Accueil / blog / Que dit l’accord d’Equifax au sujet de l’importance de l’audit interne ?

Que dit l’accord d’Equifax au sujet de l’importance de l’audit interne ?

La fiasco d’Equifax, qui a exposé les données personnelles de près de la moitié de la population américaine, continue de donner des leçons aux professionnels de I’audit interne, aux autres acteurs de la gestion des risques et aux parties prenantes des organisations.

L’accord conclu récemment entre Equifax et huit États, qui ont intenté une action en justice à la suite du piratage des données de l’agence de notation de crédit, marque la fin de ces poursuites judiciaires. Mais je crois que son contenu émet également un postulat sur l’importance de l’audit interne : un système solide de management des risques et de contrôle interne doit reposer sur une fonction d’audit interne indépendante et dotée de ressources suffisantes pour couvrir l’ensemble du portefeuille de risques d’une organisation.

En effet, les scandales qui ont secoué Volkswagen, Wells Fargo et Equifax, ont fait prendre conscience que tous les acteurs de la gestion des risques doivent travailler collectivement et sur un pied d’égalité pour être efficaces. En définitive, il y a des répercussions chaque fois que des composantes clés des systèmes de management des risques sont défaillantes.

En faisant référence aux lacunes de l’audit interne et de la surveillance assurée par le Conseil et la direction générale, l’accord de conciliation d’Equifax illustre ces répercussions dans le cas de cette agence de notation de crédit. Un rapide coup d’œil à l’accord laisse à penser que les autorités bancaires et les personnes en charge de la protection de la clientèle dans les huit États plaignants émettent des réserves quant au caractère suffisant des efforts déployés par Equifax pour auditer ses contrôles SI.

L’appel à une action rapide (dans les 30 jours) pour que le comité d’audit suive la mise en œuvre d’un plan d’audit « permettant d’évaluer efficacement contrôles SI » témoigne d’une véritable défiance à l’égard des dispositifs en place jusqu’alors. Sa décision d’améliorer (en 90 jours) la surveillance du programme de sécurité de l’information exercée par le Conseil et la direction montre aussi que la situation est loin d’être idéale.

Dans les deux cas, l’accord de conciliation énumère les mesures concrètes à prendre selon les échéances qui sont aussi détaillées qu’un plan d’audit annuel. D’autres articles prévoient des actions concernant la gestion des fournisseurs, des patchs et des opérations SI liées à la reprise après sinistre et à la continuité d’activité.

Que pouvons-nous en conclure ?

Points d’attention pour les auditeurs : L’audit des contrôles SI, aussi ardu soit-il, ne peut pas être négligé par l’audit interne ou le comité d’audit. Au 21ème siècle, il est presque certain que des défaillances au niveau de ce type de contrôles auront des conséquences d’ordre financier et sur la réputation.

L’IIA a publié en début d’année un Guide pratique d’audit des technologies de l’information (GTAG) qui fournit des pistes et des points de vue sur l’approche de l’audit interne pour auditer la gouvernance des SI. La synthèse de ce rapport souligne l’importance d’une participation active de l’audit interne dans l’assurance et le suivi des SI.

« Une gouvernance performante des SI contribue à l’efficience et à l’efficacité des contrôles et permet à l’organisation de tirer des bénéfices financiers et extra-financiers de ces investissements dans
les SI. Souvent, des contrôles mal conçus ou défaillants trouvent leur cause première dans une gouvernance médiocre ou inefficace des SI. »

Points d’attention pour les parties prenantes : Il est impossible de siéger au sein d’un comité d’audit ou d’un comité dédié aux technologies en restant passif. Les organisations ne peuvent pas se permettre que des membres du conseil d’administration attendent des réponses de la direction et de l’audit interne. Ils doivent être suffisamment impliqués pour poser les questions difficiles. Si vous ne comprenez pas, si vous êtes submergés par les rapports ou si vous êtes simplement dans la confusion, demandez à la direction ou à l’audit interne d’expliciter les données qui vous échappent.

L’accord de conciliation m’a fait penser à la fameuse métaphore du verre à moitié plein ou à moitié vide. Il est tentant de reprendre chaque mot de l’accord pour tenter de faire une analyse rétrospective du piratage d’Equifax. Cela consisterait à voir le verre à moitié vide.

Je préfère adopter l’approche du verre à moitié plein. Le paragraphe qui prévoit un plan d’audit permettant d’évaluer efficacement les SI requiert également qu’il se conforme à la Charte de l’audit interne, laquelle exige « le respect des Normes internationales pour la pratique professionnelle de l’audit interne ». Cette déclaration est l’un des points d’attention les plus importants.

Les dirigeants des huit États signataires de l’accord de conciliation, à savoir l’Alabama, la Californie, la Géorgie, le Maine, le Massachusetts, l’Etat de New York, la Caroline du Nord et le Texas, reconnaissent et comprennent la valeur et l’importance des Normes de l’IIA. Il convient aussi de noter que cet accord identifie l’assurance fournie par l’audit interne sur les contrôles SI et une surveillance adéquate du comité d’audit comme étant la solution aux problèmes de l’entreprise en matière de SI. Ce constat s’inscrit dans le prolongement de l’un des messages clés de l’IIA : l’audit interne est indispensable à une bonne gouvernance et une bonne gouvernance est cruciale pour préserver et accroître la valeur de l’organisation.

Il n’est donc pas surprenant que la reconnaissance de l’audit interne soit considérée comme la pierre angulaire de la stratégie de promotion de la profession de l’IIA North America. L’IIA continue d’insister auprès de la SEC (US Securities and Exchange Commission) pour qu’elle permette au public de savoir si les sociétés cotées en bourse ont une fonction d’audit interne. Pour résumer, l’IIA estime que l’intérêt public est mieux préservé lorsqu’il existe une fonction d’audit interne qui fournit une assurance sur la qualité du processus de management des risques d’une organisation.

J’espère que cela se vérifiera pour Equifax à l’avenir.

Comme d’habitude, j’attends avec impatience vos commentaires.

 

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.