Surveillance financière sous pression

15/09/2006 à 00h00

Garantir la transparence de l'activité économique voulue par les lois Sarbanes-Oxley ou la LSF, c'est l'écrasante charge du DSI. Opérant sous l'?"il de sa direction, il doit pouvoir prouver, en cas de catastrophe, qu'il a fait tout ce qui était en son pouvoir.

Les DSI ne savent plus où donner de la tête. Tandis que les entreprises françaises, essentiellement dans le secteur bancaire, travaillent d'arrache-pied à l'adoption des normes comptables IFRS et Bâle II, voilà que la loi sur la sécurité financière (LSF) vient, de ce côté-ci de l'Atlantique, faire pendant aux redoutables dispositions législatives édictées dans le texte dit Sarbanes-Oxley, du nom des deux parlementaires américains à son origine. D'un point de vue éthique, pourtant, l'intention est bonne. Il s'agit de ne plus jamais revivre les affres de la trilogie Worldcom, Enron, Andersen, une suite de scandales qui a précipité la chute de la nouvelle économie et empoisonné la vie des affaires toutes ces dernières années. Mais si le pouvoir législatif est un art tout d'exécution, celui des DSI, lui, s'apparente à un casse-tête chinois. Quelques exemples. Afin de se conformer à l'exigence de transparence financière, le réassureur Scor a monté dès 2004 une cellule de pilotage de projet réunissant la direction de l'audit interne et la direction financière. Ce groupe de travail a associé à sa réflexion les commissaires aux comptes. Une charge de travail énorme, de l'avis des participants. Même son de cloche à Disneyland Paris : sur le campus pourtant ludique de Marne-la-Vallée, un comité spécialement affecté à la présentation comptable a réuni, entre autres, le directeur général, l'ensemble de la direction financière et les responsables des systèmes d'information. Dans les grandes entreprises, des milliers d'heures sont ainsi consacrées à la mise en conformité des procédures. Afin de parvenir à cette fameuse ' compliance ', alliant conformité et gouvernance, qui fait presque aussi peur au secteur privé que la Lolf au secteur public.Du coup, tout le monde se plaint. Une enquête du cabinet Foley & Lardner affirme que le respect des nouvelles normes financières s'est traduit par une augmentation de 105 % du poste comptable, et de 90 % du poste juridique ! D'où une baisse de la productivité : l'énergie et le temps passé en quête de conformité risquent de détourner les cadres des tâches pour lesquelles ils sont d'abord payés. Tout aussi préoccupante, la perspective d'une diminution corollaire du budget de la recherche et du développement, sacrifiés sur l'autel de l'expertise comptable, se profile.

Responsables du bon fonctionnement des outils

Ces exigences sont d'autant plus durement ressenties que la communauté des DSI est loin d'être unanime sur les risques d'une non-mise en conformité. ' Nous sommes d'abord responsables de la fourniture d'outils qui fonctionnent, affirme Jean-Jacques Camps, DSI grande industrie Europe et ingénierie chez Air Liquide. Mais pour tout ce qui est reporting financier, c'est bien évidemment la responsabilité de la direction générale. Au surplus, il n'est pas juste de dire que toute l'activité de l'entreprise est désormais numérisée. Quand on regarde de près tout ce qui se passe dans la fabrication des produits industriels, on n'a pas tout informatisé. ' Cependant, pour s'en tenir au secteur manufacturier, les choses bougent. ' Si l'on prend le cas de la grande distribution, il faut voir que lorsque le distributeur vend sous sa marque, il devient responsable pénalement de tout ce qui peut arriver. Quand un problème survient, le gérant comme le DSI comprennent tout de suite l'importance de l'informatique ', ironise Michel Mariet, responsable marketing technologies chez Oracle.Est-ce à dire que le DSI doit être comptable de tout ? Pas forcément. Du côté des PME, par exemple, l'implication des DSI dans la mise en conformité des systèmes d'information avec les nouvelles dispositions législatives n'est pas acquise. ' Je pense que cette démarche concerne essentiellement les grandes entreprises, notamment les sociétés cotées ', explique Laurent Buc, DSI de la PME normande Tricots Saint James, spécialiste des vêtements marins. Ici, nous ne sommes pas encore impliqués. En revanche, je discute directement avec le directeur financier, notamment pour savoir ses exigences en termes de flux. Le cas échéant, on peut développer une petite application en interne pour un besoin spécifique, ou acquérir un outil du marché. 'Pourtant, ' le périmètre des responsabilités attribuées aux responsables informatiques a tout de même une forte propension à s'élargir ', reconnaît Marc Bernis, directeur de la technologie de HP Software. C'est ce que pensent également des DSI aussi influents que Jean-Pierre Corniou, actuellement sur le départ chez Renault, et surtout Yves Caseau, DSI de Bouygues Telecom. Pour ce dernier, intervenant dans un colloque organisé par Business Week, la multiplication des contraintes de surveillance se traduit, dans l'exercice quotidien des responsabilités, par une désagréable atmosphère ' de contrôle et de suspicion permanente '. Certes. Mais de là à penser que les DSI négligents iront directement en prison, il y a une marge. Raison de plus pour effectuer sans trop tarder un audit sérieux, susceptible de régulariser la situation et de prémunir contre toute mauvaise surprise.

