a pragmatic approach to multi-cultural diversity in auditing
Transcription
a pragmatic approach to multi-cultural diversity in auditing
N°6 - September 2012 The Internal Auditor Compass Michel Eertmans A pragmatic approach to multi-cultural diversity in Auditing A pragmatic approach to multi-cultural diversity in Auditing Internal Assurance: Several Cultures, Several Approaches Systemic risk is back and here to stay La FSMA : une brève présentation Les variables culturelles du contrôle interne de fsma: kort voorgesteld p. 8 P. 10 p. 14 p. 16/18 p. 53 TALKING REAL LIFE A picture’s worth a thousand statements Download the Easy banking application in the App Store. Easy banking is an additional PC banking service. bnpparibasfortis.be Publisher : F. Peene, Fortis Bank SA/NV, Montagne du Parc/Warandeberg 3, 1000 Brussels, RPM Brussels, TVA BE 0403.199.702 BNP Paribas Fortis is the trading name of Fortis Bank SA/NV. Edito Jean-Michel Cassiers President of IIA Belgium Hoewel, zoals Anne Cremers er ons aan herinnert, de interne auditors per definitie “professionele luisteraars” zijn in dienst van hun bedrijf of organisatie, toch wordt nog te vaak vastgesteld dat ze door hun collega’s gevreesd worden. As we are reminded by Anne Cremers, whilst internal auditors are by definition “professional listeners” at the service of their company or organisation, it is still noted on too many occasions that they are feared by their colleagues. En toch laten de interne auditors geen enkele inspanning ongemoeid om hun competenties te verbeteren en volgens de professionele normen te werken. Hierbij waken ze er voortdurend over een toegevoegde waarde aan hun bedrijf of organisatie te bieden. De samenwerking met alle controlerende partijen is dus essentieel. And yet, internal auditors spare no effort to acquire and improve their skills and to work according to rigorous professional standards, whilst constantly taking care to bring added value to their business or organisation. Collaboration with all those involved in control is therefore essential. De tekst van Philip Mariscal illustreert dit via een interessant voorbeeld uit de openbare sector. Dit thema zal verder worden uitgediept tijdens een conferentie die door het Instituut voor Interne Auditors wordt georganiseerd op 14 november aanstaande. Het thema van deze conferentie : “Interne audit en openbare sector in België: een hulpmiddel voor het bestuur?”. Philip Mariscal’s text provides us with an important illustration where the public sector is concerned. What’s more, this theme will be explored in greater depth during a conference organised by the Institute of Internal Auditors on the 14th November this year, of which the theme is “Internal audit and the public sector in Belgium: a tool to help with governance?”. Bovendien lijkt de interne auditor die aan de wijzigende verwachtingen van het management wil beantwoorden, steeds meer zijn opdracht samen met de geauditeerde uit te voeren, de partij die het meest nut heeft van het werk van interne audit, zoals Tommaso Capurso ons aantoont door het “servuction”model op de interne audit toe te passen! Furthermore, the internal auditor, concerned with meeting management’s changing expectations, seems more and more steered towards co-producing his services with the audited party, a real stakeholder in internal audit results, as Tommaso Capurso shows us, by applying the “servuction” model to internal audit activity! Zo lijken de auditprestaties invloed te hebben de bedrijfscultuur. De interne auditor, geconfronteerd met de multiculturele verscheidenheid zal de pragmatische benadering, die door Michel Eertmans aanbevolen wordt, overnemen en aandacht schenken aan de culturele eigenaardigheden van de interne controle door zich aan te passen aan de bedrijfscultuur. In een multiculturele organisatie, kan dit een grote uitdaging zijn zoals André G Kiewitz vermeldt. Therefore, internal audit performances seem to be dependent on the culture of the business. The internal auditor, faced with multicultural diversity, will find it helpful in this regard to adopt the pragmatic approach recommended by Michel Eertmans, and will be interested in the cultural variables of internal control, whilst taking care to adapt to the culture of the business, which can prove a major challenge in a multicultural organisation, as André G Kiewitz in particular reminds us! Hartelijk dank aan alle schrijvers van de artikels om hun kennis te delen en om ons mee te nemen op een reis door het oneindige en boeiende universum van de interne audit! Ze herinneren er ons aan dat iedere interne auditor, binnen zijn bedrijf of organisatie, een rol speelt bij het schrijven van geschiedenis over de interne audit! Thank you to those who have written articles to share their knowledge and take us on a journey into the infinite and enchanting world of internal audit! They remind us that each internal auditor, within his business or organisation, has a role to play in writing the story of internal audit! Deze geschiedenis wordt ook geschreven binnen het Instituut voor Interne Auditors, een geprivilegieerde ontmoetingsplek van verschillende ervaringen gekleurd door de verscheidenheid in bedrijfscultuur. Het is ook een plek van wederzijdse verrijking, binnen comités en werkgroepen die ten dienste van het beroep opgericht zijn! Veel leesplezier! JMC This story is also being written within the Institute of Internal Auditors, a special meeting place for varied practices, coloured by the diversity of business cultures; but also a place for mutual enrichment where I invite you to join in with organised activities, as well as the different committees and working groups set up for the benefit of the profession! Excellent reading! JMC Je suis très heureux de vous présenter ce nouveau numéro du Compass qui vous plongera au cœur de la dimension historique et culturelle de l’audit interne, et de ses différentes approches. Si, comme nous le rappelle Anne Cremers, les auditeurs internes sont par définition des « écouteurs professionnels » au service de leur entreprise ou organisation, on constate encore trop souvent qu’ils sont craints par leurs collègues. Et pourtant, les auditeurs internes ne ménagent par leur peine pour acquérir et améliorer leurs compétences et travailler selon des normes professionnelles rigoureuses, en veillant sans cesse à apporter une valeur ajoutée à leur entreprise ou organisation. La collaboration avec l’ensemble des acteurs du contrôle est donc primordiale. Le texte de Philip Mariscal nous en apporte une illustration importante en ce qui concerne le secteur public. Ce thème sera par ailleurs approfondi à l’occasion d’une conférence organisée par l’Institut des Auditeurs Internes le 14 novembre prochain, et ayant pour thème « Audit interne et secteur public en Belgique : une aide à la gouvernance ? » En outre, l’auditeur interne, soucieux de répondre aux attentes évolutives du management, semble de plus en plus amené à coproduire ses prestations avec l’audité, véritable partie prenante des résultats de l’audit interne, comme nous le montre Tommaso Capurso, en appliquant le modèle de « servuction » à l’activité d’audit interne ! Ainsi, les performances de l’audit interne semblent tributaires de la culture d’entreprise. L’auditeur interne confronté à la diversité multiculturelle adoptera utilement à cet égard l’approche pragmatique recommandée par Michel Eertmans, et s’intéressera aux variables culturelles du contrôle interne, en veillant à s’adapter à la culture de l’entreprise, ce qui peut s’avérer un défi majeur dans une organisation multiculturelle, comme nous le rappelle notamment André G Kiewitz ! Merci aux rédacteurs des articles de faire partager leurs connaissances et de nous faire voyager dans l’univers infini et enchanteur de l’audit interne ! Ils nous rappellent que chaque auditeur interne, au sein de son entreprise ou organisation, a un rôle à jouer dans l’écriture de l’histoire de l’audit interne ! Cette histoire s’écrit également au sein de l’Institut des Auditeurs Internes, lieu privilégié de rencontre des pratiques variées, colorées par la diversité des cultures d’entreprise ; mais également lieu d’enrichissement mutuel au sein duquel je vous invite à rejoindre les activités organisées, ainsi que les différents comités et groupes de travail mis en place au service de la profession ! Excellente lecture ! JMC EDITO I am delighted to present you with this new issue of Compass which will take you to the very heart of the historic and cultural dimension of internal audit, and its different approaches. 3 September 2012 Met groot genoegen stel ik u dit nieuwe nummer van Compass voor dat u zal onderdompelen in de historische en culturele dimensie van interne audit en zijn verschillende benaderingen. Is your company risk averse? Or risk intelligent? Current economic conditions can raise risk exposure beyond acceptable limits. Yet there may be long-term consequences to being risk averse in a downturn. Deloitte can help you recognize the dual nature of risk and devote sufficient resources to risk taking for reward and to protecting existing assets. Step ahead safely at www.deloitte.com © 2012 Deloitte Belgium Inhoud Sommaire Contents You can send your comments, suggestions or articles to: compass@iiabel. be 3 Edito 6 IIA Corner 7 Career Corner 8 A pragmatic approach to multi-cultural diversity in Auditing 14 Systemic risk is back and here to stay 16 La FSMA : une brève présentation 18 De FSMA: kort voorgesteld 20 Ready to Audit Solvency II? 22 L’audit interne : un service coproduit dans un monde de services INHOUD - SOMMAIRE - CONTENTS 10 Internal Assurance: Several Cultures, Several Approaches 31 Auditeur, un métier qui a ses racines dans l’Histoire européenne 35 Auditor, een beroep dat zijn wortels heeft in de Europese geschiedenis 5 42 Process mining: get your processes out of the black box 45 La démarche de Risk Management dans les entreprises en Belgique et son degré de maturité 48 Cybercriminaliteit 53 Les variables culturelles du contrôle interne 58 IIA - INTOSAI « Des structures différentes mais complémentaires » 62 IIA Belgium events Editor IIA Belgium Rue Royale 109-111 Koningstraat – b 5 1000 Brussels Tel. : 02/219. 82. 82 • Fax: 02/217. 12. 97 info@iiabel. be www. iiabel. be Produced by Green Pepper info@greenpepper. be www. greenpepper. be Redaction Committee Jacques Coucke Tommaso Capurso Steve Plasman Pieter Peremans Philip Mariscal Marc Vael Danièle Roussel Pictures (Certification Celebration) Call Agency Tel: 02/784. 28. 23 info@callagency. be www. callagency. be www. polatonium. be Pictures (General Assembly) Audoin de Vergnette audoindevergnette@hotmail. com The views expressed in the articles, reports reflect the views of the writers. IIA Belgium does not accept any responsibility for those views expressed herein. September 2012 39 The advantages of cloud computing: Why you should start experimenting today IIA corner IIA CORNER News from IIA Belgium The Board of Directors nominated Mr Pascal Stroobant as managing director CSO of IIA Belgium as from 18 June 2012. Pascal Stroobant knows IIA Belgium since long. He has been member from 2004 to 2010, and board member from 2006 to 2008. If you want to contact him, you can send an email at pascal. s@iiabel. be or contact IIABEL at +32 2 219 82 82 If you want to know more about Pascal, you can go to his profile on LinkedIn: http://be. linkedin. com/in/pascalstroobant The Board is convinced that his experience both as a senior manager in important companies as well as with our Institute will help to develop IIA Belgium as a professional organisation. September 2012 6 News from Global Update on IIA Certification Exam Seat Time Reduction Since January 2012, The IIA has been implementing, on a language-by-language basis, two key changes that enhance the certification candidate’s exam experience: - The removal of the computer-based testing (CBT) tutorial from the examination process - A reduction in the number of unscored questions on exams These two changes are enabling The IIA to reduce the candidate’s exam seat time and avoid an impending price increase from the testing vendor. Career Corner New functions in Internal Audit Departments Kathleen Desmedt CAREER CORNER Kathleen Desmedt has been appointed head of Internal Audit for the Europe and APMEA regions at MasterCard Worldwide as from January 1, 2012. She was previously leading MasterCard’s European tax department. Prior to MasterCard, Kathleen was a Senior Manager at KPMG. Kathleen has a Master Degree in Applied Economics and an International Degree in European tax law. Patrick Michalak Koen Van Ootegem Koen Van Ootegem has been appointed as the new Head of local audit at “Société Générale Private Banking Belgium” within the Hub of Luxemburg. In this role, he reports to the CEO, Audit Committee and DCPE (= Direction Du Contrôle Périodique) and coordinates all internal audit activities within the organization in Belgium. He has a 17-years career within Societe Generale Private Banking Belgium, where he assumed various positions, including at the Audit (from 1999 to 2007) and Operations departments as Head of Middle Office from 2010 up to date. News from the Internal Auditors Community 7 September 2012 As from March 2012, Patrick Michalak has been appointed Chief Audit Executive of Recticel, directly reporting to CEO Olivier Chapelle. In his function, he is responsible of all audit activities within the entire Recticel Group and related joint ventures. He will support Recticel in making a step change toward a sustainable governance. Patrick started his Internal Auditor career in the Hygiene industry in Germany (SCA Hygiene, 2002-2004) before joining the Petrochemical industry in Belgium (Borealis, 2005 - 2012). In addition to his Internal Auditor role, Patrick actively participated to the enhancement of the Borealis governance model by developing and structuring the internal control approach and by managing the full implementation of an integrated Governance, Risk and Compliance tool on Group level. A pragmatic approach to multi-cultural diversity in auditing Michel Eertmans Auditeur Général Honoraire ING Belgium Independent Director and Member of the Audit Committee of MLOZ September 2012 8 A pragmatic approach to multi-cultural diversity in Auditing by Michel Eertmans S omeone wrote that culture is the sum total of shared beliefs, ways of seeing and acting which drive more or less consciously the behavior of an individual or group. A same person can therefore belong to several different cultures or sub-cultures depending on his or her birthplace, nationality, ethnicity, family status, gender, age, language, education, sexual orientation, religion, profession, work place and its corporate culture. I worked in several countries and continents and discovered that cultural diversity was not only a geographical phenomenon but that every region offered itself internally a wealth of different cultures. Take Switzerland for an example. Differences between the French speaking part of the country and the German or Italian speaking regions automatically come to our mind. Every major business faces the same challenge on a global scale and tries to resolve the issue by defining a “corporate culture”. But I found cultural differences or approaches between Lausanne and Genève and within the audited entities in the latter. I noticed differing corporate cultures between the two main business lines audited. This impacted auditors and auditees. Not only will this corporate culture also apply to the internal auditors of the company but they will in most cases have to audit the effective and true implementation of this culture. Thank God (Oops! There is a lot of cultural heritage in this expression!) audit has internationally recognized procedures, standards, definitions... which should warrant a uniform way of working and understanding worldwide... but did we achieve excellence... can we make further progress? A corporate culture is a framework of common values shared by all staff within a company. So, management should make sure and auditors should check, that: •values are understood by staff worldwide; • staff recognize themselves in them; •staff are proud to adhere to these values. Fine, provided that a lot of efforts and investments are made to align the level of proficiency between the parties involved. Lots of misunderstandings can arise especially when two languages use similar words with different meanings. Take French and English: • “actually” has not the same meaning as “actuellement” • “eventually” does not translate into “éventuellement” A French auditor could write in English that an identified risk will eventually lead to losses and mean “éventuellement” i. e. “possibly” while the English auditor reading the report will understand that the risk will definitely (sooner or later) lead to losses. Not the same!!! If a French auditor writes in English “actually there is a risk” intending to say “actuellement” (for the present time) he may not realize that he is communicating that there is a definite risk. Imagine now that an English auditor is communicating to the rest of the world using the “understatement” so common in colloquial English and imagine how the message will be understood by the teams located in countries spread over five continents! One cannot look at cultural diversity without addressing issues of religious and philosophical background. In some countries religion or a philosophical view is the basis of the legal system and social and cultural life. Some countries like France guarantee religious and philosophical freedom but ban any reference to these in States Affairs, Administration, Schools, etc... The principle of “laïcité” (secularity) applies. It is forbidden to wear religious symbols in Government services, official schools, ... Beware, auditors in Government