Rappels – Le déroulement de l’audit
- Un audit démarre par un besoin : que ce soit un incident de prod, préparer une certification ou même un client qui demande à auditer l’éditeur par exemple
- Une fois la prise de conscience du besoin, a lieu le lancement de l’audit : trouver un budget, trouver le sponsor, trouver l’auditeur
- Pendant l’audit, il y a plusieurs phases : le kiff-off avec toutes les personnes impactées par les résultats de l’audit, la collecte technique puis les interviews et l’analyse.
- La restitution : physique de préférence, avec tous les ressentis et les explications nécessaires
L’audit se poursuit après la restitution
Régulièrement après l’audit, le plan d’action n’est pas mis en œuvre par manque de planification. Il est important d’inclure ces deux 2 étapes supplémentaires :
- Suite à la restitution, il est important de mettre en place le suivi du plan d’action
- A l’audit, nous analysons ce qui ne va pas. Au contre-audit, nous pouvons voir ce qui a fonctionné et ce qui n’a pas fonctionné, les « vrais résultats ».
Un audit est terminé lorsque l’on a fait le contre-audit
Fréquemment, les gens ont tendance à budgéter l’audit mais oublient le plan d’action et le contre audit. Ils ne contrôlent donc pas le plan d’action. Or, un audit sans plan d’action suivi et sans contre-audit n’est pas un audit terminé. De ce fait, lorsqu’il faut refaire un audit, l’entreprise se trouve au même état qu’au premier audit. Le suivi du plan d’action est donc capital.
Pour cela, le plan d’action peut être suivi par l’auditeur ou par le chef de projet (côté client). On peut donc parler de la notion de PDCA (présente dans ITIL, recueil des bonnes pratiques informatiques) qui signifie Plan – Do – Check – Act. Ce processus permet d’établir et réaliser le plan d’action. Ainsi, il permet même de créer une boucle d’amélioration.
La notion de Lessons Learned est importante : qu’est-ce qu’on a appris. Elle est essentielle, aussi bien du côté de l’auditeur que du côté du client. Qu’est-ce qui est bien ? Qu’est ce qui n’a pas fonctionné ? – pour identifier les bonnes et les mauvaises pratiques.
Un audit est terminé lorsque l’on a fait le contre-audit.
Fréquemment, les gens ont tendance à budgéter l’audit mais oublient le plan d’action et le contre audit. Ils ne contrôlent donc pas le plan d’action. Or, un audit sans plan d’action suivi et sans contre-audit n’est pas un audit terminé. De ce fait, lorsqu’il faut refaire un audit, l’entreprise se trouve au même état qu’au premier audit. Le suivi du plan d’action est donc capital.
Pour cela, le plan d’action peut être suivi par l’auditeur ou par le chef de projet (côté client). On peut donc parler de la notion de PDCA (présente dans ITIL, recueil des bonnes pratiques informatiques) qui signifie Plan – Do – Check – Action. Ce processus permet d’établir et réaliser le plan d’action. Ainsi, il permet même de créer une boucle d’amélioration.
La notion de Lessons Learned est importante : qu’est-ce qu’on a appris. Elle est essentielle, aussi bien du côté de l’auditeur que du côté du client. Qu’est-ce qui est bien ? Qu’est ce qui n’a pas fonctionné ? – pour identifier les bonnes et les mauvaises pratiques.
La résistance au changement
Lorsque l’on réalise un audit, les gens ne sont pas toujours d’accord avec cela. Ils peuvent constituer un point de blocage puisqu’on leur demande parfois de changer leur façon de faire ou leur état d’esprit. Pour gérer au mieux ces changements, on peut se servir de la notion de KOTTER. Pour lui, il est découpé en plusieurs phases :
- créer le climat de changement: créer l’urgence, former une coalition puissante, créer une vision de l’état futur
- impliquer et faciliter l’organisation: communiquer la vision, inciter à l’action et abaisser les obstacles, générer des victoires à court terme
- puis renforcer et soutenir : consolider les succès pour plus de changement, ancrer les nouvelles approches dans la culture d’entreprise
Jusqu’où auditer et quand
La granularité est une notion importante lorsque l’on réalise un audit. L’idée est de ne pas aller trop dans le détail, mais y aller suffisamment pour trouver l’information pertinente lors de la collecte. Cela permettra aussi d’adapter notre discours : jusqu’à quel niveau on veut aller dans nos questions.
En fonction du type d’audits, conviendra une fréquence différente :
- à la demande : suite à un incident
- annuel : notamment pour les mises en conformités
- trimestriel : c’est le cas pour Corrium par exemple, il propose un plan d’action agile chaque trimestre
La restitution des résultats, bien plus qu’un compte rendu
Lorsque vous réalisez un audit, voici les différentes étapes à suivre :
- Vous devez avant tout faire des constatssuite aux analyses. Ils peuvent être référencés au travers d’un SWOT (Opportunités/Menaces/Forces/Faiblesses) en faisant référence aux constats positifs et négatifs d’un point de vue interne à l’organisation mais aussi externe.
- Mettre en avant les préconisations: recommander les choses à faire
- Puis, transformer les préconisations en action dans un plan d’action : lister et détailler les différentes tâches
- Prioriser ces tâches sous forme de chantiers: vous devez planifier ces tâches à différentes périodes. Vous pouvez les considérer comme des sprints : découper le projet en sous-parties qui durent entre 2 et 4 semaines.
Comment garantir le succès de vos audits
Découvrez le replay complet pour garantir le succès de vos audits.
