Audit SI en filiale de groupe : pourquoi le préparer et comment rassurer le cabinet

L'auditeur groupe ne teste pas votre code. Il teste votre gouvernance.

Quand un cabinet d'audit arrive dans une filiale pour son passage annuel, il arrive avec des questions précises. Pas sur les performances de votre infrastructure. Pas sur la couverture de vos tests automatisés. Ses questions portent sur quelque chose de plus fondamental : est-ce que cette organisation maîtrise son système d'information ?

Maîtriser son SI, pour un auditeur groupe, c'est pouvoir répondre à quelques questions directes. Qui accède à quelle donnée, avec quel niveau de droits ? Si un collaborateur clé part demain, comment ce processus continue-t-il ? Quand une règle de tarification change, qui en est informé et comment est-elle répercutée dans les outils ? En cas d'incohérence entre deux systèmes, quel système fait foi ?

Ces questions n'ont rien de technique. Elles ont tout de gouvernance. Les réponses que le cabinet reçoit dessinent le portrait d'une organisation qui maîtrise son SI ou qui le subit. La distinction est visible en quelques heures d'entretiens.

L'enjeu pour une filiale est particulier : le rapport d'audit remonte à la maison mère. Il nourrit la perception qu'a le groupe de la maturité opérationnelle de la filiale. Un rapport décevant ne bloque pas nécessairement les projets en cours, mais il génère une méfiance durable que les initiatives suivantes devront combattre. Un rapport rassurant, à l'inverse, ouvre du crédit pour les investissements futurs et réduit la pression sur les équipes locales lors des prochains passages.

Ce que les auditeurs trouvent dans une filiale peu structurée

Les règles métier dans la tête des gens

Le signal d'alerte le plus fréquent dans les filiales peu structurées, c'est la dépendance aux personnes. L'auditeur pose une question directe : « Si telle personne est absente deux semaines, que se passe-t-il sur ce processus ? » La réponse : « On attend son retour » ou « Sa collègue connaît aussi le sujet, mais moins bien ».

Cette situation ne traduit pas un manque de compétences. Elle traduit l'absence de formalisation : les règles métier existent, mais elles sont dans la tête de quelques personnes. Pas dans un système, pas dans une documentation accessible, pas dans un référentiel partagé. Quand ces personnes sont présentes, tout fonctionne. Quand elles ne le sont pas, certains processus se mettent en pause ou se dégradent silencieusement.

Pour un auditeur, c'est un risque de continuité opérationnelle. Pour le groupe, c'est un risque de scalabilité : cette filiale peut-elle croître sans que ses processus deviennent incontrôlables ? La réponse est non, tant que les règles restent dans la mémoire des personnes et non dans un système ou un document accessible.

La traçabilité des données comme indicateur de maturité

Le deuxième angle d'un audit groupe concerne la traçabilité. Les données remontées par la filiale au groupe (reportings financiers, indicateurs opérationnels, chiffre d'affaires par segment) sont-elles fiables ? Fiables dans le sens : sait-on d'où viennent ces chiffres, comment ils sont calculés, qui pourrait expliquer une variation inhabituelle ?

Cette fiabilité suppose un modèle de données cohérent. Quels sont les objets métier du SI (client, contrat, commande, facturation) ? Comment se définissent-ils exactement dans ce secteur, et en quoi diffèrent-ils d'une définition générique ? Quelles règles de calcul s'appliquent à chaque indicateur ? Quand deux systèmes donnent des chiffres différents sur le même objet, quel système fait foi et pourquoi ?

Un modèle de données documenté n'est pas une garantie de perfection. C'est une garantie d'explicabilité : si une anomalie survient, on peut tracer son origine. Si un auditeur questionne un chiffre, on peut en montrer le chemin de calcul. Cette capacité à expliquer, et non la perfection du résultat lui-même, est ce que le cabinet d'audit évalue en priorité.

