DSCG : Management des SI Audit et Fonction informatique Audit et fonction informatique La fonction informatique de l’entreprise est à prendre en compte dans la définition du contenu du plan de mission, notamment en termes de séparation des fonctions, gestion des mouvements de personnel, gestion des projets, fiabilité des processus informatiques (pilotage, développement, maintenance, exploitation, sécurité du système d'information). L’organisation de la fonction informatique Objectif L’étude de l’organisation de la fonction informatique consiste à considérer son adéquation aux besoins et aux enjeux de l’entreprise, le respect du principe de séparation des tâches et le niveau de dépendance de l’entreprise vis-à-vis de prestataires externes. Travaux à réaliser Les éléments utiles à l’étude de l’organisation de la fonction informatique sont les suivants : • • • les caractéristiques de l’organisation informatique : • l’existence ou non de la fonction informatique, • la vérification de l’existence d’un organigramme à jour comprenant une définition des fonctions et un partage clair des rôles et des responsabilités pour chaque poste, • la vérification que l’ensemble des composantes d’une fonction informatique est convenablement pris en compte et notamment : exploitation, études, et sécurité informatique, la séparation des tâches : • le caractère distinct des tâches et des environnements relatifs aux fonctions Études et Exploitation, • le maintien de la séparation des tâches lors de la rotation des équipes, des congés ou du départ d’un salarié, le recours aux prestataires : • nombre de prestataires, • degré de dépendance vis-à-vis des prestataires, • fonctions exercées. Modalités pratiques Afin de réaliser cette étude, il est nécessaire d’organiser des entretiens avec le responsable informatique. Ces entretiens portent sur les sujets suivants : • description de l’organigramme général et de la fonction informatique, • description des postes, des fonctions et des responsabilités des membres de la fonction informatique, • tâches effectuées par l’informatique et localisation géographique des services, • recours à la sous-traitance, • séparation des tâches. Les informations recueillies auprès du responsable informatique peuvent être complétées en effectuant des entretiens avec les responsables des départements opérationnels. L’analyse de l’organisation de la fonction informatique dans le plan de mission conduit à déterminer des situations où le risque sur la fiabilité du système d’information sera plus ou moins important. 1/3 DSCG : Management des SI Audit et Fonction informatique Incidence sur la fiabilité du système d’information Faible Modérée Elevée Services partageant plusieurs fonctions (notamment les études Fonction sécurité existant partiellement. Définition peu et l’exploitation). Fonction sécurité exercée par un responsable claire des rôles et Fonction sécurité non gérée. dédié. responsabilités. Pas de représentation de la Organisation adaptée aux besoins. Représentation non fonction informatique auprès de Représentation de la fonction informatique systématique de la fonction la direction. auprès de la direction. Informations informatique auprès de la concernant la gestion de l’informatique direction. Rôles et responsabilités non fournies à direction. définis de manière claire. Fonctions gérées par des services indépendants. Organisation informatique Séparation assurée mais aucun contrôle réalisé. Séparation assurée à tous les niveaux. Séparation des tâches Suivi de cette séparation. Externalisation * Implication des utilisateurs. Faible implication des utilisateurs. Toutes les fonctions sont assurées par l’entreprise. Quelques fonctions sont partiellement externalisées. Les mêmes personnes ont en charge les études et l’exploitation. Aucune implication des utilisateurs. Fonctions sensibles externalisées. Ressources internes réduites. * L’appréciation du risque entraîné par l’externalisation de la fonction informatique doit également porter sur l’analyse du contrat qui lie l’entreprise à son prestataire, ainsi que sur la maîtrise par l’entreprise des prestations sous-traitées. Résultat Les différents éléments sont totalement indépendants tout en se révélant d’un même niveau d’importance pour l’entreprise. Cela signifie que si l’un d’eux présente des faiblesses, alors l’organisation informatique dans son ensemble aura une incidence élevée sur les risques à évaluer. Les risques potentiels liés à l’organisation de la fonction informatique peuvent se traduire de la façon suivante pour le commissaire aux