dossier :Audit Éthique de l’auditeur En voici le texte en version originale1 : Code of Professional Ethics José Bouaniche, CISA, CIA, Caisse des Dépôts Bien qu'on en fasse généralement peu mention au sein de la profession, nous allons nous intéresser au "code of professionnal ethics", qui est la base sur laquelle repose notre statut d'expert indépendant auprès de la Direction générale. Rappelons que tout membre de l'ISACA (et donc de l'AFAI) est tenu de l'appliquer, ainsi que tout titulaire d'une certification délivrée par l'ISACA. The Information Systems Audit and Control Association Inc. (ISACA) sets forth this Code of Professional Ethics to guide the professional and personal conduct of members of the Association and/or its certification holders. Members and ISACA Certification holder’s shall: 1. Support the implementation of, and encourage compliance with, appropriate standards, procedures and controls for information systems. 2. Perform their duties with due diligence and professional care, in accordance with professional standards and best practices. 3. Serve in the interest of stakeholders in a lawful and honest manner, while maintaining high standards of conduct and character, and not engage in acts discreditable to the profession. 4. Maintain the privacy and confidentiality of information obtained in the course of their duties unless disclosure is required by legal authority. Such information shall not be used for personal benefit or released to inappropriate parties. • La revue n° 82 - Mars 2006 5. Maintain competency in their respective fields and agree to undertake only those activities, which they can reasonably expect to complete with professional competence. 16 6. Inform appropriate parties of the results of work performed; revealing all significant facts known to them. 1. Source « IS standards, guidelines and procedures for auditing and control professionals current as of 1 December 2005 » sur le site www.isaca.org. 7. Support the professional education of stakeholders in enhancing their understanding of information systems security and control. Failure to comply with this Code of Professional Ethics can result in an investigation into a member’s or certification holder’s conduct and, ultimately, in disciplinary measures. Nous allons maintenant, par un balayage rapide, essayer de comprendre ce que nous demande ce texte, et en proposer systématiquement une traduction. 1. Support the implementation of, and encourage compliance with, appropriate standards, procedures and controls for information systems. Il s'agit d'appliquer et faire appliquer résolument les normes, sous-entendu celles de l'ISACA. La traduction que nous proposons : Soutenir la mise en oeuvre et encourager le respect des normes, des procédures et des contrôles appropriés pour les systèmes d'information. 2. Perform their duties with due diligence and professional care, in accordance with professional standards and best practices. Évolution importante, ce point reprend en fait deux items de la version antérieure du code d'éthique de l'ISACA en les fusionnant. On observe que disparaissent des notions qui avaient jusqu'à présent été considérées comme fondamentales. Les deux items en question sont : (4) Perform their duties in an independent and objective manner and avoid activities that impair, or may appear to impair, their independence or objectivity. (7) Perform their duties with due professional care. L'article (4) de la précédente version des normes demandait à l'auditeur de faire preuve d'indépendance et d'objectivité, et de ne pas prendre part à des activités qui pourraient ne serait-ce que sembler nuire à ces principes. Ainsi, l'indépendance et l'objectivité ne font plus dorénavant partie du Audit dossier 03 Professional Independence In all matters related to the audit, the IS auditor should be independent of the auditee in both attitude and appearance. 04 Organisational Independence The IS audit function should be independent of the area or activity being reviewed to permit objective completion of the audit assignment. Par ailleurs, après bien des débats lors de leur évolution en 2000, puis 2004, l'indépendance et l'objectivité ont été maintenues dans les normes de l'IIA (normes 1100). L'objectivité demeure un des 4 principes fondamentaux du code de déontologie de l'IIA qui sont, pour mémoire, l'intégrité, l'objectivité, la confidentialité et la compétence. À la place de l'objectivité, l'ISACA parle dorénavant de « due diligence » c'est-à-dire des diligences raisonnables ou des soins nécessaires, et on rappelle qu'il faut le faire en conformité avec les normes professionnelles. La traduction que nous proposons : Remplir leurs devoirs avec la diligence et la conscience professionnelle appropriées, en conformité avec les normes professionnelles et les meilleures pratiques. 