services could be asked to evaluate the implementation of above rules or policies. This does not apply to the private sector. So one could imagine that even auditors in this sector wear such symbols. Is this The institution I worked with organized courses for foreign managers coming to work and lead teams in Head Office which was my case. Those courses addressed a lot of cultural issues. The coach told us with reference to his country that it was a “permissive society made up of intolerant people!” Interesting? No, complex! Auditors should be able to cope with such complexity. Many areas that auditors will explore are bound to show cultural influences: • Dogma versus pragmatism • Valuing breaches to Corporate policies • Compensation and benefits rewarding systems • Flat or pyramidal management structures • Direct or coded communication • Consensus or challenge • Attitude towards uncertainty • Perception of time • Attitude towards age and experience • Elitism to name only a few. Just a few comments about these points: Neither dogma nor flexibility should ever defeat common sense even if it leads to some pragmatism. When auditing the implementation of Corporate policies keep in mind that the risk is rated on the basis of impact and occurrence of a violation and do not conclude systematically that any breach causes the highest risk. One should of course always report such violations. If you audit reward systems, remember they are initially originating from an Anglo-Saxon environment. Some well publicized excesses caused a lot of damage. Be open about it with management. If bonuses are so high that they allow the beneficiaries to retire and lead a life of comfort and luxury after 1 to 5 years they may be tempted to make such quick fortune by reckless management. Questions have arisen about whether bonuses are appropriate for auditors? Why not, as long as the targets in performance are not biased? Some organizations have decided to cut or cancel bonuses for individuals or teams who get a non satisfactory audit report during the year. Beware that this will make debriefings of audits a sterile fight between a threatened auditee who intellectually agrees on the audit findings but fights for his bonus and a conscientious auditor who should never ever be part of the bonus process except for his own. Flat management structures are increasingly introduced but some organizations still have pyramidal management structures. Understand how communications work or fail in both structures so that your messages flow easily up and down the organization. In some countries consensus is the name of the game, in others “challenging” or “staging wars” is the compulsory way to decision making. Adapt to this but an auditor should convince in the end. Perception of time and attitude towards uncertainty (accepted or not) characterize some cultures in such a way that they will impact audit work. Some cultures hate uncertainty while others promote it as a booster of entrepreneurship. Attitude towards age and experience is both linked to culture and to recent demographic developments. Some civilizations notably in Asia, Africa and Southern Europe show a deep respect for senior persons and their experience. Northern Europe and America now facing a generation gap due to the retirement of baby boom managers see less interest in experience (= the past) and rely more on management by models. Model building can be a source of new growth, but some models already tried out in the past turned out to be a recipe for disaster and here experience should have a voice. Finally, elitism is widely pursued with the availability on the market of a growing number of highly educated candidates. Corporates should not miss out on this opportunity and hire bright applicants. The challenge however is to keep a high level of communication and cooperation between specialists and managers. Major disasters occurred in the financial sectors when senior managers were not able to understand what bright new recruits were doing in their organizations. For auditors the challenge will be to get the attention of highly specialized staff. They will therefore have to constantly upgrade their own skills. Jack Welsh, former CEO of General Electric, wrote: discouraging culture... diversity not celebrated... lack of shared values... are signs of a losing organization. So let us be on the winner’s side! A pragmatic approach to multi-cultural diversity in auditing Communication is key! This is why a common language is often adopted; in most cases English is the obvious choice. appropriate? Can it lead to a breakdown in the operation of audit? My experience leads to the conclusion that auditors have a better chance to be respected as objective officers if they do not show personal beliefs. But I also respect the rights of people and had brilliant auditors in my team not hiding their being part of a religious or philosophical community. When auditing, one should anyway be aware and respectful of such backgrounds. 9 September 2012 To be internationally adopted and complied with “values” should be “identified” with the goals of the company but not be a copypaste of the national culture of the country of head-office. internal assurance: several cultures, several approaches André G Kiewitz Supervisor Competence Center ArcelorMittal Luxembourg Internal Assurance: Several Cultures, Several Approaches September 2012 10 by André G Kiewitz A llow me to share a message from an internal assurance (IA) functional vantage point, from an environment where several cultures and several approaches abound, in the largest steel and mining company in the world. This is a recipe for much complexity and challenge, not just from a control, risk management and governance point of view but from a qualitative business standpoint as well, where people are a key driving force (a factor we easily overlook in business). Compounding this challenge was a perceived global economic roller-coaster ride which tested us along our journey to fulfil the vision of ArcelorMittal (AM), Internal Assurance. The birth of a new Internal Assurance vision S hortly after the merger of Arcelor and Mittal Steel in 2007, the independent Audit Committee required Francis Lefèvre (VP, Internal Assurance) and his management team to present a strategy and action plan. Francis and his team’s response was bold, setting a target of being in the top quartile along with a leading human capital development culture. This ambitious objective was accepted by the Audit Committee members and CEO and President of the merged ArcelorMittal group. Francis Lefèvre embraced this challenge with open arms. He knew that a fresh approach was required, a new IA vision. The vision would have to be seen, implemented, and be contributed to by everyone at IA. He also needed other leaders to help to make this mental picture a reality. In Spain, Valencia, during the 2007 IA Leadership Convention, a group of senior IA members were rallied together for a strategic session - a plan of action was required to tackle this momentous task. IA would have a new vision that needed everyone to fulfil three tiers: • A provider of premier audit services, • A value-adding business partner, and • A unique training ground for future business leaders. internal assurance: several cultures, several approaches Figure 1: Organizational Chart of ArcelorMittal, Internal Assurance T he second stage of moving towards IA’s vision and aligned values was to have the right team to provide assistance, (along with top management’s support and guidance), to ensure that IA took a leadership role in assessing and managing risk, applying continuous quality initiatives, benchmarking and leveraging best practices, and identifying innovative opportunities for its staff in order to feed ArcelorMittal with leaders to ensure its sustainability. Hence, the Competence Center (CC) was formed. The CC is driven by a common goal of facilitating the sustainability of IA through: • appropriate standards, • a common culture, • continuous improvement, • human capital development, and • leveraging best practices. The CC team would have input into every IA unit worldwide, to achieve IA’s new vision. In addition, it also worked hard on a human capital development model which included a career acceleration strategy. What they also had in their arsenal was L N Mittal’s support. As a student and teacher of enduring great companies, Jim Collins (author of Good to Great) points out that: “... there is a big difference between being an organization with a vision statement and becoming a truly visionary organization. The difference lies in creating alignment - alignment to preserve 1 2 an organization’s core values, to reinforce its purpose, and to stimulate continued progress towards its aspirations. When you have superb alignment, a visitor could drop into your organization from another planet and infer the vision without having to read it on paper.”1 With this in mind, the CC was placing a much needed emphasis on people since the other two elements of Internal Assurance, namely positioning and process were firmly entrenched within the AM, IA function (Positioning: Internal Assurance in ArcelorMittal Governance, Risk and Compliance Model (GRC); Process: working practices and technologies). The Human Model Capital H Development aving finalized the merger in 2008, many challenges existed with respect to people’s opposing cultures and values systems. Cultural challenges may be detrimental to “acceptance, participation and advancement in the work world.”2 These challenges may reverberate through the hallways and fester, rotting the fabric of an organization. In a multicultural company, the management of people – human capital – plays an important role in embedding a vision. If this is done correctly, an inspired and productive workforce is developed which fine-tunes Jim Collins, “Aligning Action and Values”, The Forum, June 2000 Madeline E. Heilman & Harvey A. Hornstein, “Managing Human Forces in Organizations,” Richard D Irwin, Inc, 1982 processes beneficial to a company’s bottom line. Since organizations are continuously changing their techniques, structures, goals, equipment, people and locations, how they effectively lead and manage people and these changes, especially in a multicultural environment, is of utmost importance. ArcelorMittal is no stranger to change. The organization has moved from a restructuring to a merger, in an economic downturn and with many other challenges along the way. At Internal Assurance we are aware of the importance of having a common vision and set of values under a common culture. This is a continuous evolution and refinement process. We have made huge strides in developing a human capital development tool to assist with this evolution. The aim of our human capital development model is to speak to each individual’s value system and to show the link between the company’s values and the individual’s value system. When this link is seen, the individual moves into inspiration, rather than motivation. Millions are spent on motivating people. Motivation is an external process – the individual needs external stimuli to get back on track. This is in contrast to inspiration which is an internal process, coming from within the individual. If you appeal to an individual’s highest values and the individual sees the link between their values system and a company’s, a supportive and inspired 11 September 2012 A new team internal assurance: several cultures, several approaches workforce is created. A unified culture is built on this tenet. Our Human Capital development model allows people to discover their highest values (their driving force), to have self-tailored value statements, to reflect on soft skills they would like to leverage or develop, to have a personalized vision and a mission in the following areas of life: • vocational service and success, • mental understanding and wisdom, and • social power and leadership,3 and to do an assessment and alignment of the two value systems, i. e. the individual’s and company’s. People then plot a personal development plan in the short, medium and long term - this allows for powerful succession planning. In addition, the model gives the individual a choice to also develop other areas of life. The individual is therefore developing his/herself holistically, rather than one-dimensionally. The model is depicted diagrammatically below. September 2012 12 • Role Modeling, • Expectancy – treat people like they are highly competent, • Structural re-arrangement – constant structure (order and certainty), • Extrinsic rewards, and • Challenge. A unified culture and vision, with aligned values and action, allows the company to “evolve” rather than “revolve”. Understanding this dynamic allows cultural and stereotyping challenges to be managed effectively. This kind of thinking, along with a point made in the Harvard Business Review, October 2010 “Google suspected that many of its low-performing employees were either misplaced in the organization or poorly managed. Employee performance data bore that out,”5 was an additional key pointer which helped to trigger the creation of a new human capital development model at Internal Assurance. “The best organizations see their people not only as individuals but also as a rich source of collective data that managers can use to make better decisions.”5 Nothing is ever missed. People have strengths which can be leveraged. We need to communicate as a team and utilize our people resources. This allows us to grow towards being a premier audit business partner, a valuedadded business partner and leaders of the future. An organization’s future performance is bound to the abilities and inspiration of a company’s people. “Organizations that have used data from human capital development to gain human capital insights already have a hard-to-replicate competitive advantage.”5 Benchmarking and innovation W A human capital development mindset is further being embedded through eight elements which are represented in the following diagram. A unified culture is the glue that aligns the vision, mission and goals of individuals and the company, creating an alchemy amongst its parts. This further ensures the growth of QUALITY, SUSTAINABLE, LEADERSHIP which are some of ArcelorMittal’s values. The Innovation and Creativity Seminar, held by ArcelorMittal University (AMU) in 2011, presented the following on how a leader creates culture: • Proper persuasive communication (communication through people’s values), • Participation, Dr John DeMartini, DeMartini Human Behavioural Institute Seminar, Prophecy I, 2009 Points 1 to 6 has been adapted from “The Big Idea: Competing on Talent Analytics”, Harvard Business Review, October 2010 5 “The Big Idea: Competing on Talent Analytics”, Harvard Business Review, October 2010 6 “Benchmarking”, presentation overheads from the International Benchmarking Clearinghouse, p. 4 3 4 e aspire to being a premier auditing service provider and a value-added business partner where people pull together. However, different approaches abound. As a result, included in the CC’s mission was the added task: • Benchmarking and best practices studies with other top companies, measuring with the best as part of IA’s continuous improvement process, to ensure that IA is a world class function. Benchmarking is “the practice of being humble enough to admit that someone else is better at something, and wise enough to try and learn how to match and even surpass them at it.”6 The CC therefore established a trusted benchmarking cycle where knowledge is regularly shared with invited corporate giants and global multinationals, from major industries (like Automotive, Oil and Gas, Information Technology (IT), Mining and Steel, Aerospace and Defence, Food, Chemistry, and Pharmaceuticals). The benchmarking cycle’s success mirrored the The importance perspective T of a balanced oday’s competitive and dynamic environment requires drastic shifts in paradigm - quantum leaps are required. We need to move at greater speeds, raise the level of our vision and mission a couple of notches, work smarter, and have a balanced perspective on our goals if we are to be sustainable. The author of the Tao of Physics, Fritjof Capra8, believes that the natural laws are key to maintaining sustainability. “Natural ecosystems exist as webs, networks of interrelated parts that are multidirectional and nonlinear. They have cycles and they self-regulate by a process of feedback loops. This feedback creates learning. For examples when we touch a fire, we get burned. This is a learning process which creates growth and creativity. In the ecosystem of nature, species often live inside one another, dependent on each other for survival.”7 Flow happens when we realize this. We are dependent on many people for information and we also have to provide many people with information and advice. Therefore, for our projects and our departments to evolve and run smoothly, cooperation and partnership amongst parts 7 8 Lessons Learned T he economic crises and the merger between Arcelor and Mittal have been reported on many a newspaper’s front page. Despite this, the road we have travelled has led us to many interesting insights about our people and where we would like to be. In particular, as leaders we have come to realize the importance that: • Values, • Vision, • Alignment of values, • Culture, • Having a leading team have on a modern economy and its people, and the consequences of getting it wrong. Having assessed 1.435 companies over 40 years, Jim Collins has highlighted how these pointers are the glue holding any company together. We have further come to realize that we require: • A clearly articulated and held vision of being: - A provider of premier audit services, - A value adding business partner, and - A unique training ground for future business leaders; • A robust human capital development model focused on growing the “right” leading team, • A mindset that transformation is the only certainty and that specific aspects of ourselves need to evolve, along with work aspects, to deliver value and influence, and • A focus that innovativeness and the technology we use is meant to assist us to our greatness and not be the ruler of our destiny. These points have strengthened the incentives of our leaders within the auditing environment and the business. They have taken us back to the drawing board many times to reassess the structure and processes needed to produce: • Speedy and streamlined decision making and reporting, leveraging technology and resources at our disposal even when cost is under severe scrutiny, • A world class human capital development model producing visionary leaders and succession planning, aligned fully to our business strategy and crossing all cultures in our team’s global environment, • A robust change management strategy to deal with the conflict that surfaces when James Redfield and Carol Adrienne, “The Celestine Prophecy, An Experiential Guide,” Bantam Books, 1995 Fritjof Capra, “The Tao of Physics,” Shambhala Boulder l, 1975 ideas and approaches are being pulled in all directions, • An emotionally intelligent mindset focused on both qualitative and quantitative aspects of a task or project and realizing the risk of neglecting either of these aspects. The most important of all insights is learning that as leaders, we have to take heed of the above important factors related to people and to also realize that we are here, as leaders to: • Inspire others to a shared cause and vision, and • Communicate through people’s values, bringing them into inspiration. This holds each aspect of our business together. These are the key ingredients required for streamlining and cultivating a healthy multicultural work force and for supporting a company’ vision and goals. This allows us to transcend the challenges inherent in creating a new dynamic equilibrium. Conclusion A rcelorMittal is a huge global multicultural institution with many cultures and many approaches. However, Head of ArcelorMittal Internal Assurance, Francis Lefèvre’s leadership, along with that of his team, has allowed Internal Assurance to constantly support and challenge. His strategies and vision allow IA and its environment to abound with innovation and creativity and has set the function apart from the rest. The Internal Assurance department has become a champion of innovation, crossing all cultures and integrating ways that people do things. Francis Lefèvre is systematically innovating across the entire function – a new human capital development tool, new IT systems, organic growth of leaders, new metrics and a new management process. Maximum growth occurs in the center of two extremes. A new dynamic equilibrium has been created by ArcelorMittal, Internal Assurance inside a multicultural steelproducing powerhouse. The Internal Assurance department has become a champion of innovation, crossing all cultures and integrating ways that people do things. internal assurance: several cultures, several approaches is essential. If we ignore the above and an over-emphasis is placed on one aspect, be it quantitative or qualitative rather than a balanced focus on both, a system does not evolve but revolve. Insight, maturity or true wisdom into anything is a synchronous understanding which arises the moment you obtain an equilibrated/balanced, and therefore transcendent, state of mind. 13 September 2012 respect that the new steel giant ArcelorMittal was receiving in the global industry. Many learnings are gleaned from the benchmarking cycle reviews but the philosophy of knowledge-sharing and benchmarking does not end: to maintain its sustainability, a company needs to continue to search for innovative and improved ways and to always stay a number of steps ahead of the competition. A renowned Fortune 500 business consultant, Dr J DeMartini, had this to say about innovation: “Innovation: The rate of growth in an organization is a sound index to its vitality. Vitality declines with biological, if not chronological age. Everything in the universe grows at a slower rate as it gets older, unless something new is added. When something new is birthed, it is immature. It has a fast rate of growth, an elevated momentum. When something old is matured and dying, it grows slowly or it declines and decays, and it has a depressed or reversed momentum. Keep adding novelty and newness to your business...” “Every living system is in constant flux. To survive, any system has to respond to (the challenge of) change. The more diversity within the system, the more chances it has to survive major change because it can draw upon these diverse resources.”7 Management of people and their diverse cultural resources and ways of doing things is key. Maximum progress occurs at the border of support and challenge. Systemic risk is back and here to stay Stefan Duchateau Prof. van de Hogeschool-Universiteit Brussel (HUB) Systemic risk is back and here to stay September 2012 14 by Stefan Duchateau I n the run up to the financial crisis, policy makers and financial regulators created inappropriate legislation and ill-inspired regulation that served as a platform for an uncontrolled proliferation of risks, in different forms and shapes that finally led to a near collapse of the western financial system. The fear of a blow-up of the banking system, brought systemic risk back at the core of academic research. The existence of systemic risk comes as no surprise to academic researchers in the field of securities’ markets. Systemic risk was pointed out as a major concern from investors in equity markets, explaining to a large extent the long time behavior of stock prices in general and solving the equity premium paradox in particular: The spectacular outperformance of equity over bonds, both in nominal and real terms over longer periods of time, is unexplained by standard risk aversion theory unless we apply a substantial additional discount factor, compensating for the possibility of the realization of systemic risk. When systemic risk remains unrealized and the banking system appears stable and reliable, as in the period 1950-2008, this leads to a gradual decline of the required systemic risk premium, leading stock prices to record levels. In the reverse case, as we witnessed in the aftermath of the events of 2008, a build-up of systemic risk increases this discount factor and results in sharply reduced valuations of stocks. The perception of financial stability abruptly ended in 2008, when after a series of rather minor financial events and an unsurprising increase in the delinquency rate of subprime mortgages, started an avalanche of substantial losses, resulting in unprecedented bail-outs of European and American banks and scourges Western economies to this day. In an attempt to avoid further impacts in the real economy, Government intervention inflated budgetary deficits and government debt to dangerous levels. This, in turn, caused downgrades in the quality of investments in most government bonds, increasing the momentum of the negative downturn and causing even more damage in the real economy. The jury is still out on the question who is to be blamed for this massive destruction of wealth, but superficial analysis in the press quickly points to overly populist arguments: Excessive compensation for traders and appalling moral hazard of top bankers, resulting in extreme risk taking behavior, combined with puzzlingly poor risk control and eagerly but injudiciously attributed high quality scores to certain types of investments by rating bureaus. This explanation seems unsatisfactory. Behavior of this type is not typical for this period alone and has not created systemic risks of this order in the past. The more plausible explanation rather seems to rest in the argument that procyclical regulation created risk management practices with extreme tunnel vision and propelled risk taking behavior of banks to unchartered waters. Balance sheet leveraging of this magnitude boosted the ROE of banks to unseen levels but also stressed the liquidity of the financial system to an extreme. Unfortunately, the correct pricing of the risk of the CDO structures relied heavily on the assumptions of correlation between the different types of mortgages, corporate and Government loans. The assumptions on the correlations of default rates with newly introduced subprime loans proved to be dramatically unrealistic. As a result, positions that allegedly were riskless and financed through extreme balance sheet leveraging, now proved to be very risky. Obviously, no additional capital buffers were provided and resulted in substantial loss that quickly eroded the banks’ capital base. Correlations between various assets have a reputation of being highly erratic and are close to impossible to predict. Swings in correlation patterns have a history of being dramatic, ranging between extreme values over short periods of time. Obviously, building a hedged position based on the correlation in a previous period, can prove to be highly inaccurate over the next period. The Influence of correlations are that devastating since they determine the calculated risk hedges. A sudden switch in these values turns a highly leveraged zero risk position into a shipwrecking experience. The identification and measurement of this type of risk is therefore absolutely crucial in modern risk management that can lift us beyond current measures and assumptions. The accuracy of the models used in risk management should be tested incisively. The first answers most come from accurate back tests of the models. If these tests point to differences in results that are attributed to deviations in the assumed values, risk management should react appropriately and reassess the calibration of the models. Additional, well designed, stress test will be highly instrumental in this process, introducing the concept of “regime shifts”. This technique allows a risk manager to systemically alter the assumed correlation patterns and assess the resulting shift in the risk position of the banks. Admittedly, the recent “official” stress test on the European banking system has given a bad reputation to this technique since the results proved to be highly inaccurate. This was mainly caused by a lack of “regime shifts” that were built into the test. Stress testing the financial system without this specific test is quite pointless and will only confirm certain ill-inspired calculations instead of challenging them. “Garbage in, Garbage out”. The standard risk management techniques, suggested by the regulators are therefore very much at the core of the current crisis. I wouldn’t go as far as certain academics as to point to current days’ risk management as a “chocolate teapot”, but there seems to be room for substantial improvement. The false sense of security that was introduced to the financial markets, rampaged the Western economies. In the end, we are not insisting on a harsh judgment on the used risk measure itself but more on underlying assumptions and the resulting increase of systemic risk. E. g. the now infamous value-at-risk is not necessarily biased and inappropriate for the evaluation of financial risk. Of course, it always will be an audacious attempt to reduce risk to just one number and one dimension, as happens in the VaR-approach. This risk-metric mainly becomes a flawed statistic because of a number of underlying assumptions, like the normality of the underlying variables and their correlations. This flaw can easily be remedied by standard techniques, like the Cornish Fisher-Method, resulting in appropriate, modified VaR-numbers, but instead the regulator chooses to insist on fixed assumptions, notwithstanding obvious empirical evidence. Instead of altering erroneous assumptions, the regulator imposes a VaR-multiple as the qualified buffer for market risks in the banking sector. Using 3 times VaR indeed reduces the probability of a bank default to near zero under assumption of a Gaussian distribution of asset returns. This of course is highly unrealistic but leaves the banking system with a false sense of security. I would flag this type of behavior as a main contributor to the formation of systemic risk. If we were to leave the erroneous assumptions and introduce e. g. a standard technique as Chebychev’s inequality, we can easily calculate the expected frequency of major bank failures: 4 years... This comes close to empirical results, that point to major upheavals in the banking sector with a ten year frequency. By any standard, this very high probability is very remote from the assumed impossibility implied and suggested by the regulator. This lack of reality in the assumptions is masked by the high degree of complexity of rules, implying a substantial effort from the banks’ risk management department, leaving little or no room for an inspirational type of risk assessment that goes beyond standard techniques. Flawed rules, resulting from a substandard use of modern statistics and a “formover-substance” behavior from regulators will only tend to lead us astray. Future generations deserve better and more creative risk measures, that can stand up to an ever more challenging environment. Systemic risk is back and here to stay Combined with the eagerness of the American Government to boldly stimulate the housing market, this created a gigantic business opportunity, perceived at zero risk but with high profits in almost unlimited proportions. Certainly, if the mortgage loans could also be attributed to a low standard credit risk environment as can be found in the segment of the subprime debtors. Given the pricing formula, the CDO models could easily be hedged anyhow, reducing the credit risk to near zero. The idea of having a lucrative, zero risk position then turns into a nightmare. This brought about the fall of England’s eldest bank in 1995 when the infamous Nick Leeson hedged a highly leveraged position in Japanese equity with Government bonds. After the Kobe earthquake, the suggested correlations suddenly changed and the “zero risk”- position eroded the bank’s capital in a short span of time. Wrong assumptions on the correlations between corporate and mortgage loans with Government bonds led to the collapse of the highly profiled LTCM hedge fund in 1998. Injudiciously calculated correlation between different types of bonds and loans in CDO structures ravaged investments throughout the Western banking system. 15 September 2012 S ince the early nineties, banking regulation provided an excellent platform for balance sheet leveraging, after the introduction of a set of new rules for the risk weightings of different types of asset risks, allowing unlimited positions in investments with high ratings. By mid 2000, absurdly inflated balance sheets of banks were able to attract more investments assets than a sound economy could provide, certainly after the now infamous David X. Li introduced a new technique for the pricing of CDOstructures. The problem of the correlated default risks of the underlying bonds was tackled by Dr. Li with an application of the Gaussian Copula function. This pricing in fact allowed banks to calculate the default risk of the total CDO structure under a set of assumptions. Given this result, it then became obvious how to hedge this risk by providing an equity buffer that equals the anticipated loss. Jean-Paul Servais, président de la FSMA la fsma : une brève présentation La FSMA : une brève présentation par J-P Servais September 2012 16 La FSMA et ‘Twin Peaks’ A l’instar de ce qui s’est produit dans d’autres Etats membres de l’Union européenne, le législateur belge a opté pour le passage d’un modèle de contrôle intégré à un modèle de contrôle bipolaire, appelé ‘modèle Twin Peaks’. Ce modèle prévoit le regroupement, auprès de la banque centrale, du contrôle macroprudentiel et du contrôle microprudentiel des établissements financiers, tandis que la protection des investisseurs, le contrôle des marchés et le contrôle du respect par les établissements financiers des règles de conduite qui leur sont applicables, est confié à une autre autorité de contrôle, l’Autorité des Services et Marchés Financiers (Financial Services and Markets Authority ou FSMA). Le modèle Twin Peaks a été instauré en Belgique par la loi du 2 juillet 2010 et par l’arrêté royal du 3 mars 2011 mettant en œuvre l’évolution des structures de contrôle du secteur financier, qui donne exécution à la loi Twin Peaks du 2 juillet 2010. La nouvelle répartition des compétences entre la Banque Nationale de Belgique (BNB) et la FSMA est entrée en vigueur le 1er avril 2011. Depuis cette date, la BNB est chargée du contrôle macroprudentiel et du contrôle microprudentiel des banques, des entreprises d’assurances et des sociétés de bourse. Outre ses missions traditionnelles relatives à la surveillance des marchés financiers et au contrôle de certains acteurs financiers et de l’offre illicite de produits et services financiers, la FSMA exerce également de nouvelles compétences. Celles-ci concernent le contrôle du respect des règles de conduite par les établissements financiers, la surveillance de la commercialisation de produits financiers et l’éducation financière du public. Les compétences de la FSMA L es compétences de la FSMA couvrent désormais six grands domaines : • le contrôle des sociétés cotées et la surveillance des marchés financiers ; • le contrôle du respect des règles de conduite ; • le contrôle des produits financiers ; • le contrôle des prestataires de services financiers et des intermédiaires ; • le contrôle des pensions complémentaires ; • la contribution à l’éducation financière. 