Upload
buikiet
View
214
Download
0
Embed Size (px)
Citation preview
Associée, MAZARS
Inspecteur principal, GROUPE BPCE
Stéphanie BENZAQUINE
Christian MASCLE-ALLEMAND
AUDIT DES TIERS ET DES PRESTATAIRES : RÉPONDRE À DES ATTENTES CROISSANTES
Directrice de l'Audit interne, SODEXO
Sophie NERON-BERGER
AGENDA
Présentation des intervenants
Quels types d’audit pour couvrir quels risques ?
§ Industrie, services et secteur public
§Secteur bancaire
Une approche par les risques
§Quels critères pour sélectionner les tiers à risque au regard des lois anticorruption ?
§Quels critères pour sélectionner les PSEE à auditer ?
§Systèmes d’Information – Quels risques lorsque ces activités sont sous traitées ?
Quels prérequis pour l’audit ?
Quelles thématiques auditer ?
Conclusion
20,2 milliards €de chiffre d’affaires
425 000 collaborateurs
19eemployeur mondial
1eemployeur privé français dans le monde
75 millions de consommateurs
par jour
80pays
Leader mondial des Services de Qualité de Vie
SODEXO EN BREFCHIFFRES 2015 - 2016
Avril2017– PrésentationGroupeSodexo 5
Une offre unique : Améliorer la qualité de vie à travers 3 activités Services Avantages
et RécompensesServices
aux Particuliers et à DomicileServicessur Site
BPCE EN BREFCHIFFRES MAI 2017
Avril2017– PrésentationGroupeSodexo 6
24,2 milliards €de produit net
bancaire
108000 collaborateurs
679 milliards €de crédits
31,2millions de clients15 Banques Populaires16 Caisses d’EpargneFiliales spécialisées
2ème groupe bancaire en France
AGENDA
Présentation des intervenants
Quels types d’audit pour couvrir quels risques ?
§ Industrie, services et secteur public
§Secteur bancaire
Une approche par les risques
§Quels critères pour sélectionner les tiers à risque au regard des lois anticorruption ?
§Quels critères pour sélectionner les PSEE à auditer ?
§Systèmes d’Information – Quels risques lorsque ces activités sont sous traitées ?
Quels prérequis pour l’audit ?
Quelles thématiques auditer ?
Conclusion
Avril2017– PrésentationGroupeSodexo 8
QUELS TYPES D’AUDIT POUR COUVRIR QUELS RISQUES ?INDUSTRIE ET SERVICES
S’assurer que la prestation rendue par le tiers est en ligne avec ce qui a été définit entre les parties prenantes :
Qualité / cout / performances attendus, en conformité avec les lois /régulations
• Sous-traitance RH/PAYE• Gestion des utilités de parcs
industriels• Hébergement et/ou maintenance
des Systèmes d’information
• Sarbanes Oxley• LSF
• Risques financiers• Continuité d’activité• Non-conformité réglementaire
• Evaluation du niveau de contrôle interne : Rapport de typer SSAE16 ou ISAE 34.02
• Audit du business case• Audit de la prestation• Audit du contrat
• Contract manufacturing organization (CMO)
• Facility Management• Services de restauration
• Réglementation pharmaceutique• Sécurité sanitaire• de l’alimentation, de
l’environnement• et du travail
• Réputationel• Santé humaine• Performance• Continuité• Non-conformité règlementaire
• Audit qualité• Conformité réglementaire• Audit produit• Audit du contrat
• Achats/ Ventes • FCPA, UK Bribery act, Sapin 2• Devoir de vigilance
• Réputationel• Efficacité• Non-conformité aux lois
• Due diligence• Réputation• Contrôles de conformité aux
procédures internes mise en place
• Audit de la gouvernance
Quels processus ? Réglementations Quels risques ? Type d’audit
Avril2017– PrésentationGroupeSodexo 9
QUELS TYPES D’AUDIT POUR COUVRIR QUELS RISQUES ?SECTEUR BANCAIRE
Art. 234. – Les entreprises assujetties: a) S’assurent que leur système de contrôle (…) inclut leurs activités externalisées; b) Se dotent de dispositifs de contrôle (…) au sens de l’article 12, de leurs activités externalisées.
• Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution
• Niveau de qualité répondant à un fonctionnement normal du service
• Protection des informations confidentielles ayant trait à l’entreprise assujettie et à ses clients
• Mécanismes de secours en cas de difficulté grave affectant la continuité du service
Quels tiers ? Réglementations Quels risques ? Type d’audit
• Organisation et mise en œuvre du contrôle des services fournis
• Evaluation du suivi de la qualité, de remontée des incidents
• Audit de la sécurité physique et logique
• Audit du plan de continuité d’activité (dispositif, tests, …)
• Audit du dispositif de contrôle interne
• Typologie d’activité, établie par un groupe d’établissements de la Place : o Moyens de paiement :
fabrication/ personnalisation/ acheminement de chéquiers ou cartes bancaires, traitement des chèques, gestion des automates bancaires (DAB, GAB)
o Editiqueo Stockage et archivage
AGENDA
Présentation des intervenants
Quels types d’audit pour couvrir quels risques ?
§ Industrie, services et secteur public
§Secteur bancaire
Une approche par les risques
§Quels critères pour sélectionner les tiers à risque au regard des lois anticorruption ?
§Quels critères pour sélectionner les PSEE à auditer ?
§Systèmes d’Information – Quels risques lorsque ces activités sont sous traitées ?
Quels prérequis pour l’audit ?
Quelles thématiques auditer ?
Conclusion
Avril2017– PrésentationGroupeSodexo 11
QUELS CRITÈRES POUR SÉLECTIONNER LES TIERS À RISQUE AU REGARD DES LOIS ANTICORRUPTION ?
Sectoriel / industrie
Interaction avec des
agents publics
Background / historique et
identité du tiers
Structure de rémunération
du tiers
Géographiques
• Le tiers a-t-il de fréquentes interactionsavec des agents publics (y comprisdouanes), agences gouvernementales ousociétés publiques / à capitaux publics ?
• Exemples du paramétrage :recommandations par un régulateur ouautre agent public, détention en totalitéou partie par un agent public, aucuncontrat connu avec le gouvernement, etc.
• Est-elle basée sur la performance(success fees) ?
• Le tiers requiert-il des modalités depaiements atypiques (comptesmultiples, paiement en avance, etc.) ?
Critères de sélection
• Le tiers a-t-il son siège ou exerce-t-ildes opérations dans un pays à risques(cf index de perception de la corruption2017 de Transparency International) ?
• Certaines juridictions sont connuespour leur secret bancaire (cfclassement d’opacité financièreproposé par l’ONG / réseaux d’expertTax Justice Network)
• Un index sectoriel est proposé par TransparencyInternational, le Bribe Payer Index (2011)
• Certaines industries sont connues pour fairel’objet de fréquentes poursuites / historique decorruption
• Une recherche Internet préalable peut révélerdes problèmes liés à l’honorabilité / laréputation relative à l’intégrité du tiers
• Exemples: il a déjà fait l’objet d’allégationset/ou de poursuites pour violation des lois anti-corruption ; il apparaît sous des listes desanction (embargo…), etc.
Avril2017– PrésentationGroupeSodexo 12
QUELS CRITÈRES POUR SÉLECTIONNER LES PSEE À AUDITER ?
Poids relatif de l’activité externalisée
• Volume d’opérations
• Et/ou impact financier et d’image
Recours possible à la mutualisation des audits, soit au sein d’un groupe soit entre plusieurs établissements
Sensibilité de la prestation : cotation par exemple selon des critères de
• Disponibilité
• Intégrité
• Confidentialité des données
Critères de sélection des
PSEE
Existence préalable d’une certification
• Normes professionnelles
• ISAE 3402
• Économies d’échelles liées à la mutualisation pour les clients
• Sollicitations moins fréquentes pour les prestataires
• Respect impératif de la confidentialité des spécificités techniques ou commerciales de chaque client
Avril2017– PrésentationGroupeSodexo 13
SYSTÈMES D’INFORMATION – QUELS RISQUES LORSQUE CES ACTIVITÉS SONT SOUS TRAITÉES ?