3. Serve in the interest of stakeholders in a lawful and honest manner, while maintaining high standards of conduct and character, and not engage in acts discreditable to the profession. Cet article synthétise 2 articles de la version précédente du code de déontologie de l'ISACA : (2) Serve in the interest of relevant parties in a diligent, loyal and honest manner, and shall not knowingly be a party to any illegal or improper activities. (10) Maintain high standards of conduct and character and not engage in acts discreditable to the profession. Mais que sont ces « stakeholders » ou parties prenantes ? Une version précédente des normes détaillait les parties prenantes comme les actionnaires, les employés et la communauté. En fait, il existe en gestion une théorie des stakeholders2 qui permet d'apporter une vision sociétale à l'entreprise, d'élargir la prise en compte des devoirs de l'entreprise au-delà de l'enrichissement du patrimoine des actionnaires. On passe donc du souci unique des groupes qui détiennent le pouvoir à la prise en compte des groupes qui sont affectés par les décisions et activités de l'entreprise même de manière indirecte. Le code nous demande de servir ces parties prenantes, mais pas de n'importe qu'elle façon, de manière licite et honnête, tout en adoptant une conduite exemplaire et en nous enjoignant de ne pas commettre d'actes qui pourraient discréditer la profession. Cette injonction est à la fois concrète et floue. Concrète car on est dans le domaine du visible, notre conduite et notre comportement touchent au paraître. Floue car qui peut définir pratiquement ce qu'est une conduite exemplaire ? De plus, ces notions de normes élevées de comportement comme les "standards of ethics" relèvent de la notion de moralité, éminemment complexe à étudier. Un code d'éthique, même réalisé par des auditeurs talentueux, ne peut apporter une vision morale qu'en clarifiant la définition d'activités relatives à des "normes de conduite et de comportement élevées". C'est pourquoi quand l'ISACA, dans cet article, sort du cadre de l'entreprise pour aborder la vie sociale sur son aspect moral, l'auditeur peut se sentir un peu désorienté. La moralité en effet ne peut se résoudre par l'application de notre vision morale propre, car elle se restreint dans ce cas à nos habitudes et à nos croyances, et diffèrent d'un pays à l'autre voire d'un individu à l'autre. Ainsi, les codes d'éthiques importés directement des États-Unis choquent les salariés français3 qui peuvent voir dans les codes de déontologie « des chartes floues et moralisantes » qui demandent au personnel « de dénoncer le collègue de magasin piquant dans les rayons ou qui touche à la vie privée ». Sans définition précise de ce qui est moral, on peut ainsi craindre une approche relativiste et communautariste de l'éthique, ce qui reviendrait à laisser l'appréciation des règles morales indépendamment à chaque détenteur de pouvoir. Cette problématique relativiste a été combattue par Kohlberg4 à la fin des années 1960. Il a concrétisé sa position théorique en mettant au point un test de jugement, le DIT5, qui permet de classer les individus selon 3 grands niveaux de maturité morale répartis sur 6 stades. Ce test est constitué de scénarios, comme par exemple celui où quelqu'un obligé de voler pour obtenir un médicament seul capable de sauver son épouse, pour lequel on demande aux participants de porter un jugement moral qui sera analysé suivant le tableau suivant6 : 2. Pour une présentation de la théorie des stakeholders et son impact en éthique d'entreprise voir Allison Marchildon « Vers une culture de l'éthique en organisation : étude de deux cas » mémoire de l'Ecole des hautes études commerciales de l'université de Montréal, 2002. 3. Voir dans Liaisons Sociales de mai 2005 l'article de Sandrine Foulon et Pierre-David Labani « les salariés invités à cafter au nom de l'éthique ». 