La gestion des risques a été le thème central du dernier symposium de l’Afai (Association française de l’audit et du conseil informatiques). Aux côtés de l’audit interne, le DSI se retrouve au cœur de la problématique de l’ERM (Enterprise Risk Management), dont les périmètres, les enjeux et les méthodologies dépassent largement la simple sécurité des systèmes d’information.
« La gestion des risques est un sujet qui va s’inscrire durablement dans l’agenda des directions générales et dans les objectifs des managers », affirme Bruno Ménard, président du Cigref et vice-président SI de Sanofi-Aventis. Celui-ci identifie deux principaux facteurs explicatifs. D’abord, la « contraction » du temps ou l’accélération du « time to market ».
Résultat : les entreprises doivent délivrer des produits et des services de plus en plus rapidement : « Là où le temps se raccourcit, de nouveaux risques peuvent émerger (en termes de qualité, disponibilité, intégrité…). »
Second facteur : l’importance accordée à l’innovation, qui génère des nouveaux risques, par exemple en termes d’image, de santé, ou de respect de la vie privée… De fait, comme le souligne François Renault, président de l’Afai, « le rôle du DSI ne s’arrête pas à la maîtrise de ses propres risques mais intègre ceux de l’entreprise, pour les identifier et les gérer ».
« Il existe un fort questionnement sur la pertinence du système de gouvernance du SI », affirme de son côté Patrick Stachtchenko, membre du Strategic Advisory Group de l’Isaca (Information Systems Audit and Control Association). D’une part, sur le rôle et le poids du DSI et, d’autre part, sur la gestion du portefeuille (applications, infrastructures, partenaires…) et des investissements (quels projets ? quels bénéfices à court terme par rapport à ceux générés à long terme…).
Pour Patrick Stachtchenko, un système de gouvernance se définit comme un « espace régulé relatif à l’exercice du pouvoir (attribution, partage, contrôle, influence, arbitrage…), et à l’appréhension des problèmes collectifs ». Les caractéristiques d’un système de gouvernance sont donc multiples : les organes de gouvernance (comités stratégique, d’investissement, de pilotage…), les parties prenantes (directions opérationnelles, salariés, fournisseurs, clients, partenaires…), leur composition (représentativité, légitimité, indépendance, compétence, attitude…), leur mode de fonctionnement (structures, activités, transparence…), ainsi que le rôle et les responsabilités des organes de gouvernance par rapport à la direction générale et à la gouvernance d’entreprise.
Autre manière d’appréhender la gouvernance des systèmes d’information, répondre à cinq questions fondamentales : qui (parties prenantes) ? pour qui (organes de gouvernance) ? quoi (s’aligner, exécuter, contrôler, rendre compte) ? comment (cadre, principes, structure, processus, pratiques) ? pourquoi (création de valeur, maîtrise du niveau des risques, utilisation optimale et responsable des ressources) ? où (entreprise, entité, fonction, actif stratégique…) ?
De Val IT à Risk IT
Pour répondre à cette problématique de gouvernance des systèmes d’information, les outils existent : Val IT pour la création et la gestion de valeur, Cobit pour l’utilisation optimale des ressources (répertoire de bonnes pratiques qui couvrent le cycle complet informatique : processus opérationnels, de management et de gouvernance), et Risk IT pour la gestion des risques. Rappelons que Val IT est basé sur les processus (trois domaines, vingt-deux processus, soixante-neuf activités) pour la gouvernance de la valeur, la gestion de portefeuille et de l’investissement et permet de répondre à quatre questions : faisons-nous ce qu’il faut (question stratégique) ? en obtenons-nous les bénéfices (question de la valeur) ? le faisons-nous comme il faut (question architecture) ? le faisons-nous faire comme il faut (question de la réalisation) ?
Risk IT, complémentaire à CobiT, est basé sur les mêmes principes : alors que CobiT identifie les bonnes pratiques pour les « moyens » de la maîtrise des risques, Risk IT (basé sur trois domaines, neuf processus et quarante-sept activités, voir tableau page 10) identifie les bonnes pratiques pour les « fins » de la maîtrise des risques.
