TRANSFORMATION & ORGANISATION

Chez Spuerkeess, un audit interne IT fort et dynamique

Prenant la mesure des risques ICT croissants liés à l’usage de la technologie, Spuerkeess investit dans le développement d’une équipe dédiée à ces enjeux au sein de son département « Audit Interne ».

September 19, 2023

À l’échelle d’une banque systémique supervisée directement par la Banque Centrale Européenne en collaboration avec l’autorité nationale, la CSSF, les efforts mis en œuvre visant à garantir la continuité des activités, prévenir les divers types de risque, et s’assurer du respect de la réglementation de plus en plus contraignante sont considérables. « Ces enjeux sont appréhendés à travers trois lignes de défense, au niveau des opérations, de la gestion des risques et de la compliance et enfin de l’audit interne », explique Daniel Mack, Chief Internal Auditor de Spuerkeess. « Au niveau de l’Audit Interne, nous agissons de manière indépendante, rendant compte à nos instances dirigeantes, afin de leur donner assurance que tous les risques sont effectivement bien maîtrisés et que les dispositifs de contrôle interne mis en place au niveau des deux premières lignes de défense fonctionnent de manière adéquate. » Son rôle, assure le responsable, est de contribuer à protéger la banque, à veiller à ce que rien ne puisse porter atteinte à son fonctionnement et à sa réputation.

 

Mieux appréhender les enjeux liés au numérique

Le département opère des vérifications sur l’ensemble des activités de la Banque, se concentrant notamment sur les éléments présentant un risque de réputation, réglementaire ou financier accru. Ces dernières années, avec la digitalisation croissante des activités, l’Audit Interne a dû se renforcer pour mieux évaluer la mitigation des risques ICT inhérents à l’usage de la technologie. « Le numérique est un secteur qui connaît une dynamique incomparable, et ceci à plusieurs niveaux. On peut évoquer l’émergence de nouvelles technologies, le renforcement du cadre réglementaire lié à leur usage, la complexification croissante de l’architecture et des systèmes d’information, ainsi que l’évolution constante des menaces cyber », poursuit le responsable. « Ces sujets gagnent en importance et doivent régulièrement être revus dans le cadre des missions d’audit IT. »

Dans cette optique, Spuerkeess s’est dotée d’une équipe dédiée, composée d’auditeurs IT, au sein de son département Audit Interne. « Répondre à ces enjeux, en effet, exige des compétences spécifiques », assure Evren Bulut, responsable de cette équipe et chef adjoint de l’Audit Interne. « Aussi, nous avons développé depuis plusieurs années une expertise dédiée sur ces sujets, pour offrir des garanties supplémentaires à la banque et contribuer à assurer la confiance de nos clients, du superviseur et de nos partenaires. »

 

À la faveur d’un usage conforme de la technologie

Et les sujets ne manquent pas, le numérique étant désormais présent partout. Son usage, en outre, est de plus en plus encadré, avec l’émergence de nouvelles réglementations comme GDPR, depuis quelques années, ou encore DORA, qui viendra renforcer les mesures déjà existantes en matière de résilience. « L’usage de la technologie, en outre, doit s’envisager en conformité avec les obligations de la banque », poursuit Evren Bulut. « Par exemple, la généralisation du paiement instantané, visant l’exécution de transactions en temps réel, doit pouvoir s’opérer sans déroger aux obligations de l’institution en matière de lutte anti-blanchiment. Notre rôle est de s’assurer que les architectures mises en œuvre dans ce contexte soient effectivement conformes aux diverses exigences en place, que les processus s’appuyant sur la technologie respectent bien la hiérarchie des règles existantes. »

L’Audit Interne n’est pas partie prenante dans la mise en œuvre des solutions, produits ou systèmes opérationnels. Elle agit comme une fonction de contrôle indépendante. Le département, cependant, peut être sollicité pour émettre des avis vis-à-vis d’un projet ou d’un nouveau produit ou processus au regard des réglementations existantes ou aux bonnes pratiques en matière de gouvernance et de gestion des risques. L’équipe, toutefois, continuera à agir en tant qu’organe de contrôle indépendant au fil du temps.

 

« Soucieux de rester à la page et d’évoluer avec la technologie, nous nous appuyons sur des talents curieux, pragmatiques et ouverts d’esprit, qui viennent du monde de l’informatique ou de l’audit. »

 

Un vaste périmètre à couvrir

L’audit IT couvre de nombreux aspects, comme l’infrastructure technique, les applications, les systèmes, les bases de données et les réseaux. Elle considère l’ensemble des risques en lien avec les ICT, dont notamment les enjeux réglementaires et de cybersécurité. « La fonction, aujourd’hui, s’étend au-delà du périmètre de la banque. Le numérique, en effet, dépend de plus en plus de prestataires externes. Si l’on externalise des processus ou la gestion des infrastructures (à travers le cloud), si l’on a recours à des solutions applicatives externes à la banque, la responsabilité inhérente aux traitements effectués ou à la gestion et à la protection de la donnée des clients incombe toujours à la banque », assure Daniel Mack. « Nous devons donc être en mesure d’effectuer des vérifications vis- à-vis de ces acteurs externes et nous assurer que les activités sont menées de manière adéquate. »

 

Une équipe d’auditeurs IT dédiée, à la hauteur d’un domaine en constante évolution

Mener ces missions d’audit interne implique évidemment de comprendre la technologie, les risques liés à son utilisation et de pouvoir challenger les équipes à cet égard. Il faut donc des compétences spécifiques pour mener à bien ces missions, tout en ayant le respect et la crédibilité auprès des experts de la première et deuxième ligne de défense. « Notre approche est de renforcer en permanence la maîtrise de ces aspects en interne, à travers une équipe IT dédiée au sein du département Audit Interne », ajoute Evren Bulut. « Soucieux de rester à la page et d’évoluer avec la technologie, nous nous appuyons sur des talents curieux, pragmatiques et ouverts d’esprit, qui viennent du monde de l’informatique ou de l’audit. Nos auditeurs IT, à ce titre, sont régulièrement formés et prennent part à de nombreux événements liés aux évolutions technologiques et à leur impact. La maîtrise de ces enjeux en interne nous permet de continuellement gagner en maturité, pour garantir une protection optimale des activités de la banque. »

Ces compétences informatiques intégrées au sein du département contribuent aussi à améliorer le travail des auditeurs sur d’autres aspects. « De plus en plus, nous utilisons les possibilités offertes par l’analyse de données pour effectuer des contrôles sur l’ensemble des jeux de données de la banque, plutôt que d’analyser un sous-ensemble basé sur des techniques d’échantillonnage plus ou moins aléatoire », commente Daniel Mack. « Les connaissances informatiques nous permettent, à ce titre, d’offrir une assurance plus complète à nos instances dirigeantes comme au superviseur. »

Watch video

In the same category