2 - Evaluer les risques et décider des actions correctrices possibles
Le rapport d'audit fournit une mise en perspective des différents
fichiers tableurs dans la chaine du Système d'Information de la société
et détaille une évaluation des risques sur différents critères.
Évaluation des risques par fichier / tableur :
- automatique multicritères (taille du fichier, nombre d'onglet, macros, utilisateurs et mises à jour, risque opérationnel etc...)
- par les utilisateurs (min, max)
- par le responsable du fichier
- par l'auditeur
En fonction des souhaits de la Direction Générale un
Comité de Revue d'Audit des Fichiers Tableurs (CRAFT)
est nommé et se réunit pour établir sa propre hiérarchie de risque et
prendre les recommandations sur la suite à donner ou non sur chacun des
fichiers examinés.
Les recommandations possibles sont :
- inutilité du fichier (ex. : doublon d'emploi)
- on ne change rien
- on
ne change pas le contenu mais le contexte opérationnel : sauvegarde,
formation (utilisateurs et maintenance, développement), documentation,
mise en place d'une procédures de validation (double saisie, validation
par un tiers), gestion de configuration / versions (par l'auteur et/ou
un tiers, DSI ou externalisation)
- sécurisation
du tableur : mise en place de contrôle à la saisie et de contrôle
d'erreur, éventuel réécriture de formule et macros, automatisation des
imports/export, documentation développeur / utilisateur, formation,
gestion de configuration, mise en place d'une exploitation (auteur,
tiers, DSI ou externalisation)
- passage
des fonctions du fichier sur des outils déjà existants dans
l'entreprise (fonctionnalité existantes ou à développer sur les outils
en question)
- mise en place
d'une nouvelle application centralisée (DSI ou SSII en mode SaaS ou non)
permettant de sécuriser et fluidifier tout en préservant la flexibilité
du tableur : BMS
Le Rapport d'Audit des Fichiers Tableurs (RAFT) est complété avec les recommandations.