Accueil / blog / Les auditeurs internes : plus que des cyber-policiers

Les auditeurs internes : plus que des cyber-policiers

Dans ses nouvelles lignes directrices adoptées la semaine dernière, la SEC (U.S. Securities and Exchange Commission) revoit à la hausse les exigences de reporting imposées aux sociétés cotées en bourse concernant leur manière de traiter l’une des principales difficultés auxquelles toutes les organisations doivent faire face — la cybersécurité. Ces lignes directrices sur les cyber-risques mettent à jour un document publié pour la première fois en 2011. Elles renforcent les obligations de reporting à plusieurs égards. Par exemple, en ce qui concerne la communication externe sur l’implication du Conseil dans le suivi des cyber-risques ou le reporting externe de problèmes de cybersécurité ayant atteint le seuil de signification et qui ont pu être identifiés grâce à des procédures de reporting interne plus efficaces. Ces nouvelles exigences soulèveront inévitablement de nouveaux enjeux liés à la conformité ainsi qu’une sollicitation accrue de l’audit interne pour qu’il fournisse une assurance dans ce domaine. Les nouvelles règles américaines, associées à l’échéance prochaine de l’entrée en vigueur du Règlement général sur la protection des données de l’Union européenne, donnent de bons exemples de situations dans lesquelles l’audit interne peut fournir une assurance significative à propos des systèmes d'information (SI). Mais il est important, et même crucial, que les organisations comprennent que le management des cyber-risques et la protection des données ne sont qu’une partie de la gouvernance globale des systèmes d’information et que l’audit interne peut et devrait jouer un rôle plus important que celui de simple police de la cybersécurité. Un Guide pratique d’audit des systèmes d’information (GTAG) récemment publié par l’IIA offre des orientations et des points de vue sur l’approche de l’audit interne pour évaluer la gouvernance des SI. La synthèse de ce GTAG exprime les avantages d’une gouvernance robuste des SI et décrit la manière dont une gouvernance adéquate des SI peut aider les organisations à atteindre leurs buts. Extrait de la synthèse du GTAG : « Une gouvernance performante des SI contribue à l’efficience et à l’efficacité des contrôles et permet à l’organisation de générer des bénéfices financiers et extra financiers à travers l’investissement dans les SI. Souvent, des contrôles mal conçus ou défaillants trouvent leur cause première dans une gouvernance médiocre ou inefficace des SI. » Une gouvernance efficace des SI présente des avantages significatifs. En plus d’aligner les stratégies SI avec les objectifs de l’organisation, elle permet d’identifier et de gérer correctement les risques ; elle optimise les investissements dans les SI pour créer de la valeur ; elle définit, mesure la performance des SI et communique sur cette dernière au moyen d’indicateurs pertinents ; et enfin, elle contribue à la gestion des ressources informatiques. Une gouvernance solide des systèmes d'information aide les organisations à répondre aux difficultés que ces derniers posent, comme la complexité croissante des environnements informatiques, l’utilisation de plus en plus fréquente de données pour prendre des décisions opérationnelles, et, comme expliqué ci-dessus, l’accroissement du nombre de lois et règlements liés à la menace cyber. Comme pour tous les enjeux de gouvernance, les auditeurs internes sont les seuls à même de fournir à la direction générale et au Conseil une évaluation lucide de l’efficacité et de l’efficience des processus et des structures qui constituent la gouvernance des systèmes d'information. Le GTAG offre des éclairages précieux sur la manière dont les responsabilités des différents organes de gouvernance au sein de l’organisation peuvent se recouper. Par exemple, les plus hautes instances de gouvernance assurent le suivi du respect des exigences par l’organisation et sont impliquées dans la conformité, tandis qu’à un niveau plus opérationnel, la gouvernance managériale supervise les processus de mise en œuvre. La solution est que l’audit interne examine — et aide la direction générale et le Conseil à comprendre — les interactions entre les trois structures de gouvernance et ne considère pas la gouvernance des SI comme une entité séparée. Un message clé du GTAG exprime bien cela : « L’alignement des objectifs et des systèmes d'information de l’organisation concerne davantage la gouvernance que la technologie. La gouvernance donne l'assurance que toutes les alternatives sont évaluées, mises en œuvre de façon appropriée, et que les risques et la performance font l’objet d’un suivi. » Le GTAG met à disposition des auditeurs internes les outils et techniques nécessaires pour créer des programmes de travail et réaliser des missions impliquant la gouvernance des systèmes d'information. Ce guide décrit, étape par étape, la planification d’une mission, de la compréhension du contexte et de l’objectif de la mission à la communication des résultats. En outre, cinq annexes présentent les normes et les lignes directrices de l’IIA concernées, un glossaire des termes clés, un exemple de questionnaire sur les dispositifs de contrôle interne, une matrice des risques et des contrôles ainsi qu’une liste de ressources supplémentaires. Il est important de souligner que la mise en place d’un programme d'audit de la gouvernance des SI bien conçu contribuera à intégrer les systèmes d’information dans la stratégie globale de gouvernance et à dissiper le mystère qui entoure ces derniers et conduit souvent à une déficience des contrôles. Cela permet également aux organisations d’être mieux placées pour réagir rapidement et efficacement à des changements réglementaires ou à des risques liés aux SI. A l’approche de l’échéance, la course effrénée pour se conformer aux règles de l’Union européenne sur la protection des données suggère que trop peu d’organisations adoptent une approche globale de la gouvernance des SI. En effet, ce problème est clairement ressorti de l’enquête menée par DocsCorp en août dernier et publiée dans le rapport intitulé The Current State of GDPR. Selon cette enquête, 43% des répondants en Europe et au Royaume-Uni identifient les sanctions financières pour non-respect comme leur plus grande crainte concernant le nouveau règlement. Au Canada et aux États-Unis, l’enquête a révélé que 73% des répondants n’avaient pas encore commencé à se préparer aux nouvelles réglementations et que 54% n’étaient pas au courant de l’échéance du 25 mai pour se mettre en conformité. J’encourage tous les responsables de l'audit interne à consulter le nouveau GTAG et à discuter de la gouvernance des systèmes d'information avec leur direction générale et leur Conseil. Fournir une évaluation exacte et impartiale du fonctionnement des systèmes d’information au sein de l’organisation est un autre exemple de la façon dont l’audit interne peut créer de la valeur ajoutée et aider les organisations à atteindre leurs buts. Comme toujours, vos commentaires sont les bienvenus. Richard Chambers Pour information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *