S’attaquer aux risques liés à la technologie | KPMG | CA

S’attaquer aux risques liés à la technologie

S’attaquer aux risques liés à la technologie

Nouvelles questions dans un environnement en pleine évolution.

Associé leader national, Produits forestiers

KPMG au Canada

Contacter

Contenu connexe

S’attaquer aux risques liés à la technologie

Constamment connectée, la société d’aujourd’hui offre des avantages exceptionnels tant aux particuliers qu’aux entreprises. Toutefois, cette réalité a un prix, particulièrement pour les sociétés qui dépendent fortement de systèmes technologiques complexes. Pour s’en convaincre, il suffit de penser à la récente faille qui a compromis la sécurité de données concernant les cartes de crédit de 40 millions de clients de Target et qui a contribué à la démission de son chef des technologies et de son chef de la direction.

Les membres des comités d’audit savent que la technologie peut présenter des risques graves pour la réputation et la rentabilité de l’organisation. Toutefois, ils peuvent avoir de la difficulté à définir les paramètres de ces risques et à évaluer le moment à partir duquel l’intervention du comité d’audit devient nécessaire.

Le point critique

De nos jours, étant donné la mesure dans laquelle les organisations dépendent de la technologie, les technologies de l’information (« TI ») rejoignent plus souvent que beaucoup ne le pensent le mandat du comité d’audit consistant à surveiller les activités entreprises en matière de gestion des risques.

Dans le cas d’une défaillance des systèmes de TI d’une société internationale par suite d’une catastrophe naturelle ou d’une autre perturbation des activités imprévue, les pertes sur les ventes et les pertes de productivité peuvent s’accumuler de manière alarmante. Souvent, si la plateforme Web d’une société tombe en panne ou est l’objet d’une cyberattaque, la société peut subir des pertes financières ou une atteinte à sa réputation pouvant avoir des répercussions sur la présentation de son information financière. Des pertes semblables peuvent également avoir lieu si des politiques relatives aux médias sociaux ne sont pas adoptées et mises en application.

Pour compliquer les choses, de nombreuses sociétés ont freiné leurs dépenses en immobilisations au cours du récent ralentissement économique – y compris leurs dépenses liées aux projets de TI. Par conséquent, ces sociétés pourraient dépendre dans une trop large mesure de systèmes vieillissants qui sont incapables de répondre à l’évolution constante des demandes liées au commerce électronique. Cette situation comporte ses propres risques.

Gestion des risques

Évidemment, la plupart des sociétés ont adopté diverses stratégies d’atténuation des risques liés aux TI. Par exemple, les sociétés participant à des projets majeurs de TI doivent habituellement faire approuver le budget par leur conseil avant d’aller plus loin. En règle générale, la direction adopte également des processus destinés à minimiser les risques liés aux TI.

Pour leur part, que devraient faire les comités d’audit? À tout le moins, les membres des comités d'audit devraient comprendre les processus d’atténuation que la direction a mis en place et sur lesquels elle s’appuie. Dans le cas des organisations exposées à des risques élevés, les comités d’audit sont susceptibles de devoir assurer une participation et une surveillance accrues, ce qui pourrait inclure ce qui suit :

  • Poser les bonnes questions – Afin de comprendre les répercussions que les risques liés à la technologie pourraient avoir sur la présentation de l’information financière, les comités d’audit doivent rester au fait des risques liés aux TI de la société et des projets connexes. En plus de demander au chef de l’information ou au chef des technologies de partager avec eux l’information qu’ils détiennent relativement aux projets de TI envisagés, les membres des comités d’audit devraient aussi se renseigner sur les stratégies de la société en matière de technologie, y compris les coûts connexes, et connaître les mesures prises par la direction pour atténuer les risques et les menaces identifiés;
  • Ajouter les TI comme point permanent à l’ordre du jour du comité d’audit – Plutôt que de simplement inviter la direction des TI, ainsi que des experts et conseillers externes, à communiquer avec le comité sur une base annuelle, les membres des comités d’audit d’organisations qui entreprennent des projets majeurs de technologie ou qui sont particulièrement exposées aux risques liés aux TI devraient soulever ces questions à chaque réunion pour s’assurer d’être au courant des risques émergents;
  • Attirer des membres de comités d’audit qui ont une expertise pertinente – Les sociétés qui entreprennent fréquemment des projets de TI complexes peuvent vouloir adjoindre au comité d’audit un expert spécialisé en TI ou, à tout le moins, affecter un expert externe pendant une durée déterminée au cours de la période de transition.Gestion de la charge de travail.

Gestion de la charge de travail

Étant donné l’ampleur croissante de leur ordre du jour, de nombreux comités d’audit sont réticents à ajouter de nouveaux éléments à la liste. C’est compréhensible. Après tout, les TI ne représentent pas le même niveau de risque pour toutes les organisations. Avant de l’ajouter à titre de point permanent à l’ordre du jour, les comités d’audit devraient évaluer la mesure dans laquelle leur organisation peut être exposée à ces risques en posant les questions suivantes : 

  • À quel point la société dépend-elle des TI?
  • Nous lançons-nous dans des changements majeurs de nos systèmes?
  • Quels plans de reprise après sinistre sont en place pour faire face aux cas de panne des systèmes?
  • Quelles sont les mesures de sécurité existantes pour prévenir une atteinte à la protection des données ou une cyberattaque?
  • Nos systèmes peuvent-ils continuer de générer des rapports financiers exacts en cas de perturbations technologiques?
  • La société possède-t-elle l’expertise appropriée pour atténuer les risques liés aux TI?

À mesure que les sociétés évoluent, les risques que doivent examiner les comités d’audit changent également. Afin d’assurer une surveillance appropriée de l’information financière, les comités d’audit devraient déterminer si leur exposition aux risques liés aux TI s’accroît, et prendre des mesures en vue d’atténuer ces risques avant qu’ils n’aient une incidence importante sur les états financiers de la société.

Communiquez avec nous

 

Appel d’offres

 

Soumettre