Redéfinir les pratiques d'audit interne dans le monde virtuel

La partie 16 de la série « Controls and Risk Management »

PWC's Global Crisis Survey 2019 est citée par Peter Jones, PDG de l'Institute of Internal Auditors, dans son Blog IIA News d'avril 2020: «Près de sept dirigeants sur 10 (69%) ont connu au moins une crise d'entreprise au cours des cinq dernières années, et les entreprises de plus de 5 000 employés sont susceptibles d'avoir connu plus de cinq crises – une moyenne par an. » De toute évidence, nous nous dirigeons vers un monde où la gestion de crise fera partie de la fonction commerciale habituelle.

Ce que j'ai également trouvé clé dans ce blog est la conclusion de Peter Jones: «Alors que les entreprises s'adaptent à la crise, les auditeurs internes ont un rôle à jouer pour conseiller la direction sur les risques émergents et leurs implications sur les contrôles internes. »

Ce qui est clair, c'est que le monde numérique se développe à une vitesse sans précédent et que les entreprises sont confrontées à des environnements difficiles qui changent rapidement: des crises de santé publique comme celle-là nous vivons actuellement, mais aussi des changements dans les environnements réglementaires avec une législation stricte en vigueur. N'oubliez pas l'évolution des paysages concurrentiels avec de nouveaux acteurs qui pénètrent sur des marchés jusqu'alors intacts et gagnent rapidement des parts de marché, grâce à leur capacité à exploiter la technologie. Pensez à SpaceX, par exemple. Qui aurait pensé il y a 10 ans à peine qu'une entreprise privée pouvait être un acteur clé dans un secteur qui exigeait des choses que seuls les gouvernements pouvaient se permettre?

Le nouveau rôle de l'audit interne

Comme nous le comprenons tous, le rôle de l'audit consiste à fournir une assurance indépendante que les processus de gestion des risques, de gouvernance et de contrôle interne d'une organisation fonctionnent efficacement. Mais il y a une autre facette au rôle: l'audit interne doit agir en tant que partenaire de confiance de l'entreprise. En fait, certaines de leurs conclusions mèneront à des améliorations des processus commerciaux. En bref: l'audit interne n'est pas seulement là pour agir en tant que régulateurs internes, pour ainsi dire; ils sont là pour identifier les meilleures pratiques et détecter les signaux d'alerte précoce qui pourraient indiquer l'émergence d'une menace pour l'organisation.

Et l'audit interne est particulièrement bien placé pour le faire puisque les auditeurs voient et examinent l'organisation dans son intégralité, sans

Surmonter les défis

L'un des défis auxquels l'audit interne est confronté, cependant, est que certaines des informations ne sont pas facilement localisées dans un seul lecteur partagé, ni bien structuré ou même référencé. Autrement dit, il n’existe pas de fichier intitulé «Principaux risques émergents que personne n’a jamais examinés.xlsx» ou «Échecs de processus que nous préférons rester cachés.doc». Ce dernier serait simplement ouvert pour trouver toutes les réponses, mais ce serait trop facile, non? L'information est partout!

Regarder ce problème avec seulement une lentille négative pourrait en décourager certains. Mais que se passerait-il si je vous disais que ce défi peut réellement être surmonté grâce à l'utilisation de la technologie?

Assurer une assurance continue dans toute l'entreprise

Premièrement, de nombreuses organisations ont maintenant déployé des solutions de contrôle interne centralisées où les contrôles et les procédures sont documentés par la deuxième ligne de défense et automatiquement envoyé aux utilisateurs de la première ligne de défense. Il en va bien sûr de même pour les évaluations des risques.

Pouvoir puiser dans ces solutions aide l'audit interne à tuer trois oiseaux numériques d'une seule pierre numérique:

• Revoir toute auto-évaluation de contrôle de leur choix . En appliquant les critères de sélection de son choix (contrôles avec le plus de problèmes, contrôles avec les risques les plus élevés, etc.), l'audit interne peut accéder instantanément à n'importe quel résultat de contrôle – quel que soit l'endroit dans le monde où il a été effectué. Ils peuvent également comparer les résultats avec d'autres unités commerciales pour identifier les meilleures pratiques, puis non seulement soulever une découverte potentielle, mais aussi suggérer déjà une amélioration pour résoudre le problème.

• Passer de la portée à l'audit complet. Au lieu de sélectionner un échantillon de données à tester, les auditeurs peuvent faire travailler la technologie pour eux et identifier les anomalies et les relever automatiquement. Comme pour la plupart des départements, l'audit interne dispose de ressources limitées. Être capable de lancer des schémas de détection et de se concentrer ensuite sur les zones qui ont soulevé le plus de préoccupations aidera cette fonction à concentrer ses efforts sur les zones de danger.

• Agir en tant que phare pour l'entreprise . En combinant les informations issues des évaluations des risques, des indicateurs de risque clés, des résultats de contrôle, des incidents, des quasi-accidents. et bien d'autres encore, les auditeurs seront en mesure de signaler les risques émergents qui pourraient menacer l'organisation. Ils pourraient alors, comme l'a mentionné Peter Jones, suggérer une nouvelle ligne de conduite pour atténuer ces nouveaux risques et, du même coup, suggérer des améliorations aux plans de continuité des activités existants et au cadre de contrôle interne. De cette façon, les problèmes sont détectés plus tôt et, lorsqu'une crise survient, l'organisation est mieux préparée à y faire face.

Amélioration de la collaboration

Le dernier domaine que je veux souligner concerne la collaboration. J'ai eu une brève expérience d'audit il y a de nombreuses années. C'était l'époque où vous alliez de site en site avec une mallette très lourde (ou une remorque avec des boîtes dans la voiture, plus probablement) et enregistriez tout sur papier. Ce n'était pas la meilleure façon de trouver l'aiguille dans la botte de foin et, pire encore, de favoriser la collaboration entre collègues travaillant sur le même programme (si vous avez déjà vu mon écriture).

Là où la technologie peut aussi aider l'audit interne, c'est dans l'information -partage et consolidation. En ayant accès au même programme de travail numérisé, les auditeurs peuvent s'appuyer les uns sur les autres, en particulier les résultats et les plans de test, pour mener à bien leur mission d'audit. Si un auditeur a exécuté un plan de test réussi, il peut être immédiatement partagé avec des collègues pour être appliqué à d'autres audits.

Le monde devient alors vraiment un village, comme on dit.

Au fur et à mesure que les processus d'affaires continueront d'évoluer, La technologie aura de plus en plus un impact sur les pratiques commerciales émergentes, en aidant les organisations à se conformer à des environnements réglementaires en constante évolution et en gérant les futures perturbations potentielles.

Le défi pour la fonction d'audit interne sera d'évaluer l'efficacité des contrôles internes qui peuvent être effectués manuellement. gouverné temporairement ou définitivement. Avec la bonne automatisation prenant en charge l'audit interne, les routines peuvent être efficacement automatisées et les efforts peuvent être détournés vers des activités impliquant plus de collaboration interpersonnelle et de jugements. Cela garantira un flux continu de données et d'informations à travers les trois lignes de défense.

Si vous souhaitez en savoir plus à ce sujet directement auprès d'experts, je vous recommande de vous inscrire à la demande Redefining Internal Audit Pratiques dans le monde virtuel Webinaire présenté conjointement par l'Institut des auditeurs internes (IIA) Inde et SAP.

J'ai hâte de lire vos réflexions et commentaires sur Twitter @TFrenehard.

Cet article a été initialement publié sur SAP Community et est republié avec autorisation.

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube