Le concept de gouvernance des systèmes d'information a une dizaine d'années en France. Son histoire a récemment rencontré celle de l'audit. Le Cigref (Club Informatique des Grandes Entreprises Françaises), l'Afai (Association Française de l'Audit et du Conseil Informatique) et l'Ifaci (Institut de l'Audit Interne) ont réalisé un travail commun de deux ans sur le sujet et viennent de publier un guide d'audit de la gouvernance du SI. Le 23 juin 2011, les trois associations ont présenté les résultats de ce travail à plus d'une centaine de participants à Paris lors du colloque « De la gouvernance du système d'information à la gouvernance de l'entreprise numérique ».
Faire suite à des travaux de l'AMF
Comme l'a rappelé Claude Cargou, président de séance et ancien président du Cigref et de l'AFAI, tout a commencé en 2007 lorsque l'AMF (Autorité des Marchés Financiers) avait voulu créer un cadre de référence pour garantir la transparence de l'audit et du contrôle interne dans les sociétés cotées. Il manquait à ce premier travail une dimension SI alors même que les SI sont au coeur de l'entreprise moderne.
En 2009, l'Afai et le Cigref avaient donc déjà organisé un premier colloque, issu de deux années de collaboration, pour présenter un guide de l'audit du système d'information. Deux ans plus tard, les mêmes, rejoints par l'Ifaci, présentent un prolongement de ce premier travail qui vise cette fois à auditer la gouvernance du SI.
12 vecteurs pour guider l'auditeur
Ce guide n'est pas un référentiel de maturité complexe, comme Cobit avec ses plus de 10 000 items. Il se présente sous la forme d'un certain nombre de pratiques réunies en 12 vecteurs (voir ci-dessous), l'auditeur gardant la liberté d'estimer le niveau de maturité de chaque critère définissant chaque pratique. Le travail des trois associations est donc à la fois plus flexible et plus adaptable à chaque entreprise.
Il ne faut en effet pas oublier, comme cela a été martelé à de nombreuses reprises durant la journée, que la gouvernance du SI ne signifie rien sans qu'on la rattache à la gouvernance de l'entreprise, dont elle n'est finalement qu'un miroir.
Illustration colloque du Cigref (crédit : B.L.)
Le Cigref, l'AFAI et l'Ifaci s'accordent sur la gouvernance du SI
Le Cigref, l'Afai et l'Ifaci ont organisé un colloque le 24 juin 2011 concluant deux ans de travaux communs. Il s'agissait de présenter et d'en discuter le résultat : le guide d'audit de la gouvernance des SI.