Créatio et développemet d ue foctio audit itere* Ue démarche e 10 étapes
[ Sommaire] Dix étapes pour réussir... 7 Étapes 1 à 4 Défiitio du cadre d itervetio... 9 1 Idetifier les attetes des parties preates... 10 2 Défiir la missio... 11 3 Établir u pla de développemet stratégique... 13 4 Évaluer les risques et établir u pla d audit... 14 Étapes 5 à 10 Mise e place pratique... 17 5 Établir des budgets à u horizo de plusieurs exercices... 18 6 Lacer les travaux de terrai le plus tôt possible... 20 7 Évaluer les compéteces écessaires... 22 8 Développer ou acquérir les moyes techiques... 24 9 Établir ue stratégie de commuicatio... 25 10 Mesurer les résultats... 26 Coclusio... 29 Les questios clés... 31 Le départemet Services à l audit itere e Frace... 34 Cotacts... 35 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Créatio et développemet d ue foctio audit itere La écessité de disposer d u dispositif de surveillace efficace e matière de gestio des risques et de cotrôle itere e s est jamais autat fait ressetir qu aujourd hui, e particulier avec l adoptio de la loi de Sécurité Fiacière e Frace et de la loi Sarbaes-Oxley aux États-Uis. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 5
Créatio et développemet d ue foctio audit itere
[ Dix étapes pour réussir] Le pla de développemet stratégique de la foctio audit itere doit guider les aspects opératioels de sa mise e place, et o l iverse. Trop souvet, la créatio d ue foctio audit itere est iitiée pour faire face à des besois immédiats. La focalisatio trop importate sur les aspects opératioels à court terme peut das ce cas faire perdre de vue la écessité d iscrire la foctio aisi créée das ue perspective stratégique à plus log terme. Afi d aider les sociétés à cocevoir et mettre e place ue foctio audit itere répodat pleiemet aux objectifs qui lui sot fixés das so pla de développemet stratégique, PricewaterhouseCoopers a défii ue démarche structurée e 10 étapes, éprouvée auprès d etreprises de tailles et d activités différetes. Les étapes 1 à 4 sot axées sur les aspects stratégiques, tadis que les étapes 5 à 10 se focaliset sur les aspects opératioels. Ces 10 étapes, bie que liées etre elles, e doivet pas écessairemet être mises e œuvre das l ordre chroologique. Par exemple, il est pas écessaire que tous les élémets de la démarche soiet e place pour etrepredre les travaux de terrai. De même, la composate «commuicatio», développée das l étape 9, doit être lacée dès le démarrage et se poursuivre tout au log du processus. Adopter cette démarche permet à la fois de traiter les aspects stratégiques du pla de développemet mais aussi de mettre e œuvre les décisios opératioelles qui cotribuerot à la réussite de la foctio. Pla de créatio de la foctio audit itere Stratégie 1 Attetes des parties preates Tactique 2 Défiitio de la missio 3 Établir u pla de développemet stratégique 4 Évaluatio des risques et pla d audit 5 Établissemet des budgets 6 Lacemet des travaux de terrai le plus tôt possible 9 Établissemet d ue stratégie de commuicatio 8 7 Évaluatio des compéteces écessaires Développemet ou acquisitio des moyes techiques 10 Mesure des résultats Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 7
Étapes 1 à 4 Défiitio du cadre d itervetio La foctio audit itere cotribue à ue meilleure gouverace d etreprise lorsqu elle s iscrit das u pla de développemet stratégique établi par la directio (parties preates clés) e accord avec le comité d audit et lorsqu elle traite des risques de l etreprise das so esemble aisi que des problématiques de cotrôle itere. Ue fois le pla de développemet stratégique défii, l orgaisatio est e mesure de défiir correctemet la missio, l orgaisatio, les ressources, les méthodes de travail et les modes de commuicatio de la foctio audit itere. Le poit de vue de PricewaterhouseCoopers U écueil classique cosiste à mettre e œuvre des actios très opératioelles sas défiir préalablemet de pla de développemet stratégique. E particulier, la défiitio claire des attetes e termes de valeur ajoutée, aisi que la mise e place d ue démarche rigoureuse pour les atteidre, permettrot sas ul doute d améliorer l efficacité de la démarche, tat sur les aspects coûts que délais. Idetifier les attetes des parties preates Défiir la missio Établir u pla de développemet stratégique Évaluer les risques et établir u pla d audit 1 2 3 4 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 9
1 Idetifier les attetes des parties preates La créatio d ue foctio audit itere efficace écessite au préalable que les parties preates clés détermiet les bééfices qu ils e escomptet. La détermiatio de ces bééfices escomptés doit aboutir à la défiitio des attetes spécifiques, qui représetet la valeur ajoutée de l audit itere. Les domaies das lesquels l audit itere peut apporter de la valeur ajoutée sot ombreux, parmi ceux-ci les plus commuémet reteus sot les suivats : L apport d ue assurace complémetaire sur la gestio des risques et la maîtrise des activités Ue évaluatio idépedate de l efficacité et de l efficiece du dispositif du cotrôle itere accompagée de recommadatios pertietes L apport de cofort au maagemet sur les problématiques liées à la coformité aux règlemetatios, aux politiques et aux procédures décidées par l etreprise L appui das les démarches de mise e coformité aux dispositios règlemetaires e matière de cotrôle itere (Sarbaes-Oxley, LSF ) La capacité à réagir et à iterveir das les situatios écessitat des réposes immédiates, telles que la découverte de fraudes Les bééfices directs issus des itervetios (écoomies de coûts, amélioratio de l efficacité des processus) Sesibilisatio à tous les iveaux de l orgaisatio au besoi de maîtrise des risques et de cotrôle itere L apport de coseils aux opératioels pour traiter les problématiques complexes La participatio au développemet d u vivier de «hauts potetiels» et de futurs maagers. U apport d efficacité das la gestio des coûts d audit par ue coordiatio active avec les auditeurs exteres. L étape 2 peut être lacée à partir du momet où les parties preates clés de l etreprise ot pu exprimer clairemet leurs attetes e terme de valeur ajoutée vis-à-vis de l audit itere. Le poit de vue de PricewaterhouseCoopers Le processus d idetificatio des attetes des parties preates doit être reouvelé régulièremet pour permettre à la foctio audit itere de s adapter aux évolutios et chagemets susceptibles d impacter la ature de so itervetio. 