comptes : • l'absence de séparation des fonctions peut impliquer un plus grand risque de fraude, • l'absence de maîtrise du système d'information (sous-traitants non encadrés, manque de compétences internes sur certains thèmes) peut impliquer un risque sur la continuité de l'exploitation, • des erreurs de développement ou l'incapacité du département informatique à maintenir une application peuvent avoir pour conséquence des erreurs dans la valorisation des flux ou un risque de non exhaustivité des enregistrements comptables. Les compétences informatiques Objectif L’étude des compétences informatiques consiste à considérer le niveau de compétence du personnel, la charge de travail, le niveau de rotation du personnel informatique de l’entreprise. Travaux à réaliser Les éléments à prendre en compte dans l’étude des compétences informatiques sont les suivants : • • • niveau de compétence : • compétences en rapport avec les besoins actuels et futurs notamment dans la perspective programmée d’un changement de technologie, • niveau de formation, • mesure des performances du personnel, charge de travail par rapport aux ressources humaines disponibles : • niveau d’occupation (nombre heures supplémentaires/nombre heures travaillées), • importance de la dépendance vis-à-vis des personnes clés, • existence des ressources nécessaires pour l’exécution des opérations régulières (validation du responsable de service pour prise de congés, modalités de gestion des 35 heures), niveau de rotation du personnel : 2/3 DSCG : Management des SI • • • Audit et Fonction informatique nombre de départs sur les deux dernières années, stabilité du niveau d’occupation, motivation des collaborateurs. Modalités pratiques Cette étude peut s’effectuer : • • • par entretiens avec le responsable informatique sur : • l’évolution du budget formation sur les trois dernières années, • les mesures de performances du personnel informatique, • le niveau d’occupation du personnel (nombre heures supplémentaires/nombre heures travaillées), • la dépendance à des personnes clés par l’étude de la répartition des heures supplémentaires, • l’évolution du taux d’occupation des collaborateurs (évolution des heures travaillées sur les 3 dernières années), • le degré de motivation des collaborateurs (prise de connaissance des comptesrendus annuels d’entretien), par l’analyse des documents suivants : • calendrier des formations, • comptes-rendus annuels des entretiens d’évaluation, • rapprochement du calendrier des formations avec les comptes-rendus annuels, par des entretiens avec des utilisateurs clés représentatifs des différentes directions. Afin de confirmer les informations collectées précédemment, il peut être nécessaire de rencontrer un collaborateur du département informatique. Les acteurs en charge de la sécurité technique, de l’administration du réseau, de la gestion des bases de données, peuvent nécessiter des compétences pointues. L’analyse des compétences informatiques dans le plan de mission conduit à déterminer des situations où le risque sur la fiabilité du système d’information sera plus ou moins important. Incidence sur la fiabilité du système d’information Faible Modérée Elevée Niveau de compétence Personnel qualifié et motivé à tous les niveaux de la hiérarchie. Programme de formation défini en accord avec la stratégie de l’entreprise pour l’acquisition de nouvelles compétences et la conservation du personnel. Personnel inégalement qualifié et personnel Personnel inexpérimenté et peu nouvellement embauché. formé. Démotivation. Budget de formation défini. Charge de travail Ressources humaines suffisantes pour couvrir les besoins actuels. Revue des ressources réalisée périodiquement pour s’assurer de l’adéquation avec les besoins. Ressources suffisantes pour Déficit en ressources. Pas de les besoins actuels. mesure des besoins. Dépendance Estimation informelle des vis-à-vis des personnes clés. futures charges de travail. Absence de budget pour augmenter Heures supplémentaires les ressources. régulièrement nécessaires. Niveau de rotation Rotation régulière. Mesures Rotation limitée. Toutes les activités mises en place afin de sont couvertes par des personnes remplacer les personnes expérimentées. clés dans des délais raisonnables. Rotation fréquente du personnel. Difficultés pour retenir le personnel. Difficultés à remplacer les personnes clés. Résultat La prise en considération individuelle des éléments cités précédemment permet d’apprécier globalement l’incidence que peuvent avoir les compétences informatiques sur le plan de mission. 3/3