Panique à bord, les vérificateurs TI arrivent! Comme tout examen, un audit des systèmes d’information se prépare, non pas en modifiant son système à la hâte, mais en anticipant les documents et les réponses à l’attention des vérificateurs.
Voici donc cinq raisons pour lesquelles vous devriez vous préparer à la venue de vérificateurs :
1. Démontrer sa connaissance et sa maîtrise du système d’information
Un des premiers écueils à éviter lors d’un audit des TI est de ne pas connaître les interfaces ou les applications qui sont en amont et en aval des systèmes audités – souvent les applications financières.
Rien ne ravit plus un vérificateur qu’un schéma synthétique qui montre les interconnexions des différents systèmes critiques – oubliez le plat de spaghettis, qui aurait l’effet inverse.
Connaissez vos systèmes et ne noyez pas vos vérificateurs en les envoyant à la pêche d’informations que vous êtes censés maîtriser. Soyez proactifs et épatez-les avec vos connaissances d’affaires des systèmes informatiques.
2. Démontrer sa connaissance des risques informatiques
Qui dit maîtrise de l’informatique, dit connaissance de ses risques. Les vérificateurs seront plus indulgents si vous leur montrez que vous connaissez les risques et que vous les réduisez, plutôt que si c’est eux qui vous mettent sous le nez une faille que vous n’aviez pas vue.
Connaissez vos risques et préparez les preuves qui montrent comment vous les suivez et les contrôlez.
3. Recueillez les documents et amassez les preuves
Systématiquement, les auditeurs TI demanderont à voir vos politiques et vos procédures opérationnelles, votre plan de relève informatique, vos contrats avec les fournisseurs, votre politique de sécurité, votre appétit au risque, votre plan stratégique TI, vos derniers incidents, vos dernières migrations, etc.
Ne serait-il pas pratique de localiser tous ces documents dans leur dernière version et de s’assurer, en faisant une relecture, qu’il n’y aura pas de surprise ou d’écart par rapport à la réalité? L’anticipation est le maître mot en audit.
Si vous ne pouvez pas anticiper, par définition vous êtes en mode réactif, donc vous perdez une partie du contrôle.
4. Montrez votre progression par rapport au dernier audit
Un autre événement incontournable de l’audit est la démonstration des progrès qui ont eu lieu depuis le dernier rapport d’audit.
Procurez-vous ce rapport si ce n’est déjà fait et veillez à pouvoir démontrer ce qui a changé.
5. L’audit est un moyen de communication influent
Si vous avez un message à faire passer, qui ne trouve pas écho, peut être l’audit pourra-t-il vous aider à le communiquer de façon plus efficace aux bonnes personnes. Réfléchissez à ce que vous voulez obtenir à l’issue de cet audit. Plus de budget? Davantage de visibilité positive? Peut être est-ce le moment de faire ressortir certains squelettes de vos placards et de pointer certains dysfonctionnements dont la résolution n’est pas en votre pouvoir.
À l’inverse, vous avez trop d’attentions sur vous et vous souhaitez vous faire oublier? Faites amende honorable et choisissez vos combats et vos faiblesses, pour ne pas avoir à vous battre sur tous les fronts. Les constats doivent toujours être appuyés sur des faits et non sur des suspicions. Et surtout, l’importance du risque associé au constat doit être démontrée. Autrement dit, vous avez le droit de laisser la porte d’entrée ouverte, s’il n’y a rien à voler.
C’est à vous de démontrer que certaines faiblesses ne sont associées à aucun enjeu d’affaires réel. Il est moins grave d’être aux prises avec un constat pour non-respect du cadre de gestion standard qu’avec une non-conformité qui peut entraîner une fraude, par exemple.
Et vous, comment vous préparez-vous à un audit informatique?