CIO. Quels référentiels utilisez vous à la SNCF ? Quels sont les bénéfices ?

Branko Plesnar. A la Direction de l'Audit, COSO (Référentiel américain émanant d'un organisme privé, le Committee of Sponsoring Organizations of the Treadway Commission) et Cobit nous servent de cadre de référence.
La Direction de l'Audit étant certifiée par l'IFACI (Institut Français de l'Audit et du Contrôle Interne), nous appliquons les normes professionnelles de l'audit interne. Cette certification assoit la légitimité et l'image de professionnalisme de la DAR(Direction de l'Audit et des Risques). La DAR a pour mission de mener au sein du groupe SNCF les missions d'audit commandités par le COMEX de la SNCF. Concernant les DSI, les référentiels utilisés sont variés et adaptés aux différents métiers. Ainsi, les départements production se basent sur ITIL alors que ceux du développement s'appuient sur le référentiel CMMi. Quant aux entités sécurité SI, elles utilisent ISO 17799. Nombreux sont les bénéfices de ces référentiels. Ils permettent de travailler dans des cadres bien établis, robustes et éprouvés, tout en capitalisant sur les expériences et les bonnes pratiques sans pour autant avoir besoin de réinventer la roue. Enfin, ils permettent d'éviter d'oublier des points importants par rapport à une démarche « from scratch » et facilitent les travaux de benchmarks.

CIO. Comment votre métier a t-il évolué ces dernières années ?

B.P. Si, dans le principe, le métier d'auditeur reste identique, des évolutions sont visibles. Tout d'abord, on constate un glissement progressif de la conformité vers des missions plus d'organisation et de « conseil ». On en revient également aux fondamentaux. Désormais, nous ciblons nos programmes de travail sur les zones de risque. En clair, aujourd'hui, le métier d'audit est entré dans les moeurs et est perçu comme indispensable. De gendarme, on passe au rang de conseiller qui décèle les dysfonctionnements.

CIO. Avec qui travaillez vous ? La DSI, les directions métiers ? quelles relations entretenez - vous avec ces derniers ?

B.P. Il existe quatre DSI à la SNCF : trois ont en charge les systèmes d'informations des principales activités de la SNCF (Voyageurs, Fret et Gestion de l'Infrastructure), et une DSI s'occupe des autres activités opérationnelles (matériel ferroviaire, traction, ...), des activités transverses, des télécoms, des SI globaux de l'entreprise (par exemple messagerie), de la gouvernance SI et du pilotage et coordination des SI de l'entreprise.
Nous avons diverses relations avec les DSI et les directions métiers :
- en amont, ce sont des discussions sur les zones de risques de leurs processus et de leurs entités ainsi que les thèmes d'audit qu'ils souhaitent aborder.
- en cours d'audit, des entretiens et des validations de constats
- en aval, le suivi des plans d'action qu'ils ont mené suite aux recommandations de nos audits. Concrètement, le plan d'audit est approuvé par le Comex (comité exécutif de la SNCF). Il se réunit deux fois par an. Ainsi, les membres du Comex décident du plan d'audit à réaliser. Ce sont généralement des audits stratégiques. Les missions durent environ trois mois, avec des équipes de deux à trois personnes. Pour des missions plus lourdes, les équipes peuvent aller exceptionnellement jusqu'à huit personnes. Nous effectuons environ quarante missions d'organisation par an. A cela, s'ajoute des audits d'établissement. Il s'agit d'audits de conformité concernant par exemple la gestion de la paye ou du personnel qui durent un mois et demi.

CIO. Les nouvelles réglementations (Bâle II, Sarbane Oxley, IFRS...) ont-elles des impacts sur votre travail d'auditeur ?

B.P. . N'étant ni une institution financière ni côtée aux Etats-Unis, la SNCF n'entre pas dans le cadre de Bâle II ni de la loi Sarbane Oxley. En revanche, faisant appel à l'épargne publique, l'entreprise se prépare à passer aux normes IFRS en 2007. Dans cette optique, des audits sont réalisés afin de suivre le processus qui permettra de passer correctement aux nouvelles normes comptables. C'est un moyen pour la Direction Générale de contrôler le bon déroulement des processus et, le cas échéant, repérer des zones de risques résiduels.
Dès cette année, la mise en oeuvre de la LSF (loi sur la sécurité financière) a conduit la SNCF à créer un département contrôle des risques complémentaire à l'audit. L'audit alimente le contrôle des risques par des éléments lui permettant d'affiner et de fiabiliser sa cartographie. Réciproquement, la cartographie des risques met en valeur les processus les plus risqués qui seront audités en priorité dans les prochaines missions.

. Web-profils.com, la place de marché du conseil et de l'ingénierie