audit_si

Audit des Systèmes d’Information

Fonction informatique versus fonction d’information

Le  système  informatique,  appelé  aussi système d’information,  (noté  SI) représente l’ensemble des logiciels et matériels participant au stockage, à la gestion, au traitement, au transport et à la diffusion de l’information au sein de l’organisation. La fonction informatique vise à fournir à ces ressources l’organisation. Elle comprend donc, outre le système informatique, les personnes, processus, ressources financières et informationnelles qui y contribuent.
Elle ne  doit pas être confondue  avec  la fonction d’information, ensemble organisé de personnes, de procédures et d’équipement qui a pour objet de réunir, de trier, d’analyser, d’évaluer et de distribuer, en temps utile, de l’information pertinente et valide, provenant de sources internes et externes  à  l’organisation, afin que  tous  ceux  qui  ont  à  prendre  des décisions  disposent  des éléments leur permettant de choisir l’action la plus appropriée au moment adéquat.

Pourquoi un audit des systèmes d’information ?

Le système informatique ne doit pas être conçu comme une fin en soi: il est l’un des outils qui permet à l’organisation d’atteindre ses objectifs.  Il ne se justifie qu’en tant qu’il soutient des processus «métier»,  sans lesquels il n’a aucun sens. Il doit donc être  aligné  avec  les  objectifs stratégiques  de  l’organisation. Cet alignement stratégique est fondamental:   désormais,   un   système   informatique   est   un   facteur déterminant   de   la   performance   (efficacité,   efficience,   maîtrise   des risques)  d’une  organisation.  Inversement,  un  système  informatique inadapté ou mal maîtrisé peut être une source inépuisable de difficultés.

Un système d’information performant doit être :

• en  adéquation  avec  la  stratégie  de  l’entreprise et  les objectifs des métiers;
• efficient, adaptatif,  fiable et pérenne;
• disponible, sécurisé et en conformité avec les obligations légales;

L’audit des systèmes d’information permet d’évaluer les   principaux de risques   informatiques :
• les risques opérationnels
• les risques financiers, puisque l’informatique et l’information sont des actifs;
• les  risques  légaux  de  non-conformité, puisque  les  entités  sont soumises  à  des normes  internes  et  externes,  certaines  de  portée légale, concernant la gestion du SI.

Quel audit des systèmes d’information ?

L’audit des systèmes d’information peut constituer un sous-domaine d’un audit généraliste organisation, processus, régularité, fonctions externalisées etc.).

Audit de l’Organisation : Les organisations utilisent quotidiennement l’informatique. Celle-ci peut prendre  la  forme  de  simple  bureautique,  d’applications  dédiées,  les mettant, le cas échéant, en relation avec leurs cocontractants ou usagers via l’Internet, voire de système s informatiques plus complexes. Ces outils informatiques sont, désormais, indispensables au bon fonctionnement de l’organisation. Ils sont parfois au cœur de sa performance.

Audit de Processus :  Les  processus  sont  désormais  pour  la  plupart  très  fortement  dépendants des outils informatiques. Dans le meilleur des cas, ils s’appuient sur un système  informatique  répondant à leurs besoins. Souvent, ils s’appuient au  fil  de  leur  déroulement  sur  des  outils  disparates,  conçus  dans  une logique d’organisation et leur imposant des ruptures de charges. Ainsi, la performance d’un processus est intimement liée à l’alignement et à la qualité des systèmes informatiques.

Audit de Régularité : Leur fonctionnement régulier est donc largement   sous-tendu par la conformité aux règles de leurs systèmes informatiques, qu’il s’agisse d’inventaire des licences, de validité des règles informatiques d’exécution budgétaire et de comptabilité, de respect des normes de conservation des données  personnelles, de la mise  en  œuvre automatisée  des  règles statutaires applicables à la gestion de carrière ou au  traitement  des agents, etc.

Audit des Fonctions Externalisées : Les fonctions externalisées ont besoin d’échanger régulièrement   des   données avec  l’organisation,  ce  qui  suppose  une ouverture du système informatique de l’organisation vers  l’extérieur,  parfois  pour  des  actions  aussi  sensibles  que  de l’administration de serveurs, de données ou d’applications.  Ces fonctions  externalisées manipulent des  données ou informations  appartenant  au  patrimoine  de l’organisation. Le cocontractant a la responsabilité de l’intégrité, de l’accessibilité et de la protection des données. La dimension informatique est au cœur de la réversibilité d’une externalisation. Elle peut être la cause de son irréversibilité.

Voir aussi : Audit de Sécurité , Audit de de Qualité des Données,

Contactez-nous !


Excercez vos droits !

Conformément à l'article 27 de la loi "Informatique et Libertés" du 6 janvier 1978, les champs d'information que vous remplissez sont nécessaires à l'enregistrement et au traitement de votre demande. Nous ne les transmettrons pas à des tiers. Par ailleurs, vous disposez d'un droit d’accès, de modification, de rectification et de suppression des données qui vous concernent. Pour l'exercer, contactez-nous par courriel à contact@uraeus-consult.com ou par voie postale : URAEUS Consult , BP31 06130 France.