10 SUJETS INCONTOURNABLES - Ifaci
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
DOCUMENT DE RÉFLEXION
10
SUJETS
INCONTOURNABLES
POUR LE PLAN
D’AUDIT INTERNE
2017
France
Italy
SpainCopyright © 2016 par The Institute of Internal Auditors (IIA Italy, IIA France, IIA Spain). Tous droits réservés. Aucun extrait de cette publication ne peut être reproduit sous quelque forme que ce soit sans l'autorisation écrite de l'IIA (IIA France, IIA Italie, IIA Espagne).
SOMMAIRE
PROLOGUE 5
01 GÉOPOLITIQUE 6
02 GOUVERNANCE 11
03 CULTURE DE L'ORGANISATION 14
04 CONFORMITÉ 18
05 ENVIRONNEMENT DE TRAVAIL 22
06 INTÉGRER LA PROCHAINE GÉNÉRATION 25
07 CYBERSÉCURITÉ 29
08 FRAUDE & CORRUPTION 33
09 CONSEILLER DE CONFIANCE 36
10 TRANSFORMATION 39
SOURCES 43Remerciements De nombreuses personnes ont contribué à la préparation de ce document. Nous souhaiterions remercier tout particulièrement les responsables de l'audit interne des différents secteurs (banque, assurance, chimie, énergie, secteur public, distribution et bâtiment) qui nous ont fait part de leur vision et de leur opinion sur les enjeux à venir pour notre profession. 4
PROLOGUE
Les opportunités comme les risques changent constamment, à mesure
qu'évoluent les organisations et leur environnement. Anticiper les conséquences
de ces risques et opportunités, ainsi que leurs ramifications, peut se révéler difficile.
L'objectif de cette étude est de catégoriser ces risques et opportunités, et de
proposer des mesures adaptées pour leur prise en compte par les responsables
de l'audit interne. Loin d’un cadre statique, c’est une base de discussion avec nos
membres, un outil à leur disposition pour comprendre les prochains défis à relever
au sein de notre profession.
Afin d'en garantir la pertinence, nous nous sommes appuyés sur différentes sources
d'information, notamment des rapports publiés par des institutions et cabinets de
conseil internationaux, ainsi que sur des entretiens avec des responsables de l'audit
interne à travers l'Europe.
Ce document a été produit par l'IFACI, l'IIA Italie, l'IIA Espagne, avec le soutien du
Chartered Institute of Internal Auditors (Irlande et Royaume-Uni).
A travers les échanges que nous aurons avec vous, et en réponse à l'évolution de
l'environnement économique, nous publierons régulièrement des mises à jour de
ces incontournables.
Nous reviendrons donc vers vous rapidement pour lancer cette conversation et
serons ravis de recueillir vos commentaires et vos réactions.
5SUJET 1
GÉOPOLITIQUE
Certains des risques les plus préoccupants, pour toutes les organisations
nationales et internationales, sont de nature géopolitique.
Certaines organisations peuvent juger que ce risque est trop complexe
pour être traité en interne. Pourtant toute entreprise qui exerce son activité
en dehors de son pays doit faire preuve d'une solide compréhension de la
géopolitique.
Nous vivons dans un monde volatile, incertain, complexe et ambigu (ou
VUCA), selon l'acronyme inventé par l'armée américaine au début des années
1990, et qui conserve toute sa valeur aujourd'hui.
En juin 2016, la banque mondiale cir les perspectives de l'économie mondiale.
a publié des Perspectives économiques Ensemble, néanmoins, ils prouvent que l'éco-
mondiales qui présente son évaluation des nomie mondiale s'apprête à affronter une
risques et divergences actuels. Les risques période de turbulences à court terme.
ainsi définis sont les mêmes que ceux qui
avaient été identifiés dans le même rapport […] L'impact des facteurs extérieurs sur les
25 ans auparavant : pays en développement dépendra fortement
de la façon dont chaque pays fera face à de
« Aujourd'hui, des incertitudes croissantes tels risques. Les politiques mises en œuvre dans
provenant de directions différentes, mais les pays industrialisés devront tenir compte
connexes, présagent de difficultés à venir […] des préoccupations des pays "émergents et
Pris isolément, aucun de ces sombres nuages en développement" et les aider à renouer avec
économiques ne serait suffisant pour obscur- une croissance dynamique. Ce point semble
6particulièrement important pour les pays à sées pour compte faute d’avoir réussi leur
bas revenus qui disposent d'un nombre limité développement international.
