Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

CBOK The Global Internal Audit Common Body of Knowledge Audit des risques strat

CBOK The Global Internal Audit Common Body of Knowledge Audit des risques stratégiques Points de vue concrets de responsables de l’audit interne J. Michael Joyce, Jr. CIA, CPA, CRMA Etude du CBOK sur les parties prenantes 2 ● Audit des risques stratégiques À propos de CBOK Le CBOK (Common Body of Knowledge) est la plus grande étude actuellement menée sur l'audit interne à l'échelle mondiale. Elle comprend notamment des enquêtes auprès des professionnels et de leurs parties prenantes. L’enquête mondiale sur la pratique de l’audit interne examine les activités de la profes- sion. L’étude auprès des parties prenantes analyse leurs points de vue sur les performances de l’audit interne. Les enquêtes, les entretiens et l’analyse des données ont été effectués par Protiviti en collaboration avec les instituts de l’IIA à travers le monde. Les rapports des parties prenantes sont axés sur l'iden- tification des meilleures pratiques qui peuvent permettre d’améliorer l'efficacité de l'audit interne. Les rapports du CBOK sont gratuits grâce à la généreuse contribution d’indivi- dus, d’organisations, de chapitres et d’instituts de l’IIA dans le monde. Tous les rapports sont téléchargeables sur le site du CBOK Resource Exchange (www. theiia.org/goto/CBOK). Les rapports sur les parties prenantes sont également téléchargeables sur le site de Protiviti (www.protiviti.com). Canada États-Unis Afrique du Sud Brésil Mexique Royaume- Uni France Espagne Allemagne Italie Turquie Pologne Émirats Arabes Unis Malaisie Singapour Taïwan Japon Chine Hong- Kong Pays-Bas Russie Australie Inde Note : Les enquêtes et les questionnaires de la Fondation de l’audit interne, anciennement appelée la Fondation de la recherche de l’IIA, et de Protiviti ont été distribués aux parties prenantes dans 23 pays entre juillet 2015 et février 2016. Les questionnaires partiellement remplis ont été inclus dans l’analyse dès lors que les informations sur la population interrogée étaient complètes. Les questions sont intitulées Q1, Q2, etc. La carte met en évidence la répartition des pays ciblés par les enquêtes du CBOK en sept grandes régions (selon le modèle de la Banque mondiale). Etude du CBOK 2015 sur les parties prenantes : 23 pays d’origine DONNÉES – ÉTUDE SUR LES PARTIES PRENANTES Participants à l’enquête 1 124 Participants aux entretiens 112 Pays 23 Langues 13 PARTIES PRENANTES REPRÉSENTÉES Administrateurs 34% Directeur généraux 15% Directeurs financiers 18% Autres dirigeants 33% www.theiia.org/goto/CBOK ● 3 Table des matières Introduction : Des points de vue à la fois ordinaires et captivants sur l’audit des risques stratégiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 La cybersécurité n’existe pas hors de tout cadre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Projets relatifs aux systèmes d’information : Examiner rigoureusement les données, le développement et les comportements . . . . . . . . . . . . . . . . . . . . . . . . 7 Projets d’investissement : Le processus avant tout . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Les quatre leviers des fonctions d’audit interne à la pointe . . . . . . . . . . . . . . . . . . . . 10 En guise de conclusion : L’assurance vient avant le conseil . . . . . . . . . . . . . . . . . . . 11 L’étude internationale du CBOK 2015 sur les parties prenantes Ce rapport fait partie de l’étude internationale menée auprès des parties prenantes dans le cadre du CBOK (Common Body of Knowledge) 2015 de la Fondation de l’audit interne (Internal Audit Foundation) de l’IIA. Un des principaux constats est que près de deux tiers (soit 64 %) des parties prenantes (les administrateurs, les directeurs généraux, les directeurs financiers, des systèmes d’information, de la ges- tion des risques et autres dirigeants) souhaitent que l’audit interne soit plus actif en matière de risques stratégiques. A travers ce rapport, des directeurs de l’audit interne de différents secteurs ont été interrogés afin d’en savoir plus sur la façon dont ils s’impliquaient dans trois principaux risques stratégiques : la cybersécurité, les projets relatifs aux systèmes d’information (SI) et les projets d’investissement. Leurs points de vue recueillis de manière anonyme ont permis d’illustrer notre propos en nous fondant sur leurs réactions et avis sincères. 