Accueil / blog / Huit Unes qui résument l’année 2018 pour les auditeurs internes

Huit Unes qui résument l’année 2018 pour les auditeurs internes

La fin de l’année donne l’occasion de revenir sur les événements qui ont fait la une des journaux et auraient dû retenir l’attention des auditeurs internes. Comme ces dernières années, plusieurs scandales retentissants ont défrayé la chronique en 2018, dont certains ont probablement ouvert la voie à une nouvelle vague de réglementations susceptibles d’impacter les travaux de l’audit interne. Le management des risques subit un retour de flamme en 2018 Les amendes et les accords qui ont mis fin à des scandales survenus l’année dernière, notamment ceux impliquant Equifax, Wells Fargo et Volkswagen, ont continué de faire couler beaucoup d’encre en 2018. Ils nous ont aussi donné d’importantes leçons en matière de management des risques. L’accord qui a mis un terme à l’action collective intentée contre Equifax par huit Etats américains a envoyé un message que j’ai décrit dans un blog de juilletcomme un « postulat audacieux sur l’importance de l’audit interne ». Cet accord de conciliation, qui fait suite au litige causé par le piratage massif des données personnelles de plus de 140 millions d’Américains en 2017, a été conçu, en partie, pour combler les lacunes de l’audit interne et de la surveillance assurée par le Conseil d’administration et la direction générale. Dans la même veine, c’est une lourde amende de plusieurs milliards de dollars, imposée par deux régulateurs américains à Wells Fargo pour sa mauvaise gestion de prêts immobiliers et d’assurances automobiles, qui a donné lieu à un accord imposant à la banque de modifier ses pratiques de management des risques et de conformité et de soumettre au conseil d’administration un plan détaillé de renforcement des fonctions concernées. La Réserve fédérale américaine est allée plus loin en interdisant à la banque de faire croître son bilan au-delà du niveau de 2017 tant qu’elle n’aura pas pris les mesures nécessaires pour remédier aux déficiences de sa gestion des risques. Wells Fargo a estimé que cette limitation pourrait réduire son bénéfice annuel de 400 millions de dollars. Quant au groupe Volkswagen, il subit toujours les effets du scandale des émissions trois ans plus tard. Le « Dieselgate », qui a déjà coûté au fabricant automobile plus de 15 milliards de dollars d’amendes, s’est traduit par une surveillance et un scepticisme accrus de la part des régulateurs européens, non seulement à l’égard de Volkswagen mais aussi de Daimler-Benz et BMW. Dans mon blog de juillet, j’ai évoqué la précieuse leçon à tirer de ces affaires pour l’audit interne et les gestionnaires de risques : En effet, les scandales qui ont secoué Volkswagen, Wells Fargo et Equifax, ont fait prendre conscience que tous les acteurs de la gestion des risques doivent travailler collectivement et sur un pied d'égalité pour être efficaces. En définitive, il y a des répercussions chaque fois que des composantes clés des systèmes de management des risques sont défaillantes. L’implosion de Carillion révèle des problèmes systémiques en matière de management des risques L’effondrement spectaculaire de l’une des plus grandes entreprises de construction du Royaume-Uni a révélé au grand jour des défaillances au niveau de la surveillance assurée tant par le conseil d’administration que par le gouvernement, mais aussi des fonctions d’audit interne et externe. Le pire, du point de vue de l’audit, était le grave dysfonctionnement du processus d’assurance indépendante dévoilé par deux commissions d’enquête parlementaires. Dans son rapport, l’une d’elle a décrit les cabinets externes ayant réalisé des missions d’audit et de conseil comme un « club de copains incapable de fournir le niveau requis de critique indépendante ». La situation s’est aggravée en fin d’année lorsque l’Autorité de la concurrence britannique (Competition and Markets Authority- CMA) a émis un rapport exigeant une séparation des missions d’audit et de conseil au sein des Big Four - KPMG, EY, Deloitte, et PwC – et, de fait, une dissociation des activités d’audit et de conseil avec une gestion et une comptabilité distinctes. Les rapports comprennent également des recommandations visant àaccroître la responsabilité de ceux qui nomment les auditeurs et à développer un système d’ « audit conjoint » qui obligerait les Big Four à travailler avec des cabinets de taille plus réduite. Les conclusions de l’audit interne auraient pu permettre d’éviter l’attaque de rançongiciel à Atlanta Les Unes de 2018 ne concernent pas toutes des défaillances de l’audit interne. Au contraire, dans le cas de l’attaque de rançongiciel à Atlanta, la presse a indiqué que l’attaque aurait pu être évitée si les dirigeants de la ville avaient suivi les conclusions de l’audit interne leur recommandant de remédier aux sérieuses vulnérabilités des systèmes d’information de la ville. L’auditeur de la ville avait mis en lumière de graves lacunes au sein de la fonction SI d’Atlanta et indiqué qu’il n’existait pour ainsi dire aucun plan formel de protection contre les cybermenaces. Le rapport d’audit mettait en garde qu’un excès de confiance et une grave pénurie de ressources SI créaient « une exposition significative aux risques évitables » et concluait que la ville « n’avait pas de procédures formelles pour gérer les risques ». L’arrestation du président de Nissan Motors met en évidence des faiblesses de gouvernance L’arrestation du président de Nissan Motors Carlos Ghosn, accusé de ne pas avoir déclaré une large partie de sa rémunération aux autorités japonaises, soulève des questions importantes sur les processus de gouvernance et d’assurance du fabricant automobile. Le CEO de Nissan, Hiroto Saikawa, a en effet dénoncé le « côté obscur » d’une concentration excessive de pouvoirs dans les mains d’une seule