CONFÉRENCE annuelle Paris -14 novembre 2013 Quels nouveaux outils pour accompagner le développement de nos professions? Atelier F Isabelle Dreysse (ADP) Guy Maillant (EDF) Noah Gottesman (Thomson Reuters) Animateur : Bertrand Rubio (EY)
Les enjeux à considérer Optimisation de coûts, couverture plus large Harmonisation entre les lignes de maîtrise Intégration entre les modules et dans les environnements (BPM, general ledger, 9) Reportings consolidés et «temps réel» «One truth»vision Big data Exigences réglementaires fortes Quels nouveaux outils pour accompagner le développement de nos professions? 2
Les outils au service des départements d audit Support aux activités d audit Gestion des programmes de travail, planning, suivi des missions, suivi des recommandations, suivi du budget, Support aux activités d audit Data analytics Support aux activités d audit Data analytics Contrôle Interne Gestion des risques Integrated GRC Support aux activités d audit Data analytics Continuous audit & control monitoring Contrôle interne Compliance management Gestion des risques Risk analytics Extended GRC BPM Gestion des assurances QHSE PCA Quels nouveaux outils pour accompagner le développement de nos professions? 3
Un environnement d outils connectés 1. Design Business Process Modelling Modélisation des processus Modélisation de l architecture IT Modélisation des vues Performance, Organisation et Conformité Publication des modélisations 2. Assess & Manage Governance, Risk, Compliance Contrôle Interne Gestion des risques Audit interne : gestion des programmes de travail, planning, suivi des missions, suivi des recommandations, suivi du budget, Contrôle Interne : gestion des référentiels, questionnaires, testing, suivi des plans d action, reporting Gestion des Risques :cartographies, plans d actions, collecte et suivi des incidents, reporting Audit Conformité 3. Measure, Control & Monitor Data analytics Transactional Analysis Continuous Control & Audit Monitoring Process Performance Management Data analytics: identification de fraudes, problèmes de SoD, exceptions identifiées sur large volume de données, Continuous Control & Audit Monitoring : mise sous contrôle continu des opérations sensibles Process Performance Management : mesure de la performance des processus (sondes) Quels nouveaux outils pour accompagner le développement de nos professions? 4
Les outils au service des départements d audit Retours d expériences Harmonisation des lignes de maitrise Perspectives et tendances Quels nouveaux outils pour accompagner le développement de nos professions? 5
CONFÉRENCE annuelle Paris -14 novembre 2013 Retours d expériences Isabelle Dreysse (ADP) Guy Maillant (EDF) Noah Gottesman (Thomson Reuters) Bertrand Rubio (EY)
Aéroports de Paris Contexte Niveau Corporate: Contrôle interne et Management des risques: S appuient sur le cadre de référence de l AMF Travaux àvenir sur les évolutions liées au COSO2013 Audit: Certifié IFACI ResponsabilitéSociétale et Environnementale: S appuie sur l ISO26000 (non certifié) Niveau Métiers: De nombreux standards et certifications : ISO 9001 ISO14001 OHSAS18001 ISO 50001 SGS PAQS Qualité Environnement Sécurité et santé au travail Energie (en cours d implémentation) Système de gestion de la sécurité aéroportuaire Programme d assurance qualité sûreté 7
Aéroports de Paris Contexte Un outil de GRC (Gouvernance, Risque, Conformité) intégré: Choix initial d un seul outil de GRC pour gérer: Risques Contrôle Interne Evènements (lien avec la DGAC) Conformité règlementaire Audit Lien possible avec outil Processus Actions associées Des outils ciblés: L intégration désirée ne peut se passer d outils spécifiques: Veille règlementaire et conformitérèglementaire (Environnement et sécuritéet santéau travail) : outil RED ON LINE Documents obligatoires prestataires (Kbis, attestations d assurance, etc..) centralisés sur une plateforme externalisée: outil PROVIGIS Data mining : outil MAGNIFIER Questionnaire d autoévaluation (développement spécifique ou Excel) Bases incidents Etc. 8
Aéroports de Paris Valeur ajoutée et points d attention L outil intégré: Ecueils, points d attention: Ne pas croire qu un outil va apporter sur étagère la solution à l organisation Bien rôder le processus en amont (avec des outils classiques issus de la suite Office : permet de tester, faire adhérer, simplifier en amont plutôt qu après implémentation). Ne pas vouloir tout intégrer d un coup: lotir. Ne pas vouloir impliquer trop d acteurs dès le départ. La faiblesse principale constatée des outils: REPORTING, croisement de données. La dimension ergonomique souvent oubliée par les éditeurs. Valeur ajoutée Force à développer un langage commun. Force à s interroger sur les interactions entre dispositifs (Risques, CI, audit, etc). Les Outils ciblés Ecueils, points d attention: Être informéen central : ne pas développer un langage différent, éloignéde celui créé et voulu par le dispositif général d entreprise. Valeur ajoutée Plus simple àmettre en place Plus ciblé sur les besoins métiers. 9
EDF Contexte Organisation et outils Management unique Audit Risques -CI Dialogue très régulier Risques Programme d audit Audit Risques individuels Audit Auto-évaluation et avis Contrôle Interne Outillage simple Risques (Excel pour entités et global) Contrôle interne (Excel) Audit (Lotus Notes pour les documents, application intranet pour suivi audits : jalons, avis, risques, RH) 10
EDF Contexte Outil de Data mining Augmenter la pertinence des audits Dépasser les analyses par sondage Grandes lignes Peu d identification de cas en écart Avec un investissement peu élevé Licences logicielles Compétences accessibles 11
