L'impact de la pandémie du coronavirus sur la gestion des contrôles internes

Matt Kelly

Matt Kelly

Rédacteur en chef et PDG, Radical Compliance

La pandémie du coronavirus COVID-19 a perturbé la plupart des domaines et des fonctions des entreprises, dont la gestion des contrôles internes. Toutefois, savoir adopter le bon dosage en termes de gestion des risques, de définition du champ d'application, de tests et de technologie peut aider les équipes d'audit à faire face à ces perturbations.

La crise liée au coronavirus COVID-19 a bouleversé de larges pans de la vie quotidienne et du monde économique, notamment la manière dont les organisations évaluent et testent les contrôles internes.

Étant donné que les processus métier ont dû être modifiés en réponse à la pandémie du coronavirus COVID-19 et que des secteurs d'activité auparavant stables connaissent désormais une certaine volatilité, les évaluations des risques doivent maintenant être plus étendues. Dans le même temps, les auditeurs peuvent rencontrer des difficultés pour effectuer des évaluations et des tests en raison du télétravail, des problèmes technologiques et des réductions budgétaires rapides et inattendues.

Voilà un grand nombre de questions auxquelles il faut apporter des réponses alors que les équipes d'audit vont de l'avant avec l'évaluation, la documentation et les tests des contrôles internes. Comment relever ces défis ?

Un périmètre de l'évaluation des risques radicalement différent

L'impact de la pandémie de coronavirus COVID-19 sur l'économie implique que de nombreux risques ou opérations commerciales qui, auparavant, n'exigeaient pas d'attention particulière doivent désormais être regardés de près Cette année, le périmètre des évaluations du risque sera radicalement différent.

Par exemple, les commerçants pourraient voir une avalanche d'ajustements apportés à leurs baux de location. Les éditeurs pourraient voir plonger leurs ventes en librairies physiques alors que les ventes directes en ligne s'envolent. Les entreprises en contact direct avec le client peuvent être amenées - peut-être pour la première fois - à déprécier des actifs incorporels ou leur goodwill.

Crédit-bail, constatation du chiffre d'affaires, baisse de valeur : ces problématiques ont toujours été prioritaires dans le cadre des tests de contrôle interne et des mesures correctives. La pandémie du coronavirus COVID-19 modifie cependant les contrôles internes qui deviennent plus importants pour ces questions. L'importance des domaines d'activité habituellement calmes peut soudainement prendre de l'ampleur ; les petites transactions rares peuvent devenir plus importantes et plus urgentes.

Solution : une communication accrue

Avant que la pandémie ne vienne perturber la vie dans le monde entier, les équipes d'audit ont envoyé des questionnaires d'évaluation des risques à différents secteurs de l'entreprise selon l'historique des risques organisationnels des années précédentes. Avec autant d'incertitude, cette stratégie ne fonctionnera plus forcément aujourd'hui.

Les équipes d'audit doivent se concerter avec les responsables dans davantage de domaines dans l'entreprise, poser des questions et entendre les préoccupations des collaborateurs. La communication est essentielle. Par exemple, concernant les risques opérationnels, les équipes d'audit doivent s'entretenir avec le conseil d'administration et la direction au sujet des objectifs commerciaux les plus urgents. Ensuite, elles peuvent procéder à une nouvelle évaluation des risques qui lie ces objectifs à la réalité du terrain du reste de l'entreprise.

En matière d'information financière, les équipes d'audit peuvent s'inspirer des autorités de régulation des marchés des valeurs mobilières ou de l'audit ayant publié des listes des sujets de préoccupation prioritaires pour l'information financière, qu'elles vont recouper avec la business unit concernée pour s'assurer qu'elles sont bien alignées.

« Quelqu'un doit « s'approprier » le programme de lutte contre la fraude. Cela pourrait impliquer la création d'un nouveau rôle ou l'attribution de responsabilités aux business units existantes. »

Risque de fraude nouveau et accru

La pandémie de COVID-19 a amplifié certains risques de fraude et en a introduit de nouveaux. Par exemple, les escroqueries par courrier électronique demandant aux employés de transférer de l'argent à l'étranger ne datent pas d'aujourd'hui, mais comme tout le monde travaille depuis chez soi, les fraudeurs ont plus de possibilités d'imaginer des courriers électroniques provenant de la direction.

Ce qui complique encore davantage la situation, c'est que les employés ont moins de contact avec les cadres supérieurs pour vérifier les demandes de virement. Ainsi, les politiques et les contrôles destinés à confirmer les virements électroniques deviendront plus importants.

Ou bien prenez l'exemple d'un fabricant qui décide de commencer à fabriquer des équipements de protection individuelle (EPI) pour les vendre au gouvernement. L'EPI ayant désormais une grande valeur, l'entreprise aurait besoin de meilleurs contrôles des stocks pour s'assurer que l'EPI n'est pas détourné de l'arrière du camion de livraison. En outre, en tant que sous-traitant du gouvernement, l'entreprise serait désormais également soumise à des lois anti-fraude telles que la False Claims Act (Loi Lincoln), les risques de conformité réglementaire sont donc en augmentation.

