Jean-Louis Leignel (Afai) "La gestion des risques représente l'un des piliers de la gouvernance du SI'
En lien avec le Cigref, l'Association Française de l'Audit et du Conseil Informatiques organise le 16 juin prochain à Paris son Symposium IT Governance 2009. Cette année, le programme est centré sur la gestion des risques.
JDN Solutions. Quelles sont les dernières tendances que vous observez en matière d'audit des systèmes d'information ?
Jean-Louis Leignel. Depuis quelques années, l'audit des systèmes d'information se focalise sur la remontée d'informations financières fiables. C'est une tendance de fond que nous avons observée suite à l'affaire Enron, et l'entrée en vigueur de réglementations type Sarbanes-Oxley ou LSF. Cet enjeu implique de maitriser les processus métiers, et les briques du système d'information qui y sont associées.
Partant de cette contrainte réglementaire, les entreprises ont petit à petit étendu la démarche, avec pour objectif de couvrir la maitrise de l'ensemble des risques métiers associés aux systèmes d'information. La remontée d'informations fiables ne représente en effet qu'une sous-partie des risques que peut courir l'entreprise, et qui ont des implications sur le SI.
Au-delà de la question de la réglementation financière, quels sont les autres types de risques qu'une entreprise peut avoir à affronter ?
Il existe des risques particuliers aux secteurs d'activité. C'est le cas dans l'industrie pharmaceutique, l'aéronautique ou encore l'automobile. Ce sont notamment des éléments auxquels il est bon de se conformer en vue d'être compétitif. Il s'agit par exemple de s'assurer de la sécurité des informations pour éviter que celles-ci ne tombent chez les concurrents.
Mais il existe aussi des bonnes pratiques qu'il est recommandées de suivre quel que soit le domaine d'activité. Les processus de règlement des fournisseurs peuvent nécessiter par exemple des contrôles pour éviter des détournements ou des fraudes. Cette problématique rejoint le domaine financier, même si elle n'engendre pas de risque direct en matière de reporting. La récente affaire de la Société Générale pousse naturellement à redoubler de prudence sur ce terrain.
D'où l'idée de centrer le programme du prochain Symposium IT Governance de l'AFAI sur cette question des risques....
Le Symposium IT Governance 2009 porte sur les risques d'entreprise vus sous l'angle de l'informatique et du système d'information. La gestion des risques représente l'un des principaux volets de la gouvernance des systèmes d'information. En lien avec le Cigref qui est partenaire de l'événement, nous abordons chaque année un des aspects de la gouvernance IT : création de valeur, maitrise des coûts par l'optimisation des ressources consommées, gestion de portefeuille de projets...
"La maitrise des risques cherche à préserver la valeur acquise par l'entreprise"
La maitrise des risques cherche à préserver la valeur acquise par l'entreprise contre tous les écarts qui pourraient entrainer sa dépréciation ou sa destruction. Ne pas se conformer à certains règlements peut entrainer votre sortie de la profession. Dans certains secteurs, comme l'automobile, les processus de production ne peuvent supporter de s'arrêter. Leur préservation est donc critique.
En lien avec l'Isaca, l'AFAI prépare un nouveau référentiel portant sur les risques. Pouvez-vous nous en dire un peu plus ?
Ce référentiel devrait sortir d'ici deux à trois mois. Il est baptisé Risk IT. C'est le pendant de Val IT. Il apporte en effet des bonnes pratiques liées à la préservation de la valeur de l'entreprise au niveau du système d'information. Comme Val IT, il s'appuie le référentiel Cobit. Mais à la différence de ce dernier, dont les bonnes pratiques restent centrées sur le système d'information, Risk IT couvre également les enjeux du management associé au système d'information. Val IT repose sur cette même philosophie.
La crise a-t-elle entrainé une modification des pratiques en manière d'audit IT ?
La crise ne présente pas d'impact sur l'audit informatique au sens strict, hormis sur les questions liées à la maitrise des risques, notamment en matière de fraude. Ce que nous observons en tant qu'auditeurs c'est une plus grande attention des entreprises dans la maitrise de leurs coûts. L'idée est notamment de réaliser des économies sur les dépenses récurrentes en vue de dégager des marges de manœuvre pour lancer des projets porteurs de valeur.
On note également une plus grande vigilance en matière d'alignement des projets sur la stratégie de l'entreprise, et sur le plan du suivi de leur mise en œuvre. En ce sens, les entreprises entendent contrôler la mise en application de bonnes pratiques liées au SI. On retrouve ici l'intérêt pour les cadres de gouvernance et l'architecture du système d'information.