Le référentiel COSO pour recensement des enjeux actuels et à venir en termes de contrôle interne
Le plus difficile bien souvent n'est pas de mettre en place un nouveau dispositif de contrôle interne, mais de le maintenir, plus précisément de l'actualiser. Ainsi, il n'est pas rare d'identifier au cours d'un audit des contrôles réalisés dans les délais et très bien formalisés...mais qui finalement ne sont d'aucune utilité. Dans le même temps, les auditeurs pourront relever des procédés incomplets pour maîtriser les activités. Ce double constat est généralement le fait de dispositifs insuffisamment ajustés par rapport aux variations de l'organisation et des métiers. La vie d'une entreprise en effet n'est pas un long fleuve tranquille ! Toute organisation est contrainte par les évolutions de son environnement, mais aussi par celles qu'elle s'impose, en matière de développement par exemple afin de gagner en productivité ou à tout le moins pour rester compétitive. Le contrôle interne doit donc être également évolutif pour conserver un niveau de qualité et de pertinence satisfaisant au regard des risques à couvrir. Ce caractère dynamique des contrôles est un élément à apprécier par les auditeurs internes afin de s'assurer qu'au sein de leur organisation les dispositifs de gestion des risques sont adaptés à la réalité. Sur ce point, le référentiel COSO de 2013 est une source d'informations intéressante pour l'audit. Y sont en effet recensés les enjeux présents et à venir en termes de contrôle. A charge ensuite pour les auditeurs d'adapter leurs travaux en conséquence, comme proposé ci-après pour chacun des points majeurs.
La couverture des risques liés à la cybercriminalité
Avec le développement croissant des technologies informatiques, de nouvelles formes de délinquance sont apparues et touchent de plus en plus les organisations. Aucun secteur d'activité n'est épargné. Le contrôle interne, comme l'audit interne, peuvent être des remparts face aux attaques dont l'organisation serait l'objet, en prévoyant pour le premier et en évaluant pour le second les mesures sécurisant l'environnement informatique, que ce soit au niveau des collaborateurs que vis à vis des tiers avec lesquels la structure est en relation. Les auditeurs s'assureront notamment qu'existe une politique de sécurité des systèmes d'informations connue de tous et dont le respect fait l'objet de contrôles préventifs, avec entre autre l'interdiction ou à la surveillance de l'utilisation de supports amovibles par le personnel, et de mesures détectives à partir d'outils recensant toute opération atypique.
La maîtrise des modèles économiques
La modélisation est de plus en plus est employée par les organisations pour le pilotage de leurs activités, sur base de simulations et de calculs destinés à améliorer la prise de décisions. Les modèles, en intégrant une multitude de données et de situations, augmentent les capacités prédictives des entités qui les utilisent, à condition de les maîtriser. Le risque en effet est de ne pas être en mesure de gérer les masses d'informations employées et les traitements associés, ceci conduisant à produire des états erronés pour décider. L'audit doit donc vérifier qu'existent des dispositifs visant à garantir la qualité des données tout au long de l'établissement des reporting. Des contrôles permanent sont ainsi à positionner en amont de l'intégration des données dans les outils de modélisation, mais aussi durant les traitements et en aval, une fois les résultats produits.
L'évaluation de la qualité des services fournis par des prestataires
Les fournisseurs bien souvent s'intègrent aux process d'une organisation dès lors que celle-ci a atteint une taille importante nécessitant des traitements opérationnels plus techniques et complexes. Cette intégration des prestataires est destinée à mieux répondre aux besoins de l'entité et ainsi à participer à une chaîne de valeur plus productive, donc à priori compétitive. Les interdépendances entre les parties prenantes dans ce cas sont fortes, d'où des cahiers des charges spécifiques pour encadrer les relations entre les tiers. En conséquence, il est impératif pour une organisation de mettre en place des dispositifs de suivi stricts et rigoureux concernant la qualité des prestations réalisées par les fournisseurs, avec l'obtention de garanties par les sous-traitants sur leur capacité à couvrir les risques inhérents à leurs activités. L'auditeur quant à lui s'assurera que la revue des prestations essentielles au sein de son organisation est effective et conduit à des plans d'actions si nécessaire, voire à des ajustements contractuels substantifs. L'audit pourra également être amené à réaliser une mission d'assurance directement chez un ou plusieurs fournisseurs, dès lors que ce type d'intervention est incluse dans les contrats de prestations.
Le contrôle des reporting extra-financiers
Rappelons qu'un des objectifs du contrôle interne porte sur la qualité des informations, notamment celles qui sont reportées aux instances dirigeantes et celles communiquées à l'extérieur de l'organisation. Ces dernières sont de plus en plus volumineuses compte tenu de la complexité croissante des opérations économiques. En outre, la nature des données diffusées a évolué. Les mentions dites qualitatives ont pris une place et une importance de plus en plus conséquentes dans les reportings comparativement aux éléments financiers. Cette évolution oblige à adapter les dispositifs de contrôle en matière d'informations. La nature du risque reste certes la même, soit de produire des informations non conformes à la réalité. Par contre, les sources d'erreur se sont multipliées puisque les communications institutionnelles accordent aujourd'hui autant d'importance aux résultats financiers des activités qu'à leurs effets, notamment sur l'environnement. Cette diversité des informations entrantes, traitées, sortantes, nécessite d'élargir les poins de contrôle interne et par conséquent d'audit. L'auditeur interne, en plus d'évaluer l'efficacité et l'efficience des process sur un plan quantitatif, doit dorénavant conclure sur la capacité de son organisation à produire toutes les éléments de reporting extra-financier.
A découvrir, une formation e-learning en lien avec le texte
(cliquez sur l'image pour accéder au programme)
Cette formation vous intéresse, vous avez des questions, n'hésitez pas à me contacter :
- par mail : jfcaron@outlook.fr
- par tel / whatsapp : 336 80 24 16 25
Je vous répondrai dans les 24 heures.
Un commentaire à propos du texte, n'hésitez pas à laisser votre message ci-dessous :