Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête Mazars : Les SI restent insuffisamment pris en compte dans la démarche de risk management des entreprises françaises

juin 2008 par Marc Jacob

Après son enquête sur la gestion des risques en 2007, et la mise en évidence de l’importance qu’attachent les entreprises au contrôle de leurs systèmes d’information, Mazars a souhaité aller plus loin, et comprendre comment, et par qui, est appréhendée la gestion des risques informatiques.

En effet, au-delà des seules considérations techniques (sécurité des systèmes d’information, disponibilité des données, procédures de confidentialité etc.), les contraintes réglementaires imposent aux entreprises de maîtriser leur système d’information.

La maîtrise des SI sort donc aujourd’hui du seul domaine – technique – des Directions des Systèmes d’Information (DSI), et entre désormais dans celui du contrôle interne.

Pour comprendre la place actuelle de la maîtrise des risques liés aux systèmes d’information, une enquête a été menée auprès de 134 organisations afin de comprendre de quelle manière se sont structurées les entreprises en termes de contrôle des systèmes d’information et quelle place elles accordent à l’audit de ces derniers : le plan d’audit couvre-t-il les risques informatiques de façon suffisante ? Les entreprises disposent-elles en interne des ressources nécessaires ? Et dans l’affirmative quelles sont elles ? Autant de questions auxquelles l’enquête tente, entre autres, de répondre.

« Cette enquête fait ressortir que la notion d’audit informatique est parfaitement identifiée et utilisée dans les entreprises qui intègrent ce sujet à leur plan d’audit, ou plus généralement à leur stratégie de contrôle dans plus de 60 % des cas. Pourtant la gestion du risque global lié aux systèmes d’information reste assez souvent confiée aux DSI, et aux directions qui les utilisent » explique Olivier Lenel, associé de la ligne de métier Management du Contrôle interne de Mazars. « Ce rattachement technique aux DSI – s’il semble paradoxal compte tenu des enjeux liés à la maîtrise du SI, s’explique probablement par le fait que la fonction d’audit interne des SI est encore jeune, et est en général constituée d’effectifs réduits : seules 18% des entreprises ont des effectifs dédiés à l’audit des SI, leur existence remonte à moins de 6 ans, et 80 % des équipes sont composées de moins de 4 personnes ! ».

« L’enquête, si elle démontre une réelle sensibilité de l’entreprise aux questions de la maîtrise des risques relatifs aux systèmes d’information, confirme aussi assez largement le manque de moyens engagés pour donner aux dirigeants et administrateurs une assurance raisonnable quant à la maîtrise de ce risque global », ajoute François Nogaret, associé de la ligne de métier Management du Contrôle interne de Mazars.

Principaux enseignements de l’enquête

 Des entreprises inégalement soumises à une réglementation contraignante

Les entreprises interrogées sont à 34% soumises à une réglementation spécifique en matière de contrôle interne (Bâle 2, Solvency 2, Sarbanes Oxley, etc.). Ces contraintes réglementaires concernent naturellement au premier chef les entreprises du secteur banque/assurance.

 Des entreprises plutôt sensibles à la maîtrise des risques

Les entreprises interrogées sont à 29% fortement sensibilisées au sujet de la maîtrise des risques, et à 59% moyennement sensibilisées. Par ailleurs, 61% des entreprises interrogées ont engagé une démarche de cartographie des risques.

 62% des entreprises interrogées intègrent un département d’audit interne

La taille de l’entreprise conditionne nettement la création d’une fonction d’audit interne, avec un palier à 400M€ de chiffre d’affaires, seuil au-delà duquel cette fonction est quasiment systématiquement représentée. L’enquête démontre que les départements d’audit interne ont une vocation systématiquement généraliste, et, 61% d’entre eux ne disposent que d’un effectif inférieur ou égal à 5 auditeurs.

 Une sensibilité avérée aux risques liés aux systèmes d’information…

35% des entreprises perçoivent une forte exposition (et 47% une exposition modérée) aux risques liés aux systèmes d’information.