10 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Défiir la missio 2 Ue fois les attetes spécifiques («value drivers») idetifiées, le directeur de l audit itere doit, avec la directio géérale et le comité d audit, défiir de maière détaillée la missio de l audit itere. Cette missio doit être défiie das u documet formel, par exemple, ue charte d audit itere qui servira par la suite de base à l établissemet des critères d évaluatio de la performace de la foctio audit itere. Ce documet doit délimiter l autorité et les resposabilités de la foctio et refléter les priorités de la directio géérale et du comité d audit. Sa logueur et so coteu peuvet varier. Néamois u tel documet doit détermier das quelles proportios la foctio audit itere allouera ses ressources aux activités traditioelles de coformité ou aux activités de coseil souvet cosidérées par les opératioels comme ue source de valeur ajoutée. La missio de l audit itere doit clairemet refléter les attetes des parties preates, qui ot u impact direct sur les domaies d itervetio prioritaires et les compéteces requises. A défaut, la foctio audit itere risque d aller à l ecotre de ses objectifs stratégiques. Le schéma de positioemet de la foctio audit itere suivat (Iteral Audit Cotiuum TM ) décrit la maière dot l orietatio et les compéteces de l audit itere doivet évoluer e foctio des attetes des parties preates. «The Iteral Audit Cotiuum TM» Attetes des parties preates Préservatio de la valeur Équilibre Augmetatio de la valeur Trasactios Domaies d'itervetio prioritaires de Processus de cotrôle itere Amélioratio des processus opératioels l'audit itere Gestio des risques Cotrôle itere Couverture des risques Gestio des risques Détectio de la fraude Audit de coformité aux lois et règlemetatios fiacières Audit opératioel Compréhesio des processus et des produits Évaluatio globale des risques de l'etreprise Esemble des compéteces de l'audit itere Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 11
Le schéma précédet motre que les compéteces requises dépedet des attetes des parties preates. Lorsque les attetes sot focalisées sur la préservatio de la valeur et la maîtrise du cotrôle itere, les compéteces recherchées serot plutôt orietées sur l audit fiacier et l audit de coformité. Plus ces attetes évoluerot, plus l audit itere sera assuré d apporter de la valeur ajoutée au travers de l amélioratio de l efficacité opératioelle. L audit itere devra alors erichir ses compéteces e matière de coseil et de gestio des risques pour être e mesure d apporter cette valeur. Il y a i boe, i mauvaise répose e matière de priorités doées au départemet d audit itere. Le positioemet de la foctio sur l Iteral Audit Cotiuum TM (voir schéma précédet) reflète l appétece pour le risque des parties preates aisi que leurs attetes e termes d assurace, telles qu exprimées das la missio défiie pour l audit itere. Le documet formalisat cette missio doit doc être adapté à l orgaisatio et refléter les attetes spécifiques détermiées lors de l étape 1. Trop souvet les orgaisatios égliget ce lie etre missio et attetes spécifiques («value drivers») exprimées par les parties preates e se cotetat d adopter des défiitios de missio stadard proveat d autres etités ou départemets d audit itere. Le poit de vue de PricewaterhouseCoopers La missio de l audit itere doit être partagée et commuiquée aux partie preates et au persoel de l etreprise cocerés afi d obteir compréhesio et adhésio de leur part. 12 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Établir u pla de développemet stratégique La créatio et le développemet d ue foctio audit itere doit s appuyer sur u pla de développemet stratégique. Ce pla de développemet va au-delà d ue évaluatio poctuelle des risques, il va permettre de défiir les bééfices apportés par la foctio audit itere, ses «cliets», aisi que la valeur ajoutée qu elle prévoit d apporter à court et moye terme à chacu d etre eux. Le pla traite égalemet des aspects opératioels écessaires pour atteidre les objectifs, aisi que des resposabilités foctioelles. 