15/04/17 (publication) : article Afnor BiVi "Audit intégré, exemple du numérique"
L’audit intégré reprend à son compte les fondamentaux et bonnes pratiques de l’audit à valeur ajouté. Mais plus que l’audit classique, il nécessite un référentiel en béton, une préparation exemplaire, un rapport multi-dimensionnel, une base d’experts de confiance, une équipe d’audit souple et adaptable, … Il se doit aussi d’être complémentaire aux autres dispositifs de mesure-évaluation-contrôle-évaluation existant, pour ne pas reprendre ce qui a déjà été mesuré par d’autres moyens. Toujours plus fort, toujours plus loin, toujours plus utile et adapté !
Plusieurs exemples illustrent la mise en oeuvre dans le carde des systèmes d'information, combinant les référentiels. Par exemple, pour auditer la relation client-fournisseur entre un client et son prestataire de developpement-exploitation-maintenance d'une application métier sensible, le premier référentiel normatif retenu a été ISO 9001:2015. Auquel a été ajouté ISO 20000-1:2011 (pour la gestion de services informatique et la maîtrise des engagements de service) et l'ISO 27001:2013 (sécurité de l'information). Le référentiel spécifique était le contrat avec les engagements contractuels de qualité de service et de livrables attendus. En complément, ont été ajoutées les exigences du référentiel e-SCM SP (e Sourcing Capability Model for Service Provider). Le tout adapté et pondéré au contexte du client et de l'audit. C'est la combinaison de tout ceci qui a constitué le référentiel d'audit... totalement intégré donc !