d'options stratégiques en matière de dévelop-
pement durable ».1 L'édition 2016 de l'Indice Elcano Global
Presence (fondé sur une enquête menée
en 2015 auprès d'experts internationaux)
classe 90 pays en fonction de leur position-
L'Asie et la course à nement géopolitique et économique. 2
la compétitivité Cette année, l'étude met en lumière le posi-
tionnement de la Chine en deuxième place
Avec la mondialisation, les pays coopèrent du classement, la stagnation du processus
et échangent plus que jamais des biens et de mondialisation et l'impact de l'effondre-
des services. Ce qui est source de nombreux ment du prix des matières premières sur les
avantages, mais entraîne également plu- économies émergentes. Ces facteurs,
sieurs inconvénients difficiles à gérer. ainsi que de
Ces facteurs, ainsi que de nombreux autres, nombreux autres,
Ainsi, l'arrivée de quatre milliards d'Asia- se traduisent par un accroissement des se traduisent par
tiques sur le marché du travail a eu des risques et une plus forte exposition à ces un accroissement
conséquences dans le monde entier, et s'est risques dans des zones géographiques que
traduit par d'importantes modifications en nous n'avions pas anticipés, d'où une diffi- des risques et
termes de centre de production et par une culté accrue à en quantifier l'impact écono- une plus forte
hausse sans précédent de compétitivité. De mique sur l'organisation. exposition à
nombreuses organisations ont ainsi été lais- ces risques
dans des zones
géographiques
que nous n'avions
98,
5 pas anticipés,
10 d'où une
difficulté accrue
Top 20 des pays du classement 2015 à en quantifier
du positionnement économique (en valeur d'indice) l'impact
économique sur
l'organisation
,2 9
414 404 403,
,2 ,5
320 317 ,1 ,8
248 242 224,3 94,3 3,3 ,9 7
1 18 177 64, 56 51,3 5,5 1,2 ,6 8
1 1 1 14 14 132 12 18,1
1
nis ine ne Uni sie nce on Bas da ite alie ne alie nis rée Inde ique uisse pour résil
ts-U Ch emag me- Rus Fra Jap ays- Cana aoud It Espag ustr bes u e Co lg S nga B Source :
Éta
All oyau P ie s A ra e d
a Be Si
b s q u Real Instituto Elcano
R Ara t
ira bli
Ém Répu
7Souhaiteriez-vous Europe : une fracture non dans l'Union européenne, et Marine Le
Pen s'est déjà engagée à l'organiser si elle
que votre pays
organise un aggravée par le remporte les élections présidentielles en
2017. Les Français sont talonnés dans ce
référendum Brexit ? sondage par les Suédois, les Espagnols et
similaire à celui qui les Allemands, dont respectivement 49 %,
s'est tenu au Dans le cas de l'Europe, région relativement 47 % et 45 % partagent la même opinion.
Royaume-Uni ? (%) stable et sûre, la situation a également évo-
lué au cours des dernières années. La crise de l'euro a mis en évidence des
Oui, je le visions opposées entre le Nord (pays crédi-
souhaiterais
La décision prise par le Royaume-Uni de teurs) et le Sud (pays débiteurs), et la crise
Non, je ne le des réfugiés a créé une fracture entre l'est et
souhaiterais pas quitter l'Union européenne (Brexit) a sur-
pris de nombreuses organisations. Le pro- l'ouest de l'Europe. Le coup d'État échoué
Ne sais pas en Turquie et les attaques djihadistes dans
jet européen semble remis en cause, suite
à la multiplication des crises non résolues différents pays européens ont pesé sur les
de manière satisfaisante au sein de l'Union, marchés boursiers et sur différents secteurs
45 et le Brexit jette le doute sur la validité du de l'économie, en particulier sur le tou-
40 risme. Selon les estimations du Ministère
modèle européen dans son ensemble.
Allemagne français des Affaires étrangères, Paris aurait
Un effet de contagion est redouté, et cer- perdu un million de touristes et un milliard
taines études comme The view from the d'euros au cours du premier semestre 2016
29 53 continent: What people in other member states en raison des récentes attaques terroristes. 4
think about the UK’s EU referendum, conduite
France en juin 2016 par l'Université d'Édimbourg3, Cette fragilité de l'Europe est à l'origine de
donnent des chiffres alarmants. Ainsi, 53 % la publication, en juin 2016, d'une Stratégie
des Français souhaitent la tenue d'un réfé- globale pour la politique étrangère et de
39 rendum pour savoir si le pays doit rester ou sécurité de l’Union européenne. L'instabilité
45
Pologne
Préférences en cas de tenue d'un référendum sur le maintien de l'adhésion de votre pays à l'UE,
selon que vous souhaitez ou non qu'un tel référendum soit organisé dans votre pays (en %).
39 47
Espagne 95
Voterais en faveur 92 94 93
du maintien dans
89 88
38 l'UE (en %) 75 75
67 70
49 60 60
Voterais en faveur
Irlande du retrait de
l'UE (en %) 40 40
33
30 25 25
49 À l'exclusion
12
33 des réponses 11 8 6 5 7
« Ne sais pas »
Suède
SOUHAITE LA OUI NON OUI NON OUI NON OUI NON OUI NON OUI NON
Source : TENUE D'UN Allemagne France Pologne Espagne Irlande Suède
Université d'Édimbourg RÉFÉRENDUM
8politique se traduit en effet par une fuite tives sur différentes parties prenantes et
de capitaux et par un manque d'attractivité peut entraîner un recul des ventes, voire la
pour les investisseurs. 5 perte de clients.
On peut citer comme exemple récent à cet
égard, l'opinion de la Commission euro-
Principaux facteurs péenne, selon laquelle Apple aurait béné-
ficié d'avantages fiscaux illégaux accordés Le Brexit jette
à intégrer dans la par l'Irlande en 2003 et 2004. Apple a été le doute sur
cartographie des contraint de verser rétroactivement toutes
les sommes dues, ainsi que les intérêts cor-
la validité
risques respondants, soit un montant estimé à plus
du modèle
européen dans
de 13 milliards d'euros. L'Irlande pourrait
faire appel de la sanction, et le paiement de son ensemble
Les risques géopolitiques conditionnent
l'expansion internationale, la poursuite des l'amende remettrait en cause la légalité de
opérations dans un pays et la réévaluation ces avantages fiscaux, de même que ceux
des risques de suspension d’un investisse- accordés à d'autres sociétés.
ment. Ils doivent par conséquent être cor-
rectement identifiés et gérés. Avec le soutien de la Commission sur ce
point, il est possible que les pays décident
Les risques géopolitiques suivants peuvent d'enquêter individuellement sur les taxes
être présents dans toute cartographie des dues par telle ou telle organisation. C’est
risques : déjà le cas du Portugal qui a également
lancé le débat de la révision de la politique
fiscale européenne et de la définition des
Risque politique. Les changements de
pouvoirs des États membres en la matière.
