Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Transcription

1 Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

2 C est sans surprise que dans la dernière enquête «CEO» de PwC, les dirigeants font état de leurs préoccupations sur la montée des risques auxquels leurs entreprises sont confrontées. Dans un environnement réglementaire plus exigeant et face à des attentes plus fortes de leurs principaux partenaires, on comprend mieux pourquoi une gestion proactive des risques qui est capable d évoluer tout en s adaptant rapidement à l émergence de nouveaux risques, devient un avantage compétitif pour les entreprises. De plus en plus de dirigeants et d administrateurs ont bien compris qu avoir un dispositif de maîtrise des risques non seulement performant mais également «résilient» permettait de se tourner à nouveau vers l avenir de manière confiante et au final de prendre plus de risques, car c est bien là avant tout le métier de l entreprise! PwC, fort d un réseau de plus de collaborateurs dans le monde spécialisés dans les domaines de la gestion des risques, du contrôle et de l audit interne, a développé une expertise unique dans ces domaines et propose un ensemble de services pour améliorer vos dispositifs face à ces enjeux majeurs.

3 Sommaire Contexte Une offre de services complète Des solutions pratiques et éprouvées êtes-vous prêt? Notre équipe Nos atouts pour vous accompagner Risk Assurance & Advisory Services Améliorer la résilience aux risques 1

4 2 PwC 2013

5 Contexte Les dispositifs mis en place par les entreprises font face à de nombreux défis Gérer la complexification des organisations et des processus et l accroissement de la pression réglementaire Renforcer l engagement des collaborateurs à tous les niveaux dans la démarche de gestion des risques et développer une culture de risque partagée Renforcer la sécurité et le contrôle interne liés aux systèmes d information Assurer la mise en œuvre effective des contrôles et la cohérence entre les dispositifs S assurer que les prestataires et partenaires essentiels de l entreprise respectent également leurs obligations et exigences réglementaires Améliorer et démontrer le rapport coût/valeur ajoutée des dispositifs Répondre aux attentes des clients et des régulateurs sur la résilience de l entreprise face aux risques Communiquer et mieux exploiter le reporting sur les risques et le contrôle dans le pilotage de l entreprise dans un environnement de risques de plus en plus complexe Perte de clients Evolution de la demande Capacité insuffisante des actifs industriels Pression sur les prix Rupture technologique / R&D Changements réglementaires Intégration / JV / Partenariat Externalisation de fonctions Stratégiques Opérationnels Inefficacité/discontinuité de la supply chain / indisponibilité des actifs industriels Sécurité et maîtrise des systèmes d information Manque de fiabilité des tiers Fraude et corruption Manque d engagement du personnel Non conformité réglementaire Manque de fiabilité de l information extra-financière Dégradation du contexte économique Conflits géopolitiques Changement brusque de politique gouvernementale Terrorisme Catastrophe naturelle Litiges Crises Financiers Evolution des taux d intérêts et taux de change Perte d actifs Financement / solvabilité Goodwill et amortissements Fiabilité des informations de gestion, de la comptabilité et de la communication financière Risk Assurance & Advisory Services Améliorer la résilience aux risques 3

6 Une offre de services complète Audit Interne Mettre en place avec nos clients des modèles de réalisation des missions efficaces et flexibles Co-sourcing (généralistes, spécialistes, autres pays) Participation à l évaluation annuelle du contrôle interne Externalisation de missions ad hoc Externalisation de la fonction Maximiser la valeur apportée par l audit interne Création de la fonction Revue de performance Organisation, méthodes et outils Gestion des Risques Mettre en place des dispositifs de gestion des risques intégrés au pilotage pour mieux anticiper et gérer l incertitude, tout en profitant des opportunités Organisation, méthodes et outils Cartographie des risques Culture de risque et appétence Intégration au pilotage Plan de continuité et plan de secours Gestion de risques projets Programme anti-fraude Conformité Aider à se conformer aux réglementations externes (réglementations sectorielles, directives européennes, réglementations anti corruption, etc.) Cartographie des risques de conformité Organisation, méthodes et outils Création de la fonction conformité Programme d alertes et de veille Audits de conformité Contrôle Interne Accompagner pour concevoir, déployer, optimiser et rendre compte des dispositifs de contrôle interne Programme de contrôle interne Définition, documentation et évaluation des contrôles Adéquation et efficacité des contrôles Articulation des contrôles avec les objectifs et risques associés (qualité, performance, transformation, etc.) Outils Maîtrise des risques et audit informatique Adresser les risques spécifiques liés aux systèmes d information, et exploiter les systèmes d information au profit d une meilleure maîtrise des risques Gouvernance et cartographie des risques IT Sécurité des accès et séparation des tâches Contrôles intégrés aux ERP Projets informatiques Data mining «Third party assurance» Apporter un niveau d assurance et de transparence sur l efficacité des dispositifs de contrôle interne portant sur les activités externalisées Rapports sur les contrôles financiers (ISAE 3402 précédemment SAS 70) Rapports au delà des contrôles financiers 4 PwC 2013

