Plusieurs parties prenantes manifestent un intérêt pour que l’auditeur comptable établisse un diagnostic de sécurité informatique des entreprises. Selon le cas, il est question de l’intégrer à la mission légale ou non.

Quelle que soit leur taille, les entreprises sont exposées au risque informatique. Un risque qui s’accroît chaque jour davantage avec le développement du partage de l’information entre différents réseaux, systèmes, matériels ou applications. Une étude de 2016 estime qu’il y aura l’année prochaine 31 milliards d’objets connectés via internet et 75 milliards en 2025. Et les entreprises sont de plus en plus informatiquement liées à leurs fournisseurs, à leurs clients et à leurs employés.Intégration du risque cyber dans la démarche d’audit

C’est dans ce contexte que Kathleen M. Hamm, membre du PCAOB (public company accounting oversight board), vient de plaider pour que la cybersécurité soit pleinement intégrée dans la démarche de l’auditeur comptable. « Qu’un cyber-incident se soit produit ou non, l’auditeur doit procéder à une évaluation du risque lors du processus de planification. Je pense que cette évaluation devrait prendre en compte tous les risques de cybersécurité pouvant avoir une incidence significative sur les états financiers de l’entreprise », considère ce membre du superviseur des comptes des entités d’intérêt public aux Etats-Unis.

Kathleen M. Hamm livre ainsi les sujets à examiner : compréhension de l’environnement externe et interne de l’entreprise, y compris des systèmes informatiques utilisés pour le reporting financier, méthodes utilisées par l’entreprise pour prévenir et détecter les cyber-incidents qui pourraient avoir un impact matériel sur les états financiers, processus de l’entreprise pour évaluer et traiter les cyber-incidents détectés etc.Les petites entreprises davantage fragilisées

Le sujet du rôle du commissaire aux comptes en matière de cyber-risques se développe aussi en France. L’année dernière, il en a été beaucoup question surtout dans le contexte de la perspective de la remontée des seuils de certification légale des comptes. Le H3C avait abordé le sujet dans sa proposition d’imposer un examen légal des comptes des sociétés en-dessous des futurs seuils de certification obligatoire retenus par le gouvernement, une alternative à l’audit légal des comptes de ces sociétés. Il proposait notamment que cette mission comporte une vérification du dispositif mis en place par l’entité pour limiter son exposition à la cybercriminalité. « Ce risque [de cybercriminalité] concerne toutes les entreprises mais les plus petites d’entre elles sont particulièrement fragiles en raison des moyens (financiers/humains/organisationnels) limités qu’elles peuvent y consacrer. Il serait donc souhaitable que le commissaire aux comptes puisse apprécier la sécurité des systèmes d’information », préconisait il y a un an le haut conseil du commissariat aux comptes qui ajoutait que « il pourrait être envisagé que ces vérifications spécifiques sur la cybercriminalité soient à terme inclus dans le champ d’intervention du commissaire aux comptes dans les entreprises au-dessus du seuil UE ».Extension à la mission légale ou mission contractuelle ?

Un constat partagé par la CNCC. « Bien que la cybercriminalité soit en forte hausse en France en 2017, 3 entreprises sur 4 n’ont pas de plan de réponse en cybersécurité », affirmait-elle en 2018 dans sa réponse au fameux rapport de l’IGF sur la certification légale des comtpes des petites sociétés. Et la CNCC proposait de créer une nouvelle mission — soit sous la forme d’une extension à la mission légale du commissaire aux comptes, soit sous une forme contractuelle —, celle de s’assurer de l’existence et du fonctionnement du dispositif visant à protéger l’entreprise contre les risques liés à la cybersécurité. Un sujet qui soulève notamment la question de la compétence requise pour exercer un tel travail.

Source – Actuel Expert-Comptable