1. Contrôle des marchés et des sociétés cotées L e contrôle des sociétés cotées consiste pour la FSMA à vérifier les informations diffusées par les sociétés en question. La FSMA veille à ce que ces informations soient complètes, donnent une image fidèle de la société concernée et soient mises à la disposition du public en temps utile et de manière adéquate. La FSMA est également attentive à l’égalité de traitement de tous les détenteurs de titres d’une société cotée. Enfin, la FSMA surveille le fonctionnement des marchés financiers eux-mêmes en exerçant un contrôle sur les infrastructures de marché. 2. Contrôle des produits L ’objectif premier du contrôle exercé par la FSMA sur les produits financiers est de contribuer à ce que les produits offerts soient compréhensibles, sûrs, utiles et transparents en termes de frais. Ce contrôle concerne tous les produits financiers qui sont proposés aux consommateurs. Le contrôle porte tant sur l’information et la publicité diffusées au sujet des produits financiers que sur le respect de la réglementation relative aux C’est la raison pour laquelle il est nécessaire d’intervenir plus tôt dans le processus, à savoir lors du développement même des produits financiers. Cette approche permet d’assurer que les nouveaux produits répondent mieux aux besoins des clients auprès desquels ils seront commercialisés. Le moratoire, lancé par la FSMA en 2011 à propos de l’interdiction de la commercialisation de produits structurés particulièrement complexes s’inscrit entièrement dans cette nouvelle approche. Dans le sillage de la crise financière, la commission spéciale chargée par le parlement belge d’examiner la crise financière et bancaire avait recommandé de renforcer la traçabilité des produits financiers. A la suite de cette recommandation, le législateur a doté la FSMA du pouvoir d’arrêter des règlements qui peuvent prévoir une interdiction ou des conditions restrictives concernant la négociation de produits d’investissement de détail, ou qui sont susceptibles de favoriser la transparence de la tarification et des frais liés à de tels produits. Dans le cadre de ce pouvoir, la FSMA a, en juin 2011, appelé le secteur financier à ne plus proposer aux investisseurs particuliers de produits structurés qui peuvent être considérés comme particulièrement complexes. La FSMA a, dans un premier temps, axé son action sur le marché des produits structurés destinés aux investisseurs non spécialisés, eu égard à l’ampleur de ce marché. Avec un encours de 87,2 milliards d’euros en 2010 (pour 10,8 millions d’habitants), le marché belge fait partie des plus importants d’Europe. A titre de comparaison, l’encours des dépôts d’épargne réglementés dans le secteur privé belge s’élevait, fin 2010, à environ 200 milliards d’euros et celui des dépôts à terme à environ 35 milliards d’euros. Le moratoire concerne la commercialisation, auprès des investisseurs de détail, de produits structurés qui sont considérés comme particulièrement complexes sur la Après négociations avec le secteur, la FSMA a réussi à obtenir l’adhésion volontaire de toutes les entreprises bancaires et d’assurance-vie et de très nombreux intermédiaires ont adhéré volontairement au moratoire. Le moratoire a induit une simplification de l’offre de produits structurés sur le marché belge. La démarche de la FSMA a suscité un vif intérêt à l’échelle internationale et, en particulier, auprès de ses homologues étrangers. 3. Le contrôle du respect des règles de conduite D ans le modèle dit Twin Peaks, qui est entré en vigueur le 1er avril 2011, la FSMA se voit notamment confier le rôle d’une autorité de contrôle spécialisée dans le domaine des règles de conduite. Pour pouvoir jouer pleinement ce rôle et intensifier le contrôle des règles de conduite, la FSMA a créé un nouveau service, baptisé ‘Contrôle des règles de conduite’. La FSMA a dans un premier temps développé, en collaboration avec plusieurs cabinets de réviseurs agréés, un plan d’action et une méthodologie spécifique pour le contrôle du respect des règles de conduite MiFID. La nouvelle approche doit contribuer à la mise en place d’une pratique efficace du contrôle des règles de conduite MiFID. La méthodologie adoptée vise à instaurer des dispositifs uniformes et à créer un cadre de référence pour l’application des règles de conduite MiFID. Cette approche permet à la FSMA de se positionner efficacement et de faire du ‘benchmarking’. La FSMA peut, sur la base des contrôles effectués, déterminer les thèmes pour lesquels des améliorations sont encore possibles et publiera, si nécessaire, des recommandations à ce sujet. 4. Le contrôle des prestataires de services financiers et des intermédiaires L a mission de la FSMA à l’égard des prestataires de services financiers consiste essentiellement à assurer le contrôle prudentiel des sociétés de gestion d’organismes de placement collectif et des entreprises d’investissement ayant demandé l’agrément comme société de gestion de portefeuille et de conseil en investissement. Le contrôle a pour objectif de veiller à ce que les entreprises contrôlées soient en mesure de respecter à tout moment leurs engagements et d’assurer la continuité de leur exploitation. Les tâches du contrôle portent entre autres sur l’analyse de l’organisation administrative et comptable et le système de contrôle interne, la qualité du management et de la gestion, les qualités des actionnaires, l’évolution des activités et des risques, ainsi que le suivi de la structure financière dans son ensemble. Le respect des conditions d’agrément et d’exercice est surveillé de façon continue. Le contrôle des intermédiaires, une population très importante de plus de 20.000 personnes, consiste à contrôler l’accès à la profession d’intermédiaire d’assurances et de réassurances ou d’intermédiaire en services bancaires et en services d’investissement. Cette activité comprend principalement le traitement des demandes d’inscriptions dans les registres respectifs et la surveillance du respect des conditions légales à remplir pour pouvoir conserver cette inscription. 5. Le contrôle des pensions complémentaires L a FSMA assure le contrôle des pensions complémentaires que les travailleurs salariés ou indépendants constituent dans le cadre de leurs activités professionnelles (ce que l’on appelle le ‘deuxième pilier de pension’). La FSMA veille au respect de la législation sociale relative au deuxième pilier de pension et surveille la santé financière des institutions de retraite professionnelle, qui assurent la gestion des régimes de pension complémentaire. 6. Contribution à l’éducation financière L a loi ‘Twin Peaks’ confie à la FSMA la mission de contribuer à l’éducation financière du public. Cette nouvelle attribution s’inscrit en parfaite complémentarité avec les autres missions de la FSMA visant à protéger les investisseurs et les consommateurs de produits financiers. Conclusion L a FSMA a été dotée de six grands domaines de compétences. L’interaction harmonieuse entre toutes ces compétences doit contribuer à assurer un contrôle adéquat du secteur financier et à protéger le consommateur de produits financiers. En exerçant ses compétences et en développant ses actions, la FSMA entend tirer les leçons de la crise et contribuer au rétablissement de la confiance dans le secteur financier et le système financier. la fsma : une brève présentation Le contrôle des produits financiers doit contribuer à améliorer la protection des consommateurs recourant à ce type de produits. Traditionnellement, la protection des consommateurs se focalisait sur la communication à ces derniers d’informations suffisantes. L’on ne peut toutefois partir du principe que les consommateurs disposent de connaissances et d’aptitudes suffisantes pour comprendre ces informations et qu’ils sont disposés à consulter les informations disponibles. base d’un test qui comporte quatre critères. Il s’agit tout d’abord de vérifier si l’information concernant la valeur sous-jacente est suffisamment accessible pour l’investisseur non spécialisé. Puis il est vérifié si le produit n’utilise pas de stratégie d’investissement trop complexe. Le troisième critère concerne la question si la formule de calcul ne comporte pas plus de trois mécanismes pour déterminer le rendement. Le dernier critère concerne la transparence concernant entre autres les frais et le risque de crédit. 17 September 2012 produits. Le régime de contrôle applicable à un produit est déterminé par le cadre légal en vigueur. Jean-Paul Servais, Voorzitter van de FSMA de fsma kort voorgesteld De FSMA kort voorgesteld September 2012 18 door J-P Servais De FSMA en ‘Twin Peaks’ Z oals ook in andere lidstaten van de Europese Unie is gebeurd, heeft de Belgische wetgever gekozen voor de overstap van een geïntegreerd toezichtsmodel naar een bipolair toezichtsmodel, het zogenaamde Twin Peaks-model. In dit model worden het micro- en macroprudentieel toezicht op de financiële instellingen gebundeld bij de centrale bank, terwijl de bescherming van de beleggers, het toezicht op de markten en het gedragstoezicht op die financiële instellingen bij een andere toezichthouder worden ondergebracht, namelijk de Autoriteit voor Financiële Diensten en Markten (Financial Services and Markets Authority of FSMA). Het Twin Peaks-model werd in België ingevoerd bij wet van 2 juli 2010 en bij koninklijk besluit van 3 maart 2011 betreffende de evolutie van de toezichtsarchitectuur voor de financiële sector waarmee uitvoering gegeven wordt aan de Twin Peaks-wet van 2 juli 2010. Op 1 april 2011 is de nieuwe bevoegdheidsverdeling tussen de Nationale Bank van België (NBB) en de FSMA in werking getreden. Sinds die datum is de NBB belast met het micro- en macroprudentieel toezicht op de banken, de verzekeringsondernemingen en de beursvennootschappen. De FSMA heeft naast haar traditionele opdrachten in verband met het toezicht op de financiële markten, op bepaalde financiële actoren en op het onrechtmatige aanbod van financiële producten en diensten, ook nieuwe bevoegdheden gekregen. Die hebben betrekking op het toezicht op de naleving van de gedragsregels door de financiële instellingen, het toezicht op de commercialisering van financiële producten en de financiële vorming van het publiek. en op correcte wijze ter beschikking wordt gesteld van het publiek. Daarnaast ziet de FSMA toe op de gelijke behandeling van alle houders van effecten van een genoteerde vennootschap. Voorts houdt de FSMA toezicht op de werking van de financiële markten zelf door controle uit te oefenen op de marktinfrastructuren. De bevoegdheden van de FSMA et het toezicht dat de FSMA houdt op de financiële producten, wil zij er in de eerste plaats toe bijdragen dat de aangeboden producten begrijpelijk, veilig, nuttig en kostentransparant zijn. Het toezicht heeft betrekking op alle financiële producten die aan de consumenten worden aangeboden. Het slaat zowel op de informatie en de publiciteit die over financiële producten verspreid wordt als op de productreglementering zelf. Het toezichtsregime voor een product wordt bepaald door het wettelijke kader dat van toepassing is. D e bevoegdheden van de FSMA beslaan voortaan zes grote domeinen: • het toezicht op de genoteerde vennootschappen en op de financiële markten; • het toezicht op de naleving van de gedragsregels; • het toezicht op de financiële producten; • het toezicht op de financiële dienstverleners en tussenpersonen; • het toezicht op de aanvullende pensioenen; • het bijdragen tot de financiële vorming. 1. Toezicht op de genoteerde vennootschappen en op de financiële markten H et toezicht op de genoteerde vennootschappen houdt in dat de FSMA waakt over de informatie die door deze vennootschappen wordt verstrekt. De FSMA ziet erop toe dat deze informatie volledig is, een getrouw beeld geeft en tijdig 2. Producttoezicht M Het toezicht op de financiële producten moet bijdragen tot een betere bescherming van de consument van die producten. Traditioneel lag de focus van die consumentenbescherming op het ter beschikking stellen van voldoende informatie aan de consument. Men mag er echter niet vanuit gaan dat de consumenten voldoende kennis en vaardigheden hebben om die informatie te begrijpen, noch dat zij bereid Het moratorium op de commercialisering van bijzonder ingewikkelde gestructureerde producten dat in 2011 door de FSMA is gelanceerd, past volledig in die nieuwe benadering. In de nasleep van de financiële crisis heeft de bijzondere commissie die door het Belgische parlement was belast met het onderzoek naar de financiële crisis en de bankencrisis, de aanbeveling geformuleerd om de traceerbaarheid van financiële producten te verbeteren. In navolging van deze aanbeveling werd de FSMA de bevoegdheid verleend om reglementen te bepalen die een verbod of beperkende voorwaarden kunnen bevatten voor de verhandeling van retailbeleggingsproducten, of die de transparantie kunnen bevorderen over de tarifering en de kosten van dergelijke producten. In het kader van deze bevoegdheid heeft de FSMA de financiële sector in juni 2011 opgeroepen om niet langer gestructureerde producten die als bijzonder ingewikkeld kunnen worden beschouwd aan te bieden aan particuliere beleggers. De FSMA heeft in een eerste fase de markt van gestructureerde producten voor nietgespecialiseerde beleggers aangepakt omwille van de omvang van deze markt. Met een uitstaand bedrag van 87,2 miljard euro in 2010 (voor 10,8 miljoen inwoners) behoort de Belgische markt tot een van de grootste in Europa. Ter vergelijking, einde 2010 had de particuliere sector in België voor bijna 200 miljard euro uitstaan op gereglementeerde spaardeposito’s en circa 35 miljard euro op termijndeposito’s. Het moratorium richt zich op de verhandeling van gestructureerde producten aan retailbeleggers die als bijzonder ingewikkeld worden beschouwd op basis van een test die bestaat uit vier criteria. Allereerst wordt nagegaan of de informatie over de onderliggende waarde voldoende toegankelijk is voor de niet-gespecialiseerde belegger. Vervolgens wordt nagegaan of de beleggingsstrategie van het product niet te ingewikkeld is. Voor het derde criterium wordt nagegaan of de berekeningsformule niet meer dan drie mechanismen omvat om het rendement te berekenen. Het laatste criterium heeft betrekking op de transparantie van o. a. de kosten en het kredietrisico. Na onderhandelingen met de sector, is de FSMA erin geslaagd om alle instellingen uit de bank- en levensverzekeringssector 3. Toezicht op de naleving van de gedragsregels I n het zogenaamde Twin Peaks-model, dat sinds 1 april 2011 in voege is, krijgt de FSMA onder meer de rol van gespecialiseerde gedragstoezichthouder. Om die rol voluit te kunnen spelen en het gedragstoezicht te intensifiëren, heeft de FSMA een nieuwe dienst ‘Toezicht op de gedragsregels’ opgericht. De FSMA heeft in eerste instantie, in samenwerking met een aantal erkende revisorenkantoren, een actieplan en een specifieke methodologie uitgewerkt voor het toezicht op de naleving van de MiFIDgedragsregels. De nieuwe benadering moet bijdragen tot een efficiënte praktijk van het toezicht op de MiFID-gedragsregels. Via de nieuwe methodologie wordt tevens een uniforme aanpak verzekerd en wordt een referentiekader gecreëerd voor de toepassing van de MiFID-gedragsregels. De nieuwe aanpak zal de FSMA in staat stellen efficiënt stelling te nemen en aan ‘benchmarking’ te doen. Zij zal op basis van de uitgevoerde controles kunnen vaststellen voor welke thema’s er nog verbeteringen mogelijk zijn en zal daarover indien nodig aanbevelingen publiceren. 4. Toezicht op de financiële dienstverleners en tussenpersonen D e opdracht van de FSMA ten aanzien van de financiële dienstverleners houdt in essentie in dat zij prudentieel toezicht uitoefent op de beheervennootschappen van instellingen voor collectieve belegging en op de beleggingsondernemingen die een vergunning als vennootschap voor vermogensbeheer en beleggingsadvies hebben aangevraagd. Dat toezicht heeft tot doel erop toe te zien dat de vennootschappen onder toezicht hun verbintenissen te allen tijde kunnen nakomen en de continuïteit van hun bedrijfsuitoefening kunnen waarborgen. De toezichtstaken betreffen onder andere de analyse van de administratieve en boekhoudkundige organisatie en het interne controlesysteem, de kwaliteit van het management en het beheer, de geschiktheid van de aandeelhouders, de evolutie van de activiteiten en de risico’s, alsook de followup van de financiële structuur in zijn geheel. Ook op de naleving van de vergunnings- en bedrijfsuitoefeningsvoorwaarden wordt continu toegezien. Het toezicht op de tussenpersonen, die met meer dan 20. 000 personen een zeer omvangrijke populatie vormen, komt erop neer de toegang te controleren tot het beroep van tussenpersoon in bank- en beleggingsdiensten alsook tot het beroep van verzekerings- en herverzekeringstussenpersoon. Dit houdt voornamelijk de behandeling in van de inschrijvingsaanvragen voor de respectieve registers en het toezicht op de naleving van de wettelijke voorwaarden om die inschrijving te kunnen behouden. 5. Toezicht op de aanvullende pensioenen D e FSMA is bevoegd voor het toezicht op de aanvullende pensioenen die werknemers en zelfstandigen opbouwen in het kader van hun beroepsactiviteiten (de zogenaamde ‘tweede pijler’). De FSMA houdt toezicht op de naleving van de sociale wetgeving met betrekking tot de tweede pensioenpijler. Zij ziet tevens toe op de financiële gezondheid van de instellingen voor bedrijfspensioenvoorziening (IBP’s) die instaan voor het beheer van pensioenregelingen. 