7 ...que nous déclinons en fonction de vos besoins Pour vous aider à concevoir et déployer des dispositifs adaptés Pour améliorer le niveau d assurance donné aux parties prenantes et aux tiers Pour améliorer la performance des dispositifs mis en place Risk Assurance & Advisory Services Améliorer la résilience aux risques 5

8 6 PwC 2013

9 Des solutions pratiques et éprouvées Accompagner la conception et le déploiement Nous vous accompagnons pour concevoir et déployer des dispositifs adaptés, notamment : Pour répondre aux réglementations AMF, SOX, JSOX lors de la préparation des introductions en bourse Pour déployer les dispositifs groupe lors de l intégration de nouvelles filiales Pour structurer des dispositifs lors de la création de centres de services partagés ou lorsque vous externalisez une activité Pour intégrer de nouvelles exigences réglementaires dans les dispositifs existants ou structurer des dispositifs ad hoc Pour intégrer les dimensions contrôle interne en amont des projets informatiques et des projets de transformations des organisations Pour mettre en place des dispositifs de gestion des risques projets Pour améliorer la capacité de réponse aux crises majeures (mise en place de Disaster Recovery Plans, de Plans de Continuité d Activité) Quelques exemples de missions récentes : Cette entreprise préparait une introduction en bourse aux Etats Unis. Nous avons été sollicités pour l accompagner dans la mise en place d un dispositif de contrôle interne conforme aux exigences de la réglementation du Sarbanes-Oxley Act. Outre la documentation des processus, l analyse des risques et la définition de contrôles adaptés nous avons contribué à la formation du management, la définition d un processus d auto-évaluation et le développement de plans de tests en appui de la certification de l efficacité du contrôle interne. (Société émergente du secteur de la technologie) Nous avons assisté la filiale française de cette entreprise, acquise par une société soumise aux exigences de la réglementation du Sarbanes-Oxley Act, pour mettre en place la démarche de documentation et d évaluation du contrôle interne, conformément aux instructions du Groupe. Cet accompagnement a couvert l assistance à la documentation des processus et des contrôles, l évaluation de la conception et de l efficacité opérationnelle, ainsi que l accompagnement dans la phase de remédiation des déficiences. (Entreprise de location de biens mobiliers) Nous avons assisté plusieurs entreprises dans le cadre de la conformité avec le Foreign Corrupt Practices Act pour la mise en place de la filière Conformité couvrant l élaboration et le déploiement de la politique, du référentiel de pratiques, d indicateurs d alerte, d outils et formations. Nos travaux ont contribué à améliorer l efficacité des processus et la transparence. (Groupes et sociétés des secteurs de la technologie, pharmaceutique, du transport et de l automobile) Nous avons été sollicités par plusieurs filiales de ce groupe pour déployer leur plan de continuité d activité dans le cadre d une démarche globale mise en place au sein du groupe. Nous avions par ailleurs assisté le groupe dans le développement d un guide de déploiement, formation et d études de cas pour accompagner la mise en œuvre au sein des filiales. (Groupe du secteur des biens de consommation) Dans le cadre du déploiement d un nouveau système d information, nous avons conduit une revue de pré-implémentation de la gouvernance et du pilotage du projet pour s assurer que les exigences de contrôle et de conformité réglementaires, opérationnelles et financières étaient respectées. (Groupe du secteur de la chimie) Nous avons été sollicités pour revoir le paramétrage de l application de gestion de la séparation des tâches dans SAP avant son déploiement au sein des filiales. Nous avons mené cette revue en nous appuyant sur l expérience acquise par notre réseau, nos référentiels de bonnes pratiques et les spécificités des processus métier de notre client. (Entreprise industrielle) Risk Assurance & Advisory Services Améliorer la résilience aux risques 7

