L`externalisation, sécurité et protection accrues des données

WIRTSCHAFTSINFORMATIK
Ulrich Brügger, Mit Outsourcing zu mehr Sicherheit und Datenschutz
handlung der Applikationen, die im
Rahmen der Revision untersucht
werden, verlangen.
Wird auf das von der ISACA vorgeschlagene COBIT-Modell Bezug genommen, schliesst der Prüfauftrag des
«Es braucht Jahre, um den Ruf
eines sicheren Unternehmens zu schaffen;
Sekunden um ihn zu verlieren.»
– Er kann schliesslich beim Dienstleister Einhalteprüfungen durchführen.
5.2 Interne Revision
Die Rolle der internen Revision ist
schwergewichtig anders gelagert als die
externe, weil sie auch die Überprüfung
der Umsetzung der Gesamtstrategie der
Unternehmensleitung (Governance)
erfasst.
internen Revisors alle Kriterien mit ein,
das heisst: Wirksamkeit, Wirtschaftlichkeit, Vertraulichkeit, Integrität und
Verfügbarkeit, Einhaltung rechtlicher
Erfordernisse (Compliance) und Zuverlässigkeit.
Ob ein Outsourcing-Vertrag korrekt
erfüllt wird, kann nur dann überprüft
werden, wenn zuvor messbare Ziele
festgelegt worden sind. Im Informa-
tikbereich zählt z.B. die Version 3 des
COBIT für jeden Prozess und für jedes
Kontrollziel eine Liste von Erfolgsfaktoren mit entsprechenden Indikatoren
auf.
Für das Überleben eines Unternehmens kann es sehr wichtig sein, dass
die Möglichkeit der Auflösung des Outsourcing-Vertrages besteht, und zwar
nicht nur juristisch, sondern auch technisch. In der Praxis kann das heissen,
dass die elektronisch verarbeiteten
Daten des Unternehmens bei einem
Dritten in einem Standardformat, das
bekannt ist, aufbewahrt werden.
Wenn ein Unternehmen von der Möglichkeit des Outsourcings Gebrauch
macht, so sind die Prüfer ihrerseites gut
beraten, das Vorhaben ernst zu nehmen und ihm ihre ganze Energie zu
widmen, um seinen Erfolg zu garantieren.
RESUME
L’externalisation, sécurité et protection accrues
des données
L’utilisation accrue des technologies
de l’information n’est pas sans impliquer des risques naguère encore méconnus. Les entreprises se doivent
désormais de faire la part des choses
et d’évaluer les facteurs d’incertitude
qu’il convient d’écarter, de minimiser,
de transférer vers d’autres structures,
ou encore d’assumer sans aucune aide
extérieure.
L’externalisation ou «outsourcing»,
autrement dit le fait de confier un
nombre limité d’activités, voire l’intégralité d’un service informatique, à un
prestataire externe, permet dans une
certaine mesure de projeter les risques
au dehors. Néanmoins, c’est l’entreprise elle-même qui doit assumer pour
l’essentiel les conséquences d’une prévoyance insuffisante au niveau des
risques, ce qui entraîne aussi de nouvelles tâches pour les réviseurs. Les
152
omissions et les erreurs d’un prestataire informatique peuvent en effet
remettre en question l’existence même
d’une société.
Les accords entre l’entreprise et le
prestataire informatique constituent
la pierre angulaire destinée à protéger
les processus commerciaux ainsi que
l’autonomie du client. Une documentation élaborée ensemble par les deux
parties se révèle indispensable pour
jeter les bases d’une réussite commune.
Dans une première étape, il convient
de désigner les personnes responsables des différents aspects de la sécurité. Après cela, il faut définir des
mesures de sécurité concrètes, de
même que des procédures de contrôle
spécifiques permettant de garantir le
respect des mesures adoptées. L’amélioration de la sécurité globale correspond à un processus continuel, lequel
ne prend en aucun cas fin à la signature du contrat d’externalisation.
D’aucuns ne voient encore dans la sécurité informatique qu’une chicanerie
de plus propre à gonfler les coûts; il est
donc du devoir des réviseurs de sensibiliser leurs clients à la nécessité d’un
concept de sécurité professionnel.
Qu’il s’agisse du client ou du réviseur,
l’externalisation ne dispense en aucune
manière de connaître précisément le
segment externalisé. Toute une série
d’éléments doivent donc être spécifiés
dans le contrat, ceci pour permettre
tant au client qu’au réviseur de disposer de possibilités clairement définies
de contrôler le prestataire informatique. C’est là une condition sine qua
non pour une analyse fouillée des
risques inhérents à un client donné.
UB
L’Expert-comptable suisse 3/03