JURIDIQUE 
PAR Me ISABELLE RENARD
Nouvelle réglementation financière - quels impacts sur le SI des sociétés anonymes et des sociétés cotées ?
La Loi de Sécurité impose de rendre compte des procédures de contrôle interne, lequel passe par la mise en place organisée et documentée d'outils.  (05/05/2004)
 
Avocat Associée, Cabinet August&Debouzy
 
   Le site
August&Debouzy
Lui écrire

Les récents scandales financiers ont permis au plus grand nombre de découvrir la complexité et les risques du monde des affaires. L'amère constatation, largement relayée par les média, a entraîné des deux côtés de l'atlantique une réaction législative visant à apporter des garanties à la qualité de l'information financière publiée par les entreprises : Sarbanes Oxley Act aux Etats Unis, Loi de Sécurité Financière (ou LSF) en France.

Le Sarbanes Oxley Act (juillet 2002) s'applique à toutes les sociétés qui émettent des titres dès lors qu'elles sont actives sur le marché financier américain (soit parce que leurs titres sont enregistrés auprès de la SEC, soit parce qu'elles ont placé publiquement des actions sur le marché américain). Son champ d'application n'est donc pas limité aux sociétés américaines. Selon ce texte, les dirigeants portent la responsabilité personnelle d'évaluer la qualité du contrôle interne permettant de présenter fidèlement la situation financière de l'entreprise et détecter les fraudes.

La Loi de Sécurité Financière du 1er août 2003 s'applique en France aux Sociétés anonymes et aux sociétés faisant appel public à l'épargne, pour les exercices comptables ouverts à compter du 1er janvier 2003. Elle impose au président de la société de rendre compte des procédures de contrôle interne mises en place au sein de l'entreprise lors du rapport de gestion sur les comptes. La LSF prévoit des sanctions pénales en cas de non respect de ses dispositions.

Une petite révolution
Pour le sujet qui nous intéresse, à savoir le système d'information, c'est bien d'une petite révolution qu'il s'agit : c'est la première fois que le fonctionnement du SI impacte aussi directement les dirigeants, qui sont maintenant personnellement impliqués dans le processus de contrôle interne de la société, qui passe par les échanges et les contenus liés au système d'information de l'entreprise. Il ne faut pas en déduire que le contrôle interne se limite à celui du système d'information, ce qui serait grossièrement réducteur. Le contrôle interne touche également à l'organisation, aux procédures écrites et non écrites, et le meilleur système d'information du monde ne compensera pas une organisation non maîtrisée.

En France, pour l'instant, tout cela est resté un peu théorique. Nous tenterons d'aller au delà des mots en abordant successivement les deux questions suivantes :
- que signifie "contrôle interne" ?
- quels outils techniques et juridiques permettent d'assurer ce contrôle ?

1. Comment, en pratique, se traduit le concept de "contrôle interne" ?
Il existe plusieurs définitions du contrôle interne. D'après la CNCC (Compagnie nationale des commissaires aux comptes), le contrôle interne doit comprendre plusieurs grandes composantes :
- le système d'organisation, qui correspond à la structure mise en place par la direction. Il définit les tâches, les responsabilités et les pouvoirs, et décrit les procédures de transmission de l'information ;
- le système de documentation et d'information, qui formalise les procédures mises en place au sein de l'entreprise ;
- le système de preuves, qui garantit la validité des documents (notamment écritures comptables) ;
- les moyens matériels de protection, qui réfèrent aux moyens de protection physique et logique visant à éviter le vol ou la perte des stocks, des espèces et des actifs immatériels ;
- le personnel et le système de supervision, qui permet de s'assurer de la correcte délégation des responsabilités.

Au plan ponctuel, le contrôle interne du système d'information passera donc a minima par :
- un audit d'application, visant à mesurer le degré de fiabilité des traitements et le paramétrage des progiciels ;
- un audit de sécurité.

Au plan fonctionnel, on déduit des définitions données ci-dessus qu'il est nécessaire de relier l'information financière à son fait générateur et ce, quel que soit le processus considéré, ainsi que de connaître l'origine de la décision.

Reste à traduire ces nécessités du contrôle interne du SI en exigences techniques, ce qui mène selon nous aux trois idées forces exposées ci-dessous.

Le SI de l'entreprise doit permettre :
- la traçabilité des informations (origine, manipulations subséquentes) ;
- l'intégrité des enregistrements stockés, c'est à dire la garantie qu'ils n'ont pas été manipulés après traitement ;
- l'archivage des messages électroniques (y compris messagerie instantanée) (exigence imposée expressément par la réglementation américaine - sct 17a-14 Security Exchange Act - implicitement par la réglementation française)

2. Les outils techniques et juridiques
Au plan technique, ces exigences peuvent être satisfaites par la mise en place d'outils existant, la plupart étant intégrés dans les solutions proposées par les éditeurs : ERP, SGBDR, système documentaire de gestion de contenu, outils d'annuaire et de gestion de la sécurité.

Au plan juridique, l'arsenal législatif existant en matière de nouvelles technologies, qui commence pourtant à être touffu, est de peu d'utilité en matière de contrôle interne des SI des entreprises.
L'archivage numérique, par exemple, est régi par plusieurs normes techniques mais aucun texte n'en balise la sécurité juridique.
Quant à la signature électronique, qui fait l'objet d'une législation tant européenne que française, elle permet d'accorder une valeur probatoire forte à un document émis dans le cadre d'un système PKI, en assurant l'identification de l'émetteur et l'intégrité de la transaction. Pour autant, un système PKI ne répond que partiellement aux exigences de contrôle interne des entreprises :
- où l'identification et les pouvoirs des personnes peuvent être traités sans recours à des tiers externes ;
- où le problème consiste à garder des traces de l'information au travers de ses modifications successives, ce qui n'est pas la fonction première de la signature électronique.
Au contraire, dès que les acteurs sont extérieurs à l'entreprise, la signature électronique apporte sans conteste une sécurité juridique forte à l'opération considérée.

En conclusion : le contrôle interne du SI ne passe pas, actuellement, par la conformité à des règles juridiques, mais bien plutôt par la mise en place organisée et documentée d'outils dont on aura préalablement vérifié qu'ils permettent de répondre aux exigences du contrôle interne de façon satisfaisante.


Isabelle Renard
Isabelle Renard contribue régulièrement au Journal du Net.
Sa précédente chronique : Offshore ou not offshore : une question vieille comme le monde, ou presque...
 

Accueil | Haut de page

 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters