Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

3 RISQUES A CIBLER LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018 RAPPOR

3 RISQUES A CIBLER LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018 RAPPORT ETABLI PAR DES INSTITUTS EUROPÉENS D’AUDIT INTERNE 2 RGPD : L’ENJEU DE LA PROTECTION DES DONNÉES CYBERSÉCURITÉ : LE CHEMIN DE LA MATURITÉ COMPLEXITÉ RÉGLEMENTAIRE ET INCERTITUDE RYTHME DE L’INNOVATION INCERTITUDE POLITIQUE : BREXIT ET AUTRES INCONNUES RISQUES LIES AUX FOURNISSEURS ET MAÎTRISE DE LA RELATION AVEC LES TIERS LA PROBLÉMATIQUE DE LA CULTURE CAPITAL HUMAIN : SE PROJETER VERS LE FUTUR TRANSFORMER LA FONCTION D’AUDIT INTERNE TABLE DES MATIÈRES 3 INTRODUCTION 4 8 12 16 20 24 28 32 36 3 LES SUJETS INCONTOURNABLES DE L’AUDIT INTERNE EN 2018 Ces sujets incontournables ont été identifiés grâce à des entretiens qualitatifs approfondis avec des responsables de l’audit interne représentant un large éventail de secteurs clés – construction/infrastructure, établissements financiers, système d’information, industrie, secteur public, distribution, télécoms, services publics et énergie – et d’organisations leaders dans ces secteurs. Pour une mise en perspective, ces organisations ont une capitalisation boursière cumulée supérieure à 724 milliards d’euros, un chiffre d’affaires de plus de 441 milliards d’euros, emploient plus de 1,86 million de personnes et sont présentes dans pas moins de 173 pays. Rien que dans le secteur des établissements financiers, les responsables de l’audit interne représentent des entreprises qui valent collectivement plus de 325 milliards d’euros et qui ont un bénéfice annuel de plus de 207 milliards d’euros. Nous sommes sincèrement reconnaissants à ceux qui ont participé à notre recherche. Leurs connaissances et leurs points de vue offrent un instantané précieux de la réflexion d’éminents professionnels de l’audit interne à travers l’Europe. Les sujets incontournables proposés dans ce rapport reflètent les domaines de risques auxquels les responsables de l’audit interne donnent la priorité alors qu’ils préparent leurs plans d’audit pour 2018 et procèdent aux évaluations des risques à plus long terme. Pour certains lecteurs, leurs plans d’audit pour l’année renvoient déjà à ces thèmes. Ils voudront peut-être utiliser notre recherche pour souligner auprès de leurs comités d’audit qu’ils sont effectivement sur la bonne voie. Pour d’autres, ce rapport peut servir à rappeler ces problématiques qui méritent une sérieuse attention lors de la finalisation de leur plan 2018 ou à plus long terme. Nous espérons que notre publication offrira à chacun un sujet de discussion nouveau et pertinent, à la fois pour les professionnels de l’audit interne et pour les comités d’audit et les autres parties prenantes. Diversité et évolution Les risques ne sont pas statiques et même les plans d’audit les plus cadrés évoluent avec les nouveaux risques qui émergent au niveau opérationnel, stratégique et dans l’environnement. En outre, ce qui constitue une menace potentielle pour une organisation peut être jugé inconséquent par une autre. Ceci étant, le domaine de risques le plus communément identifié par les responsables de l’audit interne tous secteurs et nationalités confondus est la cybersécurité. Ce n’est pas une surprise, étant données l’ampleur de la menace et la mesure dans laquelle toutes les organisations dépendent des technologies. Ce thème est suivi par le Règlement général sur la protection des données et l’enjeu plus vaste de la gestion des données ; le rythme des innovations auxquelles les organisations doivent faire face vient en troisième position. Les priorités des responsables de l’audit interne diffèrent selon les secteurs et, dans une moindre mesure, les pays. Ainsi, l’incertitude politique est beaucoup plus fréquemment citée par les responsables de l’audit interne d’organisations basées au Royaume-Uni, sans doute dans la perspective du Brexit et des impacts potentiels des négociations qui commencent. Les responsables de l’audit interne espagnols citent également l’incertitude politique comme un domaine qui pourrait exposer leurs organisations à des risques émergents, mais aussi à des opportunités. En particulier, pour les multinationales installées au Mexique et potentiellement concernées par les positions hostiles de l’administration de Trump envers ce pays. Les responsables de l’audit interne d’établissements financiers sont les plus préoccupés par la complexité de la réglementation. Il est vrai que des règlements spécifiques ont été récemment mis en application, ou sont imminents, dans toute l’Union européenne. Les responsables de l’audit interne d’établissements bancaires en France, en Italie, aux Pays-Bas et en Espagne, doivent en particulier intégrer les attentes de la Banque centrale européenne dans le cadre du mécanisme de surveillance unique entré en vigueur il y a trois ans et qui continue de se développer. Cependant, le message clé de ce rapport est l’impact fondamental des technologies qui déterminent, facilitent et bouleversent les opérations et les stratégies des organisations. Une pression qui incite les auditeurs internes à acquérir de nouvelles compétences et à adopter des outils innovants afin de renforcer leurs capacités dans un monde de plus en plus numérique. Nous espérons que vous apprécierez ce rapport, vos réactions sont les bienvenues et nous vous remercions de votre intérêt. En 2016, l’IFACI, l’IIA Italie et l’IIA Espagne ont publié « Les sujets incontournables pour l’audit interne 2017 ». Cette année, un groupe plus important d’Instituts européens d’audit interne ont adopté une approche ambitieuse, en interrogeant des responsables de l’audit interne d’organisations majeures dans six pays européens – l’Espagne, la France, l’Italie, les Pays-Bas, le Royaume-Uni et la Suisse – pour avoir en ligne de mire les thèmes clés sur lesquels l’audit interne doit porter son attention pour contribuer à la maîtrise des risques, protéger leurs organisations et apporter de la valeur ajoutée. 4 La portée du RGPD est inégalée parce que les données personnelles sont tellement omniprésentes que pratiquement toutes les organisations d’une certaine taille traitent ou détiennent des quantités substantielles d’informations concernant leurs clients et leurs collaborateurs. De plus, la date limite pour la mise en conformité approche rapidement (la mise en œuvre est requise d’ici le 25 mai 2018). Enfin, et c’est peut-être le plus important, les pénalités pour non-conformité sont potentiellement énormes : pour les violations les plus préjudiciables, des amendes jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros, en fonction du montant qui sera le plus élevé, pourraient être imposées. A titre d’exemple, l’amende de 400 000 £ imposée par le bureau du Commissaire à l’information britannique au groupe TalkTalk dans le secteur du haut débit, pour ses manquements médiatisés à la sécurité des données il y a deux ans, aurait pu atteindre la somme astronomique de 59 millions de livres sterling1 en application du RGPD. En outre, un sondage récent auprès de 900 décideurs du monde entier indique que seuls 31 % d’entre eux considèrent que leur organisation est en conformité avec le RGPD, alors qu’une étude montre que seules 2 % des organisations semblent être totalement en conformité2. Les conseils devraient avoir déjà fait du RGPD une priorité compte tenu de l’ampleur des enjeux financiers des non- conformités et des travaux à accomplir pour parvenir à une conformité totale. Quels que soient les progrès déjà accomplis, l’audit interne a un rôle important à jouer pour évaluer la conformité à compter du 25 mai 2018. Au-delà de la sécurité Ce règlement prévoit un renforcement du rôle des mesures de sécurité comme des pare-feu et un chiffrement performants, et oblige les sociétés (les contrôleurs des données) à signaler toute violation de données à caractère personnel dans les 72 heures, même si elle a lieu au niveau d’un tiers (service de traitement des données). Pour cela, il sera nécessaire que la protection des données et les mesures de gouvernance soient inscrites dans les contrats avec les fournisseurs. Cependant, le RGPD n’est pas uniquement un enjeu de cybersécurité. S’il vise la protection des données personnelles contre les attaques et les fuites, ce règlement concerne tout autant la manière dont les organisations recueillent, conservent, utilisent et divulguent ces données. En revanche, la Directive sur la sécurité des réseaux et des systèmes d’information (connue sous l’acronyme NIS- Network and information system), qui s’applique seulement aux « opérateurs de services essentiels », porte exclusivement sur la sécurité des réseaux - voir page 12). Ainsi, les nouvelles règles du RGPD sont plus exigeantes à propos du consentement « sans équivoque » et « explicite » pour la collecte des données et élargiront, dans de nombreux cas, la définition des données personnelles en incluant des identifiants en ligne potentiels comme les adresses IP. La gouvernance est un autre thème central, et les entreprises devront montrer que la protection des données est intégrée à leurs activités, en particulier, lors de conception de nouveaux produits, et qu’elles tiennent un registre des activités de traitement des données personnelles pour les sociétés de plus de 250 collaborateurs. En outre, les organisations dont l’activité exige un suivi régulier des personnes concernées et le traitement à grande échelle de données sensibles seront tenues de nommer un délégué à la protection des données (Data Protection Officer, DPO) devra rendre compte au plus haut niveau de l’organisation. Cette responsabilité pourra en pratique être partagée entre des personnes clés pour autant que l’on puisse identifier cette fonction. La portée géographique du RGPD constitue également un autre point critique. En effet, ce règlement ne s’applique pas seulement aux organisations situées à l’intérieur de l’Union européenne, mais également à celles qui proposent uploads/Management/ hot-topics-2018-pdf.pdf