Bonjour, Ann Dushane, vous intervenez aujourd'hui sur notre Blog Faciliware pour nous faire part de votre expertise dans le domaine de l'Audit interne SI. Tout d'abord, présentez-nous en quelques mots votre société.
Control Solutions est le premier fournisseur global en services d’audit interne, conformité, gestion des risques et solutions technologiques. Depuis plus de 15 ans, plus de 500 entreprises publiques, privées, ONG et administrations ont choisi de faire confiance à Control Solutions.
Avec plus de 800 consultants travaillant dans 25 bureaux, Control Solutions assure à ses clients une présence en Europe, Amérique du Nord et du Sud ainsi qu’en Asie Pacifique.
Nos activités se répartissent en quatre pôles : Audit Interne, Conformité réglementaire, financière et éthique, Gestion des risques, Technologie.
Voulez-vous nous dire quelques mots sur vous-même? Quelles sont vos fonctions, quel a été votre parcours, quelles sont vos responsabilités?
Senior Manager d’audit interne des Systèmes d’Informations, je travaille chez Control Solutions depuis 2005 aux Etats-Unis et en France. J’ai 10 années d’expérience en tant que Chef de Projet dans différents domaines informatiques. Ma formation est constituée d’un MBA à Thunderbird, the Garvin School of International Management et d’une Maîtrise de Sciences Economiques et français de l’Université de Pennsylvanie. Pendant mon activité de Chef de Projet au sein d’une compagnie pétrolière en 2004, j’ai géré la phase du retest de la première année du projet de conformité avec la loi Sarbanes Oxley. C’est grâce à cette expérience que j’ai rejoint Control Solutions pour un poste d’IT Audit Manager.
Quelles sont les spécificités sectorielles ou géographiques de la conformité?
Toute société cotée sur un marché américain (NYSE, Nasdaq …) est impactée par la loi Sarbanes Oxley (SOX ou Sarbox). Cette loi n’est pas réservée à certains secteurs d’activité, elle touche tous les secteurs. La loi s’est d’abord appliquée aux plus grandes sociétés américaines en 2004. Après deux années d’application des normes SOX, on constate une stabilisation et une pérennisation des contrôles mis en œuvre par ces sociétés. Elles s'attellent désormais à passer dans un mode de contrôle continu, c’est-à-dire une automatisation du test des contrôles en question. Les sociétés cotées de taille moyenne et petite (appelées les « non-accelerated filers ») ont gagné un délai de conformité passant de la fin d’année fiscale du 15 juin 2007 au 15 décembre 2007.
Pour les « foreign private issuers », telles que les sociétés françaises cotées aux Etats-Unis, on voit une augmentation très nette de l’activité associée à la conformité depuis cette année, activité intense qui se poursuivra très clairement en 2007. Les grandes sociétés non américaines qui déposent un dossier 20-F ou 40-F auprès des autorités boursières américaines – pour leur cotation sur un marché américain – doivent être en conformité dès le 15 juillet 2006 ou à la fin du premier exercice clos à partir de cette date. Les « foreign private issuers » qui sont considérés comme des « non-accelerated filers » ont gagné un délai d’un an, ce qui les amène à une date de conformité au 15 juillet 2007 ou à la fin du premier exercice clos à partir de cette date.
Comment est-ce que vos clients vous approchent, à ce sujet? Décrivez-nous, le cas échéant, leur profil-type.
On observe deux types d’attitudes complètement opposées chez nos clients vis-à-vis de la loi. Le premier consiste à se mettre en ordre de marche pour réussir sa mise en conformité dans les délais impartis. L’autre attitude consiste à très peu travailler sur ce projet en attendant des évolutions favorables de la loi (voire en espérant être finalement exclu de son champ d’application). Cette deuxième attitude peut conduire à des situations d’extrême urgence si l’évolution de la loi n’est pas celle escomptée.
Il est par ailleurs fréquent que les sociétés sous-estiment la charge de travail associée à leur processus de conformité.
C’est souvent ce type de société qui sollicite notre accompagnement sur leur projet.
Notre expérience nous a montré que pour bien préparer la conformité à la loi, il faut à peu près un an voire plus pour certaines sociétés très décentralisées. Si des sociétés ont des politiques et procédures rigoureuses en place et un environnement de contrôle bien établi, il est possible de prendre un peu de retard, mais la plupart des sociétés n’ont pas les pratiques nécessaires de contrôle en place. La définition de procédures adaptées prend beaucoup de temps. Par ailleurs, la conformité passe par une phase d’évaluation des contrôles mis en place, phase qui doit prouver leur bon fonctionnement (en plus de leur simple existence). Cette phase peut être très lourde à gérer de manière interne et il est fréquent que nos clients nous demande d’en réaliser tout ou partie pour eux.
Comment répondez-vous à leurs besoins?
Un projet de ce type là – tout comme un audit interne – est une tâche qui se superpose à l’activité quotidienne de l’entreprise. Sa complexité et la charge qu’elle nécessite lui confèrent donc un caractère disruptif fort pour l’activité de l’entreprise. Notre philosophie consiste donc à tout mettre en œuvre pour rendre notre intervention la moins perturbante possible pour nos clients et pour les opérationnels avec lesquels nous sommes en interaction. De fait, nous pouvons apporter notre méthodologie et nos process et prendre en charge de A à Z un projet de conformité ou simplement nous inscrire dans un projet déjà en route et mobiliser notre expertise afin de réaliser les tâches nécessaires plus rapidement que nos clients et surtout éviter à avoir à reprendre des tâches déjà réalisées parce que leur objectif n’était pas bien défini : ça coûte trop cher ! Notre expérience de la conformité SOX nous permet de connaître les exigences de la norme dès le début du projet.