4 ● Audit des risques stratégiques sur les risques, la crédibilité de l’audit interne aux yeux des métiers et la capacité de la fonction à prospérer selon une méthode consultative. Ces blocs de construction cruciaux existent au sein des fonctions d’audit les plus performantes depuis un certain temps. Deux autres constats, plus inattendus, ont également émergé de ce dialogue. Tout d’abord, les fonctions d’audit interne progressent de façon significative dans la façon dont elles vérifient et abordent les risques stratégiques à travers un large éventail de démarches (comme nous l’observons dans les paragraphes concernant la cybersécurité, les projets liés aux SI et les projets d’investissement). Ensuite, les fonctions d’audit interne à la pointe travaillent consciencieusement et avec créativité afin de conforter leur contribution dans les cercles de décision, la crédibilité de leur fonction et leur rôle de conseiller par le biais de certains effets de leviers (résumés dans la dernière partie de ce rapport). Les entretiens avaient un double objectif : en décrivant la façon dont ils abordent les risques stratégiques, ces respon- sables de l’audit, qui sont à l’avant-garde, ont mis en lumière les moyens qu’ils utilisent pour promouvoir et maintenir leur rôle de partenaire stratégique des métiers sans pour autant remettre en cause la priorité qu’ils accordent à leurs responsabilités en matière de conformité et d’assurance. Introduction : Des points de vue à la fois ordinaires et captivants sur l’audit des risques stratégiques « Nous gardons un œil sur les hypothèses, celles qui sont à l’origine de l’initiative stratégique et celles qui conti- nuent de soutenir l’initiative dans sa progression. Ces hypothèses sont-elles toujours pertinentes ? » Les pratiques exemplaires partagées par les directeurs de l’audit interne sont tour à tour ordinaires et captivantes lorsque ces responsables confient la façon dont leur fonc- tion d’audit interne interagit avec la direction générale et le Conseil pour aborder trois types de risques stratégiques pour leur organisation : la cybersécurité, les projets liés aux systèmes d’information et les projets d’investissement. Ces pratiques nous semblent ordinaires à cause de l’approche fondée sur les risques et des leviers que les responsables de l’audit interne indiquent pour l’efficacité d’une mission d’«audit stratégique». Notons que de plus en plus d’admi- nistrateurs, de directeurs généraux, de directeurs financiers et autres dirigeants incitent l’audit interne à se lancer dans ce type de missions. Les directeurs de l’audit interne sou- lignent la valeur d’une implication précoce de leur service dans les initiatives stratégiques, l’approche d’audit fondée www.theiia.org/goto/CBOK ● 5 peuvent apporter des avis pertinents sur les ques- tions de cybersécurité cruciales et d’actualité ». ● ●Clarifier les responsabilités de maîtrise des risques de cybersécurité et être coordonné avec les autres acteurs : Les directeurs de l’audit interne travaillent étroitement avec leurs partenaires de la DSI, des équipes de sécurité de l’information et de gestion des risques (ERM) pour identifier leurs activités en matière de cybersécurité. Cette coordi- nation aide à synchroniser l’ensemble des efforts au sein d’une entreprise tout en renforçant le rôle de l’audit interne dans la fourniture d’une assurance objective et indépendante en ce qui concerne le risque de cybersécurité. Par exemple, un directeur de l’audit interne et son responsable de l’infor- mation, effectuent des présentations conjointes sur les risques de cybersécurité au comité d’audit afin de montrer que « nous travaillons de façon coordonnée sur la base d’une approche commune d’évaluation des risques ». ● ●Effectuer une évaluation formelle des risques : Les évaluations formelles des risques, qu’elles soient réalisées par l’audit interne ou un expert tiers, constituent une partie essentielle de la démarche de cybersécurité. Ces analyses permettent d’identi- fier les lacunes, clarifient les progrès et les priorités La cybersécurité n’existe pas hors de tout cadre « La cybersécurité doit fonctionner comme l’ensemble des systèmes et des organes d’un corps humain qui inte- ragissent pour le défendre face aux menaces et le rendre plus efficace. Ce n’est pas une procédure isolée. Il n’ y a pas un aspect de notre entreprise qui n’impacte pas la cybersécurité ». A la comparaison entre un projet d’investissement majeur en cours dans une région en guerre et une mission d’audit de la cybersécurité, un directeur de l’audit interne a immé- diatement répondu : « Ce projet d’investissement n’est ni aussi complexe ni aussi impressionnant ». Les comités d’audit réclament des informations actualisées sur la capacité de l’entreprise à aborder le risque stratégique colossal que constitue la cybersécurité. Les directeurs de uploads/Management/ cbok-audit-des-risques-strategiques.pdf