10 Des solutions pratiques et éprouvées Améliorer le niveau d assurance donné à vos parties prenantes Nous vous accompagnons pour améliorer le niveau d assurance sur les dispositifs déployés: En prenant en charge complètement la fonction audit interne lorsque la situation le requiert (taille de la société, contexte transitoire, etc.) En mobilisant nos équipes en France et dans le monde pour vous aider à évaluer le contrôle interne dans les unités opérationnelles En prenant en charge des audits de conformité en réponse à des obligations réglementaires En menant des missions ad hoc de revues sur des domaines spécifiques (informatique, opérations, juridique ) ou sur des projets significatifs (infrastructures, grands projets informatiques, etc.) En revoyant les dispositifs déployés (risques, contrôle interne, audit interne, conformité, continuité, etc.) par rapport aux bonnes pratiques et aux réglementations en vigueur En produisant des rapports sur le contrôle interne à destination des tiers (ISAE 3402) Quelques exemples de missions récentes : Ce groupe racheté par un fonds souhaitait se préparer à une possible introduction en bourse. Dans cette perspective, il nous a confié l ensemble de la fonction audit interne : analyse de risque, plan d audit, conduite des missions, reporting au management et au comité d audit. (Entreprise du secteur agro-alimentaire) Les équipes d audit interne de ce groupe doivent réaliser chaque année, sur une période courte, des travaux de test du contrôle interne dans plusieurs entités opérationnelles. Nous intervenons seuls ou en équipes conjointes aussi bien en France qu à l étranger afin d apporter des compétences d audit du contrôle interne et la souplesse d exécution. (Entreprise du secteur industriel) Le département audit interne de ce groupe inclut dans son plan des sujets pour lesquels il ne dispose pas des expertises permettant d apporter benchmark et recommandations à valeur ajoutée. Nous accompagnons ces équipes en impliquant l ensemble des experts de PwC à leurs côtés, en France et à l étranger. L assistance peut se limiter à la préparation du programme de travail et aller jusqu à la réalisation d audit de bout en bout. (Entreprise du secteur industriel) Cette entreprise a mis en place un dispositif de conformité pour répondre à une réglementation sectorielle. Nous avons réalisé une revue du dispositif afin d apporter l assurance au directeur de la conformité que la structuration et la mise en œuvre du dispositif lui permettaient bien de répondre aux exigences réglementaires et qu il était bien adapté à l entreprise. (Société du secteur industriel) Ces sociétés fournissent des prestations informatiques ou de support essentielles à plusieurs grands groupes industriels et financiers. Nous avons été mandatés pour donner une assurance sur le contrôle interne lié aux prestations externalisées, incluant l analyse des risques relatifs au périmètre défini, l évaluation de l efficacité du dispositif de contrôle, et l élaboration d un rapport conforme à la norme ISAE (Prestataires de services informatiques et de fonctions support) 8 PwC 2013

11 Des solutions pratiques et éprouvées Améliorer la performance Nous vous accompagnons pour améliorer la performance de vos dispositifs au service de votre organisation Intégration efficace des dispositifs, coordination des «3 lignes de défense» Mise en place de techniques de data mining à l appui des travaux d audit interne et du pilotage du contrôle interne Optimisation et/ou automatisation de contrôles, en particulier en environnement ERP (SAP, Oracle, Navision, etc.) Culture de risque et engagement des collaborateurs et du middle management Alignement de l appétence au risque à travers les entités du groupe Indicateurs et tableaux de bord de pilotage des risques et des contrôles Professionnalisation et compétences des fonctions impliquées (audit interne, risk manager, contrôleurs internes) Organisation, méthodes et outils des fonctions en charge Quelques exemples de missions récentes: Dans le cadre du déploiement de son programme de contrôle interne, ce groupe nous a sollicité pour l accompagner dans la mise en place d une dynamique d amélioration en continu de l efficacité du contrôle interne. Nous avons travaillé avec la direction du contrôle interne sur plusieurs années pour la définition de la stratégie et de la cible à 3 ans, l élaboration de la feuille de route, la formation, et la mise en œuvre de certaines actions dont le développement d un outil d évaluation de la maturité des filiales du groupe en matière de contrôle interne. (Société du secteur de l énergie) Nous avons assisté ce groupe pour aligner les divers dispositifs d évaluation des risques et des contrôles existants et créer un dispositif commun à la gestion des risques opérationnels, sécurité, IT, protection des données, conformité, et continuité d activité. Nous avons contribué à l élaboration d un référentiel couvrant chacune des disciplines, à la mise en place d un calendrier unique et d un outil de gestion commun, au déploiement et à la formation des entités du groupe. (Grand groupe français) Ce groupe international souhaitait renforcer son cursus de formation à destination de l équipe des auditeurs internes internationaux. Nous l avons assisté pour mettre en place une formation d intégration des nouveaux auditeurs, ainsi qu une formation aux fondamentaux de l audit informatique pour l ensemble des auditeurs, visant une meilleure efficacité et pertinence des missions d audit interne. (Grand groupe industriel français fortement implantée à l international) Cette administration souhaitait améliorer son pilotage des risques et de la performance, et nous a sollicité pour objectiver le choix d un outil informatique entre une solution dérivée de leur outil «maison» et le recours à un logiciel du marché en vue de documenter le contrôle comptable permanent et l évaluation périodique du contrôle interne au-delà du domaine comptable. Nous l avons accompagné pour évaluer les options possibles et établir les scénarios qui ont servi de bases à la décision. (Administration centrale de l Etat) Le questionnaire d autoévaluation déployé par ce groupe était jugé inadapté aux évolutions de l entreprise et trop lourd dans sa mise en œuvre. Nous avons été sollicités pour le simplifier et mieux prendre en compte les risques de l activité. Nous avons impliqué les opérationnels dans nos travaux au moyen d ateliers de travail. Nous avons proposé un questionnaire d autoévaluation mieux ciblé et plus concis. (Entreprise du secteur industriel) Risk Assurance & Advisory Services Améliorer la résilience aux risques 9