personne et a qualifié de « faible » la structure de gouvernance au sein de la société, selon Bloomberg. J’ai d’ailleurs posé une question primordiale dans un blog consacré à ce scandale : Mais la question que personne ne pose est : pourquoi une structure de gouvernance jugée « faible » a-t-elle pu exister dans une société classée au Fortune 100 ? Et une question encore plus essentielle est : qui était responsable d’assurer une bonne gouvernance chez Nissan ? Des fuites d’informations du PCAOB sont utilisées par des collaborateurs de KPMG D’anciens collaborateurs du PCAOB (Public Company Accounting Oversight Board) et de KPMG ont été inculpés pour avoir utilisé des fuites d’informations du PCAOB afin d’aider le Big Four à améliorer ses résultats d’audit. Une enquête interne de KPMG et une enquête fédérale ont découvert ces malversations et conduit à plusieurs arrestations, dont celle d’un ancien dirigeant de KPMG, qui a plaidé coupable. À sa décharge, KPMG a réagi rapidement et coopéré avec les enquêteurs fédéraux dès la découverte du pot aux roses. En outre, le cabinet a licencié les trois collaborateurs impliqués. Comme je l’ai écrit dans un blogsur le sujet, les organisations doivent définir des normes éthiques, les communiquer clairement et fréquemment, définir des pénalités adaptées aux infractions et les appliquer de manière cohérente, quels que soient leurs auteurs. Une des leçons de ce scandale est que l’éthique professionnelle vit et meurt au niveau individuel. En d’autres termes, la boussole de la morale dépend de chaque individu. La direction générale doit avoir conscience de cette réalité et être prête à réagir de manière décisive et éthique lorsque les lacunes personnelles d’un collaborateur représentent un risque pour l’organisation. Le scandale de Facebook fait monter les enchères en matière de protection des données Le scandale Facebook–Cambridge Analytica, déclenché par un lanceur d’alerte en mars, a fait monter les enchères en matière de protection des données, tout juste deux mois avant l’entrée en vigueur de la nouvelle réglementation de l’Union européenne dans ce domaine. Beaucoup ont reproché à Facebook son laxisme dans le contrôle de ses protocoles de protection de la vie privée et le manque de clarté de ses paramètres de confidentialité qui ont compromis les informations personnelles de presque 90 millions de personnes. Cette affaire a également montré comment les médias sociaux pouvaient être exploités à des fins politiques. Aux Etats-Unis, les révélations sur Facebook ont donné lieu à un important débat politique et à la prise de mesures législatives en matière de protection des données. Le California Consumer Privacy Act, qui a été promulgué en juin et entrera en vigueur en janvier 2020, rend obligatoire le consentement explicite du consommateur. Les choses n’en resteront probablement pas là. La Maison Blanche a en effet annoncé en juillet qu’elle œuvrerait avec le pouvoir législatif à l’instauration d’une loi sur la protection de la vie privée des consommateurs. En septembre, Apple et Google ont exprimé leur point de vue et incité le Congrès à adopter une nouvelle législation fédérale sur la protection de la vie privée. Le mouvement #MeToo continue de faire tomber de puissants chefs d’entreprise Le mouvement #MeToo a redéfini la façon dont beaucoup d’organisations perçoivent les risques associés au harcèlement sexuel et aux inégalités sur le lieu travail. Ces deux catégories de risques étaient déjà connues mais le déferlement d’accusations sérieuses à l’encontre de pontes de l’industrie du divertissement ainsi que les atteintes portées à la réputation de leurs organisations ont considérablement accru le niveau de ce risque. Le mouvement a aussi confirmé la puissance des réseaux sociaux et la vitesse à laquelle les organisations peuvent être impactées. L’impact du mouvement #MeToo s’est reflété dans le taux de participation aux élections de mi-mandat aux États-Unis et le nombre record de femmes élues au Congrès. Cette nouvelle dynamique pourrait influencer les lois et réglementations dès l’année prochaine. L’IIA entreprend une révision des lignes de maîtrise En décembre, l’IIA a annoncé un projet de révision et de mise à jour des trois lignes de maîtrise, l’un des modèles de management des risques les plus connus. D’une durée d’un an, il est mené par un groupe de travail restreint composé d’experts en gouvernance qui pourront s’appuyer sur la vaste expérience des 30 membres d’un groupe consultatif. Le projet comprendra une revue exhaustive des approches de gouvernance à travers le monde et incorporera les commentaires du public, recueillis par le biais d’une consultation formelle. Depuis le début, l’objectif de l’IIA est de rechercher la meilleure manière de mettre à jour le modèle des trois lignes de maîtrise, pour refléter les changements intervenus dans le management des risques et la gouvernance modernes, tout en préservant sa simplicité et sa clarté. Conformément à son intention première, la mise à jour portera sur les rôles et non pas sur les structures organisationnelles. En réponse aux critiques, le but de la manœuvre est de rendre le modèle plus flexible, adapté à tous les secteurs et mieux à même de répondre aux défis et aux opportunités que présentent les risques. Les événements couverts par plusieurs des Unes mentionnées dans cet article pourraient bien conduire à de nouvelles dispositions législatives ou à un contrôle réglementaire accru. Les auditeurs internes devraient suivre de près les évolutions dans ces domaines au cours de l’année à venir et être prêts à discuter, sans détour, avec les parties prenantes des faiblesses de contrôle qui rendent leurs organisations vulnérables, notamment en matière de cybersécurité, de protection des données. Comme toujours, vos commentaires sont les bienvenus.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.