Audit SI : 5 étapes pour analyser un système d’information institutionnel
- Les 5 étapes d’un audit SI conduit avec une méthode BA
- Ce que chaque étape révèle sur la santé réelle du système
- Les livrables concrets attendus à l’issue de l’audit
Pourquoi l’audit précède toute décision de transformation
Une institution qui décide de remplacer son système d’information sans avoir audité l’existant risque de reproduire les mêmes problèmes dans le nouveau système. Les dysfonctionnements d’un SI ne viennent pas tous de l’outil lui-même : ils viennent souvent des processus qu’il supporte, de la qualité des données qu’il contient, ou de la gouvernance de son utilisation.
Un audit SI rigoureux répond à une question simple avant d’engager des budgets importants : quel est l’état réel du système actuel, quels problèmes doit résoudre le futur système, et quelles contraintes le projet de transformation devra respecter ?
Cadrage du périmètre et des objectifs de l’audit
Avant d’observer quoi que ce soit, il faut définir précisément ce qu’on cherche à comprendre et pourquoi. Quelles décisions l’audit doit-il permettre de prendre ? Quels systèmes et processus sont dans le périmètre ? Quelles parties prenantes doivent être impliquées ? Un audit sans périmètre défini tend à s’étirer indéfiniment et à produire des conclusions trop générales pour être actionnables. Cette étape prend entre un et trois jours selon la complexité de l’organisation.
Cartographie AS-IS des processus et des systèmes
La cartographie AS-IS documente comment les choses fonctionnent réellement, pas comment elles sont censées fonctionner selon les procédures. Elle combine des entretiens avec les utilisateurs clés de chaque service, des sessions d’observation des pratiques réelles, et l’analyse de la documentation existante (quand elle existe et est à jour). Le livrable est une cartographie des processus métier, des flux de données entre systèmes, et des points de friction identifiés. C’est l’étape la plus longue et la plus riche en informations.
Audit de la qualité des données
Un système peut fonctionner techniquement tout en contenant des données de mauvaise qualité : doublons, incohérences entre systèmes, champs obligatoires contournés, référentiels non alignés. La qualité des données conditionne directement la fiabilité des indicateurs de pilotage et la faisabilité d’une migration vers un nouveau système. Cette étape implique une analyse quantitative des données existantes : taux de complétude par champ, cohérence des référentiels, volume d’anomalies détectées. Elle révèle souvent des problèmes que personne dans l’organisation n’avait quantifiés.
Analyse des dépendances et des contraintes
Tout système SI institutionnel est connecté à d’autres systèmes, soumis à des contraintes réglementaires, et intégré dans des processus dont certains sont critiques pour la continuité de service. Cette étape cartographie les dépendances techniques (quels systèmes sont connectés au SI audité et comment), les contraintes réglementaires applicables (LPD, FINMA, normes sectorielles), et les contraintes opérationnelles (plages de maintenance, périodes de gel des changements, ressources IT disponibles). Elle est indispensable pour éviter les surprises en phase de transformation.
Synthèse et recommandations priorisées
L’audit produit un rapport de synthèse qui présente les constats factuels, les problèmes identifiés classés par criticité, et des recommandations d’action priorisées selon leur impact et leur faisabilité. Ce document n’est pas un catalogue exhaustif de tout ce qui ne va pas : c’est un outil d’aide à la décision qui permet à la direction de choisir en connaissance de cause quelle transformation engager, dans quel ordre, et avec quelles ressources.
Livrable final d’un audit SI : un rapport de synthèse avec les constats factuels, la cartographie AS-IS, l’analyse de qualité des données, la cartographie des dépendances, et les recommandations priorisées. Ce document devient le point de départ de la rédaction du cahier des charges pour le futur système.
Ce que révèle systématiquement un audit SI bien conduit
Sans exception dans les projets institutionnels conduits en Suisse romande, un audit SI révèle au moins l’un des éléments suivants que l’organisation n’avait pas identifié avant l’audit :
- Des processus informels non documentés, contournant le système officiel, qui remplissent une fonction critique
- Des données dont la qualité est significativement inférieure à ce qu’on pensait, compromettant la fiabilité des indicateurs de pilotage
- Des dépendances entre systèmes que personne n’avait formellement cartographiées
- Des contraintes réglementaires non couvertes par le système existant
Découvrir ces éléments en phase d’audit coûte quelques jours de travail analytique. Les découvrir en phase de déploiement d’un nouveau système peut coûter des semaines de développement supplémentaire et des mois de retard.
En pratique : Un audit conduit dans une institution sociale cantonale couvrant 50 sites a révélé que 23% des données du système central étaient des doublons non détectés, et que trois processus métier critiques fonctionnaient entièrement en dehors du SI officiel. Ces éléments ont complètement modifié le périmètre et les priorités du projet de transformation.
Questions fréquentes
Un audit SI est-il nécessaire si le système est récent ?
Oui, si le contexte organisationnel ou réglementaire a évolué depuis son déploiement, ou si des problèmes de qualité de données ou d’adoption ont été identifiés. L’âge du système n’est pas le seul critère. Un système récent mal adopté ou dont les données sont peu fiables nécessite un audit avant d’envisager une évolution.
Combien de temps dure un audit SI complet ?
Entre deux et six semaines selon la taille du périmètre et le nombre de systèmes impliqués. Un audit ciblé sur un seul domaine peut être conduit en une semaine. Un audit couvrant l’ensemble du SI d’une institution multi-sites prendra davantage de temps.
Qui doit participer à un audit SI du côté de l’institution ?
Au minimum : un représentant de la direction pour valider le périmètre et les objectifs, un référent DSI pour les aspects techniques, et des utilisateurs clés de chaque service concerné pour la cartographie des processus réels. L’implication des utilisateurs terrain est indispensable : l’audit n’a de valeur que s’il documente la réalité opérationnelle, pas la réalité telle que la direction la perçoit.
Le rapport d’audit engage-t-il l’institution à réaliser les transformations recommandées ?
Non. Le rapport est un outil d’aide à la décision. Les recommandations sont priorisées mais la direction reste libre de choisir lesquelles mettre en oeuvre, dans quel ordre et avec quelles ressources. C’est précisément la valeur d’un audit bien conduit : il permet de prendre des décisions éclairées, pas des décisions imposées.
Vous envisagez une transformation SI ?
L’audit est la première étape. Il définit ce que le projet doit résoudre et dans quelles contraintes. Un échange de cadrage de 30 minutes permet d’évaluer le périmètre approprié pour votre situation.
Prendre rendez-vous