3 Le pla de développemet stratégique cotiet les iformatios relatives aux besois de fiacemet et de ressources lors du démarrage de la foctio aisi qu à u horizo de trois à ciq as. Les pricipales hypothèses aisi que des élémets de bechmarkig par rapport à des iformatios proveat de tiers sot gééralemet iclus das ce documet. Ce pla doit égalemet itégrer les coûts et les avatages d autres approches possibles permettat d atteidre les résultats souhaités, par exemple : ue collaboratio avec d autres foctios impliquées das la maîtrise des risques et des cotrôles, telles que les foctios juridiques, de veille réglemetaire, d aalyse de marché ou de crédit, et les départemets e charge de la sécurité (physique et iformatique), de la fraude ou de la qualité, u recours à des sous-traitats qui permettet d apporter des compéteces additioelles à la foctio, u programme d auto-évaluatio du cotrôle itere. Le pla de développemet stratégique traite égalemet des questios de commuicatio qui sot essetielles pour la réussite de la foctio. À titre d exemple, ce pla doit aborder les élémets suivats : la commuicatio iitiale à l esemble de l orgaisatio faite par le comité d audit et la directio géérale, la commuicatio relative aux resposabilités et aux prérogatives de l audit itere, les attetes de la directio géérale et du comité d audit relatives à la missio de l audit itere, les attetes e matière d actios correctives suite à l idetificatio de défaillaces de cotrôle itere ou de tout autre problème soulevé par l audit itere. Efi, le pla de développemet stratégique costitue le référetiel sur la base duquel pourrot être mesurés les décisios et les résultats futurs. Nous recommados de revoir auellemet le pla afi d y iclure les chagemets souhaités et approuvés par les parties preates clés. Le poit de vue de PricewaterhouseCoopers Tout projet de développemet doit s iscrire das ue visio stratégique. Il e est de même pour ue foctio audit itere qui doit disposer d u pla de développemet stratégique. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 13
4 Évaluer les risques et établir u pla d audit Il est essetiel que l audit itere se dote de moyes d aalyse systématique des risques. U risque est défii comme tout évéemet qui pourrait empêcher l orgaisatio d atteidre ses objectifs. Ue évaluatio des risques permet à l auditeur d evisager das quelle mesure certais évéemets potetiels pourraiet affecter l atteite des objectifs de l etreprise. Le processus d évaluatio des risques commece par la défiitio de l uivers d audit. Le champ de l audit iclut toutes les divisios, les processus et les opératios. Esuite, l auditeur doit compredre le modèle écoomique de la société au regard de so secteur d activité et de ses objectifs clés. Le dialogue avec les différets acteurs de l etreprise permettra à l audit itere de cofirmer sa compréhesio de l uivers d audit, des pricipaux objectifs opératioels et des risques ihérets à ces objectifs. L auditeur doit obteir ue boe compréhesio de l etreprise, de ses objectifs et des risques auxquels elle est cofrotée. Il doit esuite evisager l icidece possible de ces différets risques sur la réalisatio des objectifs et évaluer leur probabilité d occurrece afi de fourir ue visio des risques auxquels est cofrotée l orgaisatio. Ces risques sot présetés à la directio et au comité d audit sous la forme d ue cartographie. Celle-ci met e évidece, le plus souvet grâce à u code couleur, les domaies das lesquels les iveaux de risque sot élevés, modérés ou faibles. Cette évaluatio iitiale permet d idetifier précisémet les divisios, les processus ou les opératios qui présetet le plus de risques et d élaborer la base du pla d audit. Le poit de vue de PricewaterhouseCoopers L évaluatio des risques et le pla de développemet d audit doivet être élaborés e accord avec les orietatios du pla stratégique. 14 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Le processus d évaluatio des risques et de préparatio du pla d audit Objectifs opératioels Risques Plaificatio Délais de réalisatio Immédiat Log terme Stratégique Critique Probabilité de surveace Faible Elevée Préoccupats Critiques Préoccupats Faible Elevé Faible Elevé Impact sur l activité Impact sur l activité Reportig au comité d audit, au maagemet et aux autres parties preates de l audit itere Pla d audit Cartographie des risques Risques ihérets Risques résiduels Oui Évaluatio des risques ihérets No Coaissace de l efficacité des cotrôles Au cours de l aée de créatio de la foctio audit itere, les sociétés e disposet gééralemet pas d élémets de référece leur permettat d évaluer l efficacité des activités de cotrôle. Par coséquet, l évaluatio iitiale des risques et le pla d audit sot pour l essetiel établis e foctio des risques ihérets. Les risques ihérets sot ceux liés au cours ormal des affaires. Ils compreet des risques exteres tels que les chagemets de cojocture iteratioale, atioale et écoomique, aisi que les chagemets d ordre techique, juridique et politique. Les risques ihérets compreet égalemet des facteurs iteres qui demadet ue attetio particulière tels que les modificatios des systèmes d iformatio, les lacemets de ouveaux produits, l etrée sur de ouveaux marchés, les chagemets orgaisatioels et de directio, aisi que le développemet à l iteratioal. Au fur et à mesure de l amélioratio de la coaissace et de l efficacité des cotrôles iteres, l évaluatio périodique des risques predra e compte la capacité de ces cotrôles à attéuer l impact et/ou la probabilité de surveace des risques. Grâce à cette meilleure compréhesio du système de cotrôle itere, les priorités de traitemet des risques pourrot être révisées. Toutefois, même lorsque les cotrôles sot réputés efficaces, l audit itere doit régulièremet les tester afi de s assurer qu ils cotiuet à cotribuer à la maîtrise des risques critiques. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 15
