Audit de la gouvernance des SI : ce qui change pour les DSI

Le colloque organisé en juin dernier par l’Afai, le Cigref et l’Ifaci sur la gouvernance de l’entreprise numérique a été l’occasion de rappeler les bonnes pratiques dans ce domaine. Et de s’interroger sur les missions de l’audit et l’avenir de la fonction SI.

Dans les entreprises, quels sont les deux métiers qui peuvent appréhender, par leur vision et leur expérience, le paradoxe « entre la frilosité et la flexibilité, entre une hiérarchie intangible et un centre qui occupe tout l’organigramme », dans un contexte où « plus que jamais, la coopération entre les métiers, la fluidité des processus et le couple vitesse-discernement fondent la différence compétitive ? » Réponse, proposée par le document de référence issu d’un groupe de travail commun entre le Cigref (Réseau de grandes entreprises), l’Afai (Association française de l’audit et du conseil informatiques) et l’Ifaci (Institut français de l’audit et du contrôle internes) : l’informatique et l’audit. L’interdépendance de ces deux métiers devient encore plus cruciale dans l’entreprise numérique. Ce thème a été le pivot du dernier colloque organisé par l’Afai, le Cigref et l’Ifaci, en juin dernier.

L’entreprise numérique amène les DSI à jouer de nouveaux rôles : « Quand on parle système d’information, on ne parle pas d’informatique », rappelle Régis Delayat, DSI du groupe Scor, qui identifie les impacts multiples de la « e-transformation des entreprises » sur la fonction SI : « L’appropriation du SI par les métiers, le décalage des SI par rapport aux attentes des entreprises, le SI qui devient acteur de l’offre de l’entreprise, un portefeuille de projets et des budgets en augmentation, le focus sur la gestion de l’information et des données en assurant une cohérence de globale, le renforcement de la sécurité, du contrôle interne, de la mise en conformité, et une dualité des systèmes entre production robuste et solutions agiles... » D’où un challenge plutôt difficile qui consiste à « gérer à la fois la complexité et la réactivité », résume Régis Delayat.

Ce dernier dessine le profil du DSI de demain : « On peut prévoir un DSI chef d’orchestre, entre pilote des changements et garant de la cohérence, leader de la transformation de l’entreprise, et plus que jamais au carrefour des échanges en interne et avec l’externe. Je crois à ce scénario. »

Audit et DSI : vers un rapprochement fonctionnel

De fait, dans un tel contexte, les modes de gouvernance s’en trouvent modifiés. Farid Aractingi, directeur Audit et maîtrise des risques de Renault rappelle qu’auparavant, « le directeur de l’audit interne était vu comme "l’homme de l’assurance", aujourd’hui il est davantage positionné comme un partenaire métiers, avec accès direct à la direction générale, avec un recentrage sur les sujets de gouvernance, les processus transversaux et les sujets qui "grattent" ».

On observe ainsi, de plus en plus, un rapprochement fonctionnel entre la gestion des risques, le contrôle interne et l’audit interne : « La moitié des entreprises ont d’ores et déjà réalisé un tel rapprochement entre ces trois fonctions », assure Farid Aractingi. Après une décennie qui a suivi les scandales financiers comme ceux d’Enron ou de Worldcom et considérablement renforcé les contrôles et les pratiques de gouvernance : « Le slogan de la gouvernance moderne est : formalisation-transparence-pouvoir de dire non », résume Farid Aractingi, pour qui « de nombreux dysfonctionnements naissent par manque de formalisation, dans des contextes d’urgence où il faut être plus réactif, mais au nom de cette flexibilité, on risque de négliger cette exigence de formalisation. »