Durant cette période faste d’échange et de discussion concernant notre santé mentale, j’aimerais vous apporter un sujet peu discuté parmi la communauté d’auditeur, mais cela reste, d’après moi, un enjeu de taille autant pour la qualité des travaux exécutés que pour les résultats obtenus.
Attention à la fatigue des auditeurs.
Les auditeurs ainsi que les audités sont humains, j’espère que je ne vous apprends rien à ce sujet, et comme tous les humains il y a des aspects à prendre en considérations pour leur bien-être.
Le travail d’un auditeur consiste à observer, écouter, valider, vérifier, confirmer l’état d’un système. Que ce soit un système de facturation, de comptabilité ou de gestion tel qu’un système de gestion des incidents, ou de la sécurité informatique.
À ce travail de recherche d’éléments de preuves ou artéfacts, l’auditeur doit documenter ceux-ci dans un document complet, précis et offrant une valeur ajoutée aux audités.
Comme vous pouvez le constater, ce travail est répétitif et demande beaucoup d’énergie pour rester à l’affût de détails qui ne doivent pas échapper aux auditeurs puisque justement ceux-ci doivent découvrir les éléments non conformes ou pouvant compromettre le bon fonctionnement du système sous évaluation.
Comme le travail est répétitif et demande des efforts de patience, de vulgarisation, de réflexion, de jugement et d’équilibriste entre la satisfaction du client et maintenir une bonne relation avec l’audité. Cela entraîne la fatigue de l’auditeur.
Du côté de l’audité, ce n’est pas plus simple non plus, surtout s’il reçoit des audits de manière régulière et pour différentes normes qui vont également finir par le fatiguer.
La “fatigue” de l’audit qui en résulte peut conduire à l’oubli de problèmes graves, ou à une “désensibilisation” des découvertes.
Par exemple lorsque les personnes auditées s’habituent à recevoir des non-conformités ou opportunités d’amélioration, elles finissent par les considérer comme habituelles avec pour résultat que les tâches de routine ou quotidiennes sont plus prioritaires par rapport aux non-conformités potentiellement graves.
J’ai rencontré cette situation à quelques reprises durant ma carrière, et j’avoue que les items qui me fatiguent le plus sont la capacité des clients à ne pas répondre aux questions ou à chercher une manière de réussir l’audit, sans fournir d’éléments pertinents.
Pour l’auditeur, poser les mêmes questions d’audit et obtenir des réponses décousues en plus d’argumenter avec les audités afin d’obtenir l’information précise recherchée peut être pénible.
De l’autre coté, il est difficile pour certains audités de répondre adéquatement, surtout s’ils ne comprennent pas l’objectif des questions ou le type de réponse à fournir.
Piste de solutions?
- Avoir un plan d’audit clair et précis du type d’information à obtenir pour chaque item.
- Élargir l’équipe d’auditeurs et d’audités afin de partager le travail et stimuler les conversations, c’est par ces discussions que les auditeurs vont trouver des réponses adéquates.
- Si possible de varier le travail entre auditeur et spécialiste du domaine, par exemple ne pas réaliser des audits chaque jour durant des semaines, mais agir à différent titres.
- Diviser le travail pour l’audité (par exemple couvrir les thèmes par différentes personnes)
- Maintenir une bonne hygiène de vie, c’est-à-dire dormir, bouger, manger adéquatement.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information