• Confidentialité des données gérées par le tiers
• Protection des données (logique et physique)
• Activités mal définies
• Indicateurs de performance absent ou non mesurables clairement
• Modalités de facturation mal définies
• Périmètre / exhaustivité => une solution partielle
Zone de vigilance Enjeux liés aux processus / système d’information
Risques liés au contrat
AGENDA
Présentation des intervenants
Quels types d’audit pour couvrir quels risques ?
§ Industrie, services et secteur public
§Secteur bancaire
Une approche par les risques
§Quels critères pour sélectionner les tiers à risque au regard des lois anticorruption ?
§Quels critères pour sélectionner les PSEE à auditer ?
§Systèmes d’Information – Quels risques lorsque ces activités sont sous traitées ?
Quels prérequis pour l’audit ?
Quelles thématiques auditer ?
Conclusion
Avril2017– PrésentationGroupeSodexo 15
QUELS PREREQUIS POUR L’AUDIT ?
Plusieurs aspects sont à prendre en compte avant de démarrer un audit
Existence d’un contrat comportant une clause d’audit
« Conformément aux dispositions de l’arrêté du3 novembre 2014 précité, le délégataires’engage expressément à : (…) permettrel’accès, à chaque fois que le client l’estimeranécessaire, au client ou à ses délégataires lecas échéant sur place, à toute informationrelative aux prestations fournies, dans lerespect des réglementations relatives à lacommunication d’informations »
Compétences techniques dans le cas de prestations complexes
(monétique, par exemple)
Limitations éventuelles liées aux implantations à l’étranger
• réglementations spécifiquesà prendre en compte
• problématiques de langueet de déplacements
AGENDA
Présentation des intervenants
Quels types d’audit pour couvrir quels risques ?
§ Industrie, services et secteur public
§Secteur bancaire
Une approche par les risques
§Quels critères pour sélectionner les tiers à risque au regard des lois anticorruption ?
§Quels critères pour sélectionner les PSEE à auditer ?
§Systèmes d’Information – Quels risques lorsque ces activités sont sous traitées ?
Quels prérequis pour l’audit ?
Quelles thématiques auditer ?
Conclusion
Avril2017– PrésentationGroupeSodexo 17
QUELLES THÉMATIQUES AUDITER ?
Processus Amont• Processus de sélection du tiers
• Evaluation du sous traitant (« due diligences) : solidité financière, risque de dépendance, réputation, etc.)
Audit du tiers• Processus Ressources humaines (recrutement, formation,
rémunération, etc.)
• Suivi financier du sous traitant (suivi des couts, des pénalités, etc.)
• Processus d’alerte – comment sont remontés les incidents
• Revue de la qualité: (mesure
• Dispositif de contrôle interne – existence et maturité
• Sécurité logique / physique
• Plan de continuité du sous traitant (existence, robustesse
• Délégations (« Sous traitant du sous traitant »)Capacitéàinternaliser
Audit du pilotage du tiers• Gestion du Contrat (SLA,
Indicateurs de performances, suivi des modifications, etc.)
• Qualité de la relation avec ce tiers
Avril2017– PrésentationGroupeSodexo 18
CONCLUSION
Enjeux de plus en plus courants dans les entreprises : une opportunité pour l’audit interne de montrer sa valeur ajoutée, grâce à :• évaluation des zones de risques• audit des zones les plus critiques
L’audit interne peut se positionner très en amont sur ce sujet en jouant un rôle de conseil : • clause d’audit, • indicateurs, • construction d’un contrat
suffisamment précis pour permettre de mesurer la réelle performance
L’audit peut même étendre le champ de la revue jusqu’à l’audit du business case et la matérialisation des bénéfices attendus