Audit informatique

L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités informatiques d'une entreprise ou d'une administration. À cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT), sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués. Il existe deux grandes catégories d’audit. La première comporte les audits globaux d'entité durant lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées. La seconde catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique au sein d’une entité (la gestion de projet, la sécurité logique par exemple). L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne peuvent être exercées pour une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits d’intérêts. La notion de contrôle est au cœur de la démarche d'audit informatique. L'objectif est de mettre en place des dispositifs de contrôle efficaces et performants permettant de maîtriser efficacement l'activité informatique. Le contrôle interne est un processus mis en œuvre à l'initiative des dirigeants de l'entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants : la conformité aux lois et aux règlements, la fiabilité des informations financières, la réalisation et l'optimisation des opérations.... Il est évident que l'audit informatique s'intéresse surtout au troisième objectif.