U pla d audit efficace fourit ue démarche systématique de classemet des risques. À l issue de l évaluatio des risques, le resposable de l audit itere, avec l aval du comité d audit et de la directio, devra établir ue hiérarchisatio des risques orgaisatioels. Il détermiera esuite les compéteces requises au sei de la foctio audit itere afi d être e mesure de traiter les risques prioritaires et de satisfaire les besois des parties preates clés. Le poit de vue de PricewaterhouseCoopers Il coviet d être vigilat afi d éviter u décalage etre les compéteces techiques écessaires à la réalisatio du pla d audit et celles existat au sei de la foctio. E effet, les audits doivet être meés e foctio des risques idetifiés et o sur la base des compéteces dispoibles au sei de la foctio audit itere. 16 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Étapes 5 à 10 Mise e place pratique Les étapes 5 à 10 sot axées sur les aspects pratiques de la mise e place d ue foctio audit itere mais elles sot directemet liées aux étapes précédetes. E effet, ue fois le cadre stratégique mis e place, le processus de lacemet de la foctio audit itere passe au stade de l exécutio operatioelle. La mise e œuvre des étapes 5 à 10 permettra au départemet audit itere d obteir des résultats rapides tout e assurat ue réussite à log terme. Établir des budgets à u horizo de plusieurs exercices Lacer les travaux de terrai le plus tôt possible Évaluer les compéteces écessaires Développer ou acquérir les moyes techiques Établir ue stratégie de commuicatio Mesurer les résultats 5 6 7 8 9 10 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 17
5 Établir des budgets à u horizo de plusieurs exercices À l issue des étapes 1 à 4, le directeur de l audit itere dispose de suffisammet d iformatios pour établir les budgets de la période e cours et à veir. Ces budgets doivet prévoir des ressources suffisates pour que l audit itere puisse respecter le pla d audit établi lors de l étape 4, tout e offrat ue flexibilité suffisate pour répodre à d évetuels chagemets. Le budget iitial est établi e foctio des résultats de l évaluatio des risques et du pla d audit. Des élémets sot dispoibles auprès de l IIA (Istitute of Iteral Auditors), de l IFACI (Istitut Fraçais de l Audit et du Cotrôle Iteres) ou d autres orgaisatios afi d établir ue base budgétaire comparable à celle de structures d audit itere similaires issues du même secteur d activité. Le budget devra comporter ue projectio sur ue période de trois à ciq as, coformémet à l étape 3 du cadre, «établir u pla de développemet stratégique». Le budget alloué doit offrir la flexibilité requise pour permettre à l audit itere de pallier les urgeces qui survieet iévitablemet das la plupart des orgaisatios. Afi d appliquer u pla d audit cohéret et de qualité tout e ayat la possibilité de s adapter au chagemet, ous recommados d utiliser u Flexible Spedig Accout TM. Le Flexible Spedig Accout TM foctioe de la maière suivate : Le budget pricipal de l audit itere est établi sur la base de l évaluatio des risques et du pla d audit. Ce budget pricipal prévoit des ressources de fiacemet suffisates pour mettre e œuvre efficacemet le pla d audit. U Flexible Spedig Accout idépedat est égalemet ouvert. Ce compte est dimesioé sur la base d u pourcetage du budget d audit itere pricipal ou d autres estimatios. Si des projets ou des demades o prévues das le budget pricipal voiet le jour, les besois e ressources et e compéteces sot idetifiés et évalués. Les ressources sot réallouées à partir du pla pricipal ou provieet d ue source extérieure au départemet d audit itere. 18 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Le Flexible Spedig Accout TM fourit le fiacemet des besois d audit itere imprévus ou exceptioels de l orgaisatio. Les fods du Flexible Spedig Accout, s ils sot iutilisés, sot eregistrés comme u écart positif du budget d audit itere. Ils fot l objet d ue estimatio auelle cocomitate au développemet du processus d évaluatio des risques d audit et à l élaboratio du pla. Avatages de l utilisatio d u Flexible Spedig Accout Le processus de budgétisatio de l audit itere est étroitemet lié aux attetes spécifiques («value drivers») des parties preates de l audit itere. Le processus ecourage u échage avec les parties preates relatif à l ivestissemet das la foctio et à la valeur ajoutée attedue. Les ressources «cetrales» de l audit itere sot plus productives car elles e sot pas utilisées pour des projets poctuels ou spécifiques. Les domaies écessitat des compéteces particulières sot clairemet idetifiés et disposet d u fiacemet adéquat. Les ressources spécialisées sot dispoibles si et quad cela s avère écessaire. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 19
6 Lacer les travaux de terrai le plus tôt possible Il arrive trop souvet que les départemets d audit itere e période de démarrage souhaitet que persoel et ifrastructure soiet prêts avat le début des audits. Il s agit là d u écueil à éviter. E effet, les parties preates de l audit itere sot impatietes d obteir des résultats et souhaitet costater des progrès mesurables rapidemet et o au bout d u a. Afi de créer immédiatemet de la valeur, il est préférable de commecer les travaux de terrai après quelques semaies. Par exemple, il est précoisé d auditer trois à ciq domaies à haut risque déjà cous das les 100 jours suivat le lacemet de la foctio audit itere. Ces audits iitiaux se cocetrerot gééralemet sur des domaies où les problématiques de cotrôle itere sot coues, comme cela est souvet le cas des systèmes d iformatios par exemple. L utilisatio d u «programme de démarrage rapide» de la foctio audit itere (RSP pour Rapid-Start Program) costitue ue méthode efficace pour obteir des résultats rapides. Le RSP est ue techique de gestio de projet qui orgaise les actios, les audits et les iitiatives à predre das les 100 jours suivat le démarrage de la foctio. U RSP couvre à la fois les actios stratégiques et tactiques, otammet les travaux d audit terrai iitiaux. Le pla prévoit des dates et des étapes clés pour mesurer les progrès, idetifier les problèmes et réaliser des ajustemets