Accueil > Groupes de travail > Risk Management > Risk Management

Risk Management

L’année 2005 verra les présidents directeurs généraux et les directeurs financiers de la trentaine de sociétés françaises cotées aux Etats-Unis s’engager sur l’efficacité du dispositif de contrôle interne financier en place dans leur entreprise. Cet engagement est une obligation issue de la section 404 de la loi Sarbanes-Oxley (août 2002) destinée à restaurer la confiance des investisseurs. Son pendant français est la loi de Sécurité Financière qui fixe de nouvelles obligations relatives à la transparence sur les procédures de contrôle interne. Différentes dans leurs formes et leurs modalités d’application, ces lois visent néanmoins les mêmes objectifs concernant notamment la responsabilité des dirigeants en matière de contrôle interne.

L’impératif de conformité à Sarbanes-Oxley conduit ces entreprises à lancer des projets de grande envergure d’évaluation du contrôle interne. Le COSO Report (Committee of Sponsoring Organizations of the Treadway Commission), référentiel de contrôle interne accepté par le législateur américain, pourra leur servir de guide. Concrètement, ces chantiers consistent à rendre compte du fonctionnement des contrôles sur les processus ayant une matérialité importante dans les états financiers de la société (bilan, compte de résultats, etc.) ou étant porteurs de risques importants pour l’entreprise. Pour chacun des processus identifiés, les objectifs de contrôle, les risques, et les activités de contrôle existant doivent être décrits. Une fois les activités de contrôle décrites, il s’agit de s’interroger sur l’existence d’éventuelles défaillances de contrôle interne associées à ces activités de contrôles (défaut de conception, fonctionnement opérationnel déficient) afin de déterminer les actions à conduire pour y remédier.

Une question se pose : jusqu’où doit se faire la documentation des contrôles informatiques pour permettre aux dirigeants et aux commissaires aux comptes de s’engager en toute confiance sur la qualité et l’efficacité du contrôle interne ? Aujourd’hui, la tendance est principalement à la documentation des contrôles applicatifs qui sont au cœur des tâches conduites par les opérationnels et qui sont du ressort des maîtrises d’ouvrage. La documentation des contrôles sur l’environnement informatique par les directions informatiques se limite principalement aux « contrôles généraux informatiques ». Certains contrôles liés à la sécurité des systèmes d’information ne semblent pas naturellement inclus dans le périmètre des éléments à documenter, par exemple, la sécurité du réseau, les mécanismes de chiffrement, les habilitations « super utilisateur » sur les éléments de l’environnement informatique (serveur, bases de données, routeurs, etc.). Il apparaît pourtant difficile de faire l’impasse sur la sécurité des systèmes qui supportent la comptabilité par exemple. Ainsi, la mise en œuvre de mécanismes d’authentification renforcés, de gestion avancée des habilitations et des accès aux ressources doivent être incluses dans ce périmètre. Ces éléments concourent à l’amélioration de la séparation des tâches dans l’entreprise. Ils s’intègrent dans les démarches de mise en oeuvre de la gestion de l’identité des utilisateurs (Identity Management), c’est à dire le processus qui consiste pour chaque utilisateur à lui donner accès aux seules ressources auxquelles il est habilité et dans une période définie. Par extension, les aspects liés à la sécurité du réseau et les moyens de chiffrement des données devraient être également revus, même s’ils ne sont pas spécifiquement prévus par le législateur. Tous ces éléments concourent pourtant à la protection des erreurs et des fraudes, à la préservation de l’intégrité et de la confidentialité des données...

Ces projets étant pilotés par les directions financières, la priorité est allée à la documentation des activités de contrôle opérationnelles. Pourtant, la conformité à ces nouvelles lois s’inscrivant dans la durée, les aspects liés à la sécurité des systèmes d’information devront nécessairement à terme être couverts. Pour cela, une prise de conscience des directions générales et directions financières est nécessaire. Il revient donc aux RSSI, aux CAC ou encore aux conseils externes de sensibiliser ces instances dirigeantes sur la pertinence de l’apport d’une véritable démarche sécurité en support au contrôle interne de la société.

L’exigence de fiabilité des contrôles décrite par la loi américaine demande la réalisation de tests d’efficacité sur les contrôles en place.. En fonction de la taille des échantillons de données à tester, il peut être pertinent de recourir à des outils de traitement automatique des données (data management) afin de mettre en œuvre des recherches d’exceptions dont l’absence permet d’obtenir un meilleur confort sur la fiabilité du contrôle interne.

La vieille technique d’audit informatique a encore un grand avenir !

Philippe Trouchaud Associé, PricewaterhouseCoopers Responsable des activités d’audit informatique et de sécurité des systèmes d’information au sein du département "Global Risk Management Solutions".

Hugues de Benoist, Manager
PricewaterhouseCoopers