Loi SOX, deuxième manche?
Par Jim Carroll
 Tandis qu'une bonne partie du milieu de la comptabilité dirige son attention vers les complexités et les questions liées à la Loi Sarbanes-Oxley (SOX) et aux autres nouveautés réglementaires de la dernière année, je vous suggère de vous préparer au prochain enjeu majeur qui touchera la gouvernance. Peut-être devrions-nous l'appeler «la 2e manche de SOX».
En effet, si vous ne portez pas la question de la sécurité du réseau et de la structure de l'entreprise à l'attention du conseil d'administration et vite, vous pourriez bientôt subir des conséquences plutôt néfastes, tant sur le plan réglementaire que juridique.
Pendant des années, la sécurité des ordinateurs et des réseaux a été laissée entre les mains des services de TI. La plupart d'entre eux essaient de faire ce qu'il faut, mais ce n'est pas chose facile lorsque ces services manquent cruellement de fonds et sont négligés par la direction. Dans d'autres cas, les responsables des TI prennent des décisions désastreuses relativement aux plateformes technologiques critiques, ou ils ne prennent pas les moyens de construire une plateforme fiable, robuste et sécuritaire qui soutiendra la société dans l'avenir.
Le résultat est que les services de TI ont fonctionné en vase clos. Je n'ai pas encore eu connaissance d'une organisation où la responsabilité de l'intégrité de la structure de l'entreprise relevait du chef de la direction et du conseil d'administration.
Depuis des années, je signale que ce n'est qu'une question de temps avant qu'on assiste à des poursuites en justice contre le conseil et la haute direction pour cause de négligence dans ce domaine. Au moment même où je rédige cette chronique, le ver Internet Sasser dévaste des réseaux d'entreprises partout dans le monde. La plupart de ces entreprises auraient pu éviter le problème en installant les mises à jour et correctifs très publicisés, mais n'ont pas pris la peine de le faire. Peut-être qu'elles étaient trop occupées, qu'elles n'avaient pas les fonds requis ou que la question n'était pas assez importante pour être soulevée au plus haut niveau de l'organisation.
Une telle apathie est sidérante lorsqu'on sait que, partout dans le monde, les organisations s'affairent à intégrer leurs systèmes de traitement d'opérations avec ceux de leurs partenaires commerciaux. Elles mettent au point de nouvelles façons de faire des affaires qui exposent des composantes essentielles de leurs systèmes financiers et comptables à de nouveaux risques. Les chefs de la direction et les conseils ne sont certainement pas au courant que ces systèmes critiques sont construits sur une plateforme logicielle instable tellement criblée de bogues et de failles de sécurité que, s'ils ont jusqu'ici réussi à éviter la catastrophe, c'est qu'ils ont eu de la veine.
Une telle négligence entraînera bientôt de sérieuses conséquences économiques. Si j'étais avocat, je saliverais en pensant aux opportunités à venir. Vous croyez que je prends la sécurité trop à cœur? Eh bien, songez à la recommandation récente du groupe de travail américain sur la gouvernance du National Cyber Security Partnership (NCSP), qui propose que les questions de sécurité liées au réseau et à la structure deviennent une responsabilité de gouvernance relevant du chef de la direction et du conseil. Le NCSP n'est pas un petit groupe de réflexion quelconque qui lance des affirmations fanatiques : il a été fondé en 2003 par la chambre de commerce des États-Unis, la Business Software Alliance et l'Information Technology Association of America. L'avertissement est donc lancé. Occupez-vous des questions de sécurité et d'infrastructure avant qu'il ne soit trop tard.
Jim Carroll, FCA ( jcarroll@jimcarroll.com ou www.jimcarroll.com ), est un auteur, chroniqueur et conférencier bien connu.
|
|
|