« Risk IT explicite les risques systèmes d’information et va permettre aux acteurs de s’assurer d’abord que la gestion de ces risques SI soit intégrée à la gestion des risques d’entreprise (impact sur le business, analyse coûts/bénéfices), ensuite, que la démarche permette de prendre des décisions « informées » quant au niveau de risque acceptable (« risk appetite »), au niveau de risque tolérable, (« risk tolerance »), au niveau de risque présent (« extent of risk ») et, enfin, que la démarche permette de comprendre comment répondre aux risques identifiés », résume Patrick Stachtchenko.
De la sécurité informatique à l’ERM
Au-delà de la pure sécurité informatique et des systèmes d’information, c’est tout l’enjeu de l’ERM (Enterprise Risk Management). « Clairement, la gestion des risques a pour objectif de garantir la profitabilité de l’entreprise, et passer du Risk Management à l’Enterprise Risk Management amorce un vrai changement : il amène des modes de gouvernance qui évitent les silos », précise Régis Delayat, DSI de Scor et administrateur du Cigref et de l’Afai.
Scor a d’ailleurs créé un comité des risques et un poste de Chief Risk Officer. Pour Henri Guiheux, responsable Gouvernance & Sécurité des systèmes d’information de Scor, « tous les acteurs veulent des informations pertinentes, dans les délais, avec de moins en moins de tolérance pour le manque d’exactitude ou d’exhaustivité.
L’environnement économique difficile actuel exige que les prises de décisions des dirigeants s’accompagnent d’une prise en compte rigoureuse des risques ». à cela s’ajoutent la pression exercée par les organismes de régulation et d’évaluation sur le management renforce le besoin de mise en place d’une politique de ERM.
Pour les DSI, les pressions pour maîtriser les risques opérationnels sont visibles et s’exercent dans au moins trois domaines : l’accélération des cycles de transformation et d’exécution, la conformité et le reporting. De fait, Henri Guiheux souligne : « La mise en place d’une gouvernance IT intégrant contrôle interne et gestion des risques devient critique. Cette gouvernance doit être formalisée, communiquée, comprise et acceptée par toutes les parties prenantes de la DSI. »
Cela suppose d’établir une culture du risque : « Il est essentiel de mettre en place une structure capable de diffuser une culture de contrôle interne au sein de l’entreprise pour une meilleure maîtrise des risques », résume Henri Guiheux. Avec une définition stricte des responsabilités entre quatre types d’acteurs : les correspondants risques rattachés aux divisions font la promotion auprès des responsables métiers de l’identification, l’évaluation et le traitement des risques, de la modélisation et la formalisation des processus et de la conception et de la mise en place des contrôles.
Les responsables métiers sont responsables de la mise en place effective des contrôles. Pour sa part, la DSI intègre ces contrôles dans les applications, s’ils sont automatisés. Enfin, l’audit interne doit s’assurer de la bonne mise en place des contrôles. DSI et contrôle interne doivent donc étroitement collaborer (voir encadré).
Henri Guiheux assure : « La DSI communique sa stratégie et ses projets, l’audit interne intègre la stratégie et les projets informatiques dans son plan d’audit pour une meilleure pertinence et participe aux projets d’envergure. En intégrant l’audit interne en amont des projets, la DSI se met en position de développer des contrôles pertinents et efficaces. »
Plus de règles, plus de contrôles… et plus de risques
Qu’en est-il sur le terrain ? Jean-Louis Bleicher, directeur du pôle sécurité et continuité d’activité de la Banque fédérale des Banques populaires, et administrateur de l’Afai, et Jean-Yves Oberlé, directeur du programme MBA MSSI de l’IAE d’Aix-en-Provence, dressent un triple constat. D’abord, les pertes attribuables aux risques opérationnels augmentent.
Dans les affaires récentes (notamment l’affaire Kerviel à la Société générale), l’origine des pertes réside dans un défaut de contrôle interne mais aussi externe.
Ensuite, dans le même temps, le nombre des réglementations et des acteurs en charge du contrôle augmentent. Les réglementations, en effet, ne manquent pas, de même que les nombreux acteurs et structures internes ou externes en charge du contrôle ou de la réduction des risques, depuis les commissaires aux comptes jusqu’à l’autorité des marchés financiers, en passant par les comités d’audit et les responsables du contrôle permanent (dont les responsables de la sécurité) et du contrôle périodique.