gouvernement, l’instauration d’une dicta-
ture, les nationalisations, les conflits armés
et les sanctions commerciales sont autant Risque de change. La dévaluation ou
de risques qui doivent être pris en compte l'appréciation d'une monnaie a des réper-
par les organisations qui cherchent à s'im- cussions importantes sur les résultats, en
planter dans un pays donné. particulier pour ce qui est des exportations
et des importations. La dévaluation d'une
monnaie pèse également sur les marges
Risque réglementaire. Sujet particuliè-
voire, selon le poids de la filiale par rapport
rement sensible pour les parties prenantes
à la société mère, sur le résultat consolidé.
de l’audit interne. L'extrême complexité de
ce risque, en raison des réglementations
spécifiques à chaque secteur ou marché Risque de liquidité. Toute organisation ou
du travail et en constante évolution signifie investisseur international peut avoir besoin
que les organisations doivent se doter de d'accroître ses liquidités à un moment
ressources spécialisées. donné en cédant ses investissements. Toute
restriction imposée par le pays à cet égard
peut engendrer un risque important.
Risque fiscal. L'organisation doit non
seulement se conformer aux obligations
fiscales imposées par la Loi, mais doit éga- Risques juridiques. L'indépendance du
lement veiller à son image pour ce qui est système judiciaire est incertaine dans de
de l'optimisation fiscale. En effet, une telle nombreux pays, de même que son effica-
stratégie peut avoir des répercussions néga- cité. L'ouverture d'une procédure dans ces
9pays peut par conséquent se révéler lent et
pas toujours équitable.
Rôle du responsable
de l'audit interne
Par exemple, en Espagne et en Italie, outre
le risque de sanctions administratives, la face à ces risques
responsabilité pénale d’une entreprise peut
être engagée avec un risque de dépôt de Toutes ces variables étant interconnectées,
Le responsable bilan et, dans les cas les plus extrêmes, une complexes et volatiles, le responsable de
de l'audit interne poursuite judiciaires des dirigeants. l'audit interne doit évaluer leurs impacts
doit évaluer sur l'organisation en effectuant des tests
Risques de corruption. Bien que des de résistance pour différents scénarios et
l’impact de contribuer aux efforts de la direction géné-
réglementations visent à limiter autant que
ces risques sur possible ce risque, il est bien réel dans de rale concernant la continuité d'activité et les
l'organisation nombreux pays faute d’engagement poli- stratégies d'investissement.
en effectuant tique et l’absence de déontologie chez les
des tests de fonctionnaires et les salariés du secteur Dans le document « Perspectives-interna-
privé. tionales - Risques géopolitiques : comment y
résistance
faire face ? », publié en mai 2015, l'IIA consi-
pour différents Risques énergétiques, risques liés aux dère qu'il est de la responsabilité de l'au-
scénarios et matières premières et à l'approvision- dit interne de donner une assurance sur
contribuer aux nement. La dépendance énergétique d'un la capacité de l'organisation à anticiper les
efforts de la pays ou l'absence de matières premières risques géostratégiques et de la conseiller
constitue un enjeu de tout premier ordre. en la matière.
direction générale
L'Europe, en tant que principal consom-
concernant mateur de gaz en provenance de Russie Le responsable de l’audit interne détermine
la continuité est à cet égard un bon exemple. Ainsi, un dans quelle mesure ces risques sont sus-
d'activité et tiers des besoins en Europe sont couverts ceptibles de peser sur les objectifs. À cette
les stratégies par le gaz d'origine russe. La moitié de ces fin, il est recommandé que la fonction d'au-
importations de gaz transitent par l'Ukraine, dit interne soit représentée dans les zones
d'investissement qu'elle souhaite évaluer afin d'acquérir une
qui est en conflit avec la Russie suite à l'an-
nexion de la Crimée. Dans certains pays, connaissance suffisante et une expérience
comme la Finlande, les États baltes et la locale.
République tchèque, les importations de
gaz représentent un quart de la consom- Par ailleurs, comme indiqué par Ernesto
mation énergétique totale. Martinez, Président d'IIA Espagne, dans
son article intitulé « El imperativo de la
Le prix constitue un autre facteur décisif. La Resiliencia », les entreprises doivent pour-
tourmente économique provoquée par la suivre leurs efforts de recherche-développe-
chute du prix du baril de brut, au Venezuela ment, afin d'être résilientes au changement
par exemple, est considérable parce que et de contribuer à leur propre stabilité.
son économie dépend des recettes tirées
de cette source énergétique. La Russie ren- Le facteur qui déterminera l'impact final de
contre aussi des difficultés et a élaboré son ces risques sur les organisations sera le sys-
budget pour 2016 en se fondant sur un prix tème mis en place par chacune d'entre elles
de 50 dollars par baril. pour les maitriser et les gérer. L'audit interne
doit par conséquent contribuer au renfor-
cement de ces deux piliers fondamentaux.
10SUJET 2
GOUVERNANCE
Les événements de ces dernières années ont clairement montré le caractère
crucial de la surveillance de la gouvernance dans une organisation.
La qualité de la gouvernance est directement corrélée à la valeur attribuée à
l'organisation par la société et les investisseurs. Ainsi, les bénéfices à court
terme et les aspects financiers ne sont plus les seuls à être pris en compte.
La plupart des problèmes rencontrés dans les organisations sont liés à des
défaillances de la gouvernance que l'audit interne a rarement été à même
d’identifier.
La définition même de l'audit interne En 2012, JPMorgan Chase manquait d’ad-
souligne sa contribution à l'amélioration ministrateurs suffisamment experts dans
des processus de gestion des risques, de ces comités des risques, mais cette lacune
contrôle et de gouvernance, mais les audi- n'a été corrigée qu'après les pertes de six
teurs internes n'ont jamais été à l'aise avec milliards de dollars provoquées par le trader
ce dernier processus. Bruno Iksil.
