L’audit interne dans un monde changé

Cet article a été publié à l’origine sur le site de l’Institute of Internal Auditors et a été reproduit avec leur permission.

L’incidence de la COVID-19 a propulsé la fonction d’audit interne dans un monde où les attentes sont élevées envers notre profession. Les conseils d’administration, les comités d’audit et les directions d’entreprise ont tous subi leur lot de pression et de changements au cours de la dernière année. Les professionnels de l’audit interne ont dû s’adapter et prendre les devants pour revêtir le chapeau de conseiller polyvalent.

Malheureusement, plusieurs fonctions d’audit internes au pays n’ont pas eu la chance de faire leurs preuves et ont souffert des réductions de coûts et des restructurations.

Nous vivons désormais dans une nouvelle réalité. Les dirigeants et le personnel d’audit interne doivent donc évoluer pour répondre aux attentes actuelles, dont certaines exigent d’apprendre de nouvelles stratégies, technologies et règles, en plus d’adopter de nouveaux modèles d’affaires, afin de demeurer à l’avant-garde de la profession.

Voici quelques exemples de nouveautés dans notre métier, ou d’éléments qui ont changé pour de bon.

Les contrôles et audits virtuels

Les restrictions relatives à la COVID-19 ont obligé les fonctions d’audit interne à être plus créatives dans l’atteinte de leurs objectifs. Par exemple, certaines industries ou entreprises dont la fabrication ou les opérations se déroulent à distance ont fait l’acquisition de technologies mobiles et vidéos. L’équipe d’audit interne peut ainsi guider à distance des travailleurs de première ligne dans la collecte de renseignements nécessaires à l’audit, et de leur demander, par exemple, de mener une prise d’inventaire physique.

Un recours accru aux systèmes, aux données et à l’intelligence artificielle (IA) pour une surveillance en temps réel et continu

Des audits effectués par le passé, qui ont par exemple relevé des problèmes de dérogations au code de conduite ou à des mesures précises de santé et de sécurité, ont entraîné le recours à de la technologie pour mettre en place des systèmes de surveillance continue. Ces derniers déterminent la fourchette acceptable pour chaque indicateur sous surveillance. Lorsque l’élément suivi s’éloigne de la limite établie, un signalement pour examen immédiat est fait. On pourrait parler d’un système d’alerte préventive permettant de déceler les problèmes avant qu’ils ne prennent de l’ampleur. Par exemple, la surveillance continue des notes de frais est en train de devenir pratique courante. L’intelligence artificielle permet d’en améliorer la précision.

Utiliser l’application des données (analytique des risques) pour résoudre des problèmes majeurs

L’analyse des données a démontré son efficacité pour trouver des solutions à des problèmes complexes et détecter les enjeux de façon précoce avec précision et exactitude. Nul besoin de volumes d’opérations imposants ou d’un processus d’analyse complexe pour réaliser les gains d’efficacité d’une telle approche, comparativement à une méthode manuelle exécutée par un employé. À titre d’exemple, on peut penser au recours désormais courant à l’analytique des données dans les projets d’immobilisations de grande envergure dans le but d’évaluer l’exactitude de la facturation des fournisseurs et de réclamer un remboursement en cas de surfacturation.

Battre les pirates informatiques à leur propre jeu

Plus facile à dire qu’à faire. Les pirates informatiques sont nombreux à innover sans arrêt pour trouver de nouvelles méthodes de contourner les systèmes de sécurité les plus sophistiqués. La cybersécurité demeurera certainement un enjeu majeur pour les entreprises et les gouvernements. D’ailleurs, les pirates informatiques savent très bien que la pandémie a précipité le changement et la transformation numérique, fragilisant par le fait même les contrôles de cybersécurité. La hausse importante des tentatives de piratage au moyen de logiciels rançonneurs depuis le début de la pandémie n’est donc pas surprenante.

Optimiser la productivité humaine en remplaçant les tâches manuelles et répétitives par l’automatisation robotisée des processus (ARP)

Plus le monde comptera sur des technologies qui recueillent des données, mieux nous serons outillés pour tirer parti de systèmes comme l’Internet des objets et l’infonuagique afin de mettre en place des robots qui exécuteront des tâches manuelles répétitives. En effet, les ressources sont encouragées à assumer des rôles exigeant des compétences supérieures, laissant le travail monotone et routinier aux fonctions robotisées. Les équipes d’audit interne peuvent donc conseiller les directions d’entreprise en vue d’identifier les possibles applications de l’ARP, pour ensuite en tirer parti. Une telle solution peut s’avérer utile pour améliorer l’efficacité des processus d’audit, tout en réduisant le risque d’erreur humaine pour les processus manuels où de grands volumes de données sont traités.

Travail à distance : Un tout nouveau code de conduite pour le personnel et les techniques d’enquêtes en cas de fraude

Le peu de surveillance d’une main-d’œuvre en télétravail ouvre la porte à des conduites inappropriées dans un contexte professionnel. Comment les employeurs peuvent-ils savoir si leurs employés consomment des drogues ou de l’alcool pendant leurs heures de travail? Les employés peuvent-ils accéder à des données confidentielles à distance et les diffuser? Les entreprises doivent prendre connaissance des risques les plus courants et créer de nouvelles politiques et de nouveaux contrôles pour les réduire au minimum. Dans le passé, les enquêteurs de fraude misaient fortement sur des techniques d’entrevue en personne. Les entretiens virtuels ont désormais pris le relais. Seul le temps nous dira s’il s’agit là d’une manière efficace de procéder. À ce jour, les experts en juricomptabilité de MNP ont confirmé que cette approche est concluante. Plusieurs entreprises se servent de la technologie pour leurs enquêtes sur la fraude, grâce à l’analyse des données et aux systèmes d’IA conçus pour mettre en lumière toute anomalie.

Composer avec les effets secondaires d’une transformation numérique précipitée

Plus le changement causé par la transformation numérique est profond, plus les contrôles utilisés par le passé risquent de perdre leur efficacité. Il convient de se demander si l’entreprise met en place des pratiques de gouvernance des données et des contrôles adéquats pour assurer l’intégrité des données et la qualité des décisions qui en relèvent. Certaines entreprises contraintes de mettre en place de nouveaux systèmes rapidement pour préserver leurs chaînes d’approvisionnement ou leurs modèles de ventes en ligne, ou les aider à poursuivre leurs activités, ont pu observer une perte d’efficacité immédiate de leurs contrôles. Elles ont donc été obligées d’instaurer un tout nouvel ensemble de contrôles pour assurer des conclusions positives aux audits réalisés par des organismes de réglementation ou des auditeurs externes.

L’émergence des informations critiques à présenter, dont les facteurs environnementaux, sociaux et de gouvernance

Pour plusieurs, les facteurs ESG n’ont rien de nouveau. Toutefois, ils revêtent une importance considérable aux yeux des investisseurs, des marchés financiers et de la plupart des consommateurs. De nombreuses entreprises peinent à comprendre les attentes que les facteurs ESG créent auprès des parties prenantes. Une telle lacune peut sceller le sort de certaines sociétés ouvertes et entités dans des secteurs précis puisqu’elle entraînera un manque de fonds. On observe un intérêt marqué pour la communication des facteurs ESG et la conformité à des normes officielles de présentation à cet effet qui devraient entrer en vigueur sous peu. Il est assez probable que les entreprises auront besoin de certification ESG sur une base annuelle, dans l’avenir. La IFRS Foundation (normes internationales d’information financière) et les autorités de réglementation étudient les normes de présentation de l’information pour les facteurs ESG partout dans le monde. Cela pourrait se concrétiser à l’instar de la Loi Sarbanes-Oxley.

Un besoin crucial de gouvernance, de gestion et de sécurité des données (éviter les atteintes à la vie privée)

Les entreprises, les organisations et les particuliers s’exposent tous aux risques et aux responsabilités associés à la violation de lois sur les données, par exemple dans le cas d’un pirate informatique qui accède frauduleusement à des données personnelles stockées par votre organisation. Les gouvernements, les organismes de réglementation et les forces de l’ordre mettent en œuvre des réglementations, des lois et des pénalités relatives aux fuites de données causées par des contrôles inadéquats. Toute entité gagnerait à s’interroger sur le niveau de contrôles considéré comme raisonnable. Vous devriez entre autres vous renseigner sur l’existence au sein de votre organisation d’un répertoire des endroits où sont stockées les données à usage restreint, confidentielles ou permettant d’identifier une personne.

Un contexte de formation, de perfectionnement et de développement des compétences

Le changement évolue désormais trop rapidement pour les entreprises et les gouvernements qui tentent d’aider leurs employés à garder le cap sur les compétences critiques et les besoins actuels. La bonne nouvelle est qu’il existe des méthodes pour détecter les aptitudes requises : cela passe par le suivi des données pertinentes et la communication à court terme des lacunes sur le plan des connaissances. Une surveillance continue des éléments à haut risque et des paramètres correspondants peut servir d’indicateur d’alerte préventive. Elle sert également à identifier les nouvelles compétences et aptitudes nécessaires pour mener à bien un audit, comme les essais visant les contrôles informatiques liés à un système d’acquisition et de contrôle de données.

Le monde d’avant la COVID-19 est chose du passé. Une équipe d’audit interne doit donc suivre le rythme des changements, et même aller au-delà des tendances, pour demeurer pertinente et conserver son rôle de conseiller.

L’année 2021 est porteuse d’occasions exceptionnelles et le besoin pour une fonction d’audit interne n’a jamais été aussi important. Le service Gestion des risques d’entreprise de MNP s’engage à soutenir la communauté d’audit interne pour qu’elle saisisse les occasions qui se présentent et qu’elle se montre à la hauteur.

Même dans un monde virtuel, les relations et le réseautage sont importants

L’univers des rencontres virtuelles créé par l’avènement de la COVID-19 aura facilité l’accès à de nombreux dirigeants. À ce jour, les leaders en audit interne ont l’occasion d’utiliser ce temps pour bâtir et renforcer des relations (bien que virtuellement). Les gens ont besoin d’interaction sociale et créent des occasions de réseautage, comme les 5 à 7 virtuels. Néanmoins, les directeurs de l’audit interne doivent miser sur le développement de relations importantes et en faire une priorité, que ce soit avec le président du comité d’audit ou d’autres leaders à l’interne qui font appel à leurs services à titre de conseiller de confiance.

Renseignements

Pour en savoir plus, communiquez avec Richard Arthurs, leader national, Audit interne au 587.702.5978 ou à [email protected].