Solution : revenir en arrière et tout réévaluer

L'audit interne doit repenser son évaluation des risques de fraude. Tous les processus susceptibles d'être exposés à la fraude (même à un faible risque) doivent être examinés. Posez-vous la question suivante : « Comment ce processus a-t-il changé à cause de la crise du coronavirus ? Le risque est-il plus grand parce que le contrôle de la fraude est plus faible ou absent ? Y a-t-il un nouveau risque parce que nous fournissons un nouveau produit ou service ? »

En fonction des résultats de cette évaluation, l'équipe d'audit devra faire pression pour que de nouveaux contrôles soient mis en place pour faire face aux nouveaux risques. Par exemple, des limites plus strictes pour les virements électroniques ou des vérifications de la traçabilité pour l'inventaire physique. L'équipe d'audit doit également consulter les cadres de lutte contre la fraude et les bibliothèques des contrôles pour voir ce qui est raisonnable au regard des risques encourus par l'organisation.

Avant tout, quelqu'un doit « s'approprier » le programme de lutte contre la fraude. Cela pourrait impliquer la création d'un nouveau rôle ou l'attribution de responsabilités aux business units existantes.

L'évolution vers une plus grande collaboration avec les entreprises et davantage d'innovation technologique a pris du temps.

Des procédures de test souples

Au bas de chaque test de contrôle interne ou de chaque mesure corrective, une personne réelle doit être présente, soit pour faire le travail, soit pour s'assurer que la technologie permet de faire le travail. Or, si des employés sont mis à pied, licenciés ou malades, leurs absences pourraient faire capoter vos tests et vos mesures correctives à des moments critiques. Il est donc essentiel de pouvoir suivre les changements de personnel et de modifier les plans de remédiation si nécessaire.

Solution : s'appuyer sur la technologie

La meilleure réponse à cette question est que l'équipe d'audit utilise une technologie qui attribue la responsabilité des tests ou de la gestion des contrôles à des personnes spécifiques.

Cela dit, cette idée fonctionne mieux lorsque ce système de contrôle interne est également lié à la fonction RH. Ainsi, si le propriétaire d'un contrôle n'est plus présent, l'équipe d'audit en est rapidement avertie et peut modifier les procédures de test ou de remédiation.

Sans ce niveau d'intégration, les équipes d'audit auraient plutôt besoin d'une fonction d'alerte pour savoir quand les tests ou les mesures correctives ne sont pas entrepris dans les délais prévus afin que l'équipe puisse en demander les causes. Ensuite, comme mentionné plus haut, vous auriez encore besoin de flexibilité dans la planification pour développer de nouvelles procédures et les transmettre à de nouveaux propriétaires de contrôle.

Changer pour mieux

L'ironie ici est que malgré tous les bouleversements que la crise du coronavirus apporte à votre programme de contrôles internes, la voie à suivre est susceptible d'accélérer deux tendances que les équipes d'audit connaissent depuis un certain temps déjà.

1. Collaboration accrue avec les autres domaines d'activité

Les équipes d'audit collaboreront encore plus avec le reste de l'organisation. Ce sont elles qui improvisent de nouveaux processus métier sur place ou qui sont témoins des tendances économiques plus larges qui affecteront l'entreprise. Que les questions portent sur la génération des rapports financiers, sur la stabilité de la supply chain ou même simplement sur la manière de réaménager les bureaux pour qu'ils soient conformes aux protocoles sanitaires, l'urgence d'une communication claire, rapide et efficace avec les équipes de la première ou de la deuxième ligne de défense est montée en flèche.

2. Plus grande utilisation de la technologie

Les équipes d'audit adopteront l'innovation et la technologie dans leurs évaluations, tests et mesures de remédiation des contrôles internes. La crise du coronavirus COVID-19 oblige ces équipes à improviser, comme tout le monde. La communication avec les autres, la collecte de preuves et la documentation des mesures correctives nécessiteront une réflexion nouvelle et de solides capacités technologiques. (Mon idée préférée : le contrôle de l'inventaire physique par un drone. Côté pratique : le recours accru à l'automatisation des processus robotisés pour automatiser les tests ou la surveillance, ce qui peut s'avérer inestimable en période de mise à pied ou de licenciement.)

Avant tout, les responsables de l'audit devront saisir les opportunités qui se présentent. L'évolution vers une plus grande collaboration avec les entreprises et davantage d'innovation technologique a pris du temps. Aujourd'hui, la crise sanitaire oblige les organisations à se pencher sur plusieurs de ces questions en même temps :

  • Comment l'audit peut-il nous aider ?
  • Qui devrait repenser nos processus ?
  • Comment assurer l'évaluation des risques ?

la route sera cahoteuse et personne n'a une idée précise de ce que l'avenir nous réserve, mais d'un autre côté, plus que jamais, l'audit interne pourrait finir par prouver sa valeur à l'organisation.

eBook :

Réaliser l'utopie des contrôles internes

Apprenez à planifier, à mettre en œuvre, à examiner et à tester les contrôles internes.

  • Évaluez le niveau de maturité de vos contrôles internes.
  • Créez un système de contrôle interne exhaustif.
  • Minimisez les défaillances des contrôles internes.

Télécharger l'eBook

Articles liés

lang="en-US"
X

Galvanize fait désormais partie de Diligent.

Pour rester au courant des dernières recherches, ressources GRC et offres de produit, ou vous connecter à nos produits Galvanize, accédez à www.diligent.com

Accéder à Diligent Se connecter