La collaboration renforcée des auditeurs informatiques et métier

La fonction d'auditeur informatique est en plein chamboulement. Historiquement, sa mission se limitait à un rôle de support vis-à-vis de ses homologues métier, auxquels il préparait, par exemple, des analyses de données, sans se soucier des conclusions opérationnelles à en tirer. Ce temps est révolu.Désormais, ces auditeurs informatiques se rapprochent des processus de l'entreprise et travaillent main dans la main avec les auditeurs métier.La première raison : la course à la productivité, due notamment aux audits réglementaires de type Sarbanes-Oxley visant les entreprises cotées aux Etats-Unis. Ces contrôles se rajoutent au plan d'audit opérationnel déjà chargé. Dans ce contexte, les équipes informatique et métier gagnent à s'associer pour une rationalisation des ressources d'audit et des coûts liés à la logistique, notamment aux déplacements.Les postes de directeur de l'audit interne et de l'audit informatique tendent à ne faire plus qu'un. C'est surtout vrai dans le monde industriel. Placer tous les auditeurs sous une même bannière garantit un meilleur contrôle du budget de fonctionnement et de la gestion des carrières. Cela limite également le nombre de rapports d'audit, tout en leur assurant une certaine exhaustivité. En effet, les recommandations d'amélioration suggérées pour les processus métier contiennent régulièrement des points d'attention clairement informatiques.L'autre raison du rapprochement de ces deux profils tient à l'augmentation des contrôles automatiques en lieu et place des contrôles manuels. L'audit des ressources humaines implique, entre autres, la revue de l'envoi des autorisations électroniques de la paie mensuelle vers les banques. De même avec la cartographie des risques : à première vue, le cycle SI ne représente qu'un seul processus sur une quinzaine à traiter. Mais, a priori seulement. Car il constitue le socle de nombreuses interactions dans des cycles métier particuliers. A titre d'exemple, la revue du processus ' stock ' ne s'opère plus sans prendre en compte l'interface informatique entre le système de gestion des stocks, d'une part, et le système comptable, d'autre part.

L'exigence d'une expertise au sein des métiers

L'expertise informatique s'immisce donc de manière transverse au sein même des revues de processus ' métier ', et, de ce fait, permet aux intervenants d'affiner leurs revues pour générer in fine des rapports de mission bien plus complets.Déjà présents au niveau des sièges des entreprises, ces revues informatiques se renforcent maintenant à leur périphérie. Les unités de production, les filiales ou les entités ont vu leur SI s'étoffer et gagner en indépendance vis-à-vis de la maison mère. Ils s'ouvrent par conséquent à ces mêmes contrôles automatiques. Ainsi, l'approbation locale des achats pour une usine nécessite la revue des droits d'accès du système en vigueur, de même que la revue des modifications des bases de données des fournisseurs autorisés. Les audits informatique et métier se rapprochent donc irrémédiablement. Reste à savoir quelle forme prendra à terme cette convergence. Une fusion des deux fonctions ? Une collaboration renforcée ? Cette dernière option est privilégiée. Une standardisation forcée de la profession gommerait les identités professionnelles. Les spécialistes des SI continueront évidemment à intervenir seuls sur des missions techniques d'audit de sécurité informatique ou de protection de centres de données.Reste que cette mixité ne se fera pas sans une certaine inflexion des profils l'un vers l'autre. Le principal enjeu des auditeurs informatiques est de dépasser leur technicité et de mieux prendre en compte les dilemmes d'investissements ' coût-bénéfice ' de l'entreprise (auxquels le haut management de l'entreprise est quotidiennement confronté). Leurs recommandations seront maintenant intégrées dans des rapports d'audit globaux destinés autant aux directeurs informatiques qu'aux nombreux responsables opérationnels et financiers. Dans ce contexte, les auditeurs IT devront manipuler des concepts et un vocabulaire à la portée des financiers. Cest pour eux un autre grand défi.Vos idées : carteblanche@01informatique.presse.fr*est consultant en audit interne (Certified Internal Auditor) pour le cabinet Mazars. Il mène de nombreuses missions dans un cadre de revues opérationnelles, notamment pour des clients industriels.