L'auditeur interne de SI peine à trouver sa place en entreprise

D'après l'enquête du cabinet Mazars, rares sont les entreprises à envisager la création de cette fonction en interne, principalement pour des raisons de coût et de bénéfice attendu. Le recours à des auditeurs externes reste la norme.

Les systèmes d'information restent insuffisamment pris en compte dans la démarche de gestion des risques (ou risk management) des entreprises françaises. C'est la conclusion tirée par le cabinet Mazars au terme d'une enquête menée auprès de 134 sociétés. La finalité de cette dernière était de définir les organisations établies par les entreprises pour le contrôle des systèmes d'information et la place accordée à l'audit de ceux-ci.

Trois questions se posent ainsi : le programme d'audit couvre-t-il de manière satisfaisante les risques informatiques ? Des ressources en interne sont-elles disponibles et si oui, sont-elles suffisantes ? Premier constat établi par Olivier Lenel de Mazars : "la gestion du risque global lié aux systèmes d'information reste assez souvent confiée aux DSI, et aux directions qui les utilisent. Ce rattachement technique aux DSI [...] s'explique probablement par le fait que la fonction d'audit interne des SI est encore jeune, et est en général constituée d'effectifs réduits".

Les entreprises seraient en effet rares à pouvoir s'appuyer sur des salariés dédiés à l'audit des SI, de l'ordre de seulement 18%. En outre, ces effectifs seraient encore relativement jeunes, leur existence n'excédent pas l'été. Enfin, ces équipes sont également réduites puisqu'elles sont composées de moins de quatre personnes.    

Les conclusions tirées par l'enquête du cabinet Mazars et qui encouragent ou contraignent les entreprises à mettre en œuvre des audits sont notamment le poids des réglementations. 34% d'entre elles sont ainsi soumises à une réglementation spécifique en matière de contrôle interne, comme Sarbanes-Oxley ou Bâle 2. Les sociétés issues du secteur de la banque et de l'assurance sont les premières concernées par ces contraintes légales.

35% des entreprises perçoivent une forte exposition aux risques liés au SI

Ces obligations expliquent notamment la sensibilisation des entreprises à l'égard de la gestion des risques. Elles sont 61% à avoir engagé une démarche de cartographie des risques. De plus 29% des sociétés interrogées se déclarent fortement sensibilisées à la question de la maîtrise des risques, et 59% moyennement sensibilisées.

Et ce degré de sensibilisation influe sur la création en interne de fonctions d'audit. La taille de l'entreprise conditionne toutefois ces créations, avec un pallier à 400 millions d'euros de chiffre d'affaires. Au-delà de ce cap, les entreprises disposent quasi systématiquement de poste consacré à l'audit interne.

Ces départements ne comptent cependant que cinq salariés ou moins dans 61% des cas. Ce sont en outre des généralistes et non des spécialistes des systèmes d'information. Cette prédominance de profils généralistes s'explique en partie par la perception d'un degré modéré d'exposition aux risques liés aux SI. 35% des entreprises interrogées perçoivent ainsi une forte exposition à cette catégorie de risques. Par conséquent, 38% d'entre elles ne mettent pas en œuvre d'audit sur le volet SI.

Parmi les freins à ces audits, l'enquête Mazars retient la rareté des compétences d'auditeurs des systèmes d'information en interne, la complexité à convertir un objectif d'audit classique en objectif d'audit informatique, ainsi enfin que l'ignorance de l'opportunité de découper l'audit en plusieurs pans dont certains peuvent alors être délégués ou dévolus à des auditeurs spécialisés en SI.  

Pour autant les entreprises sont-elles désireuses de mettre en œuvre des programmes d'audits dédies au SI et à recruter pour cela des personnels ? Rien n'est moins sûr. A l'heure actuelle, 82% des entreprises ont fait le choix de ne pas avoir d'auditeurs dédiés, principalement pour des raisons de coût.

Il reste en effet économiquement plus rentable de s'appuyer sur des prestataires externes pour ces missions dont les bénéfices attendus peuvent être jugées faibles par rapport à l'investissement. Les entreprises ne disposant pas d'auditeurs spécialisés en SI sont donc 65% à ne pas envisager la création de cette fonction.