Question 2 : évolutions réglementaires : quel impact pour les DSI ?

Suite aux scandales d'Enron, de World Com ou de Parmalat, les réglementations comptables et financières deviennent beaucoup plus contraignantes. Citons, entre autres, le Sarbanes-Oxley Act (SOA) aux Etats-Unis, la loi sur la sécurité financière (LSF) en France ou la huitième directive européenne, actuellement en cours de discussion. Ces réglementations visent à assurer la transparence des comptes vis-à-vis des actionnaires et des pouvoirs publics.

Autre objectif : rationaliser la comparaison entre sociétés grâce à des critères d'analyse communs. D'ores et déjà, les entreprises soumises au SOA ou à la LSF subissent des contrôles réguliers et approfondis des comptes et de la fiabilité du contrôle interne. Et le chef d'entreprise est devenu personnellement et pénalement responsable de la véracité de son bilan. Dans ce contexte, une question taraude les DSI : quel est leur propre niveau de responsabilité ? Tout dépend du périmètre de pouvoir que le chef d'entreprise délègue à la direction informatique.

La responsabilité du DSI est d'assurer la prestation de services, l'expertise en système d'information, l'assistance à la maîtrise d'ouvrage et à la maîtrise d'?"uvre pour les solutions informatiques nécessaires au respect des règlementations financières. En cas de manquement, la sanction reste le licenciement. Toutefois, même si le DSI ne bénéficie d'aucune délégation de pouvoir, il commet une faute professionnelle, éventuellement condamnable au pénal, s'il n'avertit pas à temps sa hiérarchie des lacunes du SI en termes de sécurité financière. Ou s'il ne met pas en place les mesures garantissant la fiabilité du circuit de l'information financière. ' Un DSI ne peut prétendre ignorer les réglementations financières et leur impact sur le système d'information ', souligne Isabelle Renard, avocate associée chez August & Debouzy. Si les failles de sécurité du SI dégradent fortement la qualité du contrôle interne de l'entreprise, le responsable du système d'information peut en répondre devant sa hiérarchie.

En revanche, la délégation de pouvoir fait peser contractuellement une toute autre charge sur le DSI. Car elle transfère une part de la responsabilité pénale du chef d'entreprise au délégataire. ' Les DSI encourent alors un réel risque pénal ', précise Isabelle Renard. Problème : ' Il y a un vide juridique sur les moyens technologiques devant assurer le contrôle interne du système d'information financier ', regrette-t-elle. Or, selon la jurisprudence, un chef d'entreprise s'exonère de sa responsabilité pénale s'il prouve qu'il a délégué ses pouvoirs à une personne pourvue de la compétence, de l'autorité et des moyens nécessaires pour assurer sa mission. Des notions sujettes à interprétations. Néanmoins, le DSI ne saurait être tenu pour responsable du contenu financier et comptable des informations.

Pour se couvrir, le DSI commence par fiabiliser le contrôle interne du SI financier en fonction de l'organisation mise en place par la direction générale (circuits de documentation et de validation de documents, dispositifs de protection des données, superviseur...) Objectif : relier l'information financière à son fait générateur, et intégrer l'origine d'une décision d'ordre comptable ou financier.

Le défi porte sur la capacité du système d'information à garantir la traçabilité des informations (origine, transformation...), l'intégrité des enregistrements stockés (non manipulés après traitement), l'archivage et l'horodatage des messages électroniques. Y compris la messagerie instantanée. Certes, ces exigences sont satisfaites par les outils embarqués dans une kyrielle de progiciels : annuaires LDAP, PGI, bases de données, progiciels de contrôle de gestion et de consolidation financière... La difficulté étant de fluidifier l'ensemble. D'où l'utilité de procéder à un audit d'applicatif et à un audit de sécurité. Ces conditions peuvent devenir le facteur déclencheur de la gouvernance du système d'information.

A l'image du réassureur français Scor, chez lequel la direction de l'audit du groupe conduit la mise en conformité avec le Sarbanes-Oxley Act, sous le contrôle d'un comité de pilotage dans lequel la direction générale est représentée. Un véritable projet d'entreprise, structuré et géré comme tel. ' Dans le contexte actuel, la gouvernance du SI est une affaire de survie, assène Régis Delayat, DSI et membre du comité de pilotage du projet. L'effort de formalisation du mode de fonctionnement de l'entreprise a engendré une énorme mobilisation et bousculé les habitudes. ' Il n'empêche, son équipe va plancher cette année sur le contrôle et la vérification des données financières. Un travail de titan.