Un rfrentiel d'audit, pour quoi faire ?

Lors de mes diffrentes missions de conseil, il marrive souvent de prendre connaissance de divers rapports daudit. Force est de constater que peu de rapports rpondent rellement ce que lon pourrait qualifier de Rapport daudit . En effet, la technique de laudit informatique relve dune dmarche trs prcise. De nombreuses personnes confondent souvent diagnostic et audit voire mme audit et rdaction de cahier des charges. Le succs dune mission daudit dpend du respect dun certain nombre de points. Parmi ces points, il en existe un en particulier qui me semble essentiel, savoir le rfrentiel daudit. En effet, dans le cadre dune mission daudit, il est notamment ncessaire dexaminer et de contrler la mise en uvre de procdures quelles soient internes ou externes, ou le respect de normes. Dans la pratique, lexprience montre que les procdures sont souvent incompltes et parfois mmes inexistantes. Lauditeur est aussi parfois amen dtecter lorigine dun problme connu et fournir des recommandations. Dans tous les cas, lauditeur doit tre en mesure dindiquer les procdures qui devraient exister et tre appliques afin de permettre damliorer la situation existante. Le premier rflexe naturel de lauditeur est de se baser sur son exprience et le bon sens afin de dterminer ce qui devrait exister. Bien entendu, le rflexe de laudit sera de dmontrer quil travaille bien et que les propositions avances par lauditeur ne sont pas fondes et sont donc inutiles ou ne sont pas les bonnes. Linformatique est un monde dingnierie dont les diffrents aspects sont rgis par des rgles bien spcifiques. Il est toujours possible de ne pas respecter certaines des rgles. Par exemple : il est possible de mener a bien un projet informatique sans tenir de planning. Il est aussi possible de dvelopper une application informatique qui fonctionne sans respecter aucune norme de codage. Avec un peu de chance, il se peut que les travaux se droulent correctement. Moins on se repose sur des rgles et procdures plus les risques de problmes et dchecs sont importants. Evidemment, plus on souhaite que les travaux se droulent correctement, plus il est ncessaire de se conformer aux rgles de lart. Si lexprience et le bon sens sont bien videmment des lments importants dans les missions daudit, ils sont loin dtre suffisants et cest ici quintervient la notion de rfrentiel daudit.

Un rfrentiel daudit correspond un recueil de rgles, procdures et/ou bonnes pratiques reconnues au plan international et sur lequel lauditeur pourra sappuyer pour formuler ses recommandations. Dans le domaine de linformatique, il en existe notamment deux qui sont particulirement rpandus, savoir COBIT et ITIL. Pour certains domaines informatiques bien spcifiques, il est galement possible de sappuyer sur des rfrentiels plus cibls tels que par exemple lISO 17799 pour la scurit de linformation. Ces lments permettent ainsi lauditeur de renforcer considrablement la pertinence de ses recommandations. Maintenant, il est clair quil ne sagit pas de prendre ltat de lart pour le recommander au client. Il existe diffrents degrs de mise en uvre que lauditeur expriment saura dterminer de faon pertinente par rapport au contexte de son client.