6. Bijdrage tot de financiële vorming. D e Twin Peaks-wet heeft de FSMA de opdracht toevertrouwd om bij te dragen tot de financiële vorming van het publiek. Deze nieuwe bevoegdheid vormt een perfecte aanvulling op de andere opdrachten van de FSMA waarbij de bescherming van de beleggers en de consumenten van financiële producten centraal staat. Conclusie A an de FSMA werden zes grote bevoegdheidsdomeinen toegekend. Een harmonische interactie tussen al deze bevoegdheden moet bijdragen tot een passend toezicht op de financiële sector en de bescherming van de consumenten van financiële producten. Door deze bevoegdheden uit te oefenen en haar initiatieven verder uit te werken, wenst de FSMA de nodige lessen te trekken uit de crisis en bij te dragen tot het herstel van het vertrouwen in de financiële sector en het financiële systeem. de fsma kort voorgesteld Om die reden is het nodig om in een vroeger stadium in te grijpen, namelijk bij de ontwikkeling zelf van het financiële product. Op die manier kan ervoor gezorgd worden dat nieuwe producten beter beantwoorden aan de noden van de cliënten aan wie ze verhandeld zullen worden. alsook talrijke tussenpersonen ervan te overtuigen het moratorium vrijwillig te onderschrijven. Het moratorium heeft geleid tot een vereenvoudiging van het aanbod van gestructureerde producten op de Belgische markt. De demarche van de FSMA heeft veel interesse gewekt op internationaal niveau en meer bepaald bij de buitenlandse toezichthouders. 19 September 2012 zijn de beschikbare informatie te raadplegen. Atila Kas Vice-President of IIA Belgium & Chief Internal Auditor at Generali Belgium ready to audit solvency II? Ready to Audit Solvency II ? by Atila Kas 20 September 2012 What is Solvency II? It is a fundamental review of the capital adequacy regime of the European insurance industry. It aims to establish a revised set of EU-wide capital requirements and risk management standards. The ultimate goal is to protect insurance policy holders across the European market. It was important to associate the Belgium Insurance federation (Assuralia) as being one of the key stakeholders in the Solvency II context. The project aimed at clarifying the internal auditor’s role within Solvency II and at providing guidance for the internal auditors in the insurance sector. The Solvency II regime creates a number of drivers for change in the (re)insurance undertaking management and in its internal control system. As such, it imposes internal audit functions to re-align themselves and update their audit plans to address the increased assurance requirements that Solvency II is likely to demand. This means that internal audit functions will need to carry out periodical reviews (following a risk-based audit planning approach) over corporate governance, risk management, internal model, (supervisory) reporting, ORSA and data quality control processes in order to provide the organisations’ governing bodies with assurance over their new areas of responsibility. A position paper on “The Role of Internal Audit in Solvency II” provides guidance to the members on the permissible roles for an internal auditor in the Solvency II context and on the safeguards needed to protect his/her independence and objectivity. Hence, the position paper identifies assurance activities and consulting services related to Solvency II which could be carried out by Internal Audit while complying with the International Standards for the Professional Practice of Internal Auditing. Also, the need has arisen to clarify internal audit’s interaction with the validation processes. IIA Belgium initiative: The IIAs members (CAE, Chief Auditors, Internal Audit Managers) working for the leading companies within the Belgium Insurance Market joined the initiative launched by the Institute in 09/2010 by working together on the available regulations, directives and documentations in order to produce an overview on the role of the IA function. It was important to associate the Belgium Insurance federation (Assuralia) as being one of the key stakeholders in the Solvency II context. This position paper includes the following aspects: • Pillar approach, the legislative structure, the available regulations/ directives and disclaimer (at the date of the position taken by IIA Belgium). • Internal Audit under Solvency II and specific concepts to consider, including the Internal Audit role in Solvency II, Internal Audit‘s assurance activity versus consulting activity, the 3 lines of defence model (used as best practice) and some specific Solvency II concepts applicable to the Internal Audit function as a) Insurance groups, b) Proportionality principle, c) Outsourced internal audit function & d) Fit and proper requirements. The position of IIA Belgium, based on cockpit view includes “the related Internal Audit tasks in the SII framework”, the “possible consulting roles in the Solvency II context” and certainly, the task considered as being “out of the internal audit scope”. An important aspect has been taken into account in regards with the ORSA, which stands for Own Risks and Solvency Assessment and is part of the second pillar of the EC Directive “Solvency II”. ORSA can be defined as the entirety of processes and procedures deployed by the Board of Directors and the Executive Committee (i) to identify, assess, monitor, manage and report the short and long term risks the (re)insurance undertaking faces or may face and (ii) to determine the own funds necessary – taking into account the existing and emerging risks to ensure that the undertaking’s overall solvency needs are met at all times. The position paper refers to the benefit from the ORSA, the high level activities and the IA’s role in this context. Conclusion: Under Solvency II, the fundamental role of the internal audit function doesn’t change in terms of its attributes, or practices. Actually, Solvency II is for the internal audit function an evolution, not a revolution. Nevertheless, Solvency II is drastically changing the Internal Audit scope as it essentially changes the company’s environment, governance and decision making processes. Therefore, the internal audit function should anticipate and properly calibrate the audit approach, audit programmes and audit organisation to the Solvency II requisites in order to provide expected assurance to all internal audit stakeholders. The Institute, in collaboration with Assuralia, took a step forward regarding our professionalism by having this position paper validated by the BOD of IIA Belgium (04/2012) & Assuralia (06/2012). Additional stakeholders will be involved going forward, in order to enhance the view both of and for our profession. Please refer to our website to obtain the full view of the Position Paper: IIA Bel Position Paper: The role of IA in SII ready to audit solvency II? In other words, the paper’s purpose is to assist chief audit executives in responding to Solvency II requirements toward the internal audit function. Bouw met de NMBS-Groep mee aan de mobiliteit van vandaag en morgen. Ontdek al onze vacatures op www.de spoorwegen werven aan.be September 2012 21 l’audit interne : un service coproduit dans un monde de services Ir. Tommaso Capurso, MIA, CIA, CCSA, QA, EFARM Audit Interne H-AI, SNCB Holding Chef de la Division d’audit H-AI. 03 “Opérations et Systèmes techniques” Vice-Président de l’UFAI pour l’Europe (hors France) L’audit interne : un service coproduit dans un monde de services par Ir. Tommaso Capurso September 2012 22 Résumé de l’article • Les entreprises évoluent dans un contexte de concurrence, globalisation, complexité, réglementation, ... accrues. Les attentes du Management sont elles aussi en conséquence largement évolutives, ce qui affecte le rôle attendu de l‘Audit Interne. • Bien que le cœur de la profession reste l’évaluation des systèmes de contrôle interne, des processus de management des risques et des dispositifs de gouvernement d’entreprise, l‘Audit Interne doit s’adapter au contexte et à la culture d’entreprise. Il est de plus en plus amené – pour contribuer à créer de la valeur – à assurer des prestations hautement interactives, d’assurance et de conseil, dans le cadre d’un accord informel voire au contraire formalisé dans un « contrat », établissant la compréhension commune des attentes et les conditions de réalisation de la prestation. • On dépasse alors largement la fourniture d’une opinion (diagnostic, état des lieux) établie – traditionnellement – pour l’essentiel par l‘Audit Interne lui-même, sur base de son jugement professionnel, soutenu par un cadre normatif. La prestation devient alors un « service », qui a la spécificité d’être « coproduit » par le client lui-même ET l‘Audit Interne, et dont les résultats dépendent de manière significative de la culture d’entreprise et de l’engagement du client/du demandeur de la mission. • Le présent article vise à : 1. faire découvrir le concept de service coproduit et de ses propriétés, dont le modèle (la « servuction ») a été développé à l’origine par les Prof. Eiglier/Langeard dans le domaine du marketing des services ; 2. exposer comment il peut être appliqué à l’activité de l’Audit Interne lui-même ; 3. montrer que les « services » représentent de plus en plus la logique dominante des activités économiques à travers le monde et donc une large part de tout « univers d’audit » moderne ; 4. sensibiliser dès lors à l’utilisation potentielle du modèle de servuction comme cadre-référentiel pour l’audit d’activités de services et illustrer la démarche mise en œuvre au travers d’un exemple pratique traité lors d’une mission d’audit de conseil ; 5. tirer quelques conclusions. 1. Qu’est-ce que la « servuction » ? Pour illustrer l’aspect de coproduction d’une mission d’audit, commençons par relater une anecdote, lors d’une réunion de clôture. —Moi : « Monsieur le Directeur, ce n’est pas l’Audit Interne qui a réalisé cette mission d’audit. » —Le Directeur, surpris : « Comment ??? » —Moi : « Ce sont les membres de votre Service ET l’Audit Interne qui l’ont réalisée ENSEMBLE ! » James Teboul2 insiste sur l’importance de l’interaction avec le client. « Le service, c’est (d’abord) l’avant-scène (le « front-office »), l’interaction avec le client, son expérience, sa perception. La production, les opérations de transformation, le traitement des données, c’est l’arrièrescène (le « back-office »). » par an. Les points de vue de la Direction Générale et du Conseil doivent être pris en compte dans ce processus. •N 2201. C1 Les auditeurs internes doivent établir avec le client donneur d’ordre un accord sur les objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus généralement sur les attentes du client donneur d’ordre. • MP A4 2410- Point 11. Dans le cadre des discussions entre l’auditeur interne et l’audité, l’auditeur interne obtient l’accord de l’audité sur les résultats de l’audit et sur tout plan d’action nécessaire à l’amélioration des activités. • MP A 2440- Point1. Les auditeurs internes échangent sur leurs conclusions et recommandations avec le niveau de management approprié avant que le responsable de l’audit interne n’émette le rapport définitif. L’IFACI ajoute que « Ceci sera facilité si le management audité a été considéré tout au long de la mission comme un partenaire. Ceci est le cas notamment lorsque des échanges périodiques ont lieu au cours de la mission sur le déroulement de celle-ci. ». Le débat sur les conclusions et les recommandations s’effectue habituellement durant la mission d’audit ou lors des réunions de fin de mission (réunions de clôture). Ces débats et examens contribuent à donner l’assurance qu’il n’y a pas eu de malentendus ni de fausses interprétations des faits et offrent à l’entité auditée l’occasion de clarifier certains points particuliers. Autrement dit, transparence et validation sont les déterminants de la confiance et de l’intensité de l’interaction audit interne/ audité, facteur clef de succès de création de valeur. La fabrication traditionnelle d’un bien/ produit/objet (« la prod...uction ») d’une entreprise industrielle se réfère au modèle classique suivant, le produit étant généralement pré-existant à l’interaction avec et sa « consommation » par le CLIENT (modèle de base Eiglier/Langeard). Nous attirons en effet l’attention du lecteur, en citant Christian Mayeur3, sur le fait que la création de valeur se joue effectivement dans l’interaction avec le client. « La valeur d’un service repose d’abord sur la confiance, mais ne s’arrête pas à la confiance. Une fois la confiance acquise, l’adaptation permanente aux demandes des clients et la capacité à anticiper leurs désirs, à les émerveiller sont les véritables voies de l’amplification de la création de valeur ». 23 September 2012 Les « normes professionnelles » confèrent à l’Audit Interne une place importante au sein de l’entreprise, qui doit être légitimée, selon la Norme 1000, par une Charte. Cette dernière doit préciser en particulier la mission, les pouvoirs, les responsabilités et la position dans l’organisation ; elle autorise l’accès aux documents, aux personnes et aux biens, nécessaires à la réalisation des missions, ... La N 1110. A1 stipule « L’audit interne ne doit subir aucune ingérence lors de la définition de son champ d’intervention, de la réalisation du travail et de la communication des résultats ». l’audit interne : un service coproduit dans un monde de services « La participation du client dans la réalisation d’un « service » est une notion un peu déroutante. Non seulement le client paie pour le service mais il doit, en plus, donner de son énergie, de son temps, pour obtenir satisfaction. »1 La fabrication d’un service (la « serv... uction ») relève au contraire d’un modèle d’interaction avec un ou plusieurs clients, répondant aux définitions tant de Eiglier/Langeard que de Teboul. Les normes seraient-elles donc à sens unique et introduiraient-elles une asymétrie des pouvoirs/devoirs par rapport aux entités auditées (« expectations gap » comme disent les anglophones) ? Que du contraire ! Les normes invitent au dialogue permanent et à une coopération intelligente avec les acteurs des entités/processus audités, comme en témoignent des extraits de normes IIA ou de leur interprétation par l’IFACI : •N 2010. A1. Le plan d’audit interne doit s’appuyer sur une évaluation des risques documentée et réalisée au moins une fois 1. P.Eiglier et E.Langeard, « Servuction : le marketing des services », Collection Stratégie et Management, Ediscience, Paris, 1999. Voir notamment les modèles et schémas, extraits, empruntés ou adaptés. 2. « Le management des services - Une approche opérationnelle pour toutes les entreprises », Collection Eyrolles, 2007 3. F.Sigot, « Services... Quelle contribution à la création de valeur dans l’industrie? », Entretien avec Christian Mayeur, Qualité en mouvement, n°43, pp.59-62 4. Modalité Pratique d’Application l’audit interne : un service coproduit dans un monde de services Précisons quelques concepts qui interviennent dans ce modèle. Support physique : matériel nécessaire à la production du service utilisé par le client et/ ou personnel en contact. Il comporte : • les instruments de « transformation » (matériels, appareils, ...) • l ’environnement autour des instruments (infrastructure) Personnel : employé par l’entreprise de service. Client : consommateur/ bénéficiaire impliqué dans la fabrication du service. Service : C’est à la fois l’objectif du système mis en œuvre et la résultante de l’interaction entre le client, le support physique et ses instruments, et le personnel en contact. Il a pour but de satisfaire les besoins du client. Le client est systématiquement impliqué dans l’élaboration du service. De plus, la valeur du service n’est réelle que parce que le client consomme ce service. « Une activité de service se caractérise essentiellement par la mise à disposition d’une capacité technique ou intellectuelle. A la différence d’une activité industrielle, elle ne peut pas être décrite par les seules caractéristiques d’un bien tangible acquis par le client. » (La France des services, 2003) Ce schéma illustre fort bien la problématique de gestion de la diversité des « clients » (Comité d’audit, Senior Management, ...) et de leurs attentes différenciées voire parfois contradictoires, dont l’Audit Interne doit tenir compte. La variabilité de leurs attentes et leurs interactions affecte en effet les prestations attendues de l’Audit Interne. Une caractéristique importante du service est l’inséparabilité de la fabrication (... la « servuction ») de la consommation du service. Prenons un exemple simple de la vie courante : le cas du transport de voyageurs par train. Tant que le voyageur n’est pas transporté du point A au point B, le service n’est pas produit; le service doit être produit au moment de sa consommation, car la réalisation du service requiert la participation du bénéficiaire. Le terme « coproduction » 2. Application du modèle de « servuction » à l’activité d’audit interne Le modèle présenté peut s’appliquer aux activités d’audit interne. Il se décline alors de la façon suivante. September 2012 24 implique que le bénéficiaire prend en charge une partie du processus de production du service (préparation de l’itinéraire, choix de l’horaire et du train, compostage éventuel, déplacement jusqu’au quai en suivant la signalétique, ouverture des portes, analyse de l’information reçue à bord, ...). En fait, les quatre caractéristiques souvent reconnues d’un service sont les attributs : • INSEPARABLE : « servuction » / consommation (client/fournisseur) • INTANGIBLE : c’est très clairement le cas de l’activité d’audit interne, dont les livrables sont essentiellement immatériels : information, conseils, propositions • HETEROGE NE : compte tenu de la variabilité de perception de la qualité selon les personnes, le facteur psychologique (« ambiance »), ce qui conduit à la difficulté, d’une manière générale, d’évaluer le service • PERI SSABLE : le service ne peut être produit à l’avance ni stocké. Certains services d’audit interne, qui ont bien intégré cette notion de « coproduction », ont mis en place des dispositions organisationnelles spécifiques et formalisé Il est clair que l’audit interne correspond aux domaines des « Services destinés à l’esprit des personnes » (comme : psychiatrie, éducation, loisirs, consultance, La prise de conscience de la notion de servuction peut induire chez le praticien d’audit un changement de paradigme6, en passant : • d e l’approche « méthodo-centrique », focalisée sur la connaissance des méthodologies et techniques de conduite d’une mission d’audit. • à la pratique « business-centrique », concentrant son attention sur savoir comment comprendre le business et développer une relation de qualité avec les responsables opérationnels. Il s’agit d’adopter une attitude de partenaire, orientée « résolution de problème » et « amélioration du business ». Examinons maintenant l’aspect « transformation », cité tant dans la définition de Teboul que dans le modèle de Eiglier/Langeard. Le service est en effet le résultat du processus de « servuction », qui peut potentiellement opérer une transformation. Quelle transformation ? Nous renvoyons le lecteur, pour plus de détail, à la matrice 7 « bénéficiaire du service (personnes/ biens) » en fonction de « la nature du service (actions tangibles/actions intangibles) ». formation, information, communication) et aux « Services destinés à des possessions intangibles » (comme : banque, bourse, comptabilité, aide juridique, assurances). L’audit interne, service d’assurance et de conseil, agit en effet sur les représentations cognitives et informationnelles, en vue d’induire un changement et de produire une transformation de représentation mentale (« AS IS » ⇨ « TO BE »), par une aide à la décision. Cette transformation de représentation mentale se reflète concrètement dans le taux d’acceptation des recommandations, parfois appelé « indicateur de pertinence » de l’audit interne. La transformation opérationnelle par le Management sur ses actifs (personnel, matériel, immatériel) relève ensuite de sa capacité ou possibilité (en fonction de l’évolution du contexte) à implémenter les recommandations acceptées. Certains évoquent alors, en termes de taux d’implémentation, la notion d’« indicateur de persuasion » de l’audit interne. Nous avons tenté de modéliser ci-contre la chaîne des transformations s’opérant lors de la « servuction » Audit Interne/client (ou audité). Les transformations de type « backoffice » (formation des auditeurs, excellence des processus, infrastructure de travail, ...) et « front office » (établissement de la confiance, communication des résultats, assurance sur le degré de maîtrise des opérations, ...) sont aisément reconnaissables. 