La gouvernance est définit dans le glos- Au Brésil, il a fallu attendre que des centaines
saire des Normes internationales comme : de millions de dollars aient disparu dans les
« le dispositif comprenant les processus et poches des collaborateurs, des sous-trai-
les structures mis en place par le Conseil afin tants et des politiciens, parmi lesquelles
d'informer, de diriger, de gérer et de piloter les la Présidente Dilma Rousseff elle-même,
activités de l'organisation en vue de réaliser ses pour que Petrobras soit poursuivi pour une
objectifs. » affaire de pots de vin et de blanchiment
d'argent. Plus de quarante politiciens sont
De nombreux scandales dans différentes ainsi concernés par cet énorme scandale.
régions et différents types d'organisations
mettent en cause la gouvernance. L'une des affaires les plus connues en
Espagne est celle des « cartes noires »
11concernant Caja Madrid (qui a depuis Le responsable de l'audit interne peut
disparu). Ces cartes bancaires ont été notamment évaluer les aspects suivants :
distribuées à 86 membres du Conseil et diri-
geants de la banque, qui ont réussi à faire La structure et les activités des organes
passer ainsi pas moins de 15 millions d'eu- de gouvernance, les questions de diver-
ros en frais personnels. sité, de transparence, les rattachements et
la répartition des responsabilités, de même
Il est essentiel que leur composition optimale en termes
de discuter de connaissances, de compétences et d’ex-
avec d'autres Rôle du responsable pertises. À cet égard, certains régulateurs
personnes à de l’audit interne exigent la production et le suivi d'une « car-
tographie de la gouvernance ».
des postes clés
de gouvernance
face à ces risques
La Norme IIA 2110 est entièrement
au sein de consacrée à la gouvernance, et selon le
On estime généralement que la gouver- guide de mise en œuvre correspondant, il
l'organisation nance ne concerne que les entreprises est nécessaire de discuter avec d'autres per-
afin de préciser cotées, alors que les entreprises non cotées sonnes à des postes clés de gouvernance
l’analyse du en ont tout autant besoin. au sein de l'organisation afin de préciser
responsable de l’analyse du responsable de l'audit interne
l'audit interne En s’intéressant à ce sujet, le responsable de concernant les processus spécifiques mis
l'audit interne touche du doigt des points en place au sein de l'organisation et les dis-
extrêmement sensibles (transparence, positifs de maîtrise existants. Le Président
rémunérations, etc.) et, le plus souvent, ces du Conseil (ou pour le secteur public, l’élu
questions confidentielles (telles que le plan ou l’officiel nommé) fait partie de ces rôles
stratégique) ne sont pas divulguées aux clés, de même que les auditeurs externes
autres collaborateurs. ou encore le responsable de la déontologie,
le responsable des ressources humaines et
Le responsable de l'audit interne doit en le responsable de la gestion des risques.
particulier veiller à fournir aux membres du
Conseil des garanties en matière de due dili- Dans le cas des entreprises cotées, l'éva-
gence dans le cadre de leurs responsabilités luation du processus d’organisation des
de suivi des systèmes de gouvernance, de assemblées générales des actionnaires est
gestion des risques et de contrôle et de sur- extrêmement importante parce que c’est
veillance de la mise en œuvre des décisions le premier maillon de la chaîne de gouver-
opérationnelles conformément aux lignes nance.
directrices applicables.
Le Code de déontologie que devrait pos-
Une mission d’audit interne de la gouver- séder le Conseil de même que le Code de
nance nécessite un positionnement adé- conduite contenant toutes les obligations à
quat du responsable de l'audit interne au respecter.
sein de l'organisation. Un positionnement
qui évite les restrictions ou les limitations Les mesures destinées à éviter les conflits
d’accès aux données ou aux ressources, et d'intérêt, de même que les programmes
qui renforce le soutien du Comité d'audit. visant à détecter toute utilisation d'informa-
tions confidentielles, font partie des aspects
à suivre constamment.
12La surveillance de l’engagement de res- valuées régulièrement, de même que le
ponsabilité lié aux infractions commises fonctionnement du Comité des rémunéra-
par des cadres ou des dirigeants et de la tions chargé de définir la rémunération des
mise en place de mécanismes de commu- dirigeants.
nication efficaces.
Le plan de succession constitue égale-
Le plan stratégique pour être en phase ment un aspect important car la planifica-
avec l'activité, prendre en compte les poli- tion du remplacement des administrateurs Le plan de
tiques concernant les nouveaux marchés, et des dirigeants suscite la confiance succession
produits et services. les actionnaires. Ce plan témoigne de constitue
la capacité de l'organisation à faire face
un aspect
La gouvernance des systèmes d’infor- aux imprévus et de son aptitude à garder
mation, qui doit être en phase avec les constamment un œil sur le business model. important car
objectifs opérationnels, la gestion de la qua- la planification
lité des données, la sécurité. Il convient de L'évaluation des fonctions de ges- du remplacement
s’assurer que ces informations sont effecti- tion des risques, de contrôle et de des administra-
vement adressées aux membres du Conseil conformité doit être effective et couvrir
teurs et des
pour des prises de décision efficaces. leur niveau de coordination, notamment,
lorsque cela est possible, à travers l’examen dirigeants suscite
Le suivi de la performance par le Conseil, de la cartographie des prestataires d’assu- la confiance les
ses comités et la direction générale. Cette rance. actionnaires
surveillance devrait être évaluée au moins
une fois par an. L'audit interne occupe une place de pre-
mier plan pour l'évaluation de la gouver-
La conception et la pertinence des poli- nance, et tout doit être mis en œuvre pour
tiques de rémunération doivent être réé- orienter ses travaux vers les aspects les plus
critiques pour l'organisation.
