Les buts à long terme de la vérification interne

Au cours de la préparation de votre prochaine vérification interne, tenez compte de ces douze grandes priorités.

par Dan Swanson, CMA

La vérification interne a pour but de satisfaire à la fois aux exigences du conseil d’administration et à celles de la direction en matière de certification. Les efforts doivent être équilibrés, et le plan de vérification doit prendre en compte les risques importants que court l’organisation. Il est recommandé de revoir périodiquement le plan de la vérification interne en fonction de l’avenir.

Le travail de vérification interne repose sur le risque et aide à combler les besoins à long terme de l’organisation et de son conseil en matière de certification. Il faut effectuer une évaluation des risques en bonne et due forme au moins annuellement, et les résultats de cette évaluation doivent déterminer les priorités de la vérification.

Au cours des cinq dernières années, les priorités des dirigeants de nombreuses organisations ont été dictées par les résultats à court terme (les résultats financiers trimestriels et le respect des exigences réglementaires en vigueur), ce qui a amené les organisations à adopter un horizon rapproché. Les vérificateurs internes ont aussi adopté cette vision à court terme, et ils se sont limités aux vérifications que l’entreprise demandait pour les deux trimestres à venir.

Les directeurs de la vérification interne doivent revenir à une vue à plus longue échéance. Par exemple, qu’est-ce que l’organisation veut réaliser pendant les trois à cinq prochaines années et que doit-elle faire pour atteindre ces objectifs? Les buts, objectifs, enjeux et défis seront différents pour chaque organisation, et il n’existe aucun plan type à long terme pour la vérification interne. Cependant, les douze priorités suivantes méritent d’être prises en considération.

Les douze grandes priorités de la vérification interne

Au cours des trois à cinq prochaines années, les services de vérification interne devraient évaluer les efforts déployés par leurs organisations dans les domaines suivants et présenter à la direction et au conseil une « opinion » indépendante et objective.

1. Programme de gestion des risques d’entreprise. Selon moi, la gestion des risques d’entreprise est une arme idéale pour améliorer la gouvernance et les résultats de l’organisation parce qu’elle permet de cerner les objectifs clés puis de gérer les risques associés à ces objectifs; c’est ce que l’on appelle une gouvernance efficace. Que votre organisation privilégie le cadre de gestion des risques du COSO, les critères de contrôle de l’ICCA, les lignes directrices en matière de gouvernance, de risque et de conformité de l’Open Compliance and Ethics Group ou d’autres normes, il est temps d’examiner plus à fond la gestion des risques. La vérification interne du programme de gestion des risques de l’organisation permettra de produire un rapport d’évaluation qui mettra également au jour les lacunes importantes de la gestion des risques.

2. Les trois initiatives opérationnelles les plus importantes. Depuis quinze ans, j’ai encouragé (en fait, fortement) la vérification des trois initiatives capitales en matière de TI. Or je crois fermement qu’il faut désormais effectuer une vérification des trois initiatives opérationnelles les plus importantes de l’entreprise, et procéder à une analyse rigoureuse de la composante TI de chacune de ces initiatives.

3. Plan de continuité des activités et plan antisinistre. Le plan de continuité des activités et le plan antisinistre figurent sur toutes les listes des dix grandes priorités; malheureusement, ils se trouvent toujours vers le bas de la liste. Le moment est venu de veiller à ce que les mesures destinées à assurer la résilience de l’organisation soient véritablement efficaces. La mise en place d’une capacité d’intervention solide est aussi l’un des meilleurs investissements qu’une organisation puisse faire; la vérification des mesures concernant la continuité de l’entreprise et le plan antisinistre aide considérablement l’organisation à porter l’attention voulue à ces questions. Il est absolument essentiel que l’organisation se dote d’un bon programme pour assurer la continuité des activités, mais il est évidemment crucial de pouvoir rétablir ses fonctions de TI.

4. Programme de sécurité de l’information. La protection des actifs de l’organisation est primordiale; pour certaines entreprises, c’est l’activité la plus importante. La vérification du programme de sécurité de l’information est aussi une démarche à long terme qui nécessite de nombreuses vérifications effectuées sur un grand nombre d’années, et il est temps d’entreprendre cette activité de certification à long terme. Commençons par ce test tout simple : cette année, le conseil s’est-il penché sur l’efficacité de vos efforts en matière de sécurité?

5. Gouvernance générale. Gouvernance d’entreprise, gouvernance organisationnelle, reddition de comptes sur la performance, gouvernance, risque et conformité : voilà autant d’expressions qui servent à désigner la gouvernance. La vérification interne procure à la direction et au conseil une assurance au sujet des processus de gouvernance, de gestion des risques et de contrôle de l’organisation. Le service de vérification interne devrait donc fournir une opinion sur la gouvernance générale, peu importe le terme qu’utilise votre entreprise pour décrire les efforts déployés à cet égard. Il y a lieu également de se pencher sur les questions de développement durable et de responsabilité sociale de l’entreprise.

6. Programme de conformité et d’éthique. Les programmes de conformité et d’éthique ont reçu une attention considérable (et du financement) au cours des cinq dernières années, et cette attention devrait se maintenir au cours des cinq années à venir. Selon le travail fait dans le passé par le service de vérification interne, les vérifications des programmes de conformité et d’éthique devraient s’attarder à des aspects précis ou, au contraire, adopter une approche plus large afin de fournir une évaluation globale.

