des  SI,  pour  évaluer  la  pertinence  et  les conséquences de son positionnement dans l’organisation et dans les processus de gouvernance vis-à-vis du processus audité.

Il devra se procurer:
– la cartographie des processus de l’organisation;
– la  description  du  processus  audité,  incluant  l’inventaire  des données   et   informations   manipulées   et   des   applications   et infrastructures utilisées;
– les tableaux de bord rendant compte de son déroulement et de sa performance;
– la    cartographie    des    données,    informations    et    applications informatiques de l’organisation;
– les politiques SI et de sécurité SI de l’organisation, et, le cas échéant, leur déclinaison à l’égard du processus audité;
– la (ou les) charte(s) de l’utilisateur des SI à laquelle sont soumis les acteurs du processus;
– le  cas  échéant,  les  comptes-rendus  des  comités  ou  groupes  de travail   consacrés   pour   tout   ou   partie   au   processus audité, notamment lorsqu’ils abordent le patrimoine informationnel qu’il manipule et les outils informatiques qui le servent;
– la  liste  des  projets  applicatifs  en  cours,  principalement  ceux  qui ont un impact sur le processus s’ils sont identifiés selon cette clé.

Au  final,  l’auditeur  devra  porter  une  appréciation  sur  l’adaptation (efficacité, efficience, sécurité, résilience) de l’informatique aux besoins du  processus  audité  et  sur  sa  contribution  au  dispositif  de  contrôle interne.  Il  pourra  le  cas  échéant  se  prononcer  sur  la  pertinence  des projets  informatiques  en  cours,  voire  recommander  des  évolutions  du système informatique.

Voir aussi : Audit Flash Opportunité Big Data