13SUJET 3
CULTURE DE
L'ORGANISATION
La culture de l'organisation est devenue une question d'importance stratégique.
Souvent considérée jusqu’ici comme un concept abstrait, elle amène aujourd'hui
de nombreuses entreprises à gérer des indicateurs sur les talents, la réputation,
la qualité de service, voire les résultats financiers. La culture de l'organisation
peut, lorsqu'elle est bien gérée, devenir un atout, qui permet à l'organisation de
se démarquer de ses concurrents.
Néanmoins, évaluer correctement la çoivent la culture, et c'est pourquoi celle-ci
culture d'une organisation n'est pas une dépend des valeurs et des comportements.
tâche aisée.
Un leader hors du commun se cache géné-
La difficulté réside en premier lieu dans le ralement derrière une solide culture d'orga-
fait qu'en raison des structures complexes nisation (et il s'agit souvent du fondateur
mises en place dans de nombreuses orga- lui-même). De tels leaders sont reconnus en
nisations, bien souvent plusieurs cultures tant que décideurs et bons communicants,
coexistent. C’est particulièrement le cas des capables de véhiculer leurs valeurs person-
organisations qui se sont développées par nelles et de les diffuser dans l’ensemble
des acquisitions successives. de l'organisation. Ces caractéristiques sont
un atout lorsque l'orientation donnée est
La culture de l'organisation est un concept reconnue, mais présente de nombreux
complexe à quantifier et à objectiver. C'est à inconvénients lorsque les valeurs ne sont
travers ce qu'ils voient ou entendent au sein pas celles attendues.
de l'organisation que les individus en per-
14Les variables Esprit d'équipe : dans quelle mesure les
activités professionnelles sont organisées
culturelles autour des équipes, plutôt qu'autour des
individus.
Gómez L. et Belkin D. évoquent sept com-
Combativité : dans quelle mesure les col-
posantes qui rendent compte de l'essence
laborateurs font preuve de pugnacité et
de la culture d'une organisation. Ces sept
d’esprit de compétition, plutôt que d'être
dimensions sont les suivantes :
dociles et complaisants. La culture
Innovation et acceptation des risques : d'une
Stabilité : la mesure dans laquelle les activi- organisation
autrement dit, dans quelle mesure les colla-
tés entreprises par l'organisation favorisent
borateurs sont incités à être innovants et à
le maintien du statu quo. peut autoriser
prendre des risques. certaines
L'acceptation des risques est une compo- conduites et
Sens du détail : dans quelle mesure il est
sante importante de la culture de l'organisa- en interdire
attendu des collaborateurs de faire preuve
tion. Certaines organisations ont une forte d'autres, ce
de précision, d'analyse et d'attention aux
appétence pour le risque et se distinguent
détails.
par leur dynamisme, ce qui ne met pas tou-
qui induit des
jours l'auditeur interne très à l'aise. D'autres comportements
Focalisation sur les résultats : dans organisations, sont tellement atones qu’elles spécifiques
quelle mesure les managers centrent leur sont incapables de s'adapter aux change-
attention sur les résultats et les effets, plutôt ments et finissent par disparaitre.
que sur les techniques et processus par les-
quels ces résultats ont été obtenus.
On peut citer l'exemple d'une entreprise
comme Kodak, qui n'a pas été capable de
L’attention accordée aux collabora- se réinventer lors de l'avènement des nou-
teurs : dans quelle mesure les décisions velles technologies.
administratives tiennent compte de l'inci-
dence des résultats sur les hommes et les
Kodak était connu pour être adverse aux
femmes qui constituent l'organisation.
risques. L'entreprise avait toutefois omis de
Innovation et
acceptation
des risques
Stabilité Sens du détail
Les dimensions
de la culture
Orientation de l'organisation Orientation sur
sur l'équipe les collaborateurs
Combativité Orientation sur
les résultats
15prendre en compte le risque inhérent au
refus du changement dans un environne-
Le rôle du
ment en mutation. responsable de
La culture d'une organisation peut autoriser l’audit interne relatif
certaines conduites et en interdire d'autres,
ce qui induit des comportements spéci-
à la culture de
Ce ne sont pas fiques. l'organisation
forcément les
collaborateurs les Il y a quelques années encore, on ne consi-
Lorsque le responsable de l'audit interne
plus hauts placés dérait pas que les risques liés à la culture
lance une mission sur la culture de l'or-
nécessitaient une surveillance ou la mise en
qui ont la plus ganisation, il lui incombe de déterminer
place de dispositifs de contrôle. Cependant,
forte influence les attentes de l'ensemble des parties
à l'instar d'autres risques, les risques liés à
prenantes et si la culture est adaptée et
sur la culture de la culture ont commencé à être gérés de
contribue à la réalisation des objectifs de
l'organisation façon plus formelle dans le secteur financier
l'organisation.
et a été mis en avant par les autorités de
régulation et de supervision.
Lorsque des faiblesses sont identifiées, il
doit conseiller le management sur la façon
C'est ce qu'ont fait, par exemple au
dont certains aspects doivent être redéfinis,
Royaume-Uni, la Financial Conduct Authority
tout en étant conscient que l’impact de ces
(FCA) et la Prudential Regulation Authority
recommandations sur une culture solide-
(PRA), qui ont publié une série d’instructions
ment ancrée n’est pas immédiat.
visant à confirmer la nécessité de renforcer
la responsabilité individuelle dans le secteur
En outre, il convient d'être vigilant lors de la
financier. Ces normes définissent le régime
communication de ces mesures aux autres
applicable aux cadres dirigeants et à la cer-
collaborateurs et d'évaluer l'impact que de
tification, ainsi que les nouvelles règles de
telles actions peuvent avoir sur la culture de
conduite à mettre en œuvre.
l'organisation.