Deux audits, deux bilans : l'expérience d'un fournisseur d'énergie ETI

Un fournisseur d'énergie ETI, filiale française d'un groupe suisse, avait reçu un bilan d'audit décevant en 2024. Les processus commerciaux clés (recueil du besoin client, contractualisation, onboarding, facturation) reposaient sur des pratiques informelles. Les règles spécifiques au secteur de l'énergie, ce vocabulaire technique dense de soutirage, d'injection, d'Enedis et de TURPE, n'avaient jamais été formalisées. Une tentative avec des freelances en 2025 n'avait pas changé la situation : les projets avançaient en parallèle sans direction commune, et les règles métier n'avaient toujours pas été sorties des têtes de leurs dépositaires.

Fin 2025, un travail de structuration a démarré. Cartographie BPMN des processus cibles, modélisation des objets métier, formalisation des règles implicites, documentation des décisions d'architecture, identification progressive des scénarios non nominaux. Ce travail n'était pas conçu en premier lieu pour l'audit. Il était conçu pour construire un SI qui tienne dans la durée, sur lequel les équipes de développement pourraient avancer sans les allers-retours interminables que génère un cadrage insuffisant.

« Un des points que j'ai beaucoup aimé, c'est quand Olivier nous a expliqué que sur cet audit de 2026, ils avaient pu rassurer le cabinet d'audit du groupe en leur montrant le travail qu'on faisait, la documentation qu'on avait créée. Notre approche de documentation first avait vraiment permis de faire le jour et la nuit dans la manière de livrer cet audit. »

Ce qui avait changé entre 2024 et 2026, ce n'était pas principalement la qualité du code. C'était la capacité de la filiale à expliquer son SI à quelqu'un qui ne le connaissait pas. La documentation du SI n'était pas un livrable pour les équipes internes. C'était un livrable de gouvernance, destiné à quiconque doit évaluer la maturité de l'organisation depuis l'extérieur, avec un délai de deux jours et une grille d'évaluation standardisée.

Pour comprendre comment ce travail de structuration s'inscrit dans une approche progressive de modernisation SI : la méthode entonnoir pour structurer un projet SI de bout en bout.

Ce que vous pouvez préparer avant le prochain passage

Trois éléments concentrent la majorité de ce qu'un cabinet d'audit cherche dans une filiale qui maîtrise son SI.

Les processus documentés pour chaque flux majeur. Commerce, logistique, facturation, au minimum. La documentation n'a pas besoin d'être en notation BPMN formelle. Elle doit être lisible par quelqu'un qui découvre l'organisation : acteurs impliqués, étapes dans l'ordre, documents produits, validations requises, systèmes utilisés. Un atelier de deux heures par processus, suivi d'une mise en forme, produit une documentation suffisante pour un premier passage. Ce qui compte, c'est qu'elle existe et qu'elle corresponde à ce que font réellement les équipes, pas à ce que la direction pense qu'elles font.

Les règles métier écrites, avec leurs exceptions connues. Pas un cahier des charges de cinquante pages. Juste la liste des règles applicables par processus, avec les cas particuliers identifiés. Quand s'applique telle remise ? Qui peut valider un avoir hors politique standard ? Quels délais régissent le passage d'un stade contractuel à l'autre ? Ces règles, mises par écrit, cessent de dépendre des personnes qui les portent dans leur mémoire et deviennent des actifs organisationnels consultables.

Une trajectoire de migration si le SI est en cours d'évolution. Si vous avez un legacy en cours de remplacement ou plusieurs systèmes qui coexistent, le cabinet d'audit veut comprendre la cohérence de la direction prise. Pas un plan sur dix ans, mais une description claire de l'état actuel, de l'état cible, et de la séquence des chantiers avec leurs justifications. Cette clarté rassure : l'organisation sait où elle va, même si elle n'y est pas encore.

Si vous n'avez aucun de ces éléments aujourd'hui, le point de départ le plus utile est d'identifier le processus où le risque de dépendance aux personnes est le plus fort. C'est là que la documentation apporte la valeur la plus immédiate, et c'est précisément ce que le cabinet d'audit cherchera en premier. Pour comprendre ce que les prestataires ne livrent pas spontanément sur ce terrain : ce que les freelances livrent par défaut, et ce qu'ils ne livrent pas.