Conformité informatique: Comment réduire les risques
Prof. Dr. Thomas Rautenstrauch
Thomas Rautenstrauch est professeur pour la formation en économie d’entreprise et plus particulièrement en accounting et controlling. Il est d’ailleurs directeur du Center for Accounting & Controlling de la Haute école d’économie de Zürich. De plus, il enseigne, en qualité de professeur invité, le management accounting en Executive MBA au sein de l’Institute for Management in Technology (iimt) de l’Université de Fribourg. Thomas Rautenstrauch est l’auteur de plusieurs ouvrages spécialisés et de nombreux articles pour des revues et pour la presse économique.
Aides de travail appropriées
Pourquoi la conformité informatique est stratégique
Compte tenu de l’importance croissante des technologies de l’information, la conformité informatiqueconstitue aujourd’hui une couche de contrôle incontournable pour presque toutes les entreprises. Elle implique la définition, la documentation et l’application de contrôles informatiques.
Au centre des préoccupations: la nécessité d’encadrer de manière claire qui peut accéder au matériel et aux logiciels utilisés, et dans quelle mesure certaines personnes peuvent être impliquées dans le développement d’applications.
La technologie représentant souvent le système vital de l’entreprise, les contrôles à l’échelle de l’organisation et au niveau des applications revêtent une importance capitale.
Le standard suisse d’audit PS 890, relatif à la vérification de l’existence d’un système de contrôle interne (SCI), stipule clairement que l’auditeur doit évaluer l’existence des contrôles au niveau de l’entreprise, des processus et des systèmes informatiques:
«L’auditeur vérifie l’existence des contrôles à l’échelle de l’entreprise, des processus opérationnels et des contrôles IT généraux.».
Intégration de la conformité informatique dans la gouvernance
La direction est responsable de réagir de manière appropriée aux risques informatiques en définissant et en mettant en œuvre des règles spécifiques de conformité applicative. Les contrôles IT sont jugés efficaces s’ils permettent de garantir l’intégrité et la sécurité des données traitées dans les systèmes.
Le niveau de pondération des contrôles IT dans le SCI dépend fortement:
- e la dépendance de l’entreprise vis-à-vis des systèmes IT pour sa comptabilité et ses rapports financiers
- du risque d’erreur inhérent à l’utilisation des technologies
Qu’elles soient grandes ou petites, les entreprises utilisent aujourd’hui des systèmes IT pour traiter leur comptabilité. Cela génère des risques concrets, comme l’accès non autorisé à des applications financières. De telles intrusions peuvent mener à des manipulations de données, voire à la création de comptes fictifs.
Contrôles informatiques à l’échelle de l’entreprise
Les contrôles IT à l’échelle de l’entreprise sont un pilier central du dispositif de contrôle global. Ils couvrent notamment :
- la gestion des risques IT
- la planification stratégique IT
- la conformité légale et réglementaire
- l’architecture des systèmes
- la gouvernance IT
- les directives internes, les formations techniques et la sensibilisation des collaborateurs,
- le monitoring et le suivi du fonctionnement IT
L’audit annuel évalue ainsi l’existence de ces contrôles IT généraux, transversaux à l’entreprise.
Ces contrôles globaux sont considérés comme fondamentaux, car sans éthique organisationnelle, vision stratégique partagée et culture du risque, il est impossible d’implémenter un SCI réellement efficace.
Les contrôles IT d’entreprise forment ainsi la base structurelle sur laquelle reposent tous les autres niveaux de contrôle.
Lire la suite avec 
- Accès illimité à plus de 500 aides de travail
- Tous les articles payants en accès illimité sur weka.ch
- Actualisation quotidienne
- Nouveaux articles et aides de travail hebdomadaires
- Offres spéciales exclusives
- Bons séminaires
- Invitations aux webinaires en direct
