Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes Unes de 2017 reflètent de grands enjeux, et des opportunités pour les auditeurs internes

​Les Unes de 2017 reflètent de grands enjeux, et des opportunités pour les auditeurs internes

18 décembre 2017

Comme de coutume, la fin de l’année est l’occasion de faire le bilan de ses accomplissements personnels et professionnels. Elle me permet également de revenir sur les événements qui ont eu des conséquences directes sur la profession d’audit interne.

Cette rétrospective de 2017 m’a rappelé une vérité fondamentale que chaque auditeur interne devrait avoir à cœur : le chemin vers un management des risques, un contrôle interne et une gouvernance efficaces est semé d’embûches. Entre les scandales liés à la culture, les cyberattaques incessantes et les troubles géopolitiques et socio-économiques, cette année a illustré, de façon très parlante, à quel point l’efficacité des dispositifs de management des risques, de contrôle et de gouvernance peut être éphémère.

Une cybersécurité toujours dans l’esquive

La mauvaise nouvelle est que la cybercriminalité a continué de progresser en 2017. Le pire étant que les plus grands piratages auraient pu facilement être évités et pourtant, ils se sont produits.

Même à une époque où les cyberattaques de grande envergure sont devenues monnaie courante, la communication d’Equifax en septembre dernier sur la faille de sécurité qui a compromis les données confidentielles d’environ 143 millions de ses clients a provoqué une onde de choc. A la suite d’un piratage massif, les noms, les numéros de sécurité sociale et d’autres informations personnelles de plus de 40% de la population des Etats-Unis ont été exposés.

L’attaque a exploité une vulnérabilité logicielle connue sur le réseau d’Equifax, alors qu’un correctif était disponible. Mais il semblerait que ce dernier n’ait pas été appliqué. De la même manière, une simple technique de phishing (« hameçonnage ») est à l’origine de l’attaque réussie du virus ransomeware (« rançongiciel ») Wanna Cry en début d’année qui a paralysé des ordinateurs dans 150 pays.

Quelles implications ? Ces exemples montrent que l’audit interne doit toujours rester vigilant afin d’identifier les faiblesses au niveau des contrôles de cybersécurité, et qu’il est essentiel d’entretenir des relations positives et coopératives avec les acteurs en charge de la gestion des cyber risques, notamment les responsables de la sécurité (Chief Security Officers – CSO), les responsables de la sécurité des systèmes d’information (Chief Information Security Officers – CIS) et les responsables du management des risques (Chief Risk Officers - CRO).

La dérégulation et les changements dans la mise en vigueur des réglementations ont un impact sur les priorités de l’audit interne

Alors que les bouleversements prévus à la suite du Brexit et des élections présidentielles américaines de 2016 ne se sont pas réalisés, une révolution silencieuse s’opère actuellement aux Etats-Unis dans les orientations concernant les réglementations et leur mise en application avec un impact sur les risques.

La liste comprend des retards dans la mise en application de certaines lois très attendues (par exemple : la loi dite « fiduciary rule » sur les conseillers financiers du Ministère du travail des États-Unis est repoussée de 18 mois, jusqu’à juillet 2019), des revirements politiques (par exemple : la neutralité du net) et des changements intervenus dans les directions et les conseils d’administration qui peuvent modifier la doctrine concernant l’application de la réglementation au niveau de la SEC (Securities and Exchange Commission), du PCAOB (Public Company Accounting Oversight Board), de l’Agence américaine pour la protection de l’environnement (Environmental Protection Agency – EPA) et du Bureau de protection des consommateurs dans le secteur financier (Consumer Financial Protection Bureau – CFPB).

Quelles implications ? Indépendamment des convictions politiques de chacun, il est important de comprendre que de tels changements, aussi bien notoires que subtiles, ont un impact sur les risques et peuvent nécessiter une révision/réévaluation des priorités de l’audit interne.

