Download GUIDE D`AUDIT DES SYSTEMES D`INFORMATION

2.2.5.
LES AUDITS DE REGULARITE SPECIFIQUES
La régularité des opérations du domaine de l’informatique résulte à la fois
d’un corpus normatif interne à l’organisation et de normes fixées par les
pouvoirs publics. L’auditeur doit évaluer les écarts entre les activités
informatiques et ces normes, impératives.
Toutefois, aucune norme, y compris publique, n’est intangible.
Notamment, un auditeur agissant pour le compte d’une organisation
étatique, a fortiori un auditeur appartenant à un corps d’inspection
générale étatique, doit recommander aux services audités de travailler à
l’évolution des normes nationales qui leurs sont applicables lorsqu’elles
sont inadaptées, plutôt que de céder à la facilité du contournement. Il
doit évidemment recommander la modification d’une norme interne
contre-productive.
Il appartient donc à l’auditeur réalisant un audit de régularité
(informatique) de s’assurer que les efforts à fournir pour appliquer les
normes sont raisonnables au vu des contraintes et objectifs de
l’organisation concernée, voire de se prononcer sur leur (in)applicabilité.
Pour ce faire, il ne devra pas hésiter à comparer la situation observée avec
celle prévalant dans des organisations équivalentes.
Par ailleurs, l’auditeur ne devra pas se limiter à la régularité vis-à-vis de
l’activité informatique (CNIL, licences, sécurité logique, etc.). Il lui
appartient également de s’assurer que les opérations réalisées par le
système informatique audité sont en elles-mêmes régulières. Par
exemple, un système de traitement des données individuelles peut
satisfaire les normes de sécurité informatique tout en appliquant des
règles de gestion statutaires irrégulières.
Ainsi, un audit de régularité, surtout s’il est suscité par une situation
pathologique, peut entraîner la remise en cause :
 du corpus normatif interne à l’organisation ;

du corpus normatif public applicable ;

de la régularité des opérations « métier » réalisées au moyen du
système informatique audité.
Face à un écart en termes de régularité, l’auditeur doit recommander une
action de correction des pratiques ou de modification de la norme, voire
les deux, la correction de la norme apparaissant alors comme un objectif
de long terme tandis que la mise en conformité doit être un objectif de
court terme.
Face à une norme inapplicable, ou dont l’application demanderait des
efforts déraisonnables, l’auditeur doit se prononcer sur les risques que
l’irrégularité fait peser sur l’organisation, en veillant à ne pas se limiter
aux risques juridiques : une norme étant rarement une fin en soi, s’en
affranchir expose généralement à des risques opérationnels.
34