le cas échéat. Mais l utilisatio d u RSP permet égalemet d empêcher u démarrage trop rapide et garatit aisi que les travaux de terrai commecerot das des délais optimaux. Bie etedu, u démarrage rapide écessite des ressources permettat de réaliser les travaux requis sur le terrai. E règle géérale, les ressources de l audit itere cotribuet à la mise e œuvre du programme d audit. Pour obteir u démarrage rapide, de ombreuses sociétés fot appel à u fourisseur extere. Cette solutio présete u certai ombre d avatages, par exemple : l accès à des avis et coseils au cours du processus de développemet, l accès aux ressources écessaires afi de réaliser certais audits liés à des risques majeurs, l accès à des outils et à des techologies éprouvés, le trasfert de coaissaces vers les auditeurs iteres du groupe, si la foctio est fialemet iteralisée ou si la société décide de e sous-traiter qu ue partie de ses ressources. 20 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
E utilisat cette approche, la directio de l audit itere est e mesure de fourir de premiers résultats aux différetes parties preates tout e cotiuat à mettre e place d autres élémets de cette démarche e 10 étapes. Le poit de vue de PricewaterhouseCoopers Le processus de démarrage de l audit itere est pas liéaire. Certaies décisios stratégiques et tactiques doivet être prises simultaémet et o de faço chroologique. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 21
7 Évaluer les compéteces écessaires Détermier les champs de compéteces requis pour la foctio audit itere écessite de réexamier la missio cofiée lors du démarrage de la foctio, aisi que les attetes spécifiques («value drivers») exprimées par les parties preates. E effet, il arrive trop souvet que la directio géérale et le comité d audit se focaliset sur u ombre requis de persoes plutôt que sur les compéteces écessaires au traitemet des risques prioritaires ou à l atteite des objectifs liés aux attetes spécifiques. L objectif cosiste à défiir les esembles de compéteces écessaires à «l orietatio foctioelle» souhaitée comme illustré plus haut das l Iteral Audit Cotiuum d audit itere. Atteidre le positioemet approprié das l Iteral Audit Cotiuum écessite gééralemet u pael de compéteces icluat ue expertise techique et sectorielle. Toutefois, attirer des spécialistes hautemet qualifiés disposat à la fois des compéteces, du leadership et de l expériece appropriés peut predre du temps et retarder le processus de démarrage. Afi d éviter les retards, il coviet d evisager de faire appel à u tiers capable de fourir, selo les besois, les ressources écessaires à l audit itere. Das ce cas, u cotrat de sous-traitace permet par exemple à la directio géérale et au comité d audit de se cocetrer sur le recrutemet des persoes adéquates tout e état e mesure de fourir de premiers résultats. Si l orgaisatio décide de recruter ses propres ressources, la soustraitace peut se trasformer e co-traitace ou predre fi. E ce qui cocere les besois e ressources à plus log terme, il faut garder à l esprit que l audit itere est u domaie dyamique et chageat. Au cours de la derière déceie, u certai ombre de grads groupes ot commecé à développer des relatios de co-traitace afi de gager e flexibilité et afi de disposer des compéteces qu ils e pouvaiet maiteir e itere. «Les départemets d evergure iteratioale fot fréquemmet appel à des sous-traitats rigoureusemet sélectioés e complémet de leurs propres ressources. E effet, même les plus grades équipes d audit e peuvet disposer e permaece d ue coaissace approfodie de chaque programme iformatique, de chaque produit d ivestissemet et de chaque régime d avatages sociaux de l orgaisatio». «How do iteral auditors add value?», «Iteral Auditor Magazie», février 2003, James Roth, PhD, CIA, CCSA. 22 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Évaluatio de la coformité de l eviroemet actuel de la loi Sarbaes-Oxley Auditeurs iteres (sous-traitace) Gestio des risques fiaciers Équipe d audit itere de l etreprise Sécurité de l iformatio Revue des cotrôles gééraux et audit des systèmes d iformatio Afi de répodre à ce besoi, PricewaterhouseCoopers a développé le Hub ad Spokes Resource Model TM. Ce modèle suppose que certaies ressources costitutives du cœur de métier de l audit itere demeuret au sei de la société. Ce «oyau dur» (hub) offre à l audit itere le Tests relatifs aux itrusios leadership, la cotiuité et l expériece et aux attaques iformatiques Revue juridique Cotrôle et fiscale et sécurité des ERP qui sot propres à so orgaisatio. Les «faisceaux» (spokes) représetet les expertises pouvat être mobilisées. Das l exemple ci-cotre, il s agit de domaies particuliers, complexes ou d expertise : sécurité de l iformatio, cotrôles de sécurité des ERP, coformité à la loi Sarbaes-Oxley, recherches e matière de prévetio des fraudes ou problématiques de cotiuité d exploitatio. Les faisceaux décrits das le diagramme e sot que des exemples des compéteces spécialisées qui pourraiet être requises. Ils e se limitet pas uiquemet à des domaies d expertise. S il existe u besoi de ressources spécifiques à ue zoe géographique ou pour reforcer ue équipe existate, ce modèle garatit réactivité, qualité et cohérece, tout e permettat de supprimer ou de maîtriser les coûts d audit. Le Hub ad Spokes Resource Model, associé au Flexible Spedig Accout évoqué précédemmet, permettet à l audit itere de se doter des compéteces appropriées à ses besois. Lorsque les priorités de l audit itere évoluet, ces modèles offret u iveau de flexibilité suffisat pour permettre à l audit itere de se focaliser sur les risques majeurs, tadis que l utilisatio des seules ressources dispoibles e itere e le permettrait pas. Le poit de vue de PricewaterhouseCoopers La valeur ajoutée qu apporte l audit itere est fortemet corrélée à la compétece des auditeurs e matière de gestio des risques. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 23
