GTAG 17 - Auditing IT Governance (anglais)

Partant des principes édictés par la norme 2110.A2 , ce guide aborde les domaines clefs suivants :

  • l'exercice des rôles et responsabilités des directions des systèmes d'information,
  • les processus de prise de décision et de devoir de rendre compte,
  • la maîtrise des performances et le suivi des données de gestion (y compris financières) concernant les opérations et la réalisation des projets informatiques,
  • le degré d'appréhension de la part des responsables concernés de la manière avec laquelle les systèmes d'information supportent la stratégie et concourent à l'atteinte des objectifs,
  • le degré de coordination entre le pilotage des systèmes d'information et le pilotage de l’organisation,la maîtrise des risques et le contrôle interne relevant de la gouvernance des SI.
    Le GTAG fixe donc les caractéristiques d'une bonne gouvernance des SI comme devant être effectivement en conformité avec la stratégie et les objectifs de l'organisation. Il décrit en outre les éléments constitutifs d'une telle gouvernance, ainsi que les outils nécessaires à la mesure des performances.

Questions à se poser sur :

  • les structures de gouvernance : précision de leur définition, qualité de l’exercice des rôles et responsabilités à travers les résultats constatés, fluidité des relations (canaux de communication) entre les organes de direction et la DSI.
  • l’implication des organes de direction (métiers) dans la stratégie SI : visibilité et implication réelle dans les décisions stratégiques SI, bonne perception de leur impact sur le développement de l’organisation
  • l’existence de contrats de services : fixation d’objectifs, quantification des résultats, mesure effective des performances en termes techniques et financiers, benchmarking,
  • l’impact des SI sur la gestion des risques : complexité acceptable des systèmes et des applications informatiques, normalisation des solutions techniques, approche méthodologique (standardisation et partage) de la gestion des données
     

Commentaires de l’IFACI

L’audit de la gouvernance des SI a fait l’objet d’une étude spécifique par le CIGREF, l’AFAI et l’IFACI. Ces travaux ont débouché sur l’élaboration d’un guide fournissant les éléments concrets d’une évaluation de la gouvernance. Les éléments du GTAG n’apparaîtront pas comme un référentiel substituable à ce guide, mais plutôt comme une description du cadre dans lequel doit prendre place la mission d’audit.
Articulé autour de deux grands axes : les risques attachés à la gouvernance des SI, et l’alignement des SI avec les objectifs des métiers, le GTAG fournit plutôt une justification de la légitimité de l’intervention de l’audit interne dans ce domaine. Ainsi, au-delà des exigences traditionnelles utilisées dans les missions d’audit des SI (critères de disponibilité, intégrité, efficience et efficacité, sauvegarde et conformité) les auditeurs doivent être à même d’évaluer précisément les principes de gouvernance des SI et notamment les problématiques de l’alignement métier et des responsabilités des acteurs.

Plan du GTAG 17

Executive Summary
1. Introduction
2. IT Governance Risks
3. Aligning the Organization and IT — Key Considerations
4. The Role of Internal Audit in IT Governance
Conclusion
Authors and Reviewers
Appendix — IT Governance Risk Assessment/Engagement Planning Considerations