L'audit des systèmes d'information insuffisamment intégré à la gestion des risques
Le cabinet Mazars est spécialisé dans l'audit et le conseil aux entreprises. Il s'est penché sur l'audit des risques liés aux systèmes d'information dans les entreprises françaises au travers d'une enquête menée auprès de 143 organisations. L'informatique doit dépendre du contrôle interne Mazars souligne que la maîtrise de leur système d'information est imposée aux entreprises par les contraintes réglementaires. Et que dès lors, cette maîtrise sort du seul domaine technique, et des Directions des Systèmes d'Information (DSI), pour entrer dans celui du contrôle interne. Un voeu pieux puisque l'enquête montre que la fonction d'audit des systèmes d'information est encore jeune. Elle est encore assez souvent attachée techniquement à la DSI, fréquemment avec des effectifs réduits, malgré les enjeux. « Seules 18% des entreprises ont des effectifs dédiés à l'audit des systèmes d'information, relève Olivier Lenel, associé de la ligne métier Management du contrôle interne de Mazars. L'audit informatique rattaché à des missions plus larges Cette timidité en matière de mobilisation peut également s'expliquer par le fait que seules certaines entreprises sont soumises à une réglementation contraignante(Bâle 2, Solvency 2, Sarbanes Oxley, ...) telles que celles du secteur banque et assurance. Au global, selon l'enquête, 62% des entreprises intègrent un département d'audit interne. A partir de 400 millions d'euros de chiffre d'affaires, ce département est d'ailleurs quasi systématiquement présent. Ces départements d'audit ont une vocation généraliste, et disposent le plus souvent d'un effectif maximal de quatre auditeurs. Plus des deux tiers des entreprises rattachent alors l'audit informatique à leurs missions d'audit plus larges. Recours à des prestataires à l'occasion d'une mutation importante Reste que 38% des entreprises interrogées ne mettent pas en oeuvre d'audit de l'informatique. Et pour la grande majorité de celles qui le réalisent, l'audit de l'informatique représente moins d'un quart de leurs activités d'audit. Plus de 80% des entreprises ont donc fait le choix de ne pas avoir d'auditeurs dédiés aux systèmes d'information. Les raisons en sont simples : ce serait trop cher et la tâche est alors déléguée à des prestataires externes. Ce recours à des prestataires répond à un besoin précis et immédiat. Enfin, ces travaux externalisés répondent à trois types de prestations : la validation de l'architecture des systèmes, la validation de la sécurité logique et la validation du plan de continuité. Toutes opérations qui ont souvent lieu à l'occasion d'une mutation majeure du système d'information et où l'opinion d'un tiers paraît indispensable.