Loi de sécurité financière, contrôle interne et fiabilité des systèmes d’information
Par Philippe Touitou, Avocat au Barreau de Paris.
Publié dans le Journal du Net le 6 avril 2007 : http://www.journaldunet.com/solutions/expert/10894/loi-de-securite-financiere-controle-interne-et-fiabilite-des-si.shtml
La loi n°2003-706 du 1er août 2003 dite loi de Sécurité Financière (LSF) impose au président du conseil d’administration ou du conseil de surveillance de rendre compte, dans un rapport joint au rapport de gestion annuel, des conditions de préparation et d’organisation des travaux du conseil, ainsi que des procédures de contrôle interne mises en place par la société1.
Initialement appliquée à toutes les sociétés anonymes, l’obligation d’établir ce rapport a été ensuite limitée aux seules sociétés faisant appel public à l’épargne 2.
L’un des objectifs du contrôle interne est de prévenir et de maîtriser les risques résultant de l’activité de l’entreprise, notamment les risques d’erreurs ou de fraudes, en particulier dans les domaines comptable et financier. Le rapport doit donc rendre compte de l’ensemble des procédures mises en place par la société afin de prévenir et de maîtriser ces risques. Le contrôle interne ne consiste pas à garantir le « risque-zéro », mais à fournir des assurances raisonnables.
La rédaction du rapport de contrôle interne implique une analyse de la gestion des risques à tous les niveaux de l’entreprise, et n’est pas limité à son volet financier, au contraire de l’approche retenue dans les dispositions équivalentes de la loi Sarbanes-Oxley3. C’est la raison pour laquelle la DSI est particulièrement concernée par la loi de sécurité de financière.
Jusqu’à une date récente, il n’existait pas de référentiel français unanimement admis en matière de contrôle interne, comme le COSO américain4, dont les prescriptions sont reconnues par la SEC 5 pour l’application de la loi Sarbanes-Oxley.
Une recommandation conjointe de l’AFEP 6et du MEDEF 7préconisait une description synthétique des structures et des procédures de contrôle mises en place, se focalisant sur les éléments significatifs susceptibles d’avoir un impact sur le patrimoine ou les résultats de la société8.
L’Autorité des marchés financiers a publié le 22 janvier 2007 son troisième rapport sur le gouvernement d’entreprise et les procédures de contrôle interne des sociétés faisant appel public à l’épargne9 . Il a été élaboré à partir de l’analyse des informations publiées par un échantillon de 109 sociétés cotées et émetteurs obligataires. Près de 40% des sociétés de l’échantillon précisent le référentiel utilisé pour l’élaboration de leur rapport. Parmi celles-ci, 83% indiquent avoir appliqué un référentiel s’inspirant, pour une large partie, du référentiel COSO.
Ce rapport intervient après la publication par l’AMF, en mai 2006, d’un cadre de référence comprenant des principes généraux portant sur l’ensemble du processus de contrôle interne des sociétés, complété, en décembre 2006, par un guide d’application pour les procédures de contrôle interne relatives à l’information financière et comptable10.
L’AMF recommande l’utilisation de ce cadre de référence et du guide d’application à l’ensemble des sociétés faisant appel public à l’épargne en France. Le cadre de référence et le guide d’application n’ont pas vocation à être imposés aux sociétés, notamment celles soumises à un référentiel applicable par une autre réglementation, ni à se substituer aux réglementations spécifiques en vigueur dans certains secteurs d’activité, notamment le secteur bancaire et celui des assurances. Les sociétés sont donc invitées à préciser, dans le rapport du président, si elles se sont appuyées sur ce cadre de référence, complété du guide d’application, ou sur un autre référentiel, pour la rédaction du rapport. Cette recommandation est applicable aux rapports des présidents sur les procédures de contrôle interne relatifs aux exercices ouverts à compter du 1er janvier 200711.
Le cadre de référence ainsi établi est largement inspiré du COSO. Le contrôle interne y est envisagé comme un dispositif de la société, défini et mis en oeuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions, adaptés à chaque société, qui contribue à la maîtrise de ses activités, à l’efficacité de ses opérations, à l’utilisation efficiente de ses ressources, et doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le dispositif de contrôle interne vise plus particulièrement à assurer : – la conformité aux lois et règlements ; – l’application des instructions et des orientations fixées par la Direction Générale ou le Directoire ; – le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ; – la fiabilité des informations financières.