L'audit interne, une assurance-vie abordable

L'examen approfondi des objectifs à atteindre et des moyens à mettre en ?"uvre pour parvenir à la transparence financière exige de la méthode. Dans un premier temps, cette exigence se traduit par des coûts et des investissements. D'où l'utilité de recourir à Cobit (Control Objectives for Business and Related Technology), la méthode par excellence quand il s'agit de rationaliser le processus d'audit. Dans cette perspective, le groupe hôtelier Accor a créé une direction d'audit des systèmes d'information, dorénavant rattachée à la direction générale des systèmes d'information. Quatre grandes catégories d'audits lui servent à étudier la performance de l'informatique d'entreprise : projets, applications, processus informatisés et sécurité. D'autres s'engagent sur le même chemin, surtout dans les banques, où les normes afférentes à la régulation des échanges financiers se révèlent bien plus contraignantes. Mais la plupart des sociétés préfèrent s'en remettre à l'audit externe, choisi ou subi, de leur système d'information. Toutefois, les heures de formation et la consultation des méthodologies en ligne facilitent grandement l'application de Cobit dans les entreprises.Une version interactive de cette approche spécialement étudiée pour le marché français est désormais disponible. De la même façon, l'Institut français pour la gouvernance du système d'information, créé en 2004, vise à promouvoir Cobit auprès des DSI comme auprès des auditeurs. Encore faut-il un minimum de confiance, de la part des chefs d'entreprise, des auditeurs et des DSI. Ceux-ci ne doivent pas s'angoisser par avance des éventuelles failles de leurs systèmes. Comme le note l'un des dirigeants de Seebeyond (groupe Sun), Rik de Deyn, on demande simplement au DSI de fournir ' le meilleur effort '. Qu'est-ce à dire exactement ? En réalité, le DSI doit montrer qu'il fait tout ce qui est en son pouvoir pour que l'outil informatique soit toujours opérationnel. Et fonctionne au maximum de ses capacités. Cette conception, très empirique, constitue un compromis équitable entre une première tendance, qui consisterait à le rendre coupable de tout, et une seconde, qui viserait à l'affranchir de toute responsabilité. ' Un DSI doit préparer ses équipes et son système d'information à tous les cas de figure possibles. Y compris au pire des scénarios ', reprend ce spécialiste des questions financières. Pour ce faire, il doit y avoir un endroit où toutes les informations relatives à l'activité comptable de l'entreprise sont stockées, répertoriées, archivées, hiérarchisées sous forme numérisée. De manière à pouvoir présenter à la direction générale, aux enquêteurs, ou à la justice, le cas échéant, un dossier parfaitement bordé.Entre autres obligations, rappelle le cabinet Protiviti, il incombe à la DSI de garantir l'administration de la sécurité technique, tant au niveau du réseau qu'à celui des systèmes d'exploitation, les procédures de développement, de maintenance et d'acquisition des logiciels et des matériels, ou encore le suivi d'exploitation et la gestion des incidents. En revanche, et cela fait partie d'une nécessaire clarté dans la répartition des rôles, certains contrôles sont placés sous la responsabilité directe des utilisateurs. Et notamment les droits d'accès aux applications, la validation des mises en production et le suivi des obligations réglementaires : par exemple, l'archivage fiscal, mais aussi les obligations spécifiques au domaine d'activité de l'entreprise, comme Bâle II pour les établissements financiers.Et l'Administration dans tout ça ? Est-elle concernée par la transparence financière et comptable ? A première vue, non, la loi sur la sécurité financière s'appliquant, dans sa philosophie comme dans sa pratique, principalement au secteur privé. Mais la Lolf (Loi organique relative aux lois de finances) concourt, elle aussi, à la transparence financière de l'administration d'Etat et des collectivités territoriales. Un haut commis de l'Etat affirme qu'à l'heure de la dématérialisation et de la diminution des effectifs, les DSI sont impliqués au premier chef. ' Ils doivent développer en interne des outils génériques capables de rapprocher toutes les comptabilités publiques. Et donc de parler le même langage, notamment au niveau du reporting, quel que soit le service concerné. '