8 Développer ou acquérir les moyes techiques Démarrer le processus e ivestissat trop de temps das le développemet ou l acquisitio de moyes techiques (ifrastructure, méthodologie, techologies) costitue u écueil à éviter lors de la créatio d ue foctio audit itere. U tel ivestissemet doit être uiquemet motivé par les objectifs opératioels et par la ature des risques de la société. Avat de predre des décisios clés e matière de moyes techiques, il est primordial d examier les poits suivats : les méthodes d évaluatio des risques, les protocoles de plaificatio des audits, Les processus de documetatio et de revue, l accès aux meilleures pratiques, les démarches d exécutio des projets d audit itere, les processus de cotrôle qualité, les processus de suivi, de résolutio et de commuicatio des résultats de l audit, l admiistratio et la gestio des ressources humaies. Certais outils techologiques propres à l audit itere sot susceptibles d accroître sesiblemet l efficacité, la qualité et la cohérece du processus d audit. E matière d aalyse des doées, l utilisatio d u outil peut égalemet améliorer les performaces de l audit e permettat ue vérificatio iformatisée d u esemble de doées plutôt que la vérificatio d u échatillo. La méthodologie et les techologies d audit itere peuvet faire l objet d u développemet e itere ou être acquises auprès de tiers. A titre d exemple, PricewaterhouseCoopers propose TeamMate, u système coçu spécifiquemet pour les auditeurs iteres itégrat les documets de travail sous forme électroique aisi que Global Best Practices, otre base modiale de coaissaces des meilleures pratiques e matière de risques et cotrôles. U départemet audit itere peut égalemet se doter d ue procédure de cotrôle qualité afi de garatir la coformité aux méthodes, aux politiques de l orgaisatio et aux ormes professioelles «Stadards for the Professioal Practice 1» de l IIA. Le poit de vue de PricewaterhouseCoopers Se comparer aux meilleures pratiques sur le marché permet d améliorer les performaces de la foctio audit itere. 1 Traduites e Frace par l IFACI sous le titre «Normes professioelles de l audit itere» 24 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Établir ue stratégie de commuicatio 9 Selo ue étude de PricewaterhouseCoopers, la commuicatio etre la directio géérale et l audit itere est isuffisate das de ombreuses orgaisatios. Ce costat est d autat plus péalisat qu e matière d audit itere les attetes sot de plus e plus importates. Comme la perceptio des performaces de l audit itere par les parties preates clés est liée à ue commuicatio efficace, la foctio audit itere doit chercher des opportuités de dialogue avec la directio géérale de faço régulière, e istaurat u lie fort et clair etre les missios de l audit itere et les ejeux et risques de l orgaisatio. Afi de reforcer l efficacité des commuicatios écrites, des rapports et des otes de sythèse, il coviet d établir des protocoles de commuicatio clairs couvrat etre autres les poits suivats : la commuicatio au sei de la foctio audit itere, la maière dot la plaificatio et les résultats de l audit serot commuiqués à la directio géérale et aux directios opératioelles, la revue des costats d audit avat de quitter le terrai, l utilisatio das les rapports d audit, d idicateurs de priorité ou d autres moyes afi d idiquer la gravité des problèmes, les méthodes utilisées pour remédier aux différeces d iterprétatio des résultats d audit, l établissemet du caledrier d émissio du rapport fial après avoir quitté le terrai, l utilisatio d états d avacemet cocerat les résultats d audit, les recommadatios et leur mise e œuvre, la mise e place d u plaig de commuicatio régulier avec les directios opératioelles etre les audits, les commuicatios avec le comité d audit et le reportig auprès de ce derier, la coordiatio et la commuicatio efficaces avec les auditeurs exteres de la société. Le poit de vue de PricewaterhouseCoopers Pour gager e pertiece das sa commuicatio avec la directio géérale, l audit itere doit développer ue stratégie de commuicatio allat au-delà du simple reportig sur les missios d audit. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 25
10 Mesurer les résultats Afi de prouver so efficacité et de démotrer les résultats obteus, l équipe d audit itere doit disposer d u système d évaluatio étroitemet lié aux attetes spécifiques («value drivers») idetifiés lors de l étape 1. E effet, si l audit itere souhaite atteidre ou dépasser les attetes de la directio, il est importat de suivre et de mesurer régulièremet les performaces de cette foctio au regard de ces attetes. Le «balaced scorecard» (tableau de bord de performace) costitue u outil efficace de mesure de la valeur qui va au-delà des chiffres et offre ue aalyse globale des activités importates. Le cocept du «balaced scorecard» a été créé e 1992 par Robert S. Kapla et David P. Norto, il s appuie sur le pricipe suivat lequel l évaluatio des performaces costitue ue source de motivatio. A ce jour, des milliers de sociétés, d orgaisatios et d orgaismes gouveremetaux l ot utilisé das le mode etier. Le «balaced scorecard» permet aux orgaisatios de mettre e œuvre rapidemet et efficacemet leur stratégie e itégrat l évaluatio des performaces das le système de maagemet. Il permet d évaluer u esemble détaillé d objectifs et d activités de maière permaete. Chaque orgaisatio doit établir so tableau de bord d audit itere spécifique e foctio des trois premières étapes de la démarche présetée das ce documet : idetifier les attetes des parties preates, défiir la missio, établir u pla de développemet stratégique. Vous trouverez ci-cotre u exemple de ce type de tableau de bord. 26 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Exemple de tableau de bord de la performace de la foctio audit itere. 