L`externalisation, sécurité et protection accrues des données
Transcription
L`externalisation, sécurité et protection accrues des données
WIRTSCHAFTSINFORMATIK Ulrich Brügger, Mit Outsourcing zu mehr Sicherheit und Datenschutz handlung der Applikationen, die im Rahmen der Revision untersucht werden, verlangen. Wird auf das von der ISACA vorgeschlagene COBIT-Modell Bezug genommen, schliesst der Prüfauftrag des «Es braucht Jahre, um den Ruf eines sicheren Unternehmens zu schaffen; Sekunden um ihn zu verlieren.» – Er kann schliesslich beim Dienstleister Einhalteprüfungen durchführen. 5.2 Interne Revision Die Rolle der internen Revision ist schwergewichtig anders gelagert als die externe, weil sie auch die Überprüfung der Umsetzung der Gesamtstrategie der Unternehmensleitung (Governance) erfasst. internen Revisors alle Kriterien mit ein, das heisst: Wirksamkeit, Wirtschaftlichkeit, Vertraulichkeit, Integrität und Verfügbarkeit, Einhaltung rechtlicher Erfordernisse (Compliance) und Zuverlässigkeit. Ob ein Outsourcing-Vertrag korrekt erfüllt wird, kann nur dann überprüft werden, wenn zuvor messbare Ziele festgelegt worden sind. Im Informa- tikbereich zählt z.B. die Version 3 des COBIT für jeden Prozess und für jedes Kontrollziel eine Liste von Erfolgsfaktoren mit entsprechenden Indikatoren auf. Für das Überleben eines Unternehmens kann es sehr wichtig sein, dass die Möglichkeit der Auflösung des Outsourcing-Vertrages besteht, und zwar nicht nur juristisch, sondern auch technisch. In der Praxis kann das heissen, dass die elektronisch verarbeiteten Daten des Unternehmens bei einem Dritten in einem Standardformat, das bekannt ist, aufbewahrt werden. Wenn ein Unternehmen von der Möglichkeit des Outsourcings Gebrauch macht, so sind die Prüfer ihrerseites gut beraten, das Vorhaben ernst zu nehmen und ihm ihre ganze Energie zu widmen, um seinen Erfolg zu garantieren. RESUME L’externalisation, sécurité et protection accrues des données L’utilisation accrue des technologies de l’information n’est pas sans impliquer des risques naguère encore méconnus. Les entreprises se doivent désormais de faire la part des choses et d’évaluer les facteurs d’incertitude qu’il convient d’écarter, de minimiser, de transférer vers d’autres structures, ou encore d’assumer sans aucune aide extérieure. L’externalisation ou «outsourcing», autrement dit le fait de confier un nombre limité d’activités, voire l’intégralité d’un service informatique, à un prestataire externe, permet dans une certaine mesure de projeter les risques au dehors. Néanmoins, c’est l’entreprise elle-même qui doit assumer pour l’essentiel les conséquences d’une prévoyance insuffisante au niveau des risques, ce qui entraîne aussi de nouvelles tâches pour les réviseurs. Les 152 omissions et les erreurs d’un prestataire informatique peuvent en effet remettre en question l’existence même d’une société. Les accords entre l’entreprise et le prestataire informatique constituent la pierre angulaire destinée à protéger les processus commerciaux ainsi que l’autonomie du client. Une documentation élaborée ensemble par les deux parties se révèle indispensable pour jeter les bases d’une réussite commune. Dans une première étape, il convient de désigner les personnes responsables des différents aspects de la sécurité. Après cela, il faut définir des mesures de sécurité concrètes, de même que des procédures de contrôle spécifiques permettant de garantir le respect des mesures adoptées. L’amélioration de la sécurité globale correspond à un processus continuel, lequel ne prend en aucun cas fin à la signature du contrat d’externalisation. D’aucuns ne voient encore dans la sécurité informatique qu’une chicanerie de plus propre à gonfler les coûts; il est donc du devoir des réviseurs de sensibiliser leurs clients à la nécessité d’un concept de sécurité professionnel. Qu’il s’agisse du client ou du réviseur, l’externalisation ne dispense en aucune manière de connaître précisément le segment externalisé. Toute une série d’éléments doivent donc être spécifiés dans le contrat, ceci pour permettre tant au client qu’au réviseur de disposer de possibilités clairement définies de contrôler le prestataire informatique. C’est là une condition sine qua non pour une analyse fouillée des risques inhérents à un client donné. UB L’Expert-comptable suisse 3/03