Comptabilisation des produits : le temps presse

Une nouvelle norme relative à la comptabilisation des produits, publiée en 2014 par le Financial Accounting Standards Board, a été saluée comme étant un pas décisif pour l’amélioration de l’information financière. Les sociétés cotées en bourse avaient jusqu’au 15 décembre pour se mettre en conformité.

L’objectif de la norme est de permettre aux utilisateurs de rapports financiers de « comprendre la nature, le montant, le calendrier et l'incertitude liés aux produits et aux flux de trésorerie provenant des contrats avec des clients. » Bien que l’objectif soit louable, l’enjeu d’une mise en conformité réussie consiste à déterminer le niveau de détail des informations à fournir.

Une des dispositions de la norme définit « le niveau de détail nécessaire pour atteindre l’objectif en matière d’informations à fournir et l’importance à accorder à chacune des diverses obligations. » Elle met également en garde contre le fait « de noyer des informations utiles dans une profusion de détails non pertinents ou dans un regroupement d’éléments trop disparates ».

Quelles implications ? Les organisations n’ayant pas encore investi les ressources nécessaires au respect de la norme pourraient faire face à des difficultés et compliquer les missions d’assurance de l’audit interne relatives à la conformité.

Les Paradise Papers et d’autres surprises du même ordre mettent en lumière le risque de l’inconnu

Pour la deuxième année consécutive, des données privées relatives aux paradis fiscaux ont fuité dans la presse. En 2017, les dénommés Paradise Papers ont étalé au grand jour les stratégies fiscales de grandes entreprises comme Nike, Apple et Avianca. Les 13,4 millions de documents électroniques confidentiels concernant des placements à l’étranger ont été divulgués à deux journalistes allemands qui les ont ensuite partagés avec le Consortium international des journalistes d’investigation.

Dans le monde entier, d’autres menaces inattendues ont démontré avec quelle rapidité les risques peuvent survenir et éclater.

  • Les mises en garde au sujet des réseaux sociaux ne datent pas d’hier, et la plupart des organisations ont une compréhension élémentaire de leur importance et des risques qui leur sont associés. Pourtant, même des organisations avancées peuvent être facilement englouties par le trou noir de l’univers des médias. United Airlines en a offert un exemple douloureux en 2017. La réputation de cette compagnie aérienne a été sérieusement mise à mal quand une vidéo d’un passager sorti de force d’un de ses avions est devenue virale. Sa réponse initiale peu satisfaisante n’a fait qu’aggraver une situation déjà difficile.
  • Le détaillant américain Hobby Lobby a fait l’objet d’un scandale en raison de vestiges obtenus illégalement pour le Musée de la Bible. Les fondateurs de ce dernier ont été obligés de rendre des milliers d’antiquités exportées clandestinement d’Irak via les Émirats Arabes Unis. Hobby Lobby, un mécène important du musée, a omis de confirmer le lieu de stockage des vestiges et a dû payer 3 millions de dollars de dommages et intérêts au Ministère de la justice américain.
  • Une enquête interne sur les activités d’une cimenterie Lafarge en Syrie a révélé que l’entreprise avait versé 5,6 millions de dollars entre juillet 2012 et septembre 2014 afin de garantir la sécurité des employés locaux et la liberté de mouvement des camions Lafarge dans ce pays déchiré par la guerre. Il s’est avéré que certains de ces paiements ont été versés à l’État Islamique, ce qui a valu à l’entreprise d’être qualifiée par un chroniqueur de distributeur automatique involontaire pour le compte de l’organisation terroriste. Aïe !

Quelles implications ? : Idéalement, l’audit interne devrait être en mesure de fournir une assurance dans tous les domaines, mais le manque de ressources et d’expertise rend cette tâche difficile dans la plupart des organisations. Il nous faut néanmoins être prêts à intervenir de manière proactive en temps de crise, et être conscients des risques imprévus pouvant survenir lorsque des organisations sortent des sentiers battus ou prennent des mesures extraordinaires afin d’atteindre des objectifs.