4. Voir Darcia Narvaez « Moral judgement and theory » in Seminar on moral education : trends and directions, university of Malaya, Kuala Lampur, July 22, 2002. 5. Pour une présentation du DIT (Defining Issues Test) et son utilisation dans le milieu de l'audit financier voir Christian Prat dit Hauret « présentation de la théorie du développement moral cognitif et de ses apports possibles dans les études sur l'audit » Centre de recherche en contrôle et comptabilité internationale, Université Montesquieu, Bordeau IV. 6. Extrait de la revue Sciences Humaines n° 46. • La revue n° 82 - Mars 2006 code de déontologie, mais l'indépendance perdure dans les normes : 17 dossier :Audit Niveau 1 Moralité préconventionnelle Niveau 2 Moralité conventionnelle Niveau 3 Morale post conventionnelle Caractéristiques Stade 1 Obéissance par crainte de la punition Ce sont les conséquences négatives d’une action qui en définissent le caractère mauvais. Cette moralité consiste à obéir pour éviter d'être puni • La revue n° 82 - Mars 2006 « Il n’aurait pas dû faire cela parce qu’il ira sûrement en prison. » Stade 2 Recherche des récompenses « Il pouvait voler Ce qui est bon est ce qui procure du plaisir. Les intérêts d’autrui le médicament parce que si sa femme survit, peuvent être pris en compte, mais seulement dans la mesure où elle sera plus gentille ils permettent la réciprocité dans avec lui. » un rapport « donnant - donnant ». Stade 3 Conformité sociale Le sujet désire surtout être bien vu « Il a eu raison de voler des autres. C’est une morale de la le médicament parce que réputation qui peut conduire à c’est gentil de le faire. des attitudes conformistes. Sa femme et ses amis vont plus l’aimer. » Stade 4 Légalisme L’individu se préoccupe surtout du respect des règles sociales et de l’autorité. C’est vers l’adolescence qu’apparaît ce stade qui est celui de la majorité des adultes. « Il aurait dû respecter la loi et ne pas voler le médicament. » Stade 5 Morale du contrat, prise en compte des droits individuels Le sujet prend conscience de la relativité de certaines règles. La morale peut donc se trouver en contradiction avec la loi. Par contre les normes morales provenant de « contrats » entre deux parties engagent celles-ci « Il a eu raison de voler le médicament parce que c’est gentil de le faire. Sa femme et ses amis vont plus l’aimer. » Stade 6 Adoption des principes éthiques universels 18 Exemples de réponses fournies Stades Reprenons les termes du code : Serve in the interest of stakeholders in a lawful and honest manner, while maintaining high standards of conduct and character,and not engage in acts discreditable to the profession. On peut considérer que les exigences relèvent de trois stades moraux différents de la classification de Kohlberg : Le sujet se réfère à des principes « Il devait voler moraux universels (respect de la vie, le médicament parce que liberté, justice) qui ont priorité la vie d’une personne sur d’autres considérations. est plus importante que le respect de la propriété privée. » • acts discreditable, relève du stade 3 de conformité sociale, niveau conventionnel • lawful and honest, relève du stade 4 de légalisme, niveau conventionnel • high standards of character, relève des stades 5 ou 6, niveau post conventionnel Cet éparpillement peut conduire à une difficulté d'interprétation du juste comportement de l'auditeur. Imaginons par exemple un auditeur interne dans une entreprise qui décide d'implanter une usine extrêmement polluante dans un pays exotique à dictature militaire, pour des raisons de survie économique et de conservation de l'emploi dans sa Audit dossier Mais le malheur veut que dans notre exemple l'auditeur ait de « high standards of conduct and character », c'est-à-dire se situe au niveau post conventionnel selon Kohlberg. Il considérera alors que s'il ne dénonce pas cette pratique, il se fera complice d'un nouveau Bohpal en puissance. Cependant cette réaction peut tout à fait le conduire en prison, ce qui s'interprétera comme un « act discreditable to the profession » pour la plupart des managers. On voit donc que le mélange de trois stades de Kohlberg au sein d'un même principe déontologique peut poser des difficultés. La traduction que nous proposons : Servir l'intérêt des parties prenantes de manière licite et honnête, tout en observant une conduite et un comportement exemplaires et sans s'impliquer dans des actes qui pourraient discréditer la profession. 