5.4.3 Les compétences et outils de travail
Concernant la compétence des auditeurs, nous avions
remarqué qu'un seul sur les quatre auditeurs internes avait une
formation et une certification en matière de système
d'information. A travers le questionnaire d'audit interne sur la
sécurité de l'information, nous avons notéen moyenne, une
méconnaissance des exigences de la norme ISO 27002 pour les
systèmes d'information de la banque. Il est vrai que le
référentiel de l'audit interne selon l'IIA n'oblige pas les
auditeurs à posséder l'expertise d'un auditeur informatique.
Néanmoins, nous remarquons que, bien que sachant quel rôle jouer
en tant qu'auditeurs internes, la sécurité de l'information ne
fait pas souventpartir de leur programme annuel de mission.
Un autre point est le nombre très faible d'auditeurs
pour les 48 agences de Ecobank déployées sur le territoire
ivoirien. Cette situation favorise que certaines agences ne soient
évaluées que chaque 2 ou 3 ans. Ce qui occasionne l'accumulation
de risques divers et des pertes financières. Aussi le faible nombre des
auditeurs n'offre pas à la Direction de l'audit interne et donc à
Ecobank CI une pluralité de spécialités.
A propos des outils de travail, nous constatons que la
Direction de l'audit interne ne dispose pas de logiciels d'audit
spécialisés utiles pour les tests d'intrusion ou les tests
d'appréciation de la vulnérabilité du système de la
banque. Ce manque ne permet pas à l'auditeur interne d'inspecter et
d'évaluer en intégralité les systèmes informatiques
et les risques présents et ceux qui pourraient survenir.
Nous savons à travers la théorie que l'audit de
la sécurité de l'information est rendu obligatoire par la clause
6 de la norme ISO 27001 qui précise que des audits doivent être
conduits à intervalles planifiés. De plus, l'IFACI précise
que le processus de contrôle de l'audit interne doit viser l'ensemble du
dispositif de contrôle interne.En matière de système
d'information, l'IFACI explique que les auditeurs doivent effectuer des
contrôles des technologies de l'information. Ces contrôles viennent
en appui de la gestion et de la gouvernance de l'organisation et comportent des
contrôles généraux et des contrôles techniques sur
les infrastructures des technologies de l'information dans lesquelles on
retrouve les applications, les informations, les installations et les
personnes. Pour cela ils doivent posséder une connaissancesuffisante des
principaux risques et contrôles relatifs aux technologies de
l'information, et des techniques d'audit informatisées susceptibles
d'être mises en oeuvre dans le cadre des travaux qui leur sont
confiés.
Il ressort donc de notre diagnostic critique une lacune
quantà l'implémentation de la norme ISO 27002 aux systèmes
d'information de la banque. Ecobank CI possède bel et bien un SMSI
défini mais sa gouvernance de même que la stratégie d'audit
utilisée pour son amélioration continue pourraient être
perfectionnées. Un SI est dit fiable s'il procure des informations
pertinentes et en temps réel à l'entreprise. Par ailleurs les
flux d'information qui en découlent, doivent faire l'objet d'un
excellent cadre de sécurité de l'information. La prochaine
étape sera pour nous l'occasion d'apporter des suggestions aux
difficultés qui ressortent de notre évaluation.
|