|
| |
|
|
 |
| Les processus, première cible des projets de conformité réglementaire |
| Sarbanes-Oxley, Bâle 2, LSF, IAS/IFRS... autant de normes ou lois qui ont, de près ou de loin, un impact sur le système d'information. Pour éviter les lourdeurs, une mise à plat des processus est nécessaire.
(26/01/2006) |
|
L'application des différentes contraintes juridiques par les
entreprises est devenue l'un des chantiers principaux d'évolution
du système d'information depuis 2003. Entre Sarbanes Oxley,
Bâle 2, la Loi sur la Sécurité Financière (LSF), les normes
IAS/IFRS, ces nouvelles normes - aux applications nationales ou internationales, sectorielles
ou générales - impliquent un changement
dans le suivi du cycle de vie de l'information et donc des modifications
parfois lourdes sur l'existant informatique.
Ainsi, selon AMR Research, la simple mise en conformité à la loi Sarbanes Oxley aura coûté 5,5 milliards de
dollars aux entreprises en 2004. Une moitié de ces dépenses
concerne le poste sécurité (25%), puis le stockage et la sauvegarde
des documents (25%), juste devant la modification des processus
(20%) et enfin la mise en conformité des logiciels (11%). Au-delà du respect des lois, que peuvent réellement apporter ces
projets au système d'information ?
"Le
premier objectif des réglementations de type Bâle 2, ou de la
loi Sarbanes Oxley, consiste à contrôler plus finement les activités
financières des entreprises. Ces dernières doivent être capables de fournir
des données très précises lors d'un audit financier, ce qui signifie également être capables de suivre tout ce qui se passe dans l'entreprise,
à travers des processus de traçabilité", explique Eddy Pauwels,
spécialiste européen des questions réglementaires pour l'éditeur
Serena Software.
Pour obtenir cette traçabilité des informations, la direction
générale se tourne vers l'informatique qui représente le moyen
le plus facile d'automatiser les contrôles dans l'entreprise.
"L'impact premier de Sarbanes Oxley sur le système d'information
vient de la mise en œuvre d'outils de gestion des accès, ce
qui se traduit notamment par des annuaires d'entreprise et
des systèmes d'identification uniques, ou SSO", déclare Lionel
Mourer, responsable du pôle conseil et audit en sécurité du
système d'information chez Bull.
| Sécurité
et stockage au coeur des nouvelles réglementations |
Cette brique de sécurité encourage les grands groupes à centraliser
et automatiser la gestion des comptes utilisateurs et des droits
d'accès. Autre conséquence indirecte, la conservation des données
imposées dans le cadre de ces nouvelles réglementations engendre
de nouveaux besoins de stockage et l'utilisation de procédés
de cryptage pour s'assurer de l'intégrité de la donnée. Mais
le gros du travail porte sur l'identification des processus
impactés et leur modification.
"Un projet de mise en conformité génère généralement trois
étapes. La première consiste à prendre conscience de l'information
à collecter pour être conforme. Il se peut que l'information
n'existe pas encore dans le système d'information, et dans ce
cas il faudra l'extraire", affirme Michel Clerin, directeur
marketing et communication chez Axway, filiale de Sopra Group.
"La deuxième étape consiste à récupérer ces informations et
la troisième à les fournir à un système chargé de la mise
en conformité. C'est en quelque sorte une nouvelle application",
souligne Michel Clerin. Selon le niveau de maturité du système
d'information, ces trois étapes pourront donner lieu à des chantiers
très différents.
| Les
DSI veulent limiter la retouche d'applications opérationnelles
au maximum |
Ainsi, pour une société au système d'information très structuré,
la récupération d'informations s'effectuera en causant le moins
d'impact possible sur les applications opérationnelles, afin de
ne pas remettre en cause l'existant. Au contraire, des grands
groupes profitent de ces chantiers de mise en conformité pour
revoir en profondeur leurs processus et les uniformiser pour
l'ensemble de leurs filiales par exemple.
"Dans le cadre de ces projets, une mise à plat des organisations
est au minimum nécessaire pour voir quels seront les processus
touchés. Mais cette mise à plat peut permettre de dégager des
opérations de consolidation d'application possible, débouchant
sur une consolidation de serveurs par exemple. Mais pour Sarbanes
Oxley, la mise en conformité est longue, au minimum de 18 mois,
et coûteuse. Un de nos clients, grand groupe du bâtiment, avait
estimé à 15 millions d'euros le coût du passage à Sarbanes Oxley",
analyse Lionel Mourer.
Face à ces dépenses, et au risque de multiplication des lois,
les directeurs informatiques évitent autant que possible de multiplier
les modifications au niveau des applications métiers critiques.
Pour autant, les nouvelles informations remontées peuvent parfois
servir de nouveaux indicateurs de performance internes, aussi
bien que pour les audits externes par la suite.
| Harmonisation
des processus, consolidation des applications et meilleure
communication à la clé |
"Le fait de contrôler l'information pour les sociétés cotées
va leur permettre de mieux assurer la cohérence de la communication
de l'entreprise, communication qui joue de manière significative
sur le cours de bourse", ajoute Christian Meyer, chef de produit
finance chez Oracle France. D'autre part, l'automatisation
des processus accélère la génération des chiffres financiers
et aide ainsi à mieux répondre aux exigences des organismes
de régulation des marchés (aux Etats-Unis, la SEC par exemple).
Risque collatéral des projets de conformité, la remise en cause
de l'organisation existante se traduit par des frictions avec
les salariés impliqués par ces processus. "Une bonne pratique consiste
à découper le chantier en plusieurs cas et à en sélectionner
un pour en faire un succès que l'on étendra par la suite au
reste de l'entreprise. Des méthodes comme ITIL ou CMMI préparent
les entreprises à ces notions de tracabilité", note Eddy Pauwels.
"Avec un peu de prospective, je pense que ces projets de mise
en conformité ont un impact sur la manière dont les DSI vont
architecturer leur système d'information. Les réglementations,
l'urbanisation et la généralisation du commerce électronique
entre professionnels, font que les systèmes d'informations devront
être de plus en plus souples, standard et ouverts. Je pense dans
ce cadre que les produits tout fait prendront le pas sur de
la conception en interne de logiciels", anticipe le directeur
marketing et communication d'Axway.
|
|
|
|
