2.2. Se
préparer à la procédure d'audit
La démarche d'audit sera motivée par la
volonté de l'entreprise ou de la direction des Systèmes
d'information à veiller à la bonne mise en conformité de
ses processus d'une part, mais aussi à mieux identifier ses points de
vulnérabilité d'autre part. Il peut être nécessaire
que l'entreprise soit d'abord consciente de ses propres lacunes et de savoir
pourquoi elle est susceptible de repenser et de remettre à plat tout ou
partie des procédures existantes. La procédure d'audit permet
à la fois de valider une hypothèse de vulnérabilité
ou bien de découvrir une menace éventuelle à laquelle
l'entreprise ne s'était pas préparée.
2.3. Recourir
à des référentiels solides
Pour réaliser l'audit, il conviendra de s'appuyer sur
un référentiel reconnu et bénéficiant de
surcroît d'une forte légitimité. Ainsi, parmi la multitude
de référentiels servant de base à la réalisation
des audits : ISO, CobiT dans le cadre de processus
transverses, WCA dans le cadre des SI,
CMMI, dans celui du pilotage de projet, ITIL, pour
les services. L'audit permet de mesurer un écart entre un
référentiel donné et la réalité
observée et prendra également en considération les bons
pratiques métiers en vigueur dans l'entreprise.
2.4.
Préparer les pièces indispensables à l'audit et en
faciliter l'accès
Pièce maîtresse de l'audit des systèmes
d'information, le cahier des charges a pour vocation de contractualiser les
besoins d'une entité envers un tiers, prestataire de service ou agissant
comme tel au sein de l'organisation. Parmi les autres documents
nécessaires à la réalisation de l'audit, on trouve le plan
qualité, les tableaux de bord et indicateurs de performance, la gestion
des problèmes récurrents...Une fois ces pièces
collectées, la structure en charge de l'audit pourra demander à
accéder à d'autres types de documents qui concerneront par
exemple le suivi des incidents et les procédures de résolutions
de problèmes (dans le cadre de l'audit de sécurité et des
tests intrusifs) ou bien aux éléments de construction de
l'édifice comptable (audit financier).
2.5.
Démarrer par un projet pilote
La méthode la plus sécurisante pour la conduite
d'un projet ERP consiste à procéder par paliers :
cibler un domaine et choisir un site pilote puis valider les choix et
déployer le domaine pilote sur les autres sites. Le site pilote est un
site où l'on décide d'implanter une solution, en vue de tests en
utilisation opérationnelle. Le domaine pilote est un domaine applicatif.
Il est important que le domaine pilote soit
« encapsulable » et relativement isolable par rapport aux
autres applications de l'entreprise afin qu'il n'y ait pas d'impacts lourds en
cas de problème ou de retour en arrière.
| 