25 % Gestio des hommes Qualité du persoel professioel Capacité à répodre aux besois spécifiques et techiques Compréhesio de l activité de la société et de so cotexte Iteractio et commuicatio avec les resposables de divisios Développemet de carrière et des compéteces des cadres au sei de l orgaisatio 25 % Gestio des risques Idetificatio efficace et e temps utile des pricipaux risques d etreprise Pourcetage des activités d audit et des ressources allouées à la maîtrise des risques clés de l etreprise Souplesse et réactivité face aux risques émergets Compréhesio des besois et capacité à répodre aux besois : - du comité d audit - de la directio géérale 25 % Efficacité du processus d audit itere Démarrage rapide et efficace Commuicatio efficace et e temps utile Élaboratio et remise de recommadatios pratiques afi d améliorer les cotrôles iteres et le gouveremet d etreprise Résultats des questioaires de satisfactio des audités 25 % Valeur ajoutée pour la société Protectio de la valeur actioariale à l aide d u eviroemet de cotrôle amélioré Augmetatio de la valeur actioariale : - réductio de coûts - réductio des pertes de reveus - réductio du besoi e fods de roulemet - optimisatio des flux de trésorerie Le poit de vue de PricewaterhouseCoopers L audit itere est pas différet des autres processus d etreprise. Ses performaces et so apport de valeur peuvet être mesurés si des facteurs de valeur clairs ot été établis iitialemet et si des modalités d évaluatio efficaces ot été défiies. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 27
Créatio et développemet d ue foctio audit itere
Coclusio Nous sommes covaicus qu il est possible d éviter les écueils et les erreurs liés au démarrage de l audit itere e combiat, de faço optimale, la défiitio du cadre stratégique à la mise e œuvre des actios opératioelles. Das le cadre de cette démarche e 10 étapes, ous vous faisos bééficier de l expériece acquise au cours de ombreuses aées durat lesquelles ous avos aidé des orgaisatios de premier pla à mettre e place et à améliorer les performaces de leur foctio audit itere. Afi de vous aider à vous approprier cette démarche, ous vous proposos ci-après u certai ombre de questios clés que vous pourriez être ameés à vous poser pour chacue de ces étapes. Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 29
Les questios clés Ue démarche e 10 étapes 1. Idetifier les attetes des parties preates Questios clés Les attetes des acteurs et les résultats souhaités : Sot-ils clairemet défiis? Sot-ils mesurables? Fot-ils l objet d u cosesus de la part des parties preates clés? 2. Défiir la missio La missio cofiée à l audit itere : Est-elle adaptée à l orgaisatio? Est-elle cohérete avec l orietatio doée à la foctio? Est-elle e lige avec les attetes des parties preates? Défiit-elle clairemet les iveaux hiérarchiques et les resposabilités au sei de la foctio? Est-elle partagée et commuiquée de maière appropriée à l orgaisatio par les dirigeats? 3. Établir u pla de développemet stratégique Le pla de développemet stratégique costitue-t-il ue trame qui : Iclut ue ote de sythèse de 2 à 3 pages? Fourit des directives stratégiques, tactiques et des objectifs opératioels? Clarifie l orietatio et la valeur offerte par la ouvelle foctio et les livrables spécifiques? Idetifie les doées clés et iclut des sources exteres le cas échéat? S assure de la coordiatio et de l itégratio avec les foctios de l orgaisatio impliquées das la maîtrise des risques et du cotrôle? Aborde la questio du modèle de fiacemet du départemet, icluat les besois e termes budgétaires et e termes de ressources pour les 3 à 5 as à veir? Iclut u caledrier de mise e œuvre? Traite la questio de la commuicatio relative à la créatio de la foctio et sa missio, so rôle et so importace au sei de l orgaisatio? Idetifie la resposabilité foctioelle du développemet et de l exécutio du programme d audit itere? Aborde la questio du cotrôle qualité, du reportig des résultats et de la resposabilité de la résolutio des faiblesses du cotrôle itere? Fourit ue orme de comparaiso permettat d apprécier les décisios futures et les résultats? Promeut et costitue u support à ue collaboratio et ue commuicatio permaetes avec le comité d audit et les autres acteurs? Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 31
Ue démarche e 10 étapes Questios clés 4. Évaluer les risques et établir u pla d audit L évaluatio des risques et le pla d audit : Offret-ils des moyes cohérets et systématiques pour aalyser les risques au sei de l orgaisatio? Fourisset-ils ue aalyse de l esemble des risques de l orgaisatio? Sot-ils le reflet d ue visio cosesuelle (y compris des risques qui iclus celle du maagemet? Établisset-ils u ordre d importace etre les risques de l orgaisatio? Fourisset-ils ue base pour élaborer des alteratives au pla d audit itere? Cotribuet-ils à la clarificatio des compéteces et aptitudes requises au sei de la foctio? 