5. http://ec.europa.eu/dgs/internal_audit/docs/ias_charter_fr.pdf. « Mutual expectations paper » (What you should expect from the IAS. What the IAS expects from you). Le « document d’attentes mutuelles », décrit les relations entre l’auditeur et l’entité auditée dans l’optique de clarifier les responsabilités de chacun et de rapprocher les attentes mutuelles, de sorte que les audits se déroulent sans heurt et de manière efficiente et efficace 6. J.M.Boers, Conférence internationale IIA, Amsterdam, juillet 2007, Track C1, « My years as an internal auditor…How a CFO looks back on his period in internal auditing » 7. Voir Eiglier/Langeard, adaptée de Lovelock « Classifying services to gain strategic market insight », Journal of marketing, vol.46, Summer 1983 l’audit interne : un service coproduit dans un monde de services une charte de coopération auditeurs/audités (droits et devoirs respectifs). L’exemple de l’IAS (Internal Audit Service) de la Commission Européenne est sous cet angle particulièrement intéressant.5 25 September 2012 Le degré d’implication du client dans la « servuction » d’une mission d’audit interne peut varier très fortement selon la nature (assurance, conseil), la culture d’entreprise (maturité en termes de gouvernance, de contrôle interne, de management des risques, ...), le contexte, ... On peut citer par exemple la gradation suivante en termes de coopération : • p as de participation active ; attentes implicites (non formalisées) • s imple mise à disposition par l’audité de données, informations • v alidation des propositions de l’Audit Interne (orientation mission, étendue, objectifs d’audit) • a ttentes précises voire formalisées (orientation mission, étendue, objectifs business) • v alidation ex post des constats et résultats de l’audit • d iscussion, feedbacks et validation des résultats intermédiaires • p articipations ponctuelles à des sessions d’évaluation (workshops, ...) • p articipation active et périodique du bénéficiaire (phases clefs) • c ontrat (convention ou mémorandum) formalisant les rôles/responsabilités respectifs • c oproduction continue de l’audit, le bénéficiaire (opérationnels, Management, ...) étant intégré à l’équipe d’audit (« guest auditor », experts métiers, ...). l’audit interne : un service coproduit dans un monde de services Ces dernières années, notre pratique d’audits8 réalisés avec la conscience - voire la conviction - de la philosophie « servuction » (degré d’interaction et de coproduction élevé avec le client) a généralement conduit à un niveau de satisfaction accru tant pour l’audité que pour l’équipe d’audit interne et à une perception originale de co-création de valeur. Le schéma ci-après propose deux visions extrêmes quant à la réalisation d’une mission audit interne : • u ne vision traditionnelle, correspondant à un système de production classique, linéaire, séquentielle et unidirectionnelle ; • u ne vision moderne, correspondant à la servuction, qui nous semble plus proche d’une réalité « business-centrique », intégrée, hautement interactive (rétroactions multiples), reflet d’un engagement élevé des clients/entités auditées. 3. L’évolution de l’importance des services à travers le monde Les services occupent une part croissante dans les activités humaines à travers le monde, comme le démontre la figure suivante, et deviennent la « logique économique » dominante. September 2012 26 8. Par exemple : accompagnement d’un projet de Business Process Reengineering à la Direction Voyageurs; évaluation de la mise en place d’une organisation nouvelle « Dispatching Voyageurs » ; évaluation du fonctionnement des répartiteurs de tension ; amélioration de la qualité du transport des voyageurs ; assistance à la mise en place d’un processus standardisé de retour d’expérience ; facilitation de la mise en place de la méthodologie AMDEC ??? en matière de risques techniques et organisationnels ; audit qualité interne d’un projet de signalisation ferroviaire ; ... Dès lors, le modèle de servuction, bien que ne se substituant pas aux modèles reconnus au sein de la profession d’audit interne (COSO, CoCo, ...), peut aussi être potentiellement fort utile comme cadre-référentiel pour apprécier et auditer des activités spécifiques de services. 4. Application pratique du modèle de servuction lors d’une mission d’audit (de conseil, dans le cas présent) Le CEO d’une importante filiale du Groupe SNCB, spécialisée dans l’ingénierie (désignons-la par « Société X »), sollicita un jour notre Service d’Audit Interne pour une mission de conseil quant à l’amélioration du « business model » entre elle-même et sa société-mère (soit la « Société Y »). La finalité de la mission était de contribuer à la maîtrise du cycle de vie d’un projet (depuis son initialisation jusqu’au transfert de l’ouvrage construit). Cette mission d’audit était un challenge car les attentes étaient fortes : •« faciliter » le processus de concertation entre les 2 sociétés pour améliorer leur modèle d’interaction • s outenir les plans de transformation stratégiques en cours • a ccélérer, dans un contexte évolutif qui n’a pas facilité la tâche de l’Audit Interne, le projet de mise au point du modèle amélioré d’interaction (convention, procédures associées, ...) •m ettre à disposition une analyse détaillée Score (sur 60 points) 0 - 25 26 - 40 41 - 60 des risques des processus d’interaction, à mener selon divers critères : - d ’une part : Project Management, Contract Management, System Integration - d ’autre part : les divers processus métiers concernés (au nombre de 16) • identifier le degré de couverture des risques par les « actions en cours » et formaliser des propositions additionnelles d’actions • é valuer la répartition de ces risques selon le rôle (Actionnaire/Client/Fournisseur) de la société-mère Y • é valuer la convergence de perception des 2 sociétés sur l’état des lieux fourni. Etant donné l’ampleur et la complexité de la mission, l’Audit Interne : • a sollicité la mise en place d’un groupe stable de travail/réflexion au sein la société X pour la tenue d’une série de workshops, animés par l’Audit Interne • a procédé à une analyse de risques pour les 16 processus d’interaction concernés. A cet effet, une matrice de risque a été mise à disposition et enrichie lors Approche recommandée des workshops. Les identifications et évaluations des risques ont été effectuées de manière pragmatique (échelle pseudoquantitative de 1 à 4 tant pour la gravité que la probabilité ; un risque individuel pouvait donc « valoir » entre 1 et 16 points). Procéder par workshops pour obtenir des résultats probants était-il pertinent ? Autrement dit, la question de « mesurer » le degré d’ouverture culturelle se posait. Dans ce but, le questionnaire de Larry Hubbard9 a été utilisé. Les 8 participants réguliers ont répondu, de façon anonyme, à chacune des 6 questions, cotées sur 10 (safety ; truthfulness/candor ; empowerment ; training ; creativity/innovation ; rigour). Le score relatif à chaque répondant pouvait donc atteindre 60 points au maximum sur l’ensemble des 6 questions. Les critères de décision, selon L. Hubbard, pour apprécier l’adéquation culturelle afin de pouvoir mener des « workshops » (control self assessments ou « CSA ») sont donnés dans le tableau suivant : C’est-à-dire, en pratique ? Fort attachement pour l’approche historique/traditionnelle (“controler & commander”) • Utiliser de manière limitée et prudente les outils et concepts du CSA • Fournir une formation sur le CSA au Senior management, aux experts, aux auditeurs et au Comité d’audit Etape intermédiaire : tenter de faire évoluer la culture • Offrir des services de CSA aux entités opérationnelles qui sont réceptives et se sentent en « sécurité » pour débattre librement des contrôles et des risques, ainsi qu’aux personnes intéressées par l’approche • R echercher le support du Management en matière de CSA La nouvelle vision est un “mode de vie” (responsabilisation du personnel) • Déployer le CSA à travers l’organisation entière • Toutes les entités opérationnelles font régulièrement de l’auto évaluation, améliorent eux-mêmes la conception de leurs contrôles, et rapportent vers le Management sur les risques et les contrôles 9. « A practical guide to control self assessment », Editions IIA l’audit interne : un service coproduit dans un monde de services Historiquement, en effet, les étapes successives d’évolution des activités humaines, en général, ont été : • la société pré-industrielle (Economies principalement agraires) • la société industrielle (Economies dominées par les biens) • la société post-industrielle (Economies d’information, de connaissance et de qualité de vie) • la société des services 27 September 2012 Ces tendances confirment et actualisent l’évolution déjà constatée par l’OCDE et les Nations Unies dans différentes analyses depuis une dizaine d’années. l’audit interne : un service coproduit dans un monde de services Les réponses obtenues sont données ci-après et confirment le bien-fondé culturel de l’approche par workshops. Deux points d’attention peuvent, à peine, être identifiés. September 2012 28 Une série de 4 workshops ont été menés au sein de la filiale X, enrichissant la matrice de risques de 98 lignes de risques pour l’ensemble des 16 processus métiers analysés. Au cours de deux workshops supplémentaires avec la société-mère Y, la perception de cette dernière a été recueillie afin de valider les risques majeurs identifiés et les pistes d’amélioration, ce qui a bien été le cas. Etant donné que les activités d’ingénierie constituent des « services », le modèle d’Eiglier/Langeard était tout désigné pour permettre une « agrégation » (un « clustering ») des risques. Voici le résultat effectué en commun et de façon très interactive avec la société X, lors d’un workshop dédié. Les 98 risques figurant sur les flèches d’interaction sont identifiés par le symbole du processus concerné (parmi les 16) suivi d’un numéro d’ordre. Par exemple CMA7 = risque n°7 relatif au processus « Contract Management ». Grâce au modèle de « servuction » et à la distribution des risques dans celui-ci, l’Audit Interne a pu persuader les parties prenantes que les pistes d’amélioration devaient concerner non seulement les interactions – attendues – au niveau du « front office », mais également les éléments du « back office ». l’audit interne : un service coproduit dans un monde de services L’histogramme ci-après permet par ailleurs de synthétiser et de visualiser l’importance relative des divers flux/risques d’interaction, à des fins en particulier d’allocation adéquate des ressources pour le plan d’actions d’amélioration. Sans rentrer dans la « substance » opérationnelle de la mission, l’Audit Interne a ainsi co-produit avec le Client audité plusieurs propositions stratégiques, appréciées, « accrochées » aux divers modes/flux du modèle d’interaction, afin de contribuer au succès du plan de transformation. Sélection de quelques exemples. Flux d’interaction Identification du Risque Proposition d’amélioration Instruments 1 Client principal (Société mère Y) • CMA1 • CRM3 • POR1 • PTH6 • Actualiser la « convention historique » entre les deux Sociétés X et Y • Mettre à disposition un catalogue de produits/compétences/ services • Clarifier les modalités d’arbitrage des priorités au sein du portfolio de programmes • Affiner le cadre et les responsabilités en matière d’homologation Organisation interne 1 Personnel en contact • CRM4 • CMA10 • ODE14 • Mettre en place un KMS (« knowledge management system ») • Etablir un planning-type générique corporate • Mettre en place un processus structuré « Risk Management Plan » Systèmes 1 Support physique • CMA7 • OPB1 • Etablir un registre des technologies standards validées par le Client Y • Fiabiliser le « resource planning » (disponibilité des composants sur site) Support physique 1 Client principal (société mère Y) • PCO7 • Assurer la conformité « as built » de la documentation contractuelle September 2012 29 l’audit interne : un service coproduit dans un monde de services Client principal (société mère Y) 1 Services pour client principal • PTH8 • Etablir un plan de surveillance après mise en service Organisation interne 1 Instruments • DDE1 • Formaliser une procédure de reconnaissance d’état des lieux Systèmes 1 Instruments • PCO1 • Recenser les interfaces entre projets dès l’analyse fonctionnelle 5. Quelques conclusions... L’activité de l’Audit Interne constitue effectivement un service coproduit. La « valeur » de la prestation est co-créée lors de l’interaction de l’Audit Interne avec les clients/audités. L’Audit Interne peut « réinventer » ses activités pour auditer des entités/processus à l’aide du « modèle de servuction » comme paradigme/cadre utile et facilement applicable aux activités de services. Le type d’organisation et les caractéristiques culturelles influencent considérablement les modes d’interaction et leur efficacité. De « servuction » à... « séduction », il n’y a peut-être qu’un pas à franchir. L’Audit Interne peut puiser une inspiration considérable dans le modèle générique de « servuction » d’Eiglier/Langeard, pour comprendre, optimiser ses processus et réussir sa transformation continue. Finalement, le « service », c’est la somme de la vente d’une compétence technique et de la gestion d’une relation, soit un véritable défi ! Au lecteur de décider ! September 2012 30 Je dormais et je rêvais que la vie n’était que joie. Je m’éveillais et je vis que la vie n’est que service. Je servis et je compris que le service est joie. Rabindranàth Tagore (1861-1941), écrivain indien, Prix Nobel de littérature, 1913 un métier qui a ses racines dans l’Histoire européenne par Anne Cremers Licenciée en Histoire de l'Art et Archéologie -ULB Si vous osez prononcer cette simple phrase dans le couloir de n’importe quelle entreprise « La semaine prochaine, on a le contrôle de l’audit interne dans notre département... » vous assisterez instantanément à une modification radicale du comportement de votre interlocuteur : son visage va se crisper, son regard s’affoler, son pas s’accélérer. Une frêle angoisse émotionnelle transpire de tout son corps. Il ne sait ni pourquoi ni comment, mais en fait, il est assailli par le poids de l’histoire des auditeurs, réputés depuis des siècles et des siècles, pour de « chercheurs de petites bêtes », de « contrôleurs ». Ce sont bien évidemment nos collègues, mais venant d’un service « différent ». Ils sont les gardiens de la droiture et de l’exemplarité des actions menées au sein de l’entreprise et tout le monde tremble à l’annonce de leur venue. On commence à douter de tout, la peur du détail mal fait nous ronge intérieurement. On va aller jusqu’à douter d’avoir bien placé la bonne facture dans le bac adéquat, selon les souhaits de notre hiérarchie, alors qu’en fait, ils ont bien d’autres choses à penser. Leur responsabilité au sein de l’entreprise est bien plus importante et bien plus porteuse de nouvelles directions. Ils ont des yeux qui pointent vers le long terme, ils cherchent les solutions aux moindres problèmes, ils sont à l’affut du plus petit dysfonctionnement qui auditeur, un métier qui a ses racines dans l’histoire européenne 31 September 2012 Auditeur, auditeur, un métier qui a ses racines dans l’histoire européenne September 2012 32 pourrait entraver l’évolution de l’entreprise. Ils sont les garants de la bonne santé financière de l’entreprise. Pour