Troisième constat : les moyens mis en œuvre pour contrôler les risques augmentent, eux aussi. Ainsi, dans le secteur bancaire, les effectifs dédiés à la gestion des risques sont en croissance régulière : dans les banques françaises, fin 2007, 1,9 % des effectifs exerçaient une fonction d’inspecteur, auditeur, déontologue et 3 % un emploi d’analyste des risques. De même, les banques ont investi des centaines de millions d’euros pour mettre en place des systèmes d’information de gestion des risques afin de se mettre en conformité avec les exigences réglementaires.
« Alors, pourquoi une gestion des risques aussi coûteuse pour un aussi piètre résultat ? » demandent Jean-Louis Bleicher et Jean-Yves Oberlé. Qui apportent la réponse à cette question pertinente : « De nombreux experts ont un niveau de compétence hétérogène et travaillent trop souvent en silo, sur des bases différentes et en utilisant des référentiels spécifiques. »
En fait, les différents acteurs n’ont pas toujours la même conception de l’entreprise (découpage en processus ou découpage organisationnel), les modèles de gestion des risques peuvent différer, les dispositifs de contrôle s’agrègent mais ne s’articulent pas, par exemple entre l’audit interne, les contrôles permanents ou les contrôles informatiques, et les référentiels de travail sont différents.
« Quels sont les points communs entre le référentiel d’appréciation du risque informatique du responsable risques opérationnels, du responsable conformité informatique, du RSSI, du responsable des assurances informatiques, de l’auditeur informatique ? », s’interroge Gérard Lancner, président de l’Amrae (Association pour le management des risques et des assurances de l’entreprise), qui conclut : « Avec un tel constat, nous verrons encore des catastrophes survenir. » Quatre voies d’amélioration sont suggérées par Jean-Louis Bleicher et Jean-Yves Oberlé.
Première piste : « Une gouvernance efficace et efficiente de la gestion des risques. » Celle-ci se caractérise par une politique de gestion des risques validée par le conseil d’administration, des instances de pilotage et de coordination, un processus de gestion des risques unique et partagé intégrant la gestion de l’inattendu, une gestion pragmatique des risques s’appuyant sur la sécurité, la continuité d’activité, le contrôle interne. Deuxième stratégie possible : « Des référentiels mis en cohérence et utilisés judicieusement, des acteurs compétents. Les référentiels et les méthodes sont pléthore… mais n’expliquent jamais le comment-faire. Une formation adaptée et une expérience professionnelle des acteurs de la gestion des risques est nécessaire. »
Troisième voie : considérer la problématique de la maîtrise des risques comme un problème complexe. « La théorie de la complexité nous amène à considérer l’efficience des dispositifs de contrôle dans leurs interactions plus que dans la sophistication de chacune des composantes du contrôle, ce qui suppose d’avoir une vision d’urbanisation des dispositifs de contrôle », insistent Jean-Louis Bleicher et Jean-Yves Oberlé.
Enfin, un quatrième axe d’amélioration : construire des systèmes d’information de gestion des risques intégrés. « L’organisation des contrôles est un ensemble d’éléments en interaction, regroupés au sein d’une structure régulée, ayant un système de communication (système d’information) pour faciliter la circulation de l’information, dans le but de répondre à des besoins et d’atteindre des objectifs déterminés. »
| Domaines, processus et activités de Risk IT | ||
| Les trois domaines | Les neuf processus | Les quarante-sept activités |
| Gouvernance des risques | Établir et maintenir une vision commune des risques |
|
| Intégrer les risques SI à la démarche de risques au niveau de l’entreprise |
|
|
| Prendre des décisions business qui tiennent compte des risques |
|
|
| Évaluation des risques | Obtenir des données |
|
| Analyser les risques |
|
|
| Maintenir un profil de risque |
|
|
| Réponse aux risques | Articuler les risques |
|
| Gérer les risques SI |
|
|
| Réagir aux évènements |
|
|
Le rôle de l’audit interne dans la démarche ERM
- Réaliser une évaluation et du conseil visant à l’amélioration des opérations de la société.
- Donner à l’entreprise une plus grande sécurité sur la qualité de ses procédures et la maîtrise de ses risques.