5. Établir des budgets à u horizo de plusieurs exercices Les ressources budgétaires : Sot-elles suffisates pour garatir la satisfactio des attetes des parties preates? Sot-elles suffisates pour offrir la flexibilité écessaire afi de traiter des projets spécifiques iattedus? Sot-elles suffisates pour permettre l accès à des ressources spécialisées e dehors du départemet? Portet-elles sur plusieurs exercices? Permettet-elles d établir la foctio das les délais souhaités? Icluet-elles tous les coûts de démarrage, otammet les dépeses e matière de recrutemet, de méthodologie, de développemet et de techologie (matériel iformatique et logiciels)? Icluet-elles les frais admiistratifs, tels que les frais de déplacemet, de formatio et d appretissage, de formatio techique spécialisée et de support admiistratif? 6. Lacer les travaux de terrai le plus tôt possible Les travaux d audit itere sur le terrai sot-ils (ou serot-ils) : Etrepris même si la foctio est e développemet? Etrepris ou plaifiés (3 à 5 domaies) das les 100 premiers jours suivat la date du démarrage? Iitialemet orietés vers des domaies impliquat des risques, u impact ou des besois importats, tels que la techologie de l iformatio et la sécurité des doées par exemple? Etravés par le maque de persoel? A-t-il a été evisagé de faire appel à des ressources exteres afi de gérer la trasitio vers u modèle de ressources propres? 32 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Ue démarche e 10 étapes Questios clés 7. Évaluer les compéteces écessaires L évaluatio des compéteces : Iclut-elle ue aalyse détaillée des ressources et des compéteces écessaires? Tiet-elle compte et iclut la stratégie RH prévue das le pla de développemet stratégique d audit itere? Résulte-t-elle d ue aalyse objective des compéteces requises, plutôt que de l utilisatio des compéteces iteres dispoibles? Tiet-elle compte des besois e termes de compéteces sectorielles, spécialisées et des spécificités culturelles? Tiet-elle compte de l évolutio des compéteces das les 3 à 5 as à veir? Evisage-t-elle la possibilité de faire appel à des fourisseurs extérieurs pour bééficier des compéteces requises? 8. Développer ou acquérir les moyes techiques Les besois e terme d ifrastructure tieet-ils compte : De l acquisitio possible de techologies, des outils et des méthodologies dispoibles sur le marché? De l établissemet d ue méthode d audit cohérete et documetée afi de garatir la qualité de l audit? Des ressources et des coûts de l appretissage et de la formatio cotiue? De l accès aux meilleures pratiques et aux iformatios de «bechmarkig»? De l accès à des outils spécialisés et à ue expertise afi de les utiliser efficacemet? Des cotrôles qualité réguliers, icluat la coformité aux ormes professioelles? De la formatio relative aux méthodes et aux outils acquis ou développés? 9. Établir ue stratégie de commuicatio Les protocoles de commuicatio : Icluet-ils les besois et les attetes des parties preates? Icluet-ils l élaboratio, la mise e place, la revue et la défiitio du caledrier des rapports d audit? Itègret-ils les attetes du maagemet e termes de délai de suivi et de mise e œuvre des recommadatios tat du poit de vue de l audit itere que de celui des audités? Icluet-ils les boes pratiques e matière de commuicatio itere et extere à la foctio audit itere? 10. Mesurer les résultats Les résultats de l audit itere : Sot-ils mesurés à l aide d u système qui compred des élémets de mesure quatitatifs et qualitatifs tel qu u «balaced scorecard»? Sot-ils évalués à l aide d élémets de mesure s appuyat sur les attetes des parties preates clés et les «vecteurs de valeur ajoutée» idetifiés das le pla stratégique? Fot-ils l objet d ue évaluatio par les parties preates clés ayat u lie direct avec la foctio et état itéressées à la mise e œuvre de sa stratégie et à la réalisatio de ses objectifs? Sot-ils commuiqués efficacemet aux membres de l équipe d audit itere? Costituet-ils u élémet clé de l évaluatio des performaces de chaque membre de l équipe d audit itere? Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers 33
Le départemet Services à l audit itere de PricewaterhouseCoopers e Frace Les services à l audit itere de PricewaterhouseCoopers (www.pwc.fr/audititere) offret u grad ombre de solutios aux etreprises souhaitat reforcer leur cotrôle itere, la maîtrise de leurs risques aisi que leurs compéteces e matière d audit itere. Ce départemet de PricewaterhouseCoopers offre ue large gamme de services orgaisée autour de trois grads pôles : Ressources Coseil Outils PricewaterhouseCoopers PricewaterhouseCoopers (www.pwc.fr) développe des missios d audit et de coseil pour des etreprises de toutes tailles, publiques et privées, privilégiat des approches sectorielles et assurat cofiace et valeur ajoutée pour ses cliets et l esemble des parties preates. Plus de 142000 persoes travaillet e réseau das 149 pays, partageat poits de vue, expérieces et solutios pour proposer des perspectives iovates et des coseils adaptés à chaque problématique. E Frace, PwC développe cette approche avec Ladwell, cabiet d avocats correspodat. Costitué d etités légalemet autoomes et idépedates, membres du réseau PricewaterhouseCoopers Iteratioal Limited, PricewaterhouseCoopers rassemble e Frace 3500 persoes das 25 bureaux. 2007 PricewaterhouseCoopers tous droits réservés. PricewaterhouseCoopers est costitué d etités légalemet autoomes et idépedates, membres du réseau PricewaterhouseCoopers Iteratioal Limited. 34 Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
Cotacts Bria Towhill bria.towhill@fr.pwc.com 01 56 57 11 24 Jea-Pierre Hotti jea-pierre.hotti@fr.pwc.com 01 56 57 82 63 www.pwc.fr/audititere www.pwc.fr/teammate Créatio et développemet d ue foctio audit itere ue démarche e 10 étapes PricewaterhouseCoopers
63, rue de Villiers 92208 Neuilly sur Seie cedex www.pwc.fr