Des normes et des outils mis à jour préparent l’audit interne à l’avenir

Toutes les Unes de 2017 n’ont pas été négatives. En effet, des normes et des outils mis à jour ont été mis à la disposition des professionnels de l’audit interne pour leur permettre de mieux répondre aux demandes grandissantes des parties prenantes.

Les nouvelles Normes internationales pour la pratique professionnelle de l’audit interne de l’IIA sont entrées en vigueur le 1er janvier 2017, ajoutant des composantes importantes au Cadre de Référence International des Pratiques Professionnelles de l’audit interne (CRIPP), dont une liste de Principes fondamentaux. Ces derniers aident l’audit interne à démontrer son alignement avec les objectifs de l’organisation, notamment le principe incitant la fonction d’audit interne à être perspicace, proactive et orientée vers le futur.

Cette approche orientée vers le futur a également été à l’origine de la nouvelle édition du « Management des risques de l’entreprise – cadre de référence » du COSO, publiée au mois de septembre. Le cadre de référence mis à jour tient compte de l’évolution du management des risques de l’entreprise (ERM) et propose des lignes directrices pour répondre aux demandes d’un environnement de plus en plus dynamique marqué par des changements sur les marchés économiques, l’évolution des technologies et des mutations démographiques.

Quelles implications ? L’histoire montre que l’audit interne a su s’adapter à la nature changeante des risques et aux demandes croissantes des parties prenantes. Il dispose dorénavant de deux instruments pour l’aider à s’acquitter de cette tâche de plus en plus complexe. Il convient de rappeler ici l’importance de la conformité aux Normes. L’attrait et la valeur du CRIPP résident dans sa capacité à apporter de l’uniformité et de la cohérence à la pratique de la profession dans le monde entier. Quoi qu’il en soit, cette capacité dépend de celle des auditeurs à adopter et appliquer les Normes avec rigueur.

Le comble : Une année blanche pour Uber

« Rude » est le seul qualificatif permettant de décrire 2017 pour le chouchou du monde des startups. Cela a commencé en février avec des allégations de plaintes pour harcèlement sexuel et discrimination classées sans suite au siège de l’entreprise à San Francisco. Les mauvaises nouvelles ont continué avec le licenciement subséquent de 20 collaborateurs dans le cadre d’une enquête similaire. En mai, Uber a accepté de payer 20 millions de dollars d’indemnités pour mettre fin à une action en justice menée par la Federal Trade Commission aux Etats-Unis. En juin, l’enfant prodige et fondateur de Uber, Travis Kalanick, a démissionné de son poste de PDG. En septembre, Uber a perdu le droit d’opérer à Londres. Puis en octobre, Bloomberg News a rapporté que l’entreprise faisait face à pas moins de cinq enquêtes criminelles menées par le Ministère de la justice américain.

Quelles implications ? Le rapport de Bloomberg décrit la culture Uber comme ayant « une tendance à ignorer les règles », ce qui résume la cause première des problèmes de gouvernance de l’entreprise. Quelle que soit l’organisation, une culture en roue-libre de ce type pousse la tolérance au risque à son maximum, rendant la bonne gouvernance et la maîtrise des risques beaucoup plus complexes et titanesques.

Ce bilan de l’année reflète la variété des risques et la rapidité avec laquelle ils sont apparus et ont affecté les petites et grandes organisations. Il nous rappelle que les organisations doivent être prêtes à faire usage des outils et ressources à leur disposition, à parer à l’imprévu et à affronter courageusement les risques qu’elles peuvent identifier et gérer. Une fois de plus, l’année passée nous a démontré à quel point il est essentiel d’essayer d’anticiper l’inattendu.

Comme toujours, vos remarques sont les bienvenues.

Richard Chambers

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.