Conference IFACI nov 2017 audit des tiers et … · 2017-11-16 · relatif au contrôle interne des entreprises du secteur de la banque, ... du contrôle des services fournis

Atelier 2.3

AUDIT DES TIERS ET DES PRESTATAIRES : RÉPONDRE À DES ATTENTES CROISSANTES

Associée, MAZARS

Inspecteur principal, GROUPE BPCE

Stéphanie BENZAQUINE

Christian MASCLE-ALLEMAND

AUDIT DES TIERS ET DES PRESTATAIRES : RÉPONDRE À DES ATTENTES CROISSANTES

Directrice de l'Audit interne, SODEXO

Sophie NERON-BERGER

AGENDA

Présentation des intervenants

Quels types d’audit pour couvrir quels risques ?

§ Industrie, services et secteur public

§Secteur bancaire

Une approche par les risques

§Quels critères pour sélectionner les tiers à risque au regard des lois anticorruption ?

§Quels critères pour sélectionner les PSEE à auditer ?

§Systèmes d’Information – Quels risques lorsque ces activités sont sous traitées ?

Quels prérequis pour l’audit ?

Quelles thématiques auditer ?

Conclusion

20,2 milliards €de chiffre d’affaires

425 000 collaborateurs

19eemployeur mondial

1eemployeur privé français dans le monde

75 millions de consommateurs

par jour

80pays

Leader mondial des Services de Qualité de Vie

SODEXO EN BREFCHIFFRES 2015 - 2016

Avril2017– PrésentationGroupeSodexo 5

Une offre unique : Améliorer la qualité de vie à travers 3 activités Services Avantages

et RécompensesServices

aux Particuliers et à DomicileServicessur Site

BPCE EN BREFCHIFFRES MAI 2017


24,2 milliards €de produit net

bancaire

108000 collaborateurs

679 milliards €de crédits

31,2millions de clients15 Banques Populaires16 Caisses d’EpargneFiliales spécialisées

2ème groupe bancaire en France

AGENDA




§Secteur bancaire







Conclusion


QUELS TYPES D’AUDIT POUR COUVRIR QUELS RISQUES ?INDUSTRIE ET SERVICES

S’assurer que la prestation rendue par le tiers est en ligne avec ce qui a été définit entre les parties prenantes :

Qualité / cout / performances attendus, en conformité avec les lois /régulations

• Sous-traitance RH/PAYE• Gestion des utilités de parcs

industriels• Hébergement et/ou maintenance

des Systèmes d’information

• Sarbanes Oxley• LSF

• Risques financiers• Continuité d’activité• Non-conformité réglementaire

• Evaluation du niveau de contrôle interne : Rapport de typer SSAE16 ou ISAE 34.02

• Audit du business case• Audit de la prestation• Audit du contrat

• Contract manufacturing organization (CMO)

• Facility Management• Services de restauration

• Réglementation pharmaceutique• Sécurité sanitaire• de l’alimentation, de

l’environnement• et du travail

• Réputationel• Santé humaine• Performance• Continuité• Non-conformité règlementaire

• Audit qualité• Conformité réglementaire• Audit produit• Audit du contrat

• Achats/ Ventes • FCPA, UK Bribery act, Sapin 2• Devoir de vigilance

• Réputationel• Efficacité• Non-conformité aux lois

• Due diligence• Réputation• Contrôles de conformité aux

procédures internes mise en place

• Audit de la gouvernance

Quels processus ? Réglementations Quels risques ? Type d’audit


QUELS TYPES D’AUDIT POUR COUVRIR QUELS RISQUES ?SECTEUR BANCAIRE

Art. 234. – Les entreprises assujetties: a) S’assurent que leur système de contrôle (…) inclut leurs activités externalisées; b) Se dotent de dispositifs de contrôle (…) au sens de l’article 12, de leurs activités externalisées.

• Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution

• Niveau de qualité répondant à un fonctionnement normal du service

• Protection des informations confidentielles ayant trait à l’entreprise assujettie et à ses clients

• Mécanismes de secours en cas de difficulté grave affectant la continuité du service

Quels tiers ? Réglementations Quels risques ? Type d’audit

• Organisation et mise en œuvre du contrôle des services fournis

• Evaluation du suivi de la qualité, de remontée des incidents

• Audit de la sécurité physique et logique

• Audit du plan de continuité d’activité (dispositif, tests, …)

• Audit du dispositif de contrôle interne

• Typologie d’activité, établie par un groupe d’établissements de la Place : o Moyens de paiement :

fabrication/ personnalisation/ acheminement de chéquiers ou cartes bancaires, traitement des chèques, gestion des automates bancaires (DAB, GAB)

o Editiqueo Stockage et archivage

AGENDA




§Secteur bancaire







Conclusion


QUELS CRITÈRES POUR SÉLECTIONNER LES TIERS À RISQUE AU REGARD DES LOIS ANTICORRUPTION ?