7. Gestion des documents. Certains ne seront pas d’accord avec ma décision d’en faire une priorité, voire d’y accorder cette importance. Selon moi, si votre organisation n’a pas commencé à réviser son programme de gestion des documents pour refléter les exigences réglementaires et les capacités technologiques actuelles, elle est « à risque ». Une vérification du programme de gestion des documents lui permettra de déterminer si des améliorations devraient être apportées. Il n’y a rien de pire que d’avoir une politique et de ne pas l’appliquer.

8. Qualité de l’information servant à la prise de décision. L’information est essentielle à toutes les activités de l’entreprise. La qualité de l’information aura une incidence directe sur les résultats de l’organisation et elle devrait, en conséquence, être évaluée régulièrement par la direction et par la fonction de vérification interne. La gestion de l’information deviendra de plus en plus cruciale avec les années.

9. Programme visant à contrer la fraude. La loi Sarbanes-Oxley et le projet de loi 198 du Canada ont été adoptés pour réduire la perpétration et les conséquences des fraudes, et pour accroître la fiabilité et l’intégrité des états financiers et des assertions correspondantes de la direction. L’organisation doit se doter de programmes antifraude ou renforcer les programmes existants par suite de la mise en œuvre de ces nouvelles exigences en matière de gouvernance. Le conseil et la direction doivent savoir que ces programmes fonctionnent efficacement.

10. Efforts de la fonction de TI pour répondre aux besoins de l’entreprise. Cette priorité couvre un champ très vaste. La fonction de TI fournit un large éventail de services et elle a une incidence considérable sur les résultats de l’entreprise. Il faut donc procéder à une évaluation détaillée des risques pour établir les priorités de la vérification des TI. De fait, l’une des exigences fondamentales de la vérification a trait à l’évaluation des efforts déployés par la fonction de TI pour répondre aux besoins de l’entreprise. Il est nécessaire d’évaluer l’efficacité, l’efficience et le « service à la clientèle », qui sont les trois principales composantes d’une fonction de TI efficace. Pour déterminer s’il y a lieu de vérifier des aspects supplémentaires, il faut procéder à un examen plus rigoureux des risques associés aux TI.

11. Demandes de services du conseil et de la direction (projets de consultation et de certification). Cette activité de vérification est un fourre-tout important destiné à répondre à des besoins particuliers de l’organisation. Je l’ai mise sur la liste de mes douze priorités afin de faire ressortir la nécessité de donner à la fonction de vérification interne une orientation « service à la clientèle ». Le pourcentage du budget de la vérification attribué à cette activité importante variera beaucoup, mais le conseil et la direction savent ainsi que la vérification interne se préoccupe de leurs besoins en matière de certification et de consultation. Naturellement, il importe que ces projets « spéciaux » aient une réelle valeur pour l’organisation et qu’ils ne nuisent pas à la prestation des services de vérification en général.

12. Gestion des processus, y compris l’amélioration continue des processus. Ma dernière priorité concerne l’amélioration de la performance de l’organisation. Je l’appelle « gestion des processus », mais il se peut que votre entreprise utilise plutôt l’expression « programme Six Sigma », ou encore « programme de gestion générale de la qualité ». Cette priorité de la vérification consiste à favoriser et à confirmer la mise en place d’un programme d’amélioration des processus, quel que soit le nom qu’on lui donne. Si l’organisation n’a pas mis en place un programme visant à améliorer sa performance de façon durable, elle court des risques.

Définition de l’expression « long terme »

Comme je l’ai déjà mentionné, chaque organisation est différente et ses priorités en matière de vérification interne différeront également. Néanmoins, ces priorités devraient être axées sur les risques et porter principalement sur les processus de gouvernance, de gestion des risques et de contrôle. Les grandes questions d’efficience, d’efficacité, de gestion et de contrôle stratégiques, de gestion de la qualité, d’amélioration des processus et autres, influenceront (et devraient influencer) vos activités de vérification interne dans les années à venir. Vous devriez également vous assurer que le plan de vérification interne est étroitement lié au plan stratégique de l’organisation.

Dan Swanson, CMA, est chroniqueur de Compliance Week (www.complianceweek.com). Le présent article est une traduction autorisée d’un article publié dans le numéro du 5 décembre 2006 de Compliance Week. Dan Swanson, auteur de plus de 70 articles sur la vérification interne, est actuellement rédacteur pigiste et consultant indépendant en gestion d’un cabinet éponyme.

Chronique Stratégies d’entreprise

Rendez-vous à l’adresse www.cma-canada.org pour consulter les politiques de comptabilité de management qui suivent :

La gestion de la continuité de l’entreprise
L’information sur les risques organisationnels aux fins de la prise de décisions internes et externes
Intégration des risques sociaux et politiques dans la prise de décision

Les pratiques de comptabilité de management suivantes sont également accessibles sur le site :

Contrôle interne et Les systèmes de contrôle éthique

Les CMA peuvent visiter la bibliothèque en ligne de CMA Canada à l’adresse www.cma-canada.org pour consulter l’article intitulé « La régie d’entreprise : le rôle du contrôle interne ».

Risk and Insurance Management Society, Inc.
http://www.rims.org/ 

Ressources complémentaires

Mise en place d’un service de vérification interne
http://www.theiia.org/guidance/standards-and-practices/additional-resources/establishing-an-audit-shop/

Ressources à l’intention des membres des conseils et des comités de vérification
http://www.theiia.org/guidance/standards-and-practices/additional-resources/audit-committees-board-of-directors/

Lignes directrices professionnelles
http://www.theiia.org/guidance/

Haut