En juin 2013, la Parliamentary Commission
Carly Fiorina, par exemple, n'a pas réussi
on Banking Standards (PCBS) a publié un
à faire ses preuves en tant que PDG de
rapport intitulé Changing Banking for Good,
Hewlett-Packard parce qu'elle a essayé d'im-
qui définit des recommandations d’ordre
poser une culture centrée sur les ventes à
législatif et autre visant à améliorer la déon-
une organisation dirigée par des ingénieurs.
tologie et la culture du secteur bancaire au
Royaume-Uni. Prochainement (le 7 mars
2017 exactement), ces nouvelles règles de D'une manière générale, les plans d'actions
conduite s'appliqueront à l'ensemble des doivent être développés depuis le sommet
collaborateurs à travers le secteur bancaire. de la hiérarchie parce que le management
doit être le premier à donner l'exemple et
à relayer les messages qui définissent la
Les autorités de régulation cherchent à tra-
conduite attendue.
vers de telles mesures à renforcer l'un des
aspects les plus importants d'une bonne
culture d'organisation : la déontologie. L'Institute for Business Ethics a publié un
document intitulé Checking culture: a new
16role of internal audit.5.1, selon lequel les audi- cipalement son leadership, ses méthodes
teurs internes ne peuvent pas et ne doivent de communication et la façon dont il est
pas travailler isolément. Le responsable perçu.
de l'audit interne peut recevoir une aide
précieuse d'autres personnes au sein de De nombreuses organisations obtiennent
l'organisation, telles que le directeur de la un feedback par le biais des enquêtes d'opi-
conformité et de la déontologie ou le direc- nion, dans lesquelles sont évalués différents
teur des ressources humaines. aspects de la culture de l'organisation y
compris la perception de l’audit interne.
Ce ne sont pas forcément les collaborateurs
les plus hauts placés qui ont la plus forte Le rapport 2016 intitulé Organisational
influence sur la culture de l'organisation. Culture, evolving approaches to embedding
Autrement dit, il convient de déterminer and assurance du Chartered Institute of
quels sont ceux qui ont le plus d'emprise Internal Auditors (Irlande et Royaume-Uni),
sur leurs collègues grâce à leur autorité met en lumière la complexité de mise en
naturelle. œuvre de ce type de missions et la prépara-
tion nécessaire de la part de l'audit interne
En outre, le responsable de l'audit interne et du comité d'audit.
doit être conscient qu'aucune action n'aura
de résultat immédiat, ce qui signifie qu'il Les caractéristiques de ces revues ne sont
devra constamment suivre les change- pas les mêmes que celles d'une mission
ments qui se produisent et s'assurer que les classique, exception faite de la revue des
effets obtenus sont bien ceux attendus. procédures, politiques et processus, et des
zones de flou sont inévitables en raison des
Il convient de souligner que le responsable divers critères qu’ils faudra définir avec les
de l'audit interne doit également évaluer la personnes concernées.
culture de son propre service, à savoir prin-
17SUJET 4
CONFORMITÉ
Le rôle de la conformité s'est considérablement développé dans la plupart des
organisations sous l'effet de la mondialisation et de leur propre développement
international. En France, par exemple, le responsable conformité et les
responsables du contrôle interne figurent parmi les sept métiers les plus porteurs
du moment.6
Ce processus s'est accentué ces dernières années après l'éclatement d'un certain
nombre de scandales dans le monde entier. Les régulateurs ont souvent eu à
intervenir afin de protéger les parties prenantes et l'intérêt général, contribuant
ainsi à la complexification de l'environnement législatif international.
Le nouveau Règlement général sur la Commercial Bank of Taiwan pour violation
protection des données (GDPR) (règlement de la législation relative au blanchiment
(UE) n°2016/679), qui entrera en vigueur en de capitaux de l'État de New York et lui a
mai 2018, prévoit que les entreprises qui imposé de désigner un contrôleur indépen-
fournissent des services aux citoyens de dant.7 L'amende a été définie à l’issue d’un
l'Union européenne peuvent faire l'objet consentement mutuel avec le régulateur,
d'amendes allant jusqu'à 20 millions d'euros aux termes duquel la banque acceptait
ou 4 % de leur chiffre d'affaires mondial (le d'une part de prendre des mesures immé-
montant le plus élevé étant retenu) si elles diates pour pallier ses manquements en
ne protègent pas et/ou ne traitent pas cor- matière de conformité, et notamment de
rectement les données. nommer un contrôleur indépendant chargé
de remédier aux graves insuffisances du
Le 19 août 2016, le New York Financial Services programme de conformité, et d'autre part
Department a infligé une amende de 180 de mettre en œuvre des contrôles pour lut-
millions de dollars à la Mega International ter contre le blanchiment de capitaux.
