Des équipes spécialisées travaillent en support des commissaires aux comptes ou pour des missions spécifiques
Ces spécialistes mènent leurs audits afin de s’assurer que le système d’information est bien sous contrôle. La fréquence va dépendre de l’évolution des processus, un audit étant refait lorsque l’environnement a changé au niveau des hommes, des systèmes ou des procédures. Entre deux audits, la situation peut être suivie par du monitoring. Ainsi aujourd’hui, la plupart des grands cabinets d’audit mettent en place des CCM (Control continuous monitoring) qui leur permettent d’analyser en permanence les transactions d’une société, notamment pour identifier des fraudes. En effet, les volumes de transactions ont tellement augmenté que la seule solution pertinente est de mettre en place de l’analyse de données en continu.
Des problématiques techniques aux problématiques financières
“Nous intervenons aux côtés des auditeurs financiers afin de les aider à bien comprendre les modes de fonctionnement des systèmes d’information. Une certaine technicité est nécessaire. Nous connaissons le langage pour dialoguer avec un directeur des systèmes d’information, mais aussi pour comprendre un directeur financier”, explique Jérôme Huber, qui anime le département d’audit des systèmes d’information chez Mazars. L’objectif est de retranscrire des problématiques qui pourraient être techniques en problématiques business ou en problématiques financières. “Nous allons aider le management à comprendre les enjeux afin notamment de savoir quels sont les risques que l’entreprise accepte de prendre et ceux qu’elle ne veut pas prendre. Nous définissons donc avec nos clients la politique de gestion des risques à mettre en oeuvre. Par exemple, cette application est-elle clé, et je ne peux pas me permettre d’avoir une interruption de plus d’un quart d’heure ?”, précise Bernard Drui de Proviti. Le management devra ainsi arbitrer entre les conséquences du risque et le coût nécessaire pour le gérer. La question est donc aussi économique. Les personnes dans l’organisation qui négocient ces contrats avec des prestataires doivent également être au bon niveau dans l’entreprise afin d’être en mesure de prendre le bon niveau de risque. “Il y a des infrastructures de plus en plus critiques, par exemple des usines pilotées à distance. Comment sécuriser ces process ? Il y a des conséquences opérationnelles, car plus l’on met de sécurité, plus l’on freine la liberté d’action des acteurs. Nous cherchons à trouver le bon équilibre entre les process qui doivent être sécurisés et l’efficacité opérationnelle. Le curseur est parfois délicat à placer”, conclut le directeur de Protiviti.