Ce qu'il conviendra d'auditer en 2019 !

Sur la nécessité d'ajuster chaque année le plan d'audit

Le dernier trimestre civil est propice à la finalisation du plan d’audit concernant l’année suivante. Même si cette mise au point consiste à décliner le programme pluriannuel décidé préalablement, il n’en reste pas moins nécessaire d’ajuster le contenu des missions à venir en fonction des préoccupations du moment. Bien souvent, une stratégie d’audit est construite sur un horizon de trois à quatre ans, l’objectif pour les auditeurs étant sur cette période de référence de passer en revue l’ensemble des activités, des métiers, des risques inhérents à leur organisation. Cependant, ce programme pluriannuel est construit sur base d'une situation à un moment donné, en fonction d’une « photo » prise à un instant précis. Pour éviter que la stratégie d’audit ne soit par trop statique, une approche dynamique est nécessaire afin d’actualiser le plan d’audit de l'année à venir sur base des évolutions récentes et des dernières préoccupations de la gouvernance de l’entreprise. Cet exercice n’est jamais simple pour l’auditeur, principalement pour deux raisons. La première repose sur la difficulté à transposer des variations environnementales à la structure même d’une entreprise et d’en apprécier les impacts pour l’organisation. La seconde est liée au fait de solliciter la gouvernance sur des problématiques d’audit alors que son appétence sur ces sujets est peut-être faible, voire inexistante…Dans tous les cas, le programme d’audit doit être pertinent, c’est-à-dire adapté aux dernières évolutions, que celles-ci soient d’ordre technologique, réglementaire, économique, ou encore résultantes de pratiques commerciales.

Les sujets d'audit interne pour 2019

Chaque année, une enquête est réalisée par plusieurs instituts européens d’auditeurs internes, dont l’Ifaci, auprès de responsables d’audit de pays différents. L’objet de cette consultation est de cerner les préoccupations majeures de la profession d’audit en matière de maîtrise des risques. Les résultats de cette enquête sont très intéressants pour celles et ceux en charge d’actualiser le plan d’audit interne. En effet, l’étude dresse un panorama des risques dont les effets sont considérés par des professionnels d’audit expérimentés comme élevés au regard de l’actualité. Tout auditeur dispose ainsi d’une cartographie actualisée des problématiques majeures auxquelles peut être exposée son organisation, ceci indépendamment du secteur d’activité dans lequel celle-ci officie. La dernière enquête de ce genre a été publiée en septembre 2018, au titre de l’année 2019. Les sujets incontournables d’audit interne identifiés sont les suivants :

  • Maîtrise de la cybersécurité : les attaques dirigées contre les systèmes d’informations  sont de plus en plus fréquentes et sophistiquées. Si aucune sécurisation des outils informatiques, du simple logiciel au réseau le plus dense, n’a été engagée, l’organisation s’expose à des dommages dont la gravité est bien souvent difficilement mesurable mais néanmoins certaine. L'auditeur doit donc s'assurer que son organisation a pris les mesures nécessaires pour se protéger, que ce soit en interne ou avec le recours à un prestataire spécialisé dans le domaine de la sécurité informatique ;
  • Protection des données personnelles : l'année 2018 a été marquée par une évolution réglementaire majeure en Europe, à savoir la mise en application du Règlement Général sur la Protection des Données (RGPD). Pour autant, les problématiques liées à l’utilisation par les organisations de données personnelles ne sont pas spécifiques à l’Europe, mais concernent toutes les entités quel que soit leur lieu d’implantation. Il est ainsi essentiel que l’audit interne s’interroge sur la qualité des dispositifs mis en place au sein de sa structure afin de gérer la collecte, le stockage, le traitement des données personnelles ;
  • Impact de la digitalisation sur les process : la numérisation s’insère de plus en plus dans les processus, induisant des changements en termes de risque opérationnel notamment. L’audit interne doit donc tenir compte de la digitalisation des opérations courantes pour la préparation et la réalisation de ses missions futures ;
  • Obligations de reporting en matière de développement durable : l’éthique environnementale et sociale des organisations est aujourd’hui une nécessité dont la loi sait saisie sur nombre d'aspects. De plus en plus des reporting désignés comme extra-financier sont à fournir par nombres d’entreprises afin que soient rendus publics leurs efforts – ou leur négligence - en matière de développement durable. S’agissant d’un point de conformité, qui plus est particulièrement sensible en termes de risque de réputation, les auditeurs se doivent d’intervenir sur ce sujet ;
  • Lutte anti-anticorruption : la corruption ne date pas d’aujourd’hui. Ce qui par contre est nouveau, c’est l’organisation au niveau mondial de pratiques pour lutter contre les actes corruptifs et leur transposition en droit national. Là-aussi, il est question de conformité, ceci obligeant l’audit interne à s’assurer que son organisation respecte les dispositions légales et réglementaires en la matière, au regard des évolutions récentes ;
  • Risques liés à la communication : les technologies de l’information permettent de communiquer toujours plus vite, toujours plus loin. C’est là certes un avantage en termes de diffusion et d’impact sur le public. Mais la médaille a toujours son revers. Entre « fake-news » et maladresse de communication, le risque de réputation des organisations est plus sensible qui ne l’a jamais été. Les actions de communication et le soin apporté par l’entité à son image sont désormais des sujets d’audit à part entière ;
  • Discrimination et inégalités de traitement : comme la corruption, la discrimination dans l'entreprise n’est pas chose nouvelle. Néanmoins, les révélations récentes concernant le show-business sur des affaires de viol et d'attouchement ont généré une prise de conscience mondiale à propos des violences faites aux femmes qui dépasse le seul monde du spectacle. En outre, le législateur et les autorités de contrôle sont de plus en plus sensibles aux actes discriminants dont se rendent coupables certaines organisations. Enfin, s'agissant des inégalités de traitement, les entreprises ont des obligations de transparence croissantes concernant leurs pratiques, notamment dans le cadre du reporting extra-financier exposé plus haut. En conséquence, les auditeurs doivent revoir les politiques et mesures de lutte contre les discriminations en place au sein de leur structure et s’assurer que celles-ci sont bien effectives ;
  • Dynamisme du dispositif général de maîtrise des risques : les évolutions en termes d’activités, et donc des risques qui leur sont inhérents, sont de plus en plus fréquentes et rapides. L'emploi de cadres immuables de gestion des risques, actualisés à la marge une fois par an, est ainsi inapproprié. La capacité d’adaptation d’une organisation n’est plus à centrer sur les seuls impératifs commerciaux et financiers, mais aussi sur les risques par nature évolutifs. L’audit interne s’assurera donc, tout au long de ses missions, que la gestion des risques est moins conservatrice que dynamique...

 


A découvrir également :



Laissez un commentaire ou contactez-moi :

Note : veuillez remplir les champs marqués d'un *.