Inscrivez-vous gratuitement à la Newsletter BFM Business
Garantir la transparence de l'activité économique voulue par les lois Sarbanes-Oxley ou la LSF, c'est l'écrasante charge du DSI. Opérant sous l'?"il de sa direction, il doit pouvoir prouver, en cas de catastrophe, qu'il a fait tout ce
qui était en son pouvoir.
Les DSI ne savent plus où donner de la tête. Tandis que les entreprises françaises, essentiellement dans le secteur bancaire, travaillent d'arrache-pied à l'adoption des normes comptables IFRS et Bâle II, voilà que la loi sur la
sécurité financière (LSF) vient, de ce côté-ci de l'Atlantique, faire pendant aux redoutables dispositions législatives édictées dans le texte dit Sarbanes-Oxley, du nom des deux parlementaires américains à son origine. D'un point de vue éthique,
pourtant, l'intention est bonne. Il s'agit de ne plus jamais revivre les affres de la trilogie Worldcom, Enron, Andersen, une suite de scandales qui a précipité la chute de la nouvelle économie et empoisonné la vie des affaires toutes ces dernières
années. Mais si le pouvoir législatif est un art tout d'exécution, celui des DSI, lui, s'apparente à un casse-tête chinois. Quelques exemples. Afin de se conformer à l'exigence de transparence financière, le réassureur Scor a monté dès 2004 une
cellule de pilotage de projet réunissant la direction de l'audit interne et la direction financière. Ce groupe de travail a associé à sa réflexion les commissaires aux comptes. Une charge de travail énorme, de l'avis des participants. Même son de
cloche à Disneyland Paris : sur le campus pourtant ludique de Marne-la-Vallée, un comité spécialement affecté à la présentation comptable a réuni, entre autres, le directeur général, l'ensemble de la direction financière et les responsables des
systèmes d'information. Dans les grandes entreprises, des milliers d'heures sont ainsi consacrées à la mise en conformité des procédures. Afin de parvenir à cette fameuse ' compliance ', alliant
conformité et gouvernance, qui fait presque aussi peur au secteur privé que la Lolf au secteur public.Du coup, tout le monde se plaint. Une enquête du cabinet Foley & Lardner affirme que le respect des nouvelles normes financières s'est traduit par une augmentation de 105 % du poste comptable, et de 90 % du poste
juridique ! D'où une baisse de la productivité : l'énergie et le temps passé en quête de conformité risquent de détourner les cadres des tâches pour lesquelles ils sont d'abord payés. Tout aussi préoccupante, la perspective d'une
diminution corollaire du budget de la recherche et du développement, sacrifiés sur l'autel de l'expertise comptable, se profile.
Responsables du bon fonctionnement des outils
Ces exigences sont d'autant plus durement ressenties que la communauté des DSI est loin d'être unanime sur les risques d'une non-mise en conformité. ' Nous sommes d'abord responsables de la fourniture d'outils
qui fonctionnent, affirme Jean-Jacques Camps, DSI grande industrie Europe et ingénierie chez Air Liquide. Mais pour tout ce qui est reporting financier, c'est bien évidemment la responsabilité de la direction générale. Au
surplus, il n'est pas juste de dire que toute l'activité de l'entreprise est désormais numérisée. Quand on regarde de près tout ce qui se passe dans la fabrication des produits industriels, on n'a pas tout informatisé. '
Cependant, pour s'en tenir au secteur manufacturier, les choses bougent. ' Si l'on prend le cas de la grande distribution, il faut voir que lorsque le distributeur vend sous sa marque, il devient responsable pénalement de tout
ce qui peut arriver. Quand un problème survient, le gérant comme le DSI comprennent tout de suite l'importance de l'informatique ', ironise Michel Mariet, responsable marketing technologies chez Oracle.Est-ce à dire que le DSI doit être comptable de tout ? Pas forcément. Du côté des PME, par exemple, l'implication des DSI dans la mise en conformité des systèmes d'information avec les nouvelles dispositions législatives n'est
pas acquise. ' Je pense que cette démarche concerne essentiellement les grandes entreprises, notamment les sociétés cotées ', explique Laurent Buc, DSI de la PME normande Tricots Saint James,
spécialiste des vêtements marins. Ici, nous ne sommes pas encore impliqués. En revanche, je discute directement avec le directeur financier, notamment pour savoir ses exigences en termes de flux. Le cas échéant, on peut développer une
petite application en interne pour un besoin spécifique, ou acquérir un outil du marché. 'Pourtant, ' le périmètre des responsabilités attribuées aux responsables informatiques a tout de même une forte propension à s'élargir ', reconnaît Marc Bernis, directeur de la
technologie de HP Software. C'est ce que pensent également des DSI aussi influents que Jean-Pierre Corniou, actuellement sur le départ chez Renault, et surtout Yves Caseau, DSI de Bouygues Telecom. Pour ce dernier, intervenant dans un colloque
organisé par Business Week, la multiplication des contraintes de surveillance se traduit, dans l'exercice quotidien des responsabilités, par une désagréable atmosphère ' de contrôle et de suspicion
permanente '. Certes. Mais de là à penser que les DSI négligents iront directement en prison, il y a une marge. Raison de plus pour effectuer sans trop tarder un audit sérieux, susceptible de régulariser la situation et de
prémunir contre toute mauvaise surprise.
