Quelle législation pour la Gouvernance IT ?
Les scandales financiers de 2001 ont été à l'origine d'un renforcement de la législation en matière de gouvernance d'entreprise. Nous avons vu que celle-ci a eu un impact indirect sur les SI. Après, la crise bancaire et financière dite des subprimes, on aurait pu s'attendre à un renforcement de la réglementation pour prévenir une nouvelle crise de cette nature.
Il n'existe pas de loi portant sur la gouvernance IT en tant que telle. C'est pourquoi dans notre démarche de description du cadre législatif, on s'intéresse aux réglementations sur le gouvernement d'entreprise. Nous allons donner un aperçu des textes incontournables qui impactent le SI.
Une première réponse : Sarbanes-Oxley
Intéressons nous d’abord à la loi phare, connue comme être à la naissance de la Gouvernance IT.
Les sénateurs Paul Sarbanes et Mike Oxley rédigent en 2002 une loi qui porte leurs noms : la loi Sarbanes-Oxley aussi communément appelée SOX. Votée à la quasi-unanimité par le congrès et le sénat américain le 25 Juillet 2002, elle est officiellement promulguée le 30 juillet 2002. Cette loi cherche à renforcer la qualité de la communication financière afin de rétablir la confiance du public, des épargnants et des investisseurs. Ce dispositif législatif concerne la régulation des investissements et s'articule autour de plusieurs objectifs :
- Responsabiliser davantage les dirigeants ;
- Garantir un meilleur accès à l'information et amélioration de la fiabilité ;
- Mettre en place des comités de vérification indépendants, chargés de superviser les processus de vérification ;
- Instaurer un organisme de réglementation et de surveillance : le PCAOB (Public Company Accounting Oversight Board). Il est en charge de contrôler les entreprises d'audit comptable.
Une des grandes spécificités de cette loi est son caractère extraterritorial. Les États-Unis exigent que toute entreprise cotée aux États-Unis respecte cette loi, qu’elle soit américaine ou non. Ainsi, plus de 300 entreprises françaises enregistrées auprès de la SEC (Securities and Exchange Commission, organisme fédéral américain de réglementation et de contrôle des marchés financiers) sont concernées.
La loi comporte soixante six articles qui portent globalement sur les dispositifs de contrôle et la régulation des instances des entreprises. Parmi ceux-ci, quatre concernent directement les départements IT, dont voici les grandes lignes :
- La gestion des documents traités dans le SIF de l'ERP doit fournir des protocoles d'audit afin d'avoir une visibilité claire des données financières ;
- Les sociétés doivent documenter et évaluer (annuellement) l'ensemble des dispositifs de contrôle interne impliqués dans les risques opérationnels. Ces dispositifs de contrôle s'appliquent donc à l'ensemble du SI ;
- Le SIF de l'ERP doit être en mesure de gérer les flux d'informations de façon immédiate afin d'offrir une visibilité et un contrôle en temps réel ;
- La gestion des documents dans le SI doit offrir des garanties d'intégrité, de complétude et de traçabilité des données.
Le volet français : la Loi de Sécurité Financière (LSF)
En France, un an après l’apparition du Sarbanes-Oxley Act et après la publication des travaux du groupe de travail présidé par Daniel Bouton (rapport Bouton), c’est au tour de la loi de Sécurité Financière d’être promulguée le 1er Aout 2003.
Tout comme Sarbanes-Oxley, LSF œuvre pour la transparence de l’activité de l’entreprise vis-à-vis de ses actionnaires. Pour cela, LSF entérine d’abord la création de l’Autorité des Marchés Financiers. Elle est le résultat de la fusion de trois anciens organismes français de contrôle des marchés financiers. Les deuxième et troisième volets portent sur la sécurité des épargnants et des assurés, et sur le contrôle légal des comptes.
Le président du conseil d’administration d’une entreprise devra présenter à l’assemblée annuelle des actionnaires, en plus du rapport habituel de gestion, un rapport concernant les procédés de contrôle interne mis en place par la société.
Selon la Compagnie nationale des Commissaires aux Comptes, le contrôle interne est "l'ensemble des politiques et procédures mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace des activités. Ces procédures impliquent la respect des politiques de gestion, la sauvegarde des actifs, la prévention et la détection des fraudes et des erreurs, l’exhaustivité et l’exactitude des enregistrements comptables et l’établissement en temps voulu d’informations comptables et financières fiables".
L’étude de SOX et LSF montre que les seules contraintes au niveau du Système d’Information sont d’une part la mise en place ou le renforcement des contrôles financiers internes et d’autre part la mise en place d’un système de gestion des risques.
Le référentiel COSO est considéré par la SEC comme suffisant pour répondre aux exigences de contrôle interne de SOX. De même, les cabinets d’audit français considèrent COSO comme satisfaisant au vu de la réglementation française.
On peut retenir qu'une partie des entreprises choisissent d'implémenter les recommandations décrites dans le référentiel COSO et ce à cause du caractère extraterritorial de SOX. A l'instar de Sarbanes-Oxley, LSF impose aux entreprises françaises cotées en bourse de voir leurs applications informatiques financières être réglementées.
Utilisé avec COSO, le référentiel CobiT suffit à répondre aux exigences réglementaires. On retrouve fréquemment la configuration suivante :
Figure 2 : Schéma de l'IT Gouvernance dans sa forme primitive
(source : IT Gouvernance, Frédéric Georgel, Éditions Dunod, 2ème édition, p.25)
Les scandales financiers et l'effet d'annonce de cette législation ont été un électrochoc qui a permis une prise de conscience de l'importance du SI pour l'activité de l'entreprise. Après les premières découvertes de fraudes financières, les actionnaires ont exigé des dirigeants des audits complets de leur entreprise. Dans de nombreuses entreprises, ces audits ont mis en lumière la "sous-performance" de leur SI et une rentabilité parfois limitée.
La législation a initié les entreprises à la gouvernance IT. C'est ensuite les entreprises elles-mêmes qui ont cherché à répondre à leurs problèmes en collaborant à la rédaction de référentiels de bonnes pratiques IT. On appelle ces derniers ouvrages les "outils de la gouvernance".