Nous sommes le partenaire de nos clients pour les aider à préparer leur audit externe par les commissaires aux comptes. Ceci implique d’identifier les éventuelles déficiences dans leurs process et de proposer des solutions pour y remédier.
Avec votre retour d'expérience, quelles seraient les« meilleures pratiques » pour une démarche de gestion des risques ?
Une Gestion des Risques saine doit combiner une approche « top-down » et une approche « bottom-up ». La première étape consiste bien sûr à identifier les risques que la société souhaite traiter. Certains risques peuvent être identifiés mais non-traités dans le cas, par exemple, ou leur résolution coûterait plus cher à l’entreprise que la survenance du risque lui-même. Une fois les process associés aux risques identifiés, il faut les documenter afin de les clarifier et assurer une information uniforme pour tous les acteurs du process. Enfin, pour s’assurer que les acteurs suivent les procédures, il faut contrôler périodiquement l’activité. La loi Sarbanes Oxley met en place un contrôle systématique qui, avant, pouvait être plus occasionnel.
Du côté des Systèmes d’Information, beaucoup de sociétés ont notamment du mal à contrôler leurs droits d’accès. La plupart du temps, elles n’ont pas de procédures pour gérer les modifications de droits, ni, dans une moindre mesure, les créations et suppressions de droits liées aux entrées et sorties de personnel. De fait, elles ne peuvent pas fournir de preuve que les accès ont été autorisés ou même demandés. En outre, les bases d’utilisateurs sont rarement revues, ce qui fait qu’il peut y avoir des comptes inactifs depuis plusieurs années.
D’autre part, au niveau du développement et du changement d’applications financières, plus de trois quarts de nos clients n’ont pas de contrôles nécessaires pour assurer la couverture de risque de fraude dans les applications. Les changements ne sont que peu ou pas du tout documentés. Par ailleurs, il n’y a très souvent pas de preuve que les changements ont été testés et un manque de séparation de tâches entre les environnements de développement et de production est constaté aussi.
Deux thèmes récurrents dans la loi SOX sont la documentation et la preuve des contrôles. Classiquement, chez un client qui se prépare à la conformité à SOX en première année, on constate un manque des deux. Il y a bien sur d’autres contrôles qui manquent également, mais ces deux éléments fondamentaux sont rarement en place à 100% chez nos clients.
Hormis les aspects réglementaires, est-ce que des gains qualitatifs et/ou quantitatifs peuvent être identifiés, après la mise en place d'une démarche de conformité?
C’est vrai que la loi Sarbanes Oxley est souvent critiquée pour son coût de mise en place. Néanmoins, on peut lui trouver des aspects positifs. Tout d’abord, une réduction importante du risque de fraude. En effet, grâce au processus de gestion des habilitations, les sociétés peuvent réduire le nombre de licences achetées car elles auront une idée précise du nombre d’utilisateurs d’un logiciel ou d’un progiciel.
Elle peut aussi générer des gains de temps. A titre d’exemple, un de mes clients n’avait aucun moyen pour suivre ses demandes d’interventions. Elles arrivaient par téléphone, par email, par écrit ou simplement lorsqu’un demandeur passait dans le bureau du Responsable des SI. SOX impose notamment le suivi des demandes d’intervention. N’ayant pas le budget pour acheter un logiciel de suivi de demandes, il a mis en place un système basé sur des outils bureautiques grand public. Ainsi, il a créé un canal unique de demande d’intervention sous formes d’enregistrements dans une base de données. Cet outil lui a également permis d’avoir un meilleur suivi des affectations de ses équipes sur les demandes et une vision globale des types récurrents de problèmes informatiques rencontrés. Cette exigence de SOX lui a clairement permis de créer un process qui a amélioré l’efficience de son équipe.
Pouvez-vous identifier des points particulièrement significatifs pour ce type de projet?
Lorsque les sociétés pensent à la loi Sarbanes Oxley et à ses implications sur les systèmes d’information, elles ont tendance à croire que c’est une loi qui ne se focalise que sur la sécurité proprement dite. C’est vrai que celle-ci peut représenter plus que 50% des contrôles informatiques, mais la loi exige aussi des contrôles de gestion du changement, comme expliqué plus haut. Elle exige aussi des politiques et procédures de sauvegarde et de restauration des données ainsi que l’exploitation du SI. Si les sociétés utilisent des tierces parties pour l’exploitation ou l’hébergement de leurs données, il leur faut également avoir des contrôles en place pour gérer ces relations et les contrôles des tierces parties.
Les sociétés comme Control Solutions connaissent parfaitement les exigences de la loi Sarbanes Oxley. A ce jour, nous avons accompagné plus de 350 clients dans le monde entier sur leur conformité. Nous pouvons aider nos clients à traiter tous les sujets soulevés par SOX, ainsi qu’à trouver des moyens plus efficaces pour s’assurer que les procédures mises en place seront pérennes indépendamment de l’objectif de conformité réglementaire. La conformité à la loi SOX est aujourd’hui perçue comme un projet, néanmoins il est essentiel d’être capable de la gérer sur la durée. C’est un enjeu extrêmement fort de notre intervention.
Commentaires