Sectoriel / industrie

Interaction avec des

agents publics

Background / historique et

identité du tiers

Structure de rémunération

du tiers

Géographiques

• Le tiers a-t-il de fréquentes interactionsavec des agents publics (y comprisdouanes), agences gouvernementales ousociétés publiques / à capitaux publics ?

• Exemples du paramétrage :recommandations par un régulateur ouautre agent public, détention en totalitéou partie par un agent public, aucuncontrat connu avec le gouvernement, etc.

• Est-elle basée sur la performance(success fees) ?

• Le tiers requiert-il des modalités depaiements atypiques (comptesmultiples, paiement en avance, etc.) ?

Critères de sélection

• Le tiers a-t-il son siège ou exerce-t-ildes opérations dans un pays à risques(cf index de perception de la corruption2017 de Transparency International) ?

• Certaines juridictions sont connuespour leur secret bancaire (cfclassement d’opacité financièreproposé par l’ONG / réseaux d’expertTax Justice Network)

• Un index sectoriel est proposé par TransparencyInternational, le Bribe Payer Index (2011)

• Certaines industries sont connues pour fairel’objet de fréquentes poursuites / historique decorruption

• Une recherche Internet préalable peut révélerdes problèmes liés à l’honorabilité / laréputation relative à l’intégrité du tiers

• Exemples: il a déjà fait l’objet d’allégationset/ou de poursuites pour violation des lois anti-corruption ; il apparaît sous des listes desanction (embargo…), etc.


QUELS CRITÈRES POUR SÉLECTIONNER LES PSEE À AUDITER ?

Poids relatif de l’activité externalisée

• Volume d’opérations

• Et/ou impact financier et d’image

Recours possible à la mutualisation des audits, soit au sein d’un groupe soit entre plusieurs établissements

Sensibilité de la prestation : cotation par exemple selon des critères de

• Disponibilité

• Intégrité

• Confidentialité des données

Critères de sélection des

PSEE

Existence préalable d’une certification

• Normes professionnelles

• ISAE 3402

• Économies d’échelles liées à la mutualisation pour les clients

• Sollicitations moins fréquentes pour les prestataires

• Respect impératif de la confidentialité des spécificités techniques ou commerciales de chaque client


SYSTÈMES D’INFORMATION – QUELS RISQUES LORSQUE CES ACTIVITÉS SONT SOUS TRAITÉES ?

• Confidentialité des données gérées par le tiers

• Protection des données (logique et physique)

• Activités mal définies

• Indicateurs de performance absent ou non mesurables clairement

• Modalités de facturation mal définies

• Périmètre / exhaustivité => une solution partielle

Zone de vigilance Enjeux liés aux processus / système d’information

Risques liés au contrat

AGENDA




§Secteur bancaire







Conclusion


QUELS PREREQUIS POUR L’AUDIT ?

Plusieurs aspects sont à prendre en compte avant de démarrer un audit

Existence d’un contrat comportant une clause d’audit

« Conformément aux dispositions de l’arrêté du3 novembre 2014 précité, le délégataires’engage expressément à : (…) permettrel’accès, à chaque fois que le client l’estimeranécessaire, au client ou à ses délégataires lecas échéant sur place, à toute informationrelative aux prestations fournies, dans lerespect des réglementations relatives à lacommunication d’informations »

Compétences techniques dans le cas de prestations complexes

(monétique, par exemple)

Limitations éventuelles liées aux implantations à l’étranger

• réglementations spécifiquesà prendre en compte

• problématiques de langueet de déplacements

AGENDA




§Secteur bancaire







Conclusion


QUELLES THÉMATIQUES AUDITER ?

Processus Amont• Processus de sélection du tiers

• Evaluation du sous traitant (« due diligences) : solidité financière, risque de dépendance, réputation, etc.)

Audit du tiers• Processus Ressources humaines (recrutement, formation,

rémunération, etc.)

• Suivi financier du sous traitant (suivi des couts, des pénalités, etc.)

• Processus d’alerte – comment sont remontés les incidents

• Revue de la qualité: (mesure

• Dispositif de contrôle interne – existence et maturité

• Sécurité logique / physique

• Plan de continuité du sous traitant (existence, robustesse

• Délégations (« Sous traitant du sous traitant »)Capacitéàinternaliser

Audit du pilotage du tiers• Gestion du Contrat (SLA,

Indicateurs de performances, suivi des modifications, etc.)

• Qualité de la relation avec ce tiers


CONCLUSION

Enjeux de plus en plus courants dans les entreprises : une opportunité pour l’audit interne de montrer sa valeur ajoutée, grâce à :• évaluation des zones de risques• audit des zones les plus critiques

L’audit interne peut se positionner très en amont sur ce sujet en jouant un rôle de conseil : • clause d’audit, • indicateurs, • construction d’un contrat

suffisamment précis pour permettre de mesurer la réelle performance

L’audit peut même étendre le champ de la revue jusqu’à l’audit du business case et la matérialisation des bénéfices attendus

?

Documents

Conference IFACI nov 2017 audit des tiers et … · 2017-11-16 · relatif au contrôle interne des entreprises du secteur de la banque, ... du contrôle des services fournis