Dans le public, une urgence

Ainsi le ministère de la Culture a-t-il mis au point Arpège, un ensemble d'outils permettant d'assurer une gestion adaptée de ses crédits à tous les niveaux de responsabilité. Ce programme de suivi prospectif des engagements financiers implique l'ensemble du système d'information. Et l'accompagnement sans faille du DSI. ' Le maître mot, pour les années qui viennent, est bien sûr la dématérialisation des études et rapports, mais aussi celle de la circulation interne de l'information chiffrée ', synthétise un bon connaisseur du dossier. Cette plus grande transparence des choix budgétaires et de leur justification, renforcée par les exigences de la Lolf, paraît d'autant plus urgente qu'elle intervient au moment précis où l'on ne remplacera pas certains agents de la fonction publique partant à la retraite.Au total, l'exigence d'une plus grande transparence financière est-elle un pensum pour les DSI, ou une chance de s'affirmer comme le gardien du temple ? Dans l'immédiat, il est permis d'y voir surtout un risque. Mais l'implication des responsables informatiques peut leur permettre de regagner un territoire précieux face au directeur des achats, et d'instituer un dialogue fructueux avec le directeur financier quant au meilleur moyen d'assurer la pérennité de l'entreprise. Tout est affaire d'implication. La confiance est à l'arrivée.

Ce que veut la loi

Publiée en 2003 pour compléter et adapter la législation Sarbanes-Oxley aux spécifications françaises, la loi sur la sécurité financière (LSF) part d'un principe fondateur : les activités de l'entreprise doivent pouvoir être contrôlées en toute transparence. Aucune raison, donc, pour que l'activité des DSI échappe au sort commun. Un postulat explicité aux articles L. 225-37 et suivants du Code du Commerce. De plus, les données alimentant la comptabilité sont aujourd'hui majoritairement stockées et traitées en mode numérique. Pas moyen, dans ces conditions, d'évacuer la dimension informatique dans l'élaboration et le traitement de l'information comptable et financière. Enfin, les instances de régulation et de contrôle économique ont déjà acclimaté, dans leur pratique quotidienne, l'ensemble de cette démarche. Ainsi, l'identification et la maîtrise des risques informatiques figurent, au travers de sa norme CNCC 2-302, dans la méthodologie d'audit de la Compagnie nationale des commissaires aux comptes.

Les questions auxquelles doit pouvoir répondre...

Quels sont les outils utilisés pour l'élaboration des budgets ? Quels sont les modes... de reporting des dépenses ? Ces procédures incluent-elles toutes les opérations ?
La documentation interne est-elle mise à jour à chaque changement de processus ?
Les taux d'imposition sont-ils pris en compte lors de chaque transaction ?
La présentation comptable est-elle formatée automatiquement pour intégrer... les normes financières en vigueur ?
Comment s'organise la lutte contre les spams et le phishing ?
Les relations avec les fournisseurs reposent-elles sur le seul rapport qualité-prix ?
Les préoccupations d'environnement, de développement durable et de responsabilité sociale sont-elles prises en compte avant toute décision ? Si oui, de quelle façon ?

Le DSI est-il informé de la nécessité d'un contrôle interne du système d'information ?
Le DSI a-t-il reçu les moyens de mener à bien les actions de mise en conformité techniques et réglementaires ?
Quels sont les effets des nouvelles normes comptables (IAS et IFRS, par exemple) sur l'organisation et sur le fonctionnement de l'entreprise ?

Avis d'expert : Ariane Rooryck : ' Pris entre le marteau et l'enclume '

Le DSI et le RSSI endossent déjà beaucoup de responsabilités, ils en auront encore plus à l'avenir. Si l'on tient compte à la fois de la loi pour la confiance dans l'économie numérique, de la lutte contre le terrorisme, de celle contre le blanchiment, et de tout ce qui a force de loi, on comprend que les PDG ne peuvent pas tout faire, tout voir, veiller à tout. Conséquence : le DSI est mis à contribution, et il se trouve en quelque sorte entre le marteau et l'enclume. D'un côté, le cadre légal lui impose de garantir le bon fonctionnement du réseau informatique dont il a la charge. De l'autre, il ne doit jamais empiéter sur la vie privée des personnes qui travaillent dans l'entreprise.

Le cas s'est posé récemment au Laboratoire supérieur de chimie, au sein même d'une grande université parisienne. Un administrateur réseau, sur une simple injonction de son supérieur, avait regardé dans les boîtes à lettres des collaborateurs. Il a été condamné pour atteinte à la vie privée, conjointement avec son supérieur hiérarchique. Une chose est de vérifier si les spécifications techniques fonctionnent bien, si rien n'est anormal dans la configuration du système et les précautions à respecter, toutes choses qui font partie d'une mission. Une autre est de se laisser aller à violer la correspondance privée.

Ainsi, quand un DSI, un RSSI, ou un responsable informatique quel qu'il soit, est amené à se poser des questions sur l'opportunité de procéder à telle ou telle fouille numérique, il doit dabord en référer par écrit à son supérieur, au besoin en expliquant pourquoi il ne déférera pas à sa demande. Dans ce cas, il faut savoir tenir bon. Car on demeure comptable de ses actes.

Pierre-Antoine Merlin