18Ainsi, les responsabilités se sont vues renfor- Le dispositif de conformité doit être en
cées et, désormais, la responsabilité pénale phase avec le modèle de gouvernance de
peut être engagée. Des non-conformités l'entreprise et bénéficier de mécanismes
peuvent conduire une société à déposer adéquats de séparation des pouvoirs, des
le bilan et avoir des répercussions bien responsabilités et des processus de prise de
au-delà du contexte local : un tel événe- décision. Il devrait bénéficier d'un soutien
ment peut affecter jusqu'à la société mère, approprié de la part du management, ainsi
dont la réputation risque alors de se trouver que de solutions technologiques de pointe Le dispositif de
considérablement entachée. et de professionnels compétents, capables conformité doit
d'accomplir efficacement leur rôle. être en phase
Au Royaume-Uni, par exemple, toute per-
avec le modèle
sonne ayant enfreint la législation anti-cor-
ruption est passible d'une peine allant de gouvernance
jusqu'à 10 ans de prison et/ou, pour les CULTURE DE de l'entreprise
entreprises jugées coupables d'une telle
infraction, d'une amende illimitée. LA CONFORMITÉ et bénéficier
de mécanismes
adéquats de
Aux États-Unis, tout contrevenant à la loi sur De nombreux régulateurs s'efforcent actuel-
la corruption dans les transactions à l'étran- lement de faire évoluer la culture de la séparation des
ger de 1977 (Foreign Corrupt Practices Act, conformité dans les entreprises et de légi- pouvoirs, des
FCPA) s'expose à une amende allant jusqu'à férer sur les nouveaux modèles d’orga- responsabilités
250 000 dollars, ainsi qu'à une peine de nisation que font émerger les nouvelles et des processus
prison allant jusqu'à 5 ans, s'il est reconnu technologies. Il ne s'agit pas simplement de
de prise de
coupable. Une entreprise jugée coupable se mettre en conformité pour le simple fait
d'une infraction à cette loi est passible d'être en conformité. décision
d'une amende pouvant atteindre jusqu'à 2
millions de dollars. Les régulateurs manquent de ressources
pour superviser de manière exhaustive
En Espagne, la loi organique n°5/2010 du toutes les organisations. Par conséquent, ils
22 juin, votée en 2010 (et réformée par la loi adoptent une démarche différente, centrée
organique n°1/2015), introduit le concept sur l'autorégulation, la mise en œuvre d'une
de responsabilité pénale pour les enti- culture de l'intégrité, et le recours à des pro-
tés juridiques dans le système judiciaire. grammes déontologiques qui instaurent
Depuis lors, le « contrôle approprié » (debido une confiance suffisante pour tous.
control) est devenu un enjeu, de même
que la nécessité de mettre en œuvre des Malgré les efforts déployés, le phénomène
programmes de conformité pour créer des de « cécité éthique » – concept défini par
mécanismes de contrôle agissant comme le professeur Guido Palazzo, selon lequel les
cause d'exonération. priorités d'une organisation poussent ses
collaborateurs à la corruption – n'est pas
En France, la loi n°2016-1691 du 09 près de disparaître.
décembre 2016 dite loi « Sapin 2 » renforce
la lutte contre la corruption. Il n'est pas surprenant de voir un nombre
croissant d'organisations s'employer à
Dans certains secteurs, tels la banque et renforcer leurs règles de gouvernance à
l'assurance, la fonction conformité est déjà l'échelle mondiale et dédier davantage
fortement développée en raison des exi- de ressources à l'élaboration de dispo-
gences du régulateur. sitifs d'alerte. Ces dispositifs permettent
19Fondamentaux de
la conformité
Pour une DÉONTO-
LOGIE
organisation,
TE
DIS
IN
É
TÉ T
l'objectif le GRI
ER
O
CU
É
P
SI L
T I F S D'A
IT
plus important
LT
U
M
en termes de RE R
O
R LA CO
DE NF
conformité est ÉG N
de mener ses L E T IO
M E N TA
opérations avec
intégrité
aux entreprises de détecter et de corriger Au Royaume-Uni également, la Financial
les défaillances internes avant qu'elles ne Conduct Authority (FCA) donne une grande
soient rendues publiques, protégeant ainsi importance aux lanceurs d'alerte et a publié
la valeur des parties concernées. en 2015 de nouvelles règles pour asseoir ce
rôle.8
Il existe également des programmes de
primes pour les lanceurs d’alerte qui col- La France a également fait des progrès en la
laborent avec les autorités et les aident à matière. Notamment grâce à la loi n°2016-
démasquer des cas de fraude. 1691 du 09 décembre 2016 dite loi « Sapin
2 » qui protège dorénavant les lanceurs
Le 31 août 2016, aux États-Unis, la Securities d'alerte.
and Exchange Commission (SEC) a annoncé
avoir versé plus de 22 millions de dollars à Pour une organisation, l'objectif le plus
un lanceur d’alerte dont les renseignements important en termes de conformité est de
et l'aide précise lui avait permis de mettre mener ses opérations avec intégrité.
fin à une fraude orchestrée par la société où
il travaillait. Cette prime constitue le deu- La conformité n'a pas seulement pour but
xième plus gros montant jamais octroyé par de protéger l'organisation et sa réputation,
la SEC à un lanceur d’alerte. La récompense mais sert également à défendre les intérêts
la plus forte, qui s'élevait à 30 millions de des clients, des fournisseurs, des partenaires
dollars, a été versée en 2014. et de toute personne entretenant des liens
avec l'organisation.
Ces primes soulignent l'importance accor-
dée par le régulateur aux dispositifs d’alerte.
20LE RESPONSABLE respect des réglementations existantes
dans chaque pays par un prestataire local.
DE L’AUDIT Cependant, on constate qu'il n'existe
aucune corrélation pertinente entre les
INTERNE : risques liés à la conformité au niveau local
CONSEILLER et les mesures prises par les sociétés pour
assurer à la fois le contrôle et la visibilité
STRATÉGIQUE nécessaires au niveau du siège. On constate
qu'il n'existe
EN MATIERE DE En outre, la tendance est la délocalisation de aucune
CONFORMITÉ divers processus dans certaines zones géo-
graphiques (telles que l'Inde ou la Chine), ce
corrélation
qui permet une réduction substantielle des pertinente entre
Il y a quelques années, le modèle de crois- coûts, voire une externalisation du service. les risques liés
sance d'une société consistait à répliquer à la conformité
la structure hiérarchique du siège dans La réalisation de tâches de due diligence au niveau local
chaque pays. Toutefois, l'hétérogénéité des par ces prestataires de services prend une
réglementations nationales contraint forte- et les mesures
importance extrême, compte tenu du fait
ment cette pratique. que le risque réglementaire n'est pas com- prises par les
muniqué. sociétés
C'est la raison pour laquelle le responsable
de la conformité (Chief Compliance Il est également important de préciser que
Officer - CCO) acquiert actuellement un la plupart des risques réglementaires sont
rôle important en tant que conseiller straté- transversaux (le régulateur s'intéressant à la
gique de l'entreprise. gouvernance, à la gestion des risques, à la
protection des données, à la cybersécurité,
Dans une étude intitulée Local Compliance etc.), c'est-à-dire qu'ils concernent différents
in Global Business. A journey through a services. Une coordination adaptée entre les
changing landscape, BDO analyse les dif- différents domaines de supervision devient
férents modèles organisationnels adoptés donc nécessaire.
