Qui s'occupe de la gestion des risques des systèmes d'information dans les entreprises françaises ? Et comment ? C'est à ces deux questions qu'une enquête conduite par le cabinet Mazars tente de répondre après avoir interrogé 134 sociétés. En voici les principaux enseignements : - 34% ses entreprises interrogées sont soumises à une réglementation spécifique en matière de contrôle interne (Bâle 2, Solvency 2, Sarbanes Oxley, etc.). - Des entreprises plutôt sensibles à la maîtrise des risques 59% se disent moyennement sensibilisées, 29% fortement sensibilisés. Par ailleurs, 61% des entreprises interrogées ont engagé une démarche de cartographie des risques. - 62% des entreprises interrogées intègrent un département d'audit interne . Toutes celles avec un CA supérieur à 400 M€ disposent d'un tel département. Mais 61% de ces départements d'entre eux ne disposent que d'un effectif inférieur ou égal à 5 auditeurs. - Les systèmes d'information sont au coeur des préoccupations (en théorie) 35% des entreprises perçoivent une forte exposition (et 47% une exposition modérée) aux risques liés aux systèmes d'information. Mais 38% des entreprises ne mettent pas en oeuvre d'audit de leur système d'information. [[page]] Ce décalage s'explique par différentes raisons : la rareté des compétences d'auditeur des systèmes d'information au sein de l'entreprise, la difficulté à convertir un objectif d'audit classique en objectif d'audit informatique, l'ignorance que certains pans d'une mission d'audit peuvent être totalement délégués, ou dévolus, à des auditeurs des systèmes d'information. Ce dernier point vise, bien sûr, à promouvoir les compétences du cabinet Mazars. - La charge relative impartie aux systèmes d'information au cours des missions d'audit reste assez limitée. Dans plus de 60% des entreprises, le ratio audit informatique / audit interne est inférieur à 25%. Il ne dépasse 50% que dans 8% des cas. - Les auditeurs internes des systèmes d'information sont encore rares dans les entreprises. Seuls 18% des entreprises disposent d'auditeurs spécialistes de l'informatique. Ils peinent à prendre leur autonomie par rapport à la DSI qu'ils sont supposés auditer et ils effectuent, dans 70% des cas, moins de cinq missions par an. D'après Mazars, 82% des entreprises ont fait le choix de ne pas avoir d'auditeurs dédiés aux systèmes d'information. Elles en estiment le coût trop élevé et considèrent que leurs besoins sont à la fois trop ponctuels, trop diversifiés et spécialisés. D'où l'intérêt à faire appel à des auditeurs externes, précise Mazars.