- Informer des dysfonctionnements grâce à l’exécution
d’un plan d’audit annuel. - Conseiller les responsables sur leurs plans d’autocontrôle et participer à la mise en place des procédures et outils nécessaires pour contrôler les risques.
- Veiller à la pertinence et à l’observation par les entités opérationnelles des procédures de contrôle sous leur responsabilité.
- Être une force de proposition en matière d’organisation lorsque celle-ci présente des risques de
dysfonctionnement ou de coûts non maîtrisés. - Participer au renforcement et la diffusion d’une culture de contrôle interne afin d’assurer l’efficacité de la maîtrise des risques.
Source : Scor.
Denis Kessler, président de Scor : « L’entreprise, grande gestionnaire des risques »
« L’entreprise est de plus en plus sommée de prendre en charge les risques de nos contemporains », affirme Denis Kessler, président de Scor, société spécialisée dans la réassurance. Ainsi, « le législateur, le juge, les médias transfèrent chaque jour de nouveaux risques et de nouvelles responsabilités à la charge de l’entreprise ».
Denis Kessler dresse trois constats : l’univers des risques est en expansion, l’entreprise est devenue la grande gestionnaire des risques et les systèmes d’information sont au cœur des risques d’entreprise. L’univers des risques est en croissance, d’une part parce des anciens risques sont plus présents que jamais (risques naturels, concentration de la population dans des zones urbaines et dans les zones les plus risquées de la planète, croissance des pertes potentielles du fait de l’enrichissement économique) et, d’autre part en raison de la multiplication des nouveaux risques (développement des réseaux, nucléaire, champs électromagnétiques, OGM, changement climatique…).
En outre, les risques sont de plus en plus complexes de moins en moins contrôlables. Et la perception des risques se trouve aggravée, avec un sentiment croissant de vulnérabilité.
L’entreprise devient la grande gestionnaire des risques, avec la remise en cause des protections traditionnelles (la famille, l’état…) et un transfert de responsabilité collective sur le chef d’entreprise : « On observe l’omniprésence de l’entreprise dans les événements de la vie quotidienne, le lien du salarié à l’entreprise est plus durable que le lien du mariage, l’entreprise est la seule structure économique réellement solvable à travers le temps et la propriété est exploitée par la jurisprudence et jamais contredite par la loi », insiste Denis Kessler. De fait, « l’entreprise est responsable de tout devant tous », ajoute le président de Scor.
C’est d’abord une responsabilité au-delà des frontières de l’entreprise (vis-à-vis des salariés, anciens salariés, clients, fournisseurs et actionnaires). C’est ensuite une responsabilité de plus en plus étendue et, enfin, une responsabilité de plus en plus sanctionnée, avec, notamment la multiplication des contrôles externes et des sanctions pécuniaires, pénales et « réputationnelles » accrues.
Ce contexte a fait évoluer la gestion des risques dans l’entreprise, par l’assurance, le transfert de risque vers les marchés financiers et un risk management qui devient global et intégré, avec l’identification et la cartographie des risques, la définition de procédures internes de gestion et de contrôle des risques, l’optimisation de la stratégie de couverture (portage/cession) des risques et l’accumulation d’un capital suffisant pour faire face au risque (Value at Risk).
De fait, le contrôle des risques d’entreprise repose de plus en plus sur les systèmes d’information. « Le contrôle des risques suppose l’accumulation d’informations pour mémoriser les activités passées de l’entreprise et lui permettre ainsi d’assumer ses responsabilités juridiques, pour dresser le tableau de la situation de l’entreprise en temps réel et lui permettre d’en avoir une vue en temps réel (exposition à tel actif), pour détecter les anomalies (transaction non autorisée ou suspecte) et pour contrôler les risques dans la mesure où l’identification des déviations par rapport aux anticipations suppose le traitement d’une quantité importante d’information », détaille Denis Kessler.
La maîtrise des risques repose sur l’efficience des systèmes d’information pour au moins deux aspects. D’une part, pour anticiper les risques : cela suppose de développer des modèles utilisant des systèmes d’information sophistiqués. D’autre part, « pour tester les « stratégies contingentes » : cela suppose des modèles encore plus complexes, intégrant des processus d’optimisation complexes encore plus exigeants en matière de performance des systèmes d’information », précise Denis Kessler.