Une matrice d’audit, c’est un outil efficace pour dresser un bilan de la situation existante. Pour lui donner encore plus de profondeur, il est intéressant de lui apporter une notion de maturité. Cela permet de se positionner avec plus de précision et d’envisager les pistes d’amélioration avec plus d’objectivité. Un autre avantage : cela permet de mieux se positionner et de se comparer plus finement avec des entreprises ou organisations analogues, voire des concurrents.
Chacune des catégories exposées précédemment est composée par des sous-rubriques qui émanent des questions présentées au chapitre précédent. À chacun des niveaux correspondent des critères descriptifs.
Ceci est une proposition pour constituer la base de votre audit. Souvenez-vous que vous avez la liberté d’adapter la matrice aux besoins et au contexte de votre entreprise. On ne le rappelle jamais assez : soyez proactif !
L’objectif de l’exercice est de pouvoir quantifier les éléments de réponse, les documenter afin de positionner son organisation.
Comment évaluer avec objectivité les différents niveaux de maturité de mon organisation ?
Il faut au préalable avoir une vision éclairée des bonnes pratiques, des normes en vigueur dans chacune des catégories. Pour vous aider dans cette démarche et sélectionner le niveau qui convient, faites de la veille sectorielle, renseignez-vous en interne et utilisez vos connaissances. On attend de vous un regard neuf et objectif sur la situation existante.
Si vous débutez dans votre profession, pas d’inquiétude, identifiez les personnes “clés” (DRH, RSSI, Chief Data Officer, personnes occupant des postes transversaux dans l’organisation) qui pourront vous aider avec leur réponse. N’hésitez jamais à poser une question !
Envie de voir ce que cela donne sur le terrain ?
Voici le résultat d’un audit mené dans une entreprise de grande distribution. L’objectif de la mission était d’avoir des éléments tangibles sur l’état de la DSI d’une filiale qui venait d’être rachetée dans un pays étranger. La mission, supportée par les membres du CODIR avec pour sponsor le DSI groupe, a duré 2 mois ½.
La première phase, l’audit, a permis de rencontrer les différentes parties prenantes :
les personnes clés de la DSI de la nouvelle filiale ;
les responsables métiers ;
les fournisseurs les plus intégrés à la production informatique.
À l’issue de cette première étape, on obtient la matrice ci-dessous. Vous pouvez désormais donner de la profondeur à cette grille et interpréter le résultat.
Communiquez les résultats
Cette grille synthétique a l’avantage de pouvoir être communiquée facilement aux instances dirigeantes qui ont mandaté la mission, ici le CODIR, mais cela varie en fonction des entreprises et du contexte.
La matrice est également facilement communicable aux métiers et aux personnes que vous avez rencontrés pendant la phase d’audit, dans la limite de la confidentialité requise par l’exercice.
Évidemment, à ce stade, l’analyse demeure incomplète sans une notion de risques et de priorité.
En résumé
Afin d’utiliser convenablement la matrice, il faut connaître les éléments de son entreprise ; cela signifie qu’il faut aller chercher les informations chez les personnes qui les détiennent ;
Il faut identifier les personnes clés (DRH, RSSI, Chief Data Officer, personnes occupant des postes transversaux dans l’organisation) qui seront pour vous une aide dans cet exercice ;
Pour assurer l’exhaustivité et la “profondeur” de l’analyse, il convient de détailler les 11 critères et leurs sous-critères en incluant une notion de maturité : c'est ce que je vous propose dans la matrice d'audit par niveaux de maturité, outil que vous pouvez télécharger en PDF et en Excel.
Grâce à votre matrice de maturité, vous avez une idée globale de l'ensemble des critères. Regardons maintenant comment identifier les risques liés à ces critères et comment prioriser les actions pour actionner un plan d'action réaliste !
