Audit : la montée en puissance inéluctable du numérique
La numérisation généralisée de l’activité économique n’est pas sans impact sur le travail des commissaires aux comptes. L’audit des systèmes d’information constitue désormais « un enjeu de souveraineté et de sécurité pour tous », estime Nathalie Malicet, la présidente de la commission Prospectives et Innovation au sein de la Compagnie nationale des commissaires aux comptes. L’entité organisait, le 15 février dernier, la deuxième édition de sa journée « Confiance numérique ».
Actu-Juridique : Qu’est-ce que la « Confiance Numérique » ?
Nathalie Malicet : La Compagnie nationale des commissaires aux comptes part du postulat que l’auditeur légal, autrement dit le commissaire aux comptes, est un acteur de la confiance primordial pour la sphère économique puisqu’il apporte, au travers de sa signature, une garantie sur la fiabilité et la transparence des informations qu’il audite. Chacun connaît historiquement notre travail réalisé sur les informations dites « financières » et les comptes annuels des entreprises. À cela s’ajoute dorénavant l’évaluation des informations liées à l’impact environnemental et social des entreprises dans le cadre de la directive européenne « CSRD ». Cet ensemble, financier et extra-financier, est dorénavant impacté par la numérisation des données. D’une réalité visible et physique, nous sommes passées ces vingt dernières années à des flux informatiques presque exclusifs. Le commissaire aux comptes s’est donc adapté à ce changement et depuis plusieurs années s’intéresse de près à la sécurité des systèmes d’informations et des processus numériques. Il s’agit d’un enjeu de souveraineté et de sécurité pour tous. La confiance, valeur cardinale pour notre profession, s’est ainsi transformée elle-même. Elle s’est élargie aux champs du numérique et des données devenus essentiels pour les entreprises et les consommateurs.
Actu-Juridique : Pourquoi précisément l’évaluation des systèmes d’informations est aujourd’hui un enjeu majeur pour les entreprises ?
Nathalie Malicet : Il y a deux raisons à cela. La première concerne le domaine de la « conformité ». Pour rassurer ses clients et partenaires, une entreprise peut vouloir certifier son engagement dans une démarche de mise en conformité par rapport, par exemple, au règlement général sur la protection des données (RGPD). La seconde, quant à elle, s’inscrit dans une démarche interne pour les entreprises qui voudraient s’assurer de la bonne la sécurité de leurs systèmes d’informations. Le numérique occupe aujourd’hui une place si centrale dans la vie interne d’une entreprise qu’il peut être utile de contrôler que ses données, ses processus, répondent aux critères légaux de confidentialité et de sécurité exigés. Et ce pour définir ensuite d’éventuelles pistes d’améliorations. À l’heure où les cyberattaques représentent un risque majeur pour les entreprises, le commissaire aux comptes a un rôle important de sensibilisation de la gouvernance sur ce sujet. Par sa connaissance des systèmes d’informations, de la criticité des données et des applications, le commissaire aux comptes peut inciter les entreprises à améliorer leur résilience face aux cyber-risques. N’oublions pas que la dimension « protection des données » est aussi au cœur du sujet « durabilité », nouveau champ d’intervention pour les commissaires aux comptes.
Actu-Juridique : Vous venez de présenter une série de fiches techniques, destinée aux professionnels, sur « la prise en compte du système informatique dans la démarche d’audit ». Concrètement, comment évaluez-vous un système informatique ?
Nathalie Malicet : En résumé, ces fiches permettent pour le commissaire aux comptes (dans le cadre de sa mission de certification des comptes) de bien prendre en compte l’incidence de l’informatique dans sa démarche d’audit. En clair, dans un mouvement extrêmement important de dématérialisation des données et des activités des entreprises, le commissaire aux comptes doit mesurer si les méthodes déployées en ce sens sont les « bonnes » pour justifier d’informations fiables et transparentes. Les contrôles de sécurité sont-ils efficaces ? Les logiciels utilisés sont-ils efficients ? Quel salarié à accès à quelles informations ? Voilà certaines des questions auxquelles doit répondre le commissaire aux comptes. Pour y parvenir, le professionnel prend d’abord connaissance, d’une manière globale, du système d’information et du système informatique de l’entreprise. Ensuite, il se familiarise avec les logiciels qui concourent à l’élaboration des états financiers de la société, et s’informe enfin sur les sources et des contrôles automatisés mis en place en interne.
