Stratégie

2001-2011 : dix ans de gouvernance à auditer

Le Cigref, l'AFAI et l'IFACI ont organisé un colloque commun le 24 juin 2011 concluant deux ans de travaux communs. Il s'agissait de présenter et de discuter le résultat de ces travaux : le guide d'audit de la gouvernance des SI.

PublicitéLe concept de gouvernance des SI a une dizaine d'années en France. Son histoire a récemment rencontré celle de l'audit. Le Cigref (Club Informatique des Grandes Entreprises Françaises), l'AFAI (Association Française de l'Audit et du Conseil Informatique) et l'IFACI (Institut de l'Audit Interne) ont réalisé un travail commun de deux ans sur le sujet et viennent de publier un guide d'audit de la gouvernance du SI. Le 23 juin 2011, les trois associations ont présenté et discuté les résultats de ce travail à plus d'une centaine de participants à l'hôtel The Westin Paris Vendôme lors du colloque « De la gouvernance du système d'information à la gouvernance de l'entreprise numérique ».

Faire suite à des travaux de l'AMF

Comme l'a rappelé Claude Cargou, président de séance et ancien président du Cigref et de l'AFAI, tout a commencé en 2007 lorsque l'AMF (Autorité des Marchés Financiers) avait voulu créer un cadre de référence pour garantir la transparence de l'audit et du contrôle interne dans les sociétés cotés. Il manquait à ce premier travail une dimension SI alors même que les SI sont au coeur de l'entreprise moderne.

En 2009, l'AFAI et le Cigref avaient donc déjà organisé un premier colloque, issu de deux années de collaboration, pour présenter un guide de l'audit du système d'information. Deux ans plus tard, les mêmes, rejoints par l'IFACI, présentent un prolongement de ce premier travail qui vise cette fois à auditer la gouvernance du SI.

12 vecteurs pour guider l'auditeur

Ce guide n'est pas un référentiel de maturité complexe, comme Cobit avec ses plus de 10 000 items. Il se présente comme un certain nombre de pratiques réunies en 12 vecteurs (voir ci-dessous), l'auditeur gardant la liberté d'estimer le niveau de maturité de chaque critère définissant chaque pratique. Le travail des trois associations est donc à la fois plus flexible et plus adaptable à chaque entreprise.

Il ne faut en effet pas oublier, comme cela a été martelé à de nombreuses reprises durant la journée, que la gouvernance du SI ne signifie rien sans qu'on la rattache à la gouvernance de l'entreprise, dont elle n'est finalement qu'un miroir.

Un guide pour auditer la gouvernance du SI

Le Guide d'audit de la gouvernance du système d'information est co-édité par le Cigref (Club Informatique des Grandes Entreprises Françaises), l'AFAI (Association Française de l'Audit et du Conseil Informatique) et l'IFACI (Institut de l'Audit Interne). Il a été réalisé par une vingtaine de contributeurs sous le pilotage de neuf experts, tous membres de l'une ou l'autre des trois associations.
Il propose 12 vecteurs (Pilotage des services externalisés, gestion de la communication, management des risques SI...) réunis en trois familles (management, opérationnel et support) pour permettre la gouvernance efficace du SI. Chaque vecteur se décline en 3 à 6 pratiques auditables selon des critères d'évaluation. Chaque critère est expliqué, détaillé et commenté dans le guide.
Se limitant à la gouvernance, ce guide ne s'intéresse pas à la gestion opérationnelle des projets, à la production et à la sécurité.