L'audit interne, une assurance-vie abordable
L'examen approfondi des objectifs à atteindre et des moyens à mettre en ?"uvre pour parvenir à la transparence financière exige de la méthode. Dans un premier temps, cette exigence se traduit par des coûts et des investissements.
D'où l'utilité de recourir à Cobit (Control Objectives for Business and Related Technology), la méthode par excellence quand il s'agit de rationaliser le processus d'audit. Dans cette perspective, le groupe hôtelier Accor a créé une direction
d'audit des systèmes d'information, dorénavant rattachée à la direction générale des systèmes d'information. Quatre grandes catégories d'audits lui servent à étudier la performance de l'informatique d'entreprise : projets, applications,
processus informatisés et sécurité. D'autres s'engagent sur le même chemin, surtout dans les banques, où les normes afférentes à la régulation des échanges financiers se révèlent bien plus contraignantes. Mais la plupart des sociétés préfèrent s'en
remettre à l'audit externe, choisi ou subi, de leur système d'information. Toutefois, les heures de formation et la consultation des méthodologies en ligne facilitent grandement l'application de Cobit dans les entreprises.Une version interactive de cette approche spécialement étudiée pour le marché français est désormais disponible. De la même façon, l'Institut français pour la gouvernance du système d'information, créé en 2004, vise à promouvoir Cobit
auprès des DSI comme auprès des auditeurs. Encore faut-il un minimum de confiance, de la part des chefs d'entreprise, des auditeurs et des DSI. Ceux-ci ne doivent pas s'angoisser par avance des éventuelles failles de leurs systèmes. Comme le note
l'un des dirigeants de Seebeyond (groupe Sun), Rik de Deyn, on demande simplement au DSI de fournir ' le meilleur effort '. Qu'est-ce à dire exactement ? En réalité, le DSI doit montrer qu'il fait
tout ce qui est en son pouvoir pour que l'outil informatique soit toujours opérationnel. Et fonctionne au maximum de ses capacités. Cette conception, très empirique, constitue un compromis équitable entre une première tendance, qui consisterait à le
rendre coupable de tout, et une seconde, qui viserait à l'affranchir de toute responsabilité. ' Un DSI doit préparer ses équipes et son système d'information à tous les cas de figure possibles. Y compris au pire des
scénarios ', reprend ce spécialiste des questions financières. Pour ce faire, il doit y avoir un endroit où toutes les informations relatives à l'activité comptable de l'entreprise sont stockées, répertoriées, archivées,
hiérarchisées sous forme numérisée. De manière à pouvoir présenter à la direction générale, aux enquêteurs, ou à la justice, le cas échéant, un dossier parfaitement bordé.Entre autres obligations, rappelle le cabinet Protiviti, il incombe à la DSI de garantir l'administration de la sécurité technique, tant au niveau du réseau qu'à celui des systèmes d'exploitation, les procédures de développement, de
maintenance et d'acquisition des logiciels et des matériels, ou encore le suivi d'exploitation et la gestion des incidents. En revanche, et cela fait partie d'une nécessaire clarté dans la répartition des rôles, certains contrôles sont placés sous
la responsabilité directe des utilisateurs. Et notamment les droits d'accès aux applications, la validation des mises en production et le suivi des obligations réglementaires : par exemple, l'archivage fiscal, mais aussi les obligations
spécifiques au domaine d'activité de l'entreprise, comme Bâle II pour les établissements financiers.Et l'Administration dans tout ça ? Est-elle concernée par la transparence financière et comptable ? A première vue, non, la loi sur la sécurité financière s'appliquant, dans sa philosophie comme dans sa pratique,
principalement au secteur privé. Mais la Lolf (Loi organique relative aux lois de finances) concourt, elle aussi, à la transparence financière de l'administration d'Etat et des collectivités territoriales. Un haut commis de l'Etat affirme qu'à
l'heure de la dématérialisation et de la diminution des effectifs, les DSI sont impliqués au premier chef. ' Ils doivent développer en interne des outils génériques capables de rapprocher toutes les comptabilités publiques. Et
donc de parler le même langage, notamment au niveau du reporting, quel que soit le service concerné. '
Dans le public, une urgence
Ainsi le ministère de la Culture a-t-il mis au point Arpège, un ensemble d'outils permettant d'assurer une gestion adaptée de ses crédits à tous les niveaux de responsabilité. Ce programme de suivi prospectif des engagements
financiers implique l'ensemble du système d'information. Et l'accompagnement sans faille du DSI. ' Le maître mot, pour les années qui viennent, est bien sûr la dématérialisation des études et rapports, mais aussi celle de la
circulation interne de l'information chiffrée ', synthétise un bon connaisseur du dossier. Cette plus grande transparence des choix budgétaires et de leur justification, renforcée par les exigences de la Lolf, paraît d'autant
plus urgente qu'elle intervient au moment précis où l'on ne remplacera pas certains agents de la fonction publique partant à la retraite.Au total, l'exigence d'une plus grande transparence financière est-elle un pensum pour les DSI, ou une chance de s'affirmer comme le gardien du temple ? Dans l'immédiat, il est permis d'y voir surtout un risque. Mais
l'implication des responsables informatiques peut leur permettre de regagner un territoire précieux face au directeur des achats, et d'instituer un dialogue fructueux avec le directeur financier quant au meilleur moyen d'assurer la pérennité de
l'entreprise. Tout est affaire d'implication. La confiance est à l'arrivée.