Actu-Juridique : Affirmeriez-vous que le numérique a fait évoluer fondamentalement votre métier ? Les plus expérimentés de vos confères sont-ils bien au fait des problématiques numériques ?
Nathalie Malicet : 25 années d’expériences professionnelles me permettent de dire objectivement et sans hésitation que notre métier a profondément changé ! Néanmoins, le sujet du numérique n’est pas du seul apanage des jeunes. Il serait faux de croire qu’il y a d’un côté de jeunes confrères qui sauraient naturellement et facilement évoluer dans un environnement numérique et les autres qui auraient plus de mal car ils ont débuté dans une époque radicalement différente. La question n’est pas générationnelle en la matière. Beaucoup de mes confrères ont su parfaitement s’adapter et changer leurs méthodes d’audit. À ce titre, la Compagnie Nationale a développé une offre de formation de haut niveau auprès de ses membres. Je rappelle à ce titre que la formation continue est une obligation majeure du commissaire aux comptes à l’instar du respect de la déontologie. Cela fait des années déjà que nous travaillons à l’acculturation des professionnels au sein de la commission Prospectives & Innovation que je préside. Nous avons aussi développé plusieurs outils d’analyse de données et de datavisualisation mis à disposition des professionnels et de leurs collaborateurs pour réaliser leur mission d’audit. Aujourd’hui, cette nouvelle dimension de nos méthodologies d’audit est un lien d’attractivité pour les jeunes.
Actu-Juridique : Comment le numérique impactera-t-il davantage votre profession à court terme ?
Nathalie Malicet : Il y a, il me semble t il, trois évolutions technologiques qui continueront de transformer l’activité des entreprises et donc celle des auditeurs. La première concerne l’externalisation des données. L’accumulation d’informations numériques oblige de plus en plus les entreprises à recourir à des prestataires externes, des hébergeurs, pour les conserver. Le « cloud », comme on l’appelle, n’est pas sans poser une série de problématiques notamment en matière de cybersécurité. Et dorénavant, ce ne sont plus que les très grandes entreprises qui sont concernées par ce défi. Le commissaire aux comptes doit donc s’assurer que ces hébergeurs déploient les efforts adéquats pour assurer la sécurité des données qui leurs sont confiées. D’autre part, en lien avec cette première évolution, la pandémie a eu pour effet d’accélérer drastiquement la numérisation de toutes les tâches des entreprises. La mission d’audit du commissaire aux comptes s’en trouve logiquement impactée. Enfin, nous observons depuis quelques années un éclatement des solutions exploitées par les entreprises. Autrement dit, les entreprises utilisent de plus en plus une série de logiciels ou de services très différents pour satisfaire leurs besoins. Or cette « plateformisation », comme je l’appelle, peut, elle aussi, avoir des effets néfastes. Le commissaire aux comptes doit dès lors vérifier la sécurité de chacun de ces outils pour contrôler qu’il n’y a pas, par exemple, de fuites de données.
Globalement, vous l’aurez compris, ces transformations appellent toutes à une vigilance accrue en matière de sécurité informatique. Les professionnels, très actifs en la matière, veillent à sensibiliser les chefs d’entreprise. En avril prochain, la Compagnie signera d’ailleurs un partenariat avec le commandement cyber de la gendarmerie, sur le même modèle que celui que nous avons déjà signé avec la police judiciaire, pour renforcer son action sur cette problématique.
Référence : AJU008b3