par les entreprises à des fins de conformité
au niveau local, et les défis auxquels elles Le fait que l'organisation doive s'adapter
font face pour rationaliser leurs processus aux exigences réglementaires – à travers
et garantir le respect des réglementations une transformation des processus existants
locales. ou la mise en œuvre de nouveaux pro-
cessus – constitue pour le responsable de
Dans ces cas, l'externalisation des rôles se l'audit interne l'occasion de s'impliquer acti-
limite généralement à la vérification du vement en tant que conseiller.
21SUJET 5
ENVIRONNEMENT
DE TRAVAIL
Un bon environnement de travail va généralement de pair avec la productivité, ce
qui constitue un avantage compétitif dans un monde de plus en plus complexe.
L'image que les organisations renvoient au grand public fait également partie
des préoccupations : aujourd'hui, les entorses aux bonnes pratiques des affaires
peuvent se retrouver instantanément étalées sur les réseaux sociaux, lesquels
ont ainsi le pouvoir de faire ou de défaire une marque.
Depuis le début des années 1960, mettent d’avoir une idée sur la perception
les études sur les comportements au sein que les collaborateurs ont de l'organisa-
des organisations soulignent combien il est tion. Pourtant, ces indicateurs clés de per-
difficile de dégager des principes universels formance n'apparaissent que rarement sur
applicables à des personnes différentes, qui les tableaux de bord et ne sont pas souvent
ne travaillent pas de la même manière. remis au comité d'audit pour analyse.
L'environnement de travail est un facteur Pourtant, la détérioration de l'environne-
difficile à quantifier, bien qu'il puisse être ment de travail représente un risque impor-
évalué via des enquêtes anonymes ou tant pour l'organisation. Ce risque doit être
des entretiens auprès du personnel qui traité efficacement car il ouvre souvent la
quitte l'organisation. De tels dispositifs per- voie à d'autres problèmes tout aussi graves.
22Parmi ses conséquences négatives, on L'une des façons de se faire une première
peut citer : l'incapacité des collaborateurs idée de l'environnement de travail est
à s'adapter, le taux de rotation du person- de passer en revue les postes de travail,
nel élevé, l'absentéisme, la faiblesse de l'in- l’organisation de l’espace, les activités
novation, la productivité insuffisante et les extra-professionnelles proposées, le ton des
atteintes à la déontologie. conversations et les comportements à la
machine à café. Bien qu'ils puissent ne pas
Le stress au travail – notamment causé par sembler pertinents à analyser, ces aspects Les équipes
des temps de travail importants, l'insécurité informels sont extrêmement importants ne sont plus
de l'emploi ou l'absence d'équilibre entre et peuvent receler de précieux signaux seulement
vie privée et vie professionnelle – est res- d'alerte.
pluridisciplinaires
ponsable d'au moins 120 000 décès chaque
année aux États-Unis et coûte jusqu'à 190 En outre, la détérioration de l'environne- en termes de
milliards de dollars au système de santé, ment de travail affecte aussi directement le connaissances ;
selon une étude menée par deux profes- responsable de l'audit interne et sa manière elles devraient
seurs de Stanford et un ancien doctorant de de gérer son équipe. également
cette même université, désormais en poste
à la Harvard Business School.
devenir
Notons que le service d'audit interne est
sensible à plusieurs facteurs : intergénéra-
Si le responsable de l'audit interne a bien tionnelles pour
incorporé tous ces éléments à la revue de la • Les efforts intellectuels à fournir sont allier expérience
direction des ressources humaines qui traite grands, du fait de la complexité et de la et talent, ce qui
spécifiquement de ce risque, il demeure variété des missions d’audit, ainsi qu'en
peut jouer un
important de toujours tenir compte de raison de la formation continue qu'il
l'environnement de travail comme facteur convient de suivre pour rester parfaite- rôle clé dans la
indirect lors de la revue de n'importe quel ment à jour. création d'un
service. environnement
• La plupart des tâches sont assorties de travail
Les auditeurs internes devraient toujours d'échéances très strictes que les auditeurs adéquat
tenir compte de l'attitude des collabora- s'efforcent constamment de respecter,
teurs ainsi que de leurs interactions avec les déplacements peuvent être fréquents
l'audit interne et le commanditaire de la et les discussions avec le management
mission. sur les recommandations peuvent se
dérouler dans un climat tendu.
La coexistence de différentes générations
(sujet incontournable n°6) au sein de l'or- • Si on ajoute à ces éléments la mécon-
ganisation implique une transformation naissance des collègues sur les objectifs
radicale de la gestion d'équipe. de l’audit, la dégradation de l'environne-
ment de travail est garantie.
Les équipes ne sont plus seulement pluri-
disciplinaires en termes de connaissances ; Dans son service, le responsable de l'audit
elles devraient également devenir inter- interne est responsable en dernier ressort
générationnelles pour allier expérience et d'instaurer un environnement de travail
talent, ce qui peut jouer un rôle clé dans la favorable qui élimine ou limite les stress
création d'un environnement de travail adé- et incite les auditeurs à donner le meilleur
quat. d'eux-mêmes.
23Vous pouvez aussi lire