Il comprend cinq composantes étroitement liées : – Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés. – La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses responsabilités. – Un système visant à recenser, analyser les principaux risques identifiables au regard des objectifs de la société et à s’assurer de l’existence de procédures de gestion de ces risques. – Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour réduire les risques susceptibles d’affecter la réalisation des objectifs. – Une surveillance permanente du dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement
Le guide d’application relatif au contrôle interne comporte les prescriptions suivantes consacrées spécifiquement à l’organisation et à la sécurité des systèmes d’information12 : – la tenue de la comptabilité au moyen de systèmes informatisés implique qu’une organisation claire et formalisée soit établie, et que des dispositifs destinés à assurer la sécurité physique et logique des systèmes et données informatiques soient mis en place ; – les systèmes d’information ont été développés avec pour objectif de satisfaire aux exigences de sécurité, de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ; – l’organisation et le fonctionnement de l’ensemble du système d’information font l’objet de règles précises en matière d’accès au système, de validation des traitements et de procédure de clôture, de conservation des données, et de vérifications des enregistrements ; – il existe des procédures et des contrôles permettant d’assurer la qualité et la sécurité de l’exploitation, de la maintenance et du développement (ou du paramétrage) des systèmes de comptabilité et de gestion ainsi que des systèmes alimentant directement ou indirectement les systèmes comptables et de gestion ; – il existe des contrôles clés dans le système d’information (blocage des doubles saisies, existence de seuils à la saisie, accès limités pour les transactions critiques, rapprochements automatisés etc.) ; – les systèmes d’information relatifs à l’information financière et comptable font l’objet d’adaptations pour évoluer avec les besoins de la société ; – la société est en mesure de répondre aux obligations spécifiques de l’administration fiscale, notamment en matière de conservation des données comptables et fiscales.
Le cadre de référence est complété par deux questionnaires comprenant des dispositions sur la fiabilité du système d’information, l’analyse et la gestion des risques d’erreur ou de fraude.
A cet égard, les prescriptions du cadre de référence et du guide d’application de l’AMF peuvent être rapprochées de deux recommandations de la CNIL.
• La recommandation de la CNIL du 21 juillet 1981 relatives aux mesures générales de sécurité des systèmes informatiques :
Le CNIL rappelle qu’il appartient aux détenteurs de fichiers nominatifs de prendre, sous leur responsabilité, les mesures générales de sécurité concernant le contrôle de la fiabilité des matériels et des logiciels, ainsi que la capacité de résistance aux atteintes accidentelles ou volontaires extérieures ou intérieures. Pour ce faire, la CNIL préconise : – Une évaluation systématique des risques et une étude générale de sécurité pour tout nouveau traitement, avec un réexamen régulier pour les traitements existants. – Un effort d’information et de sensibilisation des catégories professionnelles concernées. – Une définition des mesures destinées à assurer la sécurité et la confidentialité des traitements et des informations, leur consignation dans un document de référence tenu à jour, la vérification du respect de ces prescriptions. – Une définition claire des responsabilités des personnels participant à la mise en oeuvre des mesures de sécurité.
• La recommandation de la CNIL du 11 octobre 2005 sur l’archivage électronique de données à caractère personnel :
La CNIL recommande que l’accès aux archives intermédiaires13 soit limité à un service spécifique (par exemple le service du contentieux) et qu’il soit procédé à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
Les archives définitives14 doivent être conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé, auprès d’un service spécifique, seul habilité à conserver ce type d’archives (par exemple la direction des archives de l’entreprise).
Dans tous les cas de figure, la CNIL conseille de recourir à un dispositif sécurisé permettant de garantir l’intégrité des données archivées lors de tout changement de support de stockage, et de mettre en œuvre un dispositif de traçabilité des consultations.
Le cadre de référence et le guide d’application publiés par l’AMF consacrent la sécurité du système d’information comme une composante essentielle du contrôle interne. Le rapport exposera donc les moyens mis en oeuvre pour assurer la sécurité du système d’information, parce que cette sécurité contribue à prévenir et à limiter les risques d’erreur ou de fraude, et concourt à garantir l’intégrité des informations comptables et financières de la société, stockées sur le système.
Philippe Touitou est avocat au Barreau de Paris. Il est co-auteur d’un ouvrage à paraître aux éditions Hermès, intitulé « La Sécurité informatique : réponses techniques, organisationnelles, et juridiques ».
1 Article 117 de la loi modifiant les articles L. 225-37 et L. 225-68 du code de commerce 2 Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l’économie (loi Breton). 3 En particulier dans la section 404 intitulée « Management assessment of internal controls » qui impose aux sociétés de prouver la performance de leurs systèmes de contrôle comptable. 4 Committee of Sponsoring Organizations of the Treadway Commission, organisme privé indépendant créé en 1985 auprès d’une commission nationale de l’information financière. Le COSO réalise des travaux tendant à l’amélioration de la qualité de l’information financière. 5 Stock Exchange Commission – Equivalent Américain de l’Autorité des Marchés Financiers. 6 Association Française des Entreprises Privées. 7 Mouvement des Entreprises de France. 8 Recommandation du 17 décembre 2003 relative à « L’application des dispositions de la loi de sécurité financière concernant le rapport du Président sur les procédures de contrôle interne mises en place par la société » – disponible sur le site du MEDEF : http://www.medef.fr/medias/upload/58136_FICHIER.pdf 9 http://www.amf-france.org/documents/general/7593_1.pdf 10 Disponibles sur le site de l’AMF : http://www.amf-france.org/documents/general/7602_1.pdf 11 Communiqué de Presse de l’AMF du 22 janvier 2007. 12 Paragraphe 1.1.5. du Guide d’application relatif au contrôle interne. 13 Les archives intermédiaires portent sur les données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux, et dont les durées de conservation sont fixées par les règles de prescription applicables. 14 Les archives définitives sont exclusivement constituées des données présentant un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction.