Maîtrise des risques IT : les trois aspects clé d'une externalisation réussie
A l'heure actuelle où l'externalisation et la virtualisation font partie du quotidien des grands groupes et des PME, trois aspects clés doivent rester au centre d'attention des DSI : les certifications des prestataires qui garantit une meilleure maitrise des flux financiers, l'intégration de la fonction 'gestion de risques' dans la stratégie globale de l'entreprise, enfin, il est important de s'assurer du bon partage de la culture commune du risque entre les équipes internes et externes.
Cette tribune a été réalisée avec Fabrice Garnier de Labareyre, associé chez PWC.
Publicité98% des entreprises considèrent les Technologies de l'Information comme stratégiques pour le développement de leurs activités ; 74% des instances dirigeantes des entreprises ont inscrit la gestion des risques des Technologies de l'Information à leur ordre du jour. Ces informations sont issues de la dernière étude menée conjointement par l'IIA (Institute of Internal Auditors) et PwC en 2007 sur le thème de la gestion des risques informatiques.
Aujourd'hui les risques ne se limitent plus au simple incident réseau bloquant toute l'activité d'une BFI (Banque de Financement et d'Investissements), par exemple, ou au retard du projet ERP ralentissant le développement de l'entreprise mais avec l'émergence du principe d'entreprise étendue, c'est la maîtrise de bout en bout du Système d'Information qui est posée.
En effet, le recours à l'externalisation sous toutes ses formes grâce à l'évolution des technologies autour de l'internet et de la technique comme le « cloud computing », la virtualisation fait déborder le Système d'information de l'entreprise pour l'ouvrir à ses partenaires comme ses clients et fournisseurs.
Le marché peut voir d'un mauvais oeil l'émergence des nouveaux centres de compétences « off-shore » (1). En effet, l'externalisation et la délocalisation de certains services, en plus des risques d'image sociale toujours présents, peuvent engendrer une crainte de voir des standards de qualité dégradés après l'implantation à l'étranger (2) ou encore l'appréhension liée à une potentielle protection insuffisante des actifs metiers.
Pour répondre à ces problématiques, les certification SAS 70, SySTrust, WebTrust, etc... permettent aux entreprises qui font appel à des sociétés spécialisées pour externaliser certains de leurs services, de pouvoir contrôler la qualité du service proposé (3). Ces certifications sont délivrées par des cabinets ou auditeurs indépendants et apportent une assurance sur le niveau de qualité des services fournies par le prestataire.
En outre, une meilleure maîtrise de l'information financière permet, dans le cadre des nouvelles réglementations de type Bâle II ou Solvabilité II (4), des actions ciblées via une gestion active du capital (optimisation de l'exigence de fonds propres, planification des immobilisations stratégiques, projections, ...).
Une absence d'interruption de l'activitest possible grâce à un PCA robuste, actualisé et testé régulièrement, les pertes exceptionnelles dues à des sinistres sont minimisées et l'image de l'entreprise est conservée en toute circonstance, voire renforcée consécutivement à une gestion de crise optimisée. La continuité d'activité (5) est devenue un levier de différentiation dont le périmètre a tendance à s'étendre au vu du contexte actuel.
PublicitéLorsque l'IT est impliqué dans l'ensemble des processus, aussi bien métiers que supports, la coordination de la fonction Maîtrise des risques s'établit de manière transversale avec les fonctions Audit interne, Contrôle interne et les métiers. En procédant de cette manière, les exigences et référentiels de contrôle interne sont renforcés : l'éventail des risques est identifié et couvert à tous les niveaux de l'entreprise.
Afin d'adresser les problématiques de sécurité des Systèmes d'information, il est nécessaire d'intégrer dans la stratégie globale de l'entreprise 6 la gestion du risque et le pilotage économique de la sécurité de l'information.
Dans ces nouvelles configurations, il est essentiel de diffuser une culture commune du risque au sein des équipes externes ou offshore, et de faire adhérer ces dernières à des référentiels communs. La communication entre internes et externes / offshores s'en voit par ailleurs facilitée.
Notes
1 PricewaterhouseCoopers, Managing The Risks Of Establishing A Successful Shared Service Centre - Background, 7 Juillet 2009.
2 McKinsey&Company, McKinsey on Business Technology, "Managing IT transformation on a global scale: An interview with Shell CIO Alan Matula", N° 19 Spring 2010.
3 PricewaterhouseCoopers, Shared Services & Outsourcing Methodology, Part C. Identify, assess and manage sourcing risks, 13 Novembre 2007.
4 PricewaterhouseCoopers, Countdown to Solvency II, "Bridging Risk to Capital", Juin 2009
5 Gartner, Predicts 2010: The Role of Business Continuity Management Continues to Expand and Extend, 18 Novembre 2009.
6 PricewaterhouseCoopers, La question du dirigeant, « La sécurité de l'information, pourquoi doit-elle être fixée par la stratégie et non la technologie ? », 2 février 2010.
Article rédigé par
Patrick Akiki, Senior Manager chez PWC
Patrick Akiki est Senior Manager chez PWC, spécialisé en amélioration de la performance risques et contrôle interne.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire