Normes et Réglementations

Impact des Normes et Réglementations sur le risque opérationnel

Quelles soient nouvelles ou plus anciennes, les réglementations (souvent suite à des affaires retentissantes) obligent les entreprises à appliquer les normes IAS - IFRS depuis 2005. Mais aujourd'hui les entreprises n’ont pas toutes mis en place une gestion des habilitations permettant d’être en conformité et d’assurer la gouvernance.

Les nouvelles technologies et les outils qui y sont liés peuvent faciliter l'intégration de ces nouvelles normes, notamment lors de la consolidation des comptes. Pour valider ceux-ci, l’entreprise se doit de démontrer qu’elle peut savoir à tout moment « Qui a le droit à Quoi, comment et Pourquoi ».

Voici quelques normes et règlementations actuellement en vigueur :

• Bâle 3

  Le Pilier 2 de cette réglementation Bâle 3 impose une Gouvernance plus stricte :

  Le but du contrôle de la gouvernance interne est de s’assurer que le corps managérial est expressément, en toute transparence, responsable de sa stratégie, de son organisation et de sa gouvernance interne.

  
  

  Le comité de Bâle définit le risque opérationnel comme le "risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes".

  
  

  Cette définition signifie que le risque de perte peut provenir :

  • d’une défaillance du système informatique sur lequel travaille un personnel de l’organisme financier
  • d’une erreur, d’une défaillance ou d’une intention frauduleuse du personnel.

  
  
• ISO 27001

  En qualité de Responsable de la Sécurité du Système d’Information, vous êtes le garant de la qualité des informations, de leur origine et de leur exploitation. Cette norme impose une démarche qui garantit la qualité de ces informations.
  

• LSF

  La Loi de Sécurité Financière (LSF), aussi appelée Loi Mer s'applique à toutes les sociétés anonymes ainsi qu'aux sociétés faisant appel à l'épargne publique ; ces dispositions sont applicables pour les exercices comptables ouverts à partir du 1er janvier 2003.

  Comme la loi américaine Sarbanes-Oxley, la loi de sécurité financière repose principalement sur

  • Une responsabilité accrue des dirigeants
  • Un renforcement du contrôle interne
  • Une réduction des sources de conflits d'intérêt

  
  

  La rédaction du rapport de contrôle interne implique une analyse de la gestion des risques à tous les niveaux de l'entreprise, et n'est pas limité à son volet financier, au contraire de l'approche retenue dans les dispositions équivalentes de la loi Sarbanes-Oxley. C'est la raison pour laquelle la DSI est particulièrement concernée par la loi de sécurité financière.

  
  
• PCI DSS

  Le PCI DSS (Payment Card Industry Data Security Standard) est un standard de sécurité s'adressant aux entreprises qui stockent, traitent ou transmettent des données des cartes de paiement.

  Dans le but de protéger ces données contre le piratage et la fraude, le PCI DSS préconise un ensemble de points de contrôle (environ 900, à la fois techniques et organisationnels) répartis selon 12 règlements, auxquels les sociétés manipulant des données de cartes bancaires doivent se conformer via des audits de certification.

  
  
• Solvency 2

  Dans la lignée de Bâle III, Solvency II est la réforme réglementaire européenne pour les métiers de l'assurance.

  
  

  Le contrôle interne et la gouvernance y ont une grande place. Toute défaillance humaine volontaire ou non doit être prise en considération. Une connaissance accrue des accès au SI est indispensable.

  
  
• SOX

  (autrement nommée loi Sarbanes-Oxley, Loi Sarbox ou Loi SOA)
  Les sociétés, américaines ou non, cotées au NYSE (New York Stock Exchange), sont depuis cette loi du 31 juillet 2002, soumises à de nouvelles règles sur la comptabilité et la transparence financière.

  Outre une obligation pour les présidents et les directeurs financiers de certifier personnellement les comptes, cette loi oblige de nommer des administrateurs indépendants au Comité d’audit du Conseil d’administration. Parmi les points d’évaluation et de contrôle de ce Comité on retrouve :

  • Au niveau de l’organisation générale de l’entreprise, le Système d’information satisfaisant aux besoins de l’entreprise en termes de suivi d’activité, de Reporting financier et de sécurité des traitements (contrôles de cohérence, traçabilité, environnement sécurisé).
  • Au niveau de l’organisation de l’unité de production comptable, le processus d’identification et de gestion des risques liés à l’activité et au traitement de l’information comptable et financière
  • Le processus de traitement et de production de l’information comptable et financière

  En d’autres termes, cette loi oblige à un Contrôle interne du facteur humain des plus vigilants avec la mise en place d’activités de contrôle, définies comme règles et procédures pour traiter les risques.

  
  

C’est dans cette optique que Kleverware propose des solutions innovantes, flexibles pour aider les opérationnels et responsables de la sécurité dans des taches qui ne sont pas toujours simples, souvent fastidieuses, quand il s’agit d’avoir une vue consolidée des habilitations.

La réponse avec Kleverware IAG : ► Conformité ► Comparaison ► Reporting ► Contrôle permanent