12 êtes-vous prêt? 1. La gestion des risques à travers l entreprise s articule-t-elle bien avec votre stratégie au niveau du groupe? 2. Obtenez-vous les informations nécessaires en matière de risques et de contrôle pour piloter et prendre des décisions critiques? 3. La cartographie des risques est-elle réellement connectée à vos préoccupations? Est-elle utilisée dans le pilotage de l entreprise? 4. Y a-t-il eu un accroissement des fraudes ou des incidents au cours des 24 derniers mois? Quel est votre sentiment sur la capacité de vos dispositifs à mieux vous protéger? 10 PwC 2013

13 5. Le tone in the middle s articule-t-il bien avec le tone at the top en matière d adhésion aux attentes de contrôle interne et de mise en œuvre effective sur le terrain? 6. Avez-vous une connaissance et une assurance suffisante sur la maîtrise des activités critiques que vous externalisez à travers le monde? 7. L établissement de rapports autres que financiers est-il encadré par un dispositif approprié (opérationnel, qualité, RSE, autre)? 8. L impact et les changements liés aux systèmes d information sont-ils pris en compte dans votre gestion des risques? 9. Les dispositifs de contrôle interne, gestion des risques, qualité, sécurité, conformité et audit interne sont-ils redondants ou, au contraire, laissent-ils des domaines insuffisamment couverts? 10. L entreprise tire-t-elle bénéfice des dispositifs en place? Le retour sur investissement est-il mesuré? Les systèmes d information sont-ils réellement utilisés au mieux? Risk Assurance & Advisory Services Améliorer la résilience aux risques 11

14 Notre équipe Notre groupe Risk Assurance & Advisory Services est constitué de professionnels ayant une connaissance approfondie des normes, standards et meilleures pratiques dans les domaines suivants : la gestion des risques le contrôle interne l audit informatique (certifiés CISA) l audit interne (certifiés CIA) Nous intervenons pour des grands groupes internationnaux et des entreprises de taille intermédiaire. Nous travaillons en coordination étroite avec les experts sectoriels et fonctionnels des autres activités (audit, conseil, juridique et fiscal) et notre réseau international pour livrer des prestations adaptées à chaque client. Nos atouts pour vous accompagner Une équipe de professionnels expérimentés dans tous les domaines de la maîtrise des risques. Une capacité à mobiliser nos professionnels à travers le monde et à intégrer un vaste réseau d experts dédiés. Une relation de confiance qui s inscrit dans la durée. Un acteur de référence dans ce domaine au niveau mondial, tant par sa dimension internationale que son engagement auprès de référents tels que le COSO, l ISACA et l IIA. PwC est présent dans plus de 150 pays à travers le monde avec un effectif de plus de personnes, apportant des services d audit et de conseil en management, transactions, juridique et fiscal. L activité Risk Assurance & Advisory Services comprend plus de 100 auditeurs conseil en France, dédiés spécifiquement aux sujets de risques et conformité. Ils s appuient sur les méthodes, outils et expertises développées par ces mêmes équipes spécialisées dans l ensemble du réseau. 12 PwC 2013

15 Les informations contenues dans le présent document ont un objet exclusivement général et ne peuvent en aucun cas être utilisées comme un substitut à une consultation rendue par un professionnel. En tout état de cause, en aucun cas la responsabilité de PricewaterhouseCoopers France et/ ou de l une quelconque des entités membres du réseau PwC ne pourra être engagée du fait ou à la suite d une décision prise sur la base des informations contenues dans le présent document. PricewaterhouseCoopers France Tous droits réservés.

16 Contacts Patrice Morot Associé Risk Assurance & Advisory Services Leader Jean-Pierre Hottin Associé Anne-Christine Marie Associée Françoise Bergé Associée