Sans avoir à réaliser d’enquête coûteuse, l’AFAI considère que ses membres sont peu au fait des normes professionnelles ISACA qui, pourtant, nous caractérisent. Les raisons les plus évidentes sont :

-   qu’une part des adhérents suit déjà des normes professionnelles édictées par d’autres associations,comme la CNCC ou l’IFACI, ou appliquent des normes « maison » quand ils participent de grands cabinets ;

-   que de nombreux adhérents viennent du milieu informatique. Dans ce cas ils ont tendance à utiliser les référentiels foisonnants du sérail (livres blancs, normes techniques, guides sectoriels, etc.) en s’appuyant sur une démarche d’audit similaire à un cycle de vie logiciel. Dans le meilleur des cas ils s’appuient sur le CobiT sans s’intéresser par ailleurs aux normes.

Néanmoins, les normes ISACA ont des richesses indéniables qui justifient leur usage, même si on semble avoir toutes les excuses pour ne pas les utiliser.

Nous n’avons pas ici pour objectif de convaincre mais simplement d’intéresser les adhérents. Ce premier article est un exposé rapide de la structure des normes (à mars 2004). Les prochains articles veulent développer une réflexion critique des textes en vue de leur traduction en français et, rêvons un peu,

-   un code dit « d’éthique professionnelle » que doivent appliquer tous les membres de l’ISACA et les titulaires du CISA ;

-   les normes, guides d’application et procédures pour l’audit des SI ;

-   les normes pour les contrôleurs des SI, ces dernières n’entrent pas dans notre propos.

Le code « d’éthique professionnelle », exposé sur une page, est constitué de 10 items. La conformité au code est obligatoire, sous peine explicite de mesures de la part de l’ISACA (retrait de certification professionnelle, par exemple).

Les normes d’audit sont rédigées de manière concise. Au nombre de 12, elles sont réparties en 8 catégories. Elles tiennent sur une page et sont obligatoires.

Les guides d’application détaillent comment suivre les normes. Elle ont donc un caractère obligatoire, mais le « comment » achoppant sur la réalité de tous les jours, l’ISACA admet qu’il puisse exister des cas exceptionnels empêchant l’application exhaustive des guides. Dans ce cas, l’auditeur a la responsabilité de justifier toute dérogation.

Normes et guides d’application, ayant le caractère obligatoire décrit plus haut, participent d’une codification homogène :

-   3 caractères pour les catégories (au nombre de 8) de normes, suivis de

Par exemple, le document « 060.020.040 » est le 4ème guide d’application concernant la 6ème catégorie de norme (« réalisation du travail d’audit ») s’appliquant sur la 2ème norme (« preuve ») de cette catégorie.

Enfin, les procédures ont un caractère informatif et montrent toutes les étapes à suivre sur des points spécifiques, en totale conformité avec les normes. Elles sont numérotées dans l’ordre de leur mise à disposition par l’ISACA. Actuellement au nombre de 7, elles traitent par exemple de l’évaluation du risque lors d’une mission d’audit des SI, de la signature électronique et de la gestion des clés dans le cadre d’un audit d’autorité de certification, ou encore des diligences à déployer pour auditer des fraudes. Les procédures font systématiquement référence au CobiT.

-   d’abord la simplicité de la structure agrémentée de la richesse des textes qui conduisent à leur indéniable potentiel à nous guider dans notre travail,

-   ensuite leur caractère obligatoire, bien souvent oublié, dont la non conformité pourrait être sanctionnée.

Dans le prochain article, nous aborderons le code « d’éthique professionelle » et, après quelques remarques, nous vous en proposerons une traduction .