EDF Valeur ajoutée et points d attention En phase étude, préparation des entretiens Obtenir les grandes masses et les cas anormaux Renforcer le rapport avec des chiffres Passer du qualitatif au quantitatif Points d attention Organisation pour obtenir les données Connaissance fonctionnelle du système d information Prendre du recul sur les chiffres 12
CONFÉRENCE annuelle Paris -14 novembre 2013 Intégration des lignes de maîtrise Isabelle Dreysse (ADP) Guy Maillant (EDF) Noah Gottesman (Thomson Reuters) Bertrand Rubio (EY)
Retour d expérience ADP Oui, un outil intégrépeut être un support, un levier pour se poser les bonnes questions: Une base de donnée commune Quels liens entre audits et risques? Quels liens entre processus et audits? Quels liens entre processus et risques? Quelles analyses sur les incidents? Quelles priorités sur les actions, selon quels axes? Comment ne pas multiplier les actions par dispositif distinct? Etc, Des processus àmettre en place autour de l outil en intégrant les différentes dimensions Des réflexes intégrés par les acteurs du dispositif. Un langage commun. Un référentiel d entreprise. Fait progresser l organisation, la gouvernance Mais ce n est pas l outil intégréqui fait le dispositif. Les outils ciblés restent essentiels tout comme la culture d entreprise autour de ces sujets. 14
Retour d expérience EDF Apport important àla 3 ème ligne de maîtrise Meilleur impact du rapport d audit Efficacitépour la 2 nde ligne avec la réutilisation des requêtes par les audités Amélioration des contrôles au choix des entités 15
CONFÉRENCE annuelle Paris -14 novembre 2013 Perspectives et tendances Isabelle Dreysse (ADP) Guy Maillant (EDF) Noah Gottesman (Thomson Reuters) Bertrand Rubio (EY)
Balancing Internal Audit Technology Balancing efficiencies of Internal Audit Scope and Internal Audit Coverage Efficiencies within the Internal Audit Scope: -Annual Internal Audit Risk Assessment, -Standard Perspective of Risk, -Standard Internal Control language, -Standard Internal Audit Programs, -Standard Internal Audit Checklists, -Predefined CAATs or Analytics, The Internal Audit technology is a repository of information. Efficiencies within Internal Audit Coverage: -Focus on the changing business environment, -Leveraging the language of the organization, -Identifying Internal Control consistencies and inconsistencies across the organization, processes, and technology, -Evaluating and determining the best approach to review internal controls to provide the greatest coverage, The Internal Audit technology is an enabler of the Internal Audit process and vital to demonstrate coverage.
Internal Audit Technology Considerations Internal Audit Methodology before Internal Audit Technology, An Internal Audit Methodology needs to articulate how the Internal Audit Risk Assessment drives the Internal Audit Plan and the balance of priorities, special projects, etc., Great Practice: State how the Internal Audit Risk Assessment isan ongoing audit activity to monitor the business and the control environment, Internal Audit s technology decision must follow the organization s approach to Information Technology and Information Systems, Implement for the Future State not the Current State, It is a technology decision for Internal Audit, but it is important to pay attention to other internal and external stakeholders,
Internal Audit Technology Trends A significant number of new vendors with a tremendous focus on Data Analytics with the presence of Big Data, Less Internal Audit specific technologies and more general technology to manage Internal Audit, The use of Industry Frameworks, Standards, Principles, and Codesremain applicable for Internal Audit, but the integration with Internal Controls is difficult, A great deal of focus on GRC without connecting all of the dots, Ethic and Fraud Hotline and Investigations technologies are partof GRC technology, but it is not easy to connect them with other technologies, A general lack of a top-down mandate, to bring together the various technologies, Over 2,700 GRC technology vendors operate in this space globally, Of which only 81 operate within Internal Audit, Application Management, Asset Tracking, BPM, Business ContinuityManagement (BCM), Compliance, Data Analytics, Data Integration, Enterprise Content Management (ECM), IT Governance, IT Risk, IT Access and Security, IT Monitoring; Environmental, Health, and Safety, Risk Management, Issue Tracking,
Appendices
Internal Audit Technology Collaboration, lines of defense, and Independence & Objectivity Compliance Audit Risk Financial Reporting Organization Structure Legal Entities Audit Universe Operating Units Product Divisions Compliance Audit Risk Compliance Audit Risk High >Fine of $1 Billion >Deficiency over $15 Million >Incident over $100 Million
Our Organizational Structure Legal Entity Business Segment Operating Unit Geography ERP Instance Product Mix Customer Mix Shared Service Center Legend Risk Compliance Audit IT 22
Our Processes Business Process Management (BPM) Tool 1 Business Process Management (BPM) Tool 2 # of Oracle / SAP / Infor Instances Shared Service Center # of Acquisitions / Integrations # of Data Centers / IT Support Centers Legend Risk Compliance Audit IT 23
Our Risks Enterprise Risk Management Defined Internal Audit Defined Internal Control Defined Business Unit Defined Executive Defined Market Defined Legend Risk Compliance Audit IT 24