Je me suis dit qu’un article décrivant concrètement un projet de chez System & Process Assurance serait intéressant à partager… Tout d’abord, définissons le département : SPA soutient l’audit financier au point de vue des procédés de traitement de l’information utilisés pour reporter les états financiers de l’entreprise… Cool non ?

De manière plus explicite, afin de contrôler les états financiers d’une compagnie, nos auditeurs financiers utilisent une grande quantité de données et de documents qui sont le résultat de procédés (automatisés ou non) et proviennent bien souvent de systèmes informatiques.  Dans le but d’obtenir du confort quant à l’intégrité de ces données, le département SPA investigue…  Il vérifie que les bonnes personnes donnent les bonnes approbations, que les systèmes informatiques critiques soient protégés, qu’il ne soit pas possible pour un développeur informatique d’aller modifier une ligne de code lui permettant de transférer les décimales de tous les montants avec virgule vers son compte et encore autre exemple, de s’assurer qu’un employé du marketing ne peut pas autoriser l’achat de matières premières…

De la sorte, si les résultats de ses investigations sont “bons”, les auditeurs financiers accorderont plus ou moins de confiance aux documents qu’ilsont recus.  A contrario, s’il s’avère que les procédés en place sont très mauvais, ils vérifieront davantage les données qu’ils ont obtenues et auront donc beaucoup plus de travail.

En résumé, le job du département SPA est de “dégrossir” le travail pour les auditeurs financiers ; il s’agit d’unvéritable travail de soutien.

Maintenant que le décor est planté, revenons au concret….  J’ai commencé chez SPA en septembre 2008 sur un client très important du secteur bancaire.  Mon boulot a été de vérifier le procédé de changements sur plateforme Windows, ce qui signifie que je devais m’assurer que toutes les modifications effectuées sur les applications qui tournent sur Windows soient développées, testées et approuvées de manière adéquate… Une fois la décision de tester certaines applications (décision du management qui détermine quelles sont les applications et plateformes critiques), les différentes étapes de ce projet furent les suivantes :

1. Organiser des meetings avec le management IT afin de comprendre le processus mis en place et obtenir une première impression du service informatique (qui dans le cas présent sont “des services informatiques” étant donné la taille de la compagnie);
2. Dessiner un flowchart (graphe de flux littéralement) qui permet d’identifier les étapes clefs du processus et de déterminer où nous pensons qu’un contrôle est important;
3. Evaluer les contrôles en place, de deux manières :
             a) rapporter les contrôles qui sont manquants là où on les attendait (suivant le point 2)
             b) tester les contrôles en place pour vérifier qu’ils fonctionnent correctement en collectant des preuves (rapports, présentations, signatures, …) afin de s’assurer que les contrôles performent tel que décrit dans les procédures et tel qu’expliqué par le staff.
4. Documenter et rapporter toutes nos observations et conclusions.

Voilà, en bref, ce que j’ai fait durant mes premières semaines dans le département SPA… SPA vérifie également les sections “Incident Management”, “Back-up and recovery”, “Identity and User Access Management”… mais ceci est une autre histoire…

De plus, le départment est doté de personnes très expérimentées en SAP, ce qui représente une autre corde à son arc (sans oublier les “internal controls assessment and optimisation”)… Une myriade d’activités pour un département de moins de cent personnes, ce qui implique que le travail n’est jamais le même d’une semaine à l’autre…