… mais une prise en compte inégale de l’informatique dans les plans d’audit

38% des entreprises ne mettent pas en œuvre d’audit des systèmes d‘information.

Parmi les freins à l’utilisation de ce type d’expertise mis en avant par les entreprises, on compte :
 la rareté des compétences d’auditeur des systèmes d’information au sein de l’entreprise
 la difficulté à convertir un objectif d’audit classique en objectif d’audit informatique
 l’ignorance que certains pans d’une mission d’audit peuvent être totalement délégués, ou dévolus, à des auditeurs des systèmes d’information.

La charge relative impartie aux systèmes d’information au cours des missions d’audit reste assez limitée :

Auditeurs internes des systèmes d’information : une fonction en devenir ?

Seulement 18% des entreprises ont choisi de mobiliser des effectifs dédiés à l’audit des systèmes d’information.

L’existence récente de cette fonction dans l’entreprise (moins de 6 ans en général) et son effectif limité (80 % des équipes sont composées de moins de 4 personnes), peuvent expliquer en partie son rôle encore restreint, et son rattachement parfois technique aux Directions des Systèmes d’Information.

Quant à la question de l’autonomie des auditeurs des systèmes d’information dans l’exercice de leur mission, elle semble a priori limitée. Plus de deux tiers des entreprises rattachent en effet systématiquement l’audit informatique à des missions d’audit plus larges.

Les compétences des auditeurs des systèmes d’information sont utilisées sur des sujets variés et les entreprises se focalisent manifestement plus sur l’audit des systèmes d’information que sur l’audit par les systèmes d’information.

Le nombre annuel de missions d’audit de systèmes d’information reste faible (dans près de 70 % des cas le nombre des missions d’audit informatique réalisées sur un an est inférieur à 5). Cette situation ne contribue pas à faciliter la capitalisation et l’industrialisation du métier.

Les travaux des auditeurs des systèmes d’information intéressent un public assez large, et au premier chef le top management (Direction Générale, Comité d’audit, Direction de l’audit interne).

82% des entreprises ont fait le choix de ne pas avoir d’auditeurs dédiés aux systèmes d’information

Pourquoi ?

La première raison semble triviale, mais c’est une réalité : parce que le coût est trop important. La deuxième, c’est que des prestataires externes en sont chargés, et que les bénéfices attendus de ce type de prestations semblent trop faibles face à l’investissement qu’elles nécessitent, si on souhaite les réaliser en interne.

Les entreprises qui n’ont, à l’heure actuelle, pas d’auditeurs des systèmes d’information dédiés ne prévoient pas de créer cette fonction dans 65% des cas. Ceci est caractéristique d’une demande d’expertise soit ponctuelle, soit très diversifiée et spécialisée, pour laquelle on préfère faire appel, chaque fois que nécessaire, à des ressources (ou à des prestations) externes.

Le recours à des prestataires externes répond à un besoin précis et immédiat. Il s’agit d’une attitude réactive, bien plus que préventive, face à d’éventuels risques liés aux systèmes d’information. Ainsi, il semblerait que dans la grande majorité des cas, il n’y ait pas de programmes d’audit spécifiques dans ce domaine ; la mise à disposition de ressources internes dédiées n’est donc pas justifiée.

Le recours à des prestataires externes se traduit indifféremment par une externalisation totale des travaux ou, de façon moins tranchée, par un apport technique aux équipes d’auditeurs internes.

Ces travaux « à la demande » auprès de prestataires externes couvrent principalement des prestations de trois natures distinctes :
• la validation de l’architecture des systèmes ;
• la validation de la sécurité logique ;
• la validation du plan de continuité.

Pour mieux interpréter cette situation, le recours à des prestataires externes, en dehors des commissaires aux comptes, semble être effectué chaque fois qu’une mutation importante intervient dans les systèmes d’information et que l’opinion d’un tiers apparaît indispensable


Voir les articles précédents

    

Voir les articles suivants