4. Maintain the privacy and confidentiality of information obtained in the course of their duties unless disclosure is required by legal authority. Such information shall not be used for personal benefit or released to inappropriate parties. Faire preuve de discrétion concernant les informations obtenues durant les missions. Elles doivent cependant être fournies à la demande des autorités légales (judiciaires ainsi que hiérarchiques), mais aussi sans attendre une injonction explicite de l'autorité légale lorsque le cas est prévu, car l'auditeur n'est pas tenu au secret professionnel. C'est ici que peut se poser la problématique du « whistleblowing », évoquée précédemment dans un autre contexte. Nous proposons : Protéger la confidentialité des informations recueillies à l'occasion de leurs missions, à moins qu'une communication ne soit requise par une autorité légale. Ces informations ne doivent pas être utilisées pour en tirer un bénéfice personnel ni communiquées à des tiers non autorisés. 5. Maintain competency in their respective fields and agree to undertake only those activities, which they can reasonably expect to complete with professional competence. Cet article reprend deux articles de la précédente version du code de conduite pour former un tout cohérent centré sur la compétence et son application dans le cadre des missions qui nous sont confiées. A noter que « their respective fields » ne peut se comprendre qu'en se référant à la précédente version du code qui spécifiait que ces domaines respectifs était ceux « de l'audit et du contrôle des systèmes d'information ». gation, un « deuxième impératif pour l'auditeur est que le rapport ne formule aucune affirmation pouvant de manière évidente être utilisée telle quelle contre les intérêts de la société ». Ainsi, en cas de risque correspondant à une situation pénalement qualifié ou qualifiable, la formulation dans le rapport d'audit doit être particulièrement surveillée. Michel Fautrat recommande, pour les risques qualifiés, de s'attacher uniquement aux constats. Il préconise pour les risques qualifiables, après avoir formulé les constats de mentionner, de souligner toute circonstance atténuante réellement identifiée dans l'analyse des causes et de formuler l'adhésion de l'audit à la décision de correction raisonnable des dysfonctionnements. La traduction proposée : Informer les parties appropriées des résultats des travaux effectués, en communicant tous les faits significatifs connus d'eux. La traduction que nous proposons : Entretenir leur compétence dans leurs domaines respectifs et n'accepter d'entreprendre uniquement que les activités qu'ils peuvent raisonnablement mener à terme avec leur compétence professionnelle. 6. Inform appropriate parties of the results of work performed; revealing all significant facts known to them. Le résultat de nos travaux doit être diffusé bien entendu aux parties appropriées. L'information fournie doit être significative, cela va de soi. Cependant, la précédente version du code précisait de manière pertinente que le choix des informations à diffuser était basé sur le principe de révéler tout ce qui, s'il ne l'était pas, donnerait une fausse image de l'objet audité ou cacherait des activités malhonnêtes ou illicites. Cette précision est toujours explicitée dans le code de déontologie de l'IIA, ce qui a conduit Michel Fautrat8 à souligner qu'au-delà de cet impératif de divul- 7. Support the professional education of stakeholders in enhancing their understanding of information systems security and control. Ce dernier article est ce qui distingue l'ISACA des autres associations professionnelles.On y lit que l'auditeur informatique doit former les parties prenantes (qui étaient explicitées dans une version antérieure comme étant les clients, les collègues, l'encadrement, la direction et le public en général), afin d'améliorer leur compréhension de la sécurité et du contrôle des systèmes d'information. Une sorte de prosélytisme professionnel, en quelque sorte. 7. Voir Alan G. Mayper and al. « Accounting : a moral discipline? » University of North Texas 8. Miche Fautrat « Comment évoquer les risques à incidence pénale » in Audit n°173 de février 2005. • La revue n° 82 - Mars 2006 région. Les parties prenantes françaises sont bien servies (l'emploi est sauvegardé et la valeur de l'entreprise augmentée). Les décideurs n'ont pas contrevenu à la loi et ont pris en toute bonne foi une bonne décision économique par rapport à l'orthodoxie des affaires, d'autant plus qu'en entreprise l'aspect économique prime sur le jugement moral personnel7. 19 dossier :Audit Nous proposons : Apporter un soutien à la formation des parties prenantes en améliorant leur compréhension de la sécurité et du contrôle des systèmes d'information. En conclusion, la nouvelle version du code de déontologie de l'ISACA est énoncée sous forme de principes, avec une grande part d'appréciation pour l'auditeur. Cela nous confirme qu'in fine l'auditeur est seul responsable de ses actes. Il n'a pas en effet à se cacher derrière une autorité hiérarchique, un principe d'obéissance, pour justifier de ses actes. Cependant, non seulement le code de l'ISACA ne nous rappelle pas ce principe de responsabilité, si tant est qu'il s'applique à l'audit informatique, mais encore les notions exposées dans le code peuvent être contradictoires. • La revue n° 82 - Mars 2006 L'auditeur n'est plus assuré que ses choix moraux, surtout quand ils se heurtent à des décisions hiérarchiques, seront partagés par l'ISACA ou le chapitre dont il dépend. 20 Notons enfin qu'il a été établi9 que les codes de déontologie doivent, pour être suivis, avoir un contenu différent selon qu'ils s'adressent à des personnes de niveau conventionnel ou postconventionnel au sens de Kohlberg. Ainsi, les individus de niveau conventionnel comprendront et suivront des codes énoncés sous forme de règles précises, tandis que les individus postconventionnels ne prendront en compte que des codes énoncés sous forme de grands principes, comme les principes d'intégrité, de confidentialité, d'objectivité et de compétence de l'IIA. C'est pourquoi le code de conduite de l'IFAC10 est établi à la fois sur les mêmes grands principes (sur une page) complétés d'environ 90 pages de règles précises. Notre code ISACA, quant à lui, se cantonne à une énumération de plus en plus concise de principes, qui peuvent être allusifs voire de conséquence contradictoire dès lors qu'on ne sait pas à quel niveau moral l'auditeur doit se référer. On voit mal dans ce cadre quelle peut être l'efficacité d'un tel code et quelle plus-value il peut apporter à notre pratique quotidienne. L'association pour l'audit et le contrôle des systèmes d'information (ISACA), dont l’AFAI est le chapitre français, a établi ce code d'éthique professionnelle pour guider la conduite professionnelle et personnelle des membres de l'association et/ou les titulaires des certificats que délivre l'association. Les membres et détenteurs de certificat de l'ISACA doivent : 6. Informer les parties appropriées des résultats des travaux effectués, en communicant tous les faits significatifs connus d'eux. 7. Apporter un soutien à la formation des parties prenantes en améliorant leur compréhension de la sécurité et du contrôle des systèmes d'information. Le non-respect de ce code de déontologie peut donner lieu à une enquête sur la conduite d'un membre ou d'un titulaire de certificat professionnel et, éventuellement, déboucher sur une action disciplinaire. 1. Soutenir la mise en oeuvre et encourager le respect des normes, des procédures et des contrôles appropriés pour les systèmes d'information. 2. Remplir leurs devoirs avec la diligence et la conscience professionnelle appropriées, en conformité avec les normes professionnelles et les meilleures pratiques. 3. Servir l'intérêt des parties prenantes de manière licite et honnête, tout en observant une conduite et un comportement exemplaires et sans s'impliquer dans des actes qui pourraient discréditer la profession. 4. Protéger la confidentialité des informations recueillies à l'occasion de leurs missions, à moins qu'une communication ne soit requise par une autorité légale. Ces informations ne doivent pas être utilisées pour en tirer un bénéfice personnel ni communiquées à des tiers non autorisés. 5. Entretenir leur compétence dans leurs domaines respectifs et n'accepter d'entreprendre uniquement que les activités qu'ils peuvent raisonnablement mener à terme avec leur compétence professionnelle. 9. voir Terri Herron et David Gilbertson « Ethical principles vs ethical rules : the moderating effect of moral development on audit independance judgments » in Eighth symposium on ethics in accounting. 10. IFAC : the international federation of accountants.