anéantir ce réflexe, certes primaire, mais ancré de force dans notre mémoire collective depuis plusieurs décennies et pour nous rassurer, on devrait connaître par cœur l’étymologie latine exacte du mot « audit ». Il provient du verbe « audio, audire, audivi, auditum » qui signifie « écouter ». Encyclopédie « Panckoucke » au XVIIIe siècle, de nombreuses fonctions attribuées aux auditeurs. On y définit l’auditeur à la fois comme chargé de revoir les comptes et les finances du Roi, les juges auditeurs comme fonctionnaires au courant des comptes personnels du Roi, les auditeurs conventuels ou collégiaux comme examinateurs des comptes des monastères et l’auditeur de nonciature nommé par le pape auprès d’un nonce comme un secrétaire auprès d’un ambassadeur.3 « Audit » est donc la troisième personne de l’indicatif présent et est traduit par « Il écoute ». Les auditeurs sont donc par définition des « écouteurs professionnels ». Ils sont à l’écoute des failles, des mauvais engrenages liés au travail quotidien et ils trouvent par leur raisonnement des solutions répondant précisément aux besoins de leur entreprise. Ce n’est que vers la première moitié du XXème siècle que la langue anglaise va utiliser le mot « auditors » pour désigner toute personne pratiquant des actions de vérification, de révision, d’ajustement comptable ou financier dans une entreprise. Par contre, dans le même volume, l’Encyclopédie préconise un emploi très limité du nom commun « audition », nom commun dérivé de la même racine latine : « ... qui ne se dit que dans deux phrases : l’audition d’un compte et l’audition des témoins. Dans la première, il signifie la réception et l’examen d’un compte, dans l’autre, il signifie la réception des dépositions soit dans une enquête ou une information »4. Si on reprend les idées globales de Jeremy Rifkin1, l’invention de l’écriture (3ième millénaire avant Jésus Christ) et l’invention de l’imprimerie (15ième siècle) seraient les deux grandes étapes qui ont très progressivement mené nos traditions orales vers une culture écrite. Le moyen-âge fut la période de transition car on avait pour habitude de lire à haute voix les livres de comptes comme si on avait besoin de donner crédibilité à ce qui était écrit. On pourrait accumuler les exemples à travers les siècles. Ainsi, on retrouve dans certaines expressions actuelles cette volonté constante de faire passer la parole orale comme supérieure à toutes valeurs écrites. Ne parle-t-on pas d’un homme de parole ? Ne croit-on pas quelqu’un sur parole ? Ne donne-t-on pas sa parole d’honneur ? N’at-on pas qu’une parole ? Oui mais ... les paroles s’envolent et les écrits restent ! Et pour trancher cet immense dilemme sémantique, je donne la parole à la défense ! En conclusion, je dirai que la parole est d’argent et que le silence est d’or. Peut-être les prémices, les premiers pas de ce qui deviendra l’Assemblée Générale de nos sociétés actuelles où on a coutume d’exprimer oralement ce qui est expliqué par écrit dans le rapport annuel ... Il existe une autre origine moins connue au terme d’ « audit ». Gilles Martin revient sur son étymologie du mot et rappelle « l’importance de « dire les choses » oralement pour leur donner de la valeur. Le mot « audit » est le résultat de la préposition « à » et du déterminant « ledit », donc « ce qui a été dit à » » 2. On retrouve d’ailleurs dans l’Encyclopédie méthodique dite Cette définition garde le poids de la valeur orale du mot mais souligne de manière subtile, l’acte même de contrôle. On pourrait faire remonter l’histoire de l’audit à l’édification de l’Empire Babylonien au IIe millénaire avant Jésus-Christ où « le secrétaire d’état, responsable des affaires financières consignait dans les documents comptables toutes les transactions commerciales importantes et attestait, par le fait même, de leur véracité ».5 A cette même époque, on peut lire sur la fameuse stèle du Code de Hammourabi (Roi de Babylone, 1792-1750 av. J. C.) conservée au 1 Jeremy Rifkin, « Une nouvelle conscience pour un monde en crise. Vers une civilisation de l’empathie », Editions Les Liens qui libèrent, 2011. 2 Rédacteur du blog Zone Franche Président de PMP conseil en stratégie et management. 3 « Encyclopédie méthodique : Jurisprudence », Tome I, publié par Charles-Joseph Panckoucke, Paris, 1773, p. 579-583. 4 « Encyclopédie méthodique : Jurisprudence », Tome I, publié par Charles-Joseph Panckoucke, Paris, 1773, p. 583. 5 Gilles Willet, « L’audit de communication : analyse critique », Communication et Organisation, Presses Universitaires de Bordeaux, 1994. Dans un esprit de gestion financière saine, on peut évoquer la vie de Joseph dans l’ancien testament. Gouverneur de l’Egypte et homme de confiance de Pharaon, il imposa, pendant les années d’abondance le stockage systématique d’un cinquième des récoltes en prévision de famines potentielles. Il perçut des taxes rigoureuses sur toutes exportations et importations de céréales dans le pays. Joseph fit de cette disposition une loi en Egypte imposant ainsi le versement du cinquième de toute récolte à Pharaon. Peut-être est-ce à partir de là que l’Egypte devint une puissante nation ? Autre période, autres méthodes. Le contrôle des finances de l’état grec antique nous est parvenu par les écrits d’Aristote (384-322 av JC), dans « La Constitution d’Athènes ». Il nous rapporte que « dix logistes et dix synégores reçoivent les comptes de tous les fonctionnaires : seuls, ils ont qualité pour examiner les comptes des comptables, et pour les porter devant le tribunal, s’il y a lieu. Si les logistes convainquent quelque magistrat de détournement de fonds, les juges le condamnent pour vol, et il est tenu de payer au décuple le montant du détournement fixé par le tribunal. Si les logistes établissent quelque fait de corruption et que les juges condamnent le comptable, ils le condamnent pour corruption, et il est tenu de payer au décuple la somme reçue. Si le comptable est condamné pour malversation, le tribunal évalue la faute et le comptable n’est condamné qu’au simple ; mais le simple est porté au double, si le paiement n’est pas effectué avant la neuvième prytanie. Le décuple n’est jamais doublé. »6 Le contrôle de gestion d’un Empire, aussi vaste que celui de Charlemagne n’est pas une mince affaire. Par la capitulaire (ce sont des textes législatifs typiques de la dynastie carolingienne) du 23 mars 789 après Jésus Christ, l’Admonitio generalis (Exhortation générale), il crée les Missi Dominici (les envoyés du maître), les inspecteurs de l’Empire. Ce sont « les yeux, les oreilles et la langue du souverain ». Ils avaient les pleins pouvoirs et leur mission était très claire : sanctionner les abus, veiller à l’application du droit, surveiller le bon fonctionnement de la justice et l’état des finances, contrôler l’administration des provinces et signaler à l’empereur les moindres abus qu’ils auraient pu constater. Ils se déplaçaient dans l’Empire par deux, un laïc (comte ou chevalier) et un clerc. Ils faisaient leur tournée quatre fois par année. Ils portent sur eux des capitula missorum, un résumé reprenant, article par article, l’essentiel des ordres verbaux qui leur avaient été donnés par le souverain avant leur départ. Par ce biais, Charlemagne avait trouvé le moyen d’exercer un contrôle absolu sur l’ensemble de son territoire. (Illustration les missi dominici se présentant devant Charlemagne). Pour compléter ce parcours à travers les époques et les pays, nous devons évoquer par deux exemples, l’évolution de l’audit en Angleterre. Nous devons remonter au XIIème siècle où Mc Mickle7 décrit « en 1131, l’organisation de la collecte des fonds royaux par les shérifs des différents comtés au Royaume-Uni par l’Ancien ministère 33 September 2012 Cela signifie en termes plus simples que si les logistes constatent qu’il y a eu vol ou corruption, la personne devait rendre dix fois la somme dérobée. En cas de malversation, la cour faisait une évaluation et le responsable ne devait rendre la somme qu’une seule fois, mais s’il ne le faisait pas avant la fin du délai de 9 mois, la somme doublait ! Pratiques bien radicales... L’empire romain va lui, opter pour la nomination de questeurs. Ce sont des fonctionnaires chargés de veiller sur les ressources de Rome en gérant les finances du Trésor public, des Provinces et de l’armée. Lors de la création de cette fonction vers 447 avant Jésus Christ, les questeurs n’étaient que deux puis leur nombre évolua au fil des siècles (ils furent 40 à la fin de la République). Pour atteindre cette fonction, il fallait avoir effectué 10 ans de service militaire (stipendia, orum, npl) et avoir au moins 28 ans (pour les patriciens, 30 ans pour les plébéiens). Les questeurs étaient tenus de rendre les comptes oralement devant une assemblée composée d’ « auditeurs » qui approuvaient par la suite leurs conclusions. Le célèbre Cicéron commença sa carrière politique en 75 avant Jésus Christ comme questeur et la termina comme consul, après avoir franchi toutes les étapes de la magistrature. auditeur, un métier qui a ses racines dans l’histoire européenne Louvre, l’intérêt et l’attention qu’il porte à l’obligation de reddition des comptes de ceux à qui était confié l’argent des autres (§49,50,51 par exemple). 6 Aristote, « La Constitution d’Athènes », Chapitre LIV : Magistratures conférées par le sort (suite), les dix logistes et les dix synégores. De la reddition des comptes, §2. 7 Mc Mickle P. L. Jr, « The nature and objectives of auditing : a unified rationale of public, governmental and internal auditing », Ph. D. Dissertation, 1978. auditeur, un métier qui a ses racines dans l’histoire européenne September 2012 34 des Finances anglais, l’Exchequer. A cette époque chaque shérif doit en effet se rendre à Westminster et payer à l’Exchequer une moitié des montants dus par son comté. Une souche est alors frappée, servant de reçu et d’enregistrement du paiement. Plus tard dans l’année, le shérif retourne à Westminster pour clôturer la comptabilité au cours d’une procédure solennelle. Les montants dus par les différents shérifs y sont communiqués oralement et comparés aux souches et espèces étalées sur un tissu ».8 Il faudra attendre la fin du XIIème siècle pour que le terme d’audit soit utilisé formellement pour la première fois dans les pays saxons. Il apparaît en 1285, dans les statuts de Westminster, rédigés par Edouard Ier d’Angleterre (roi de 1272 à 1307). Voici ce que les statuts mentionnent : « Concernant les serviteurs, les intendants, les chambellans et de manière générale, les receveurs de fonds qui sont tenus de produire des comptes, les maîtres de ces serviteurs doivent nommer des auditeurs pour examiner les comptes. Dans le cas d’arriérés de paiement, toutes les choses permises doivent être mises en place. Sur le témoignage de l’auditeur des comptes, ils peuvent être envoyés ou délivrés de la prison du roi ».9 La France du 12e siècle voit naître les origines de la Cour des comptes. C’est une ordonnance de Philippe Auguste datant de 1190 qui fixe la procédure de reddition des comptes publics du roi. Celle-ci est issue de la curia régis, de la Cour du Roi qui siégeait dans la résidence du souverain dans l’Ile de la Cité à Paris et qui contrôlait les dépenses et les recettes du royaume. Saint-Louis va confirmer en 1256 le rôle de ces gens de comptes en les installant dans une salle particulière, la « camera computorum », la chambre des comptes au sein du Palais de Justice. Supprimée à la révolution la chambre des comptes est reconstituée sous Napoléon par la loi du 16 septembre 1807 sous l’appellation actuelle de « Cour des Comptes ». Sur les murs des Invalides, sous la représentation sculptée de la Cour des Comptes sont gravés ces mots prononcés par l’Empereur : « Je veux que par une surveillance active, l’infidélité soit réprimée et l’emploi légal des fonds garanti » (cf. illustration). Après avoir été déplacée au fil des années, elle s’installera définitivement en 1912 au Palais Cambon à Paris. 10 Une autre étape importante fut la loi française du 24 juillet 1867 s’adressant aux sociétés commerciales. En effet, elle a joué un rôle important dans les balbutiements de la profession d’auditeurs que l’on rapprochait plus à cette époque, de celle des comptables, des teneurs de livres. Elle a imposé la désignation officielle de « Commissaires de sociétés » et un peu plus tard des « Commissaires aux comptes ». « Ce contrôle, destiné à protéger les actionnaires est longtemps demeuré très illusoire, en l’absence de garantie d’indépendance et de capacité des commissaires, nommés pour un an seulement, mal rémunérés et dépourvus de réels pouvoirs d’investigation. »11 De 1867 à nos jours, le législateur n’a cessé d’étendre sa mission et de renforcer son indépendance. Mais cette loi est primordiale car elle a permis aux sociétés commerciales de s’entourer de professionnels spécialisés... les ancêtres de nos auditeurs actuels ! la réalisation des audits par des auditeurs externes pour toutes entreprises cotées en bourse. Notre maison mère, l’Institute of Internal Auditors est créée en 1941 à New York et marque donc l’apparition de l’audit interne dans les entreprises. Durant ces dernières années, la pratique de l’audit s’est considérablement développée par une extension spécifique de la fonction dans certains domaines comme la recherche à la fraude, l’évaluation critique des procédures et des structures, la diversité des secteurs. La fonction d’audit interne apparaît en France avec la loi du 24 juillet 1966 préconisant l’appel à des contrôles pour les sociétés commerciales, filiales de grands groupes étrangers mais la fonction reste encore fort proche des techniques de comptabilité. Elle s’en dégagera et prendra ses spécificités qu’à partir des années 80. Vu les crises économiques successives depuis 2008, le rôle de l’audit n’est plus à démontrer. Son développement rapide et son adaptabilité en fonction de l’actualité lui promettent assurément un avenir prometteur. Je terminerai par la réflexion du journaliste français, Yves Calvi : « La Cour des Comptes remet chaque année un rapport au gouvernement que personne ne suit. Faudra-t-il aller un jour à ce que l’Etat doive se justifier de ne pas suivre ce que préconise la Cour sous peine de sanctions ? »12. Encore un bel avenir en perspective ... « Audit » est donc la troisième personne de l’indicatif présent et est traduit par « Il écoute ». Les auditeurs sont donc par définition des « écouteurs professionnels ». Il faudra attendre le 20ième siècle pour assister au développement et à l’organisation de la fonction d’audit notamment aux Etats-Unis suite à la crise économique de 1929. La récession économique en point de mire, les entreprises cherchent à réduire drastiquement leurs charges. Elles vont alors faire appel à des cabinets d’audit externe, organismes indépendants ayant pour mission la certification des comptes, bilans et états financiers. N’oublions pas non plus la création de la SEC (Security and Exchange Commission) en 1934. C’est à cette époque que la bourse exige 8 David Carassus, Georges Gregorio, « Gouvernance et audit externe légal : une approche historique comparée à travers l’obligation de reddition des comptes », Communication aux 9èmes journées d’histoire de la comptabilité et du management, mars 2003, p. 5. 9 Idem, p. 5. 10 http://www. ccomptes. fr/Nous-connaitre/Histoire-et-patrimoine 11 Bulletin de la Commission Bancaire, n°26, avril 2002, p. 10. 12 Yves Calvi, « C’est dans l’air », France 5, 2 juillet 2012. Illustrations : http://napoleon1er. perso. neuf. fr/BR-Comptes. html - Tombeau de Napoléon Ier, Les Invalides, Paris. http://www. histoire-france. net/moyen/charlemagne/missidomici. jpg - Les missi dominici se présentant devant Charlemagne Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis een beroep dat zijn wortels heeft 35 in de Europese geschiedenis September 2012 Auditor, door Anne Cremers Master in Kunstgeschiedenis en Archeologie-ULB Wanneer u in de gangen van eender welke onderneming deze eenvoudige zin durft uit te spreken: “volgende week hebben we een interne audit in onze afdeling...”, bent u onmiddellijk getuige van een radicale verandering van het gedrag van uw gesprekspartner: zijn gelaatsuitdrukking verandert, hij krijgt een radeloze blik in de ogen, hij versnelt zijn pas. Zijn hele lichaam verraadt een zweem van emotionele ongerustheid. Hij weet niet waarom noch hoe, maar hij wordt inderdaad bezwaard door het gewicht van de geschiedenis van de auditors, al eeuwenlang bekend en berucht als “zoekers naar spijkers op laag water”, “controleurs”. Het zijn natuurlijk onze collega’s, maar ze komen van een “verschillende” dienst. Het zijn de bewaarders van de onkreukbaarheid en de voorbeeldigheid van de in de onderneming ondernomen acties, en iedereen beeft wanneer hun komst wordt aangekondigd. Men begint aan alles te twijfelen, de angst voor het slecht uitgevoerde detail knaagt aan ons. Men gaat zelfs zo ver dat men twijfelt of men de goede factuur in het passende bakje gelegd heeft, afhankelijk van de wensen van onze hiërarchie, terwijl zij in werkelijkheid heel wat anders aan hun hoofd hebben. Hun verantwoordelijkheid in de onderneming is veel belangrijker, en dit op veel punten. Hun blik is gericht op de lange termijn, zij zoeken naar oplossingen bij het minste probleem, zij loeren op het kleinste detail dat de evolutie van de onderneming in gevaar zou kunnen brengen. Zij staan garant voor de goede financiële gezondheid van de onderneming. Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis Om deze reactie, die zeker simplistisch is, maar al decennialang stevig in ons collectief geheugen ingeprent werd, teniet te doen en om ons gerust te stellen moeten we de exacte Latijnse etymologie van het woord “audit” bekijken. Het begrip is afkomstig van het werkwoord “audio, audire, audivi, auditum” wat “luisteren” betekent. September 2012 36 “Audit” is dus de derde persoon van de onvoltooid tegenwoordige tijd en wordt vertaald door “Hij luistert”. De auditors zijn dus per definitie “professionele luisteraars”. Zij hebben een luisterend oor voor de gebreken, voor het slecht draaien van de machine dat samenhangt met het dagelijkse werk en zij vinden door hun rationele denkwijze oplossingen die exact inspelen op de behoeften van hun onderneming. Het is pas in de eerste helft van de XXste eeuw dat de Engelse taal het woord “auditors” gaat gebruiken voor personen die handelingen uitvoeren die in verband staan met nazicht, revisie, aanpassing van de boekhouding of van de financiën in een onderneming. Wanneer men zich baseert op de globale ideeën van Jeremy Rifkin1, dan zouden de uitvinding van het schrift (IIIde millennium voor Jezus Christus) en de uitvinding van de boekdrukkunst (XVde eeuw) de twee grootste etappes zijn die onze mondelinge tradities zeer geleidelijk brachten tot een geschreven cultuur. De middeleeuwen waren de overgangsperiode, omdat men gewoon was om de boeken met rekeningen met luide stem voor te lezen, alsof men geloofwaardigheid aan het geschrevene zou moeten geven. Het was misschien de aanvang, de eerste stap van wat de Algemene Vergadering van onze huidige vennootschappen zouden worden, waar men de gewoonte heeft om mondeling uit te drukken wat in het jaarrapport geschreven is... Er bestaat een andere, minder bekende oorsprong voor het begrip “audit”. Gilles Martin doet beroep op de etymologie van het woord en herinnert aan “het belang om “dingen te zeggen” om er waarde aan te geven. Het woord “audit” is het resultaat van het voorzetsel “à” en van het bepalende woord “ledit”, dus “wat gezegd werd aan”” 2. Men vindt trouwens in de methodische encyclopedie, de zogenaamde “Panckoucke”-encyclopedie in de XVIIIde eeuw, dat tal van functies werden toegekend aan auditors. In dit naslagwerk definieert men de auditors als personen belast met de revisie van de rekeningen en financiën van de Koning, de rechter-auditors als ambtenaren die op de hoogte zijn van de persoonlijke rekeningen van de Koning, de klooster- of collegiale auditors als onderzoekers van de rekeningen van kloosters en de nuntiatuurauditors, benoemd door de Paus bij een nuntius zoals een secretaris bij een ambassadeur.3 In hetzelfde volume beschrijft de encyclopedie echter een zeer beperkt gebruik van de gemeenschappelijke naam “verhoor”, een zelfstandig naamwoord met de Latijnse oorsprong: “... wat slechts in twee zinnen gezegd wordt: het verhoor van een rekening en het verhoor van getuigen. In het eerste geval betekent dit de ontvangst en het onderzoek van een rekening, in het andere geval de ontvangst van getuigenissen, hetzij in een onderzoek, hetzij bij wijze van informatie”4. Deze definitie behoudt het gewicht van de gesproken waarde van het woord, maar onderstreept op subtiele wijze de controle op zich. In de loop der eeuwen stapelen de voorbeelden zich op. Zo vindt men in bepaalde actuele uitdrukkingen deze constante wil om voorrang te geven aan het gesproken woord boven alle geschreven waarden. Spreekt men niet van een man van zijn woord? Gelooft men niet iemand op zijn woord? Geeft men niet zijn woord van eer? Heeft men niet slechts één woord? Ja, maar... de woorden vervliegen en het geschrevene blijft! En om in dit immense semantische dilemma een oordeel te kunnen vellen, geef ik het woord aan de verdediging! Bij wijze van conclusie zou ik zeggen: spreken is zilver, zwijgen is goud. Men zou de geschiedenis van de audit kunnen laten beginnen bij de opkomst van het Babylonische Keizerrijk in het IIde millennium voor Jezus Christus waar “de staatssecretaris, verantwoordelijk voor de financiële zaken, in de boekhoudkundige documenten alle belangrijke handelstransacties noteerde en hierdoor bevestigde dat ze echt waren”.5 1 Jeremy Rifkin, « Une nouvelle conscience pour un monde en crise. Vers une civilisation de l’empathie », Editions Les Liens qui libèrent, 2011. 2 Redacteur van de blog Zone Franche, Voorzitter van PMP, advies in strategie en management. 3 « Encyclopédie méthodique : Jurisprudence », Tome I, uitgegeven door Charles-Joseph Panckoucke, Parijs, 1773, p. 579-583. 4 « Encyclopédie méthodique : Jurisprudence », Tome I, uitgegeven par Charles-Joseph Panckoucke, Parijs, 1773, p. 583. 5 Gilles Willet, « L’audit de communication : analyse critique », Communication et Organisation, Presses Universitaires de Bordeaux, 1994. In een geest van gezond financieel bestuur kan men verwijzen naar het leven van Jozef in het Oude Testament. Als gouverneur van Egypte en vertrouwenspersoon van de Farao voerde hij tijdens de jaren van overvloed de systematische opslag van één vijfde van de oogsten in als preventieve maatregel voor eventuele periodes van hongersnood. Hij hief strenge belastingen op alle import en export van granen in het land. Jozef maakte van deze verordening een wet in Egypte, en voerde zo de betaling in van één vijfde van de complete oogst aan de Farao. Is het misschien vanaf dat ogenblik dat Egypte een machtige natie werd? Een andere periode... andere methoden. De controle over de financiën van de antieke Griekse staat kwam tot ons door de werken van Aristoteles (384-322 voor Christus), meer bepaald in de “De grondwet van Athene”. Hierin lezen we dat “tien logisten en tien synegoren de rekeningen van alle ambtenaren ontvangen: zij hebben de bevoegdheid om de rekeningen van boekhouders te onderzoeken en om hen voor de rechtbank te dagen mocht dit nodig zijn. Indien de logisten een magistraat overtuigen van het feit dat fondsen verduisterd werden, zullen de rechters de persoon in kwestie voor diefstal veroordelen, en moet hij tien keer het verduisterde bedrag, vastgelegd door de rechtbank, terugbetalen. Indien de logisten corruptie vaststellen en de rechters de boekhouder veroordelen, veroordelen ze hem voor corruptie, en moet hij het tienvoud van het ontvangen bedrag betalen. Wordt de boekhouder veroordeeld wegens malversatie, onderzoekt de rechtbank het misdrijf en wordt de boekhouder enkel veroordeeld tot het enkele bedrag; maar deze boete wordt verdubbeld wanneer de betaling niet voor de negende prytanie plaatsvindt. Het tienvoud wordt nooit verdubbeld.”6 In meer eenvoudige bewoordingen betekent dit dat wanneer de logisten vaststellen dat er sprake is van diefstal of corruptie, de persoon in kwestie tien keer het ontvreemde bedrag moet betalen. In geval van malversatie, ging de rechtbank over tot een onderzoek Het Romeinse rijk zal ervoor kiezen om quaestors te benoemen. Dit zijn ambtenaren belast met het toezicht op de middelen van Rome door de financiën van de Openbare Schatkist, de Provincies en het leger te beheren. Toen deze functie rond 447 voor Christus gecreëerd werd, waren er slechts twee quaestors, maar in de loop van de eeuwen zal hun aantal toenemen (op het eind van de Republiek waren ze met 40). Om toegang te kunnen krijgen tot deze functie moest men 10 jaar dienstplicht (stipendia, -orum, zelfstandig naamwoord mv.) achter de rug hebben en ouder zijn dan 28 jaar (voor de patriciërs, 30 jaar voor de plebejers). De quaestors moesten de rekeningen schriftelijk voorleggen voor een vergadering bestaande uit “auditors” die hun conclusies vervolgens goedkeurden. De beroemde Cicero begon zijn politieke carrière in het jaar 75 voor Christus als quaestor en zal zijn loopbaan beëindigen als consul, na alle etappes van de magistratuur doorlopen te hebben. De controle van het beheer van een Rijk, zo groot als dat van Karel de Grote, is geen kinderspel. Door het capitulum (dit is een wetgevende tekst, typisch voor de Karolingische dynastie) van 23 maart 789 na Christus, de Admonitio generalis (“Algemene aansporing”), worden de Missi Dominici (koningsboden), de inspecteurs van het Rijk in leven geroepen. Dit zijn “de ogen, de oren en de tong van de heer”. Ze hadden de grootste macht en hun missie was zeer duidelijk: misbruik bestraffen, toezicht houden op de toepassing van het recht, toezicht houden op de goede werking van justitie en de staat van de financiën, de administratie van de provincies controleren en het geringste misbruik dat ze eventueel zouden ontdekken aan de Keizer melden. Zij verplaatsten zich in het Keizerrijk met zijn tweeën, een leek (graaf of ridder) en een klerk. Zij deden vier keer per jaar hun ronde. Zij hadden capitula missorum bij zich, zijnde een samenvatting, artikel per artikel, van de essentiële inhoud van de mondelinge bevelen die hen voor hun vertrek door de koning gegeven waren. Op deze wijze had Karel de Grote het middel gevonden om een absolute controle over zijn heel grondgebied uit te oefenen. (Illustratie waar de missi dominici zich voor Karel de Grote presenteren). 6 Aristoteles, « La Constitution d’Athènes », Chapitre LIV : Magistratures conférées par le sort (suite), les dix logistes et les dix synégores. De la reddition des comptes, §2. – vertaald naar het Nederlands op basis van de Franse tekst. Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis en moest de verantwoordelijke het bedrag slechts een keer betalen maar, deed hij dit niet voor het verstrijken van een termijn van 9 maanden, dan werd het bedrag verdubbeld! Tamelijk radicale praktijken... 37 September 2012 Uit dezelfde periode vindt men op de beroemde stèle met het wetboek van Hammourabi (Koning van Babylonië, 1792-1750 voor Christus), bewaard in het Louvre, het belang en de aandacht die geschonken worden aan de plicht tot het opstellen van rekeningen door de personen aan wie door anderen geld was toevertrouwd (§49, 50, 51 bijvoorbeeld). Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis September 2012 38 Wanneer we onze tocht doorheen de loop der tijden en de landen verderzetten, kunnen we de evolutie van de audit in Engeland beschrijven aan de hand van 2 voorbeelden. We moeten teruggaan tot de XIIde eeuw waar Mc Mickle7 de beschrijft hoe “in 1131 de organisatie van het innen van de Koninklijke fondsen door de sheriffs van de verschillende graafschappen in het Verenigd Koninkrijk gebeurt door het Voormalige ministerie van Financiën van Engeland, de Exchequer. Op dat moment moet elke sheriff zich immers naar Westminster begeven en aan de Exchequer de helft van de door zijn graafschap verschuldigde bedragen betalen. Daarna wordt een zegel geslagen dat dienst doet als ontvangstbewijs en als registratie van de betaling. Later tijdens het jaar keert de sheriff terug naar Westminster om de boekhouding tijdens een plechtige procedure af te sluiten. De door de verschillende sheriffs verschuldigde bedragen worden daar mondeling meegedeeld en vergeleken met de zegels met geldwaarden die op een doek zijn uitgestald”.8 slechts één jaar, slecht betaald en niet beschikkend over reële onderzoeksvolmachten.”11 Van 1867 tot vandaag is de wetgever niet gestopt om hun missie uit te breiden en hun onafhankelijkheid te versterken. Maar deze wet was van fundamenteel belang omdat zij de handelsvennootschappen toegelaten heeft zich te omringen met gespecialiseerde professionals... de voorvaderen van onze huidige auditors! We moeten wachten tot het einde van de XIIde eeuw om te zien dat het begrip audit voor de eerste keer formeel gebruikt wordt in de Saksische landen. Het woord verschijnt in 1285, in de statuten van Westminster, opgesteld door Eduard I van Engeland (koning van 1272 tot 1307). Daar lezen we: “Met betrekking tot de dienaars, de opzichters, de kamerheren en, in het algemeen, de ontvangers van fondsen die verplicht zijn om rekeningen op te stellen, moeten de heren van deze dienaars auditors benoemen om de rekeningen te onderzoeken. In geval van achterstallige betalingen moeten alle toegelaten maatregelen genomen worden. Op getuigenis van de controleur van de rekeningen kunnen ze naar de gevangenis van de koning gezonden of uit de gevangenis ontslagen worden”. 9 Vergeten we in dat verband ook niet de creatie van de SEC (Security and Exchange Commission) in 1934. Het is in deze periode dat de beurs de uitvoering van audits door externe auditors eist, en dit voor alle beursgenoteerde ondernemingen. Het Frankrijk van de 12de eeuw ziet de oorsprong van het Rekenhof ontstaan. Het is een verordening uit 1190 van Filip II August die de procedure vastlegt voor de voorlegging van de openbare rekeningen van de koning. Dit is de taak van de curia regis, van het Koninklijke Hofraad die zitting hield in de residentie van de vorst op de Ile de la Cité in Parijs en die de uitgaven en inkomsten van het koninkrijk controleerde. Lodewijk IX de Heilige zal in 1256 de rol van deze ambtenaren voor de rekeningen bevestigen door ze in een speciale zaal te installeren, namelijk de “camera computorum”, de rekenkamer, in het Justitiepaleis. Deze rekenkamer werd tijdens de revolutie ontbonden maar onder Napoleon door de wet van 16 september 1807 in ere hersteld worden. Vandaag wordt het het “Rekenhof” genoemd. De volgende woorden die door de keizer werden uitgesproken, werden onder een beeldhouwwerk met de voorstelling van het Rekenhof gebeiteld: “Je veux que par une surveillance active, l’infidélité soit réprimée et l’emploi légal des fonds garanti” (Ik wens dat door een actief toezicht de ontrouw beteugeld wordt en dat het wettelijke gebruik van de fondsen gegarandeerd wordt) (zie illustratie). Na in de loop der jaren verhuisd te zijn, werd het Rekenhof in 1912 definitief geïnstalleerd in het Palais Cambon in Parijs. 10 Een andere belangrijke stap was de Franse wet van 24 juli 1867 die gericht was op de handelsmaatschappijen. Deze wet heeft inderdaad een belangrijke rol gespeeld bij het aan zijn kinderschoenen ontgroeien van het beroep van auditor dat in die tijd meer gelijkenissen vertoonde met dat van boekhouders, van mensen die de boeken bijhielden. Deze wet heeft de officiële naam van “Commissaires de sociétés” (Bedrijfscommissarissen) en een beetje later “Commissaires aux comptes” (Financiële commissarissen) opgelegd. “Deze controle, bestemd om de aandeelhouders te beschermen, is lange tijd zeer illusoir gebleven, bij gebrek aan een garantie aan onafhankelijkheid en aan competentie van de commissarissen, benoemd voor Men moet wachten tot de 20ste eeuw vooraleer de auditfunctie verder tot ontwikkeling komt en georganiseerd wordt, meer bepaald in de Verenigde Staten en dit als gevolg van de economische crisis van 1929. In het oog van de storm van de economische recessie proberen de ondernemingen hun kosten drastisch te verlagen. Zij gaan dan beroep doen op externe auditkantoren, onafhankelijke organismen, met als missie het certificeren van de rekeningen, balansen en financiële staten. Ons hoofdkantoor, het Institute of Internal Auditors, wordt in 1941 opgericht in New York en markeert zo het verschijnen van de interne audit in de ondernemingen. Tijdens de laatste jaren heeft de praktijk van de audit zich aanzienlijk ontwikkeld met een specifieke uitbreiding van de functie in bepaalde domeinen zoals fraudeonderzoek, de kritische evaluatie van procedures en structuren, de diversiteit van de sectoren. De functie van interne audit verschijnt in Frankrijk met de wet van 24 juli 1966. Deze legt de nadruk op controles voor handelsmaatschappijen, filialen van grote buitenlandse groepen. De functie blijft echter nog zeer dicht bij boekhoudtechnieken. Ze zal er zich pas van losmaken en wordt maar specifiek en gespecialiseerd vanaf de jaren 80. Gezien de opeenvolging van economische crisissen sinds 2008 hoeft de rol van de audit niet meer aangetoond te worden. Zijn snelle ontwikkeling en zijn aanpassingsvermogen in functie van de actualiteit verzekeren hem zonder twijfel een veelbelovende toekomst. Ik eindig met een overweging van de Franse journalist, Yves Calvi: “Het Rekenhof stuurt elk jaar een rapport naar de regering dat niemand volgt. Moet het zover komen dat de Staat zich op een mooie dag moet rechtvaardigen omdat ze niet volgt wat het Hof aanbeveelt, op straffe van sancties?”12. Er wacht ons nog een mooie toekomst... « Audit » is dus de derde persoon van de onvoltooid tegenwoordige tijd en wordt vertaald door « Hij luistert ». De auditors zijn dus per definitie « professionele luisteraars ». 7 Mc Mickle P. L. Jr, « The nature and objectives of auditing: a unified rationale of public, governmental and internal auditing », Ph. D. Dissertation, 1978. 8 David Carassus, Georges Gregorio, « Gouvernance et audit externe légal : une approche historique comparée à travers l’obligation de reddition des comptes », Communication aux 9èmes journées d’histoire de la comptabilité et du management, maart 2003, p. 5. – vertaald naar het Nederlands op basis van de Franse tekst. 9 Idem, p. 5. – vertaald naar het Nederlands op basis van de Franse tekst. 10 http://www. ccomptes. fr/Nous-connaitre/Histoire-et-patrimoine 11 Bulletin de la Commission Bancaire, n°26, april 2002, p. 10. - vertaald naar het Nederlands op basis van de Franse tekst. 12 Yves Calvi, « C’est dans l’air », France 5, 2 juli 2012 - vertaald naar het Nederlands op basis van de Franse tekst. Illustraties : http://napoleon1er. perso. neuf. fr/BR-Comptes. html - Graftombe van Napoleon I, Les Invalides, Parijs. / http://www. histoire-france. net/moyen/charlemagne/missidomici. jpg - De missi dominici die zich voor Karel de Grote presenteren by Marc Vael A few days ago, I presented to an audience of more than 100 CIOs why they should go for cloud computing. The conference organizer specifically asked me to also focus on the advantages instead of mainly to the risks, since he thought that scaring people away from cloud was too much done by certain groups and media. Especially since the Amazon Clouddrive incident and the MegaUpload scandal, the organizer wanted to bring a positive message. I liked the idea about this constructive approach and made my life easy by using the slogan of ISACA “trust in, and value from, information systems”. Even today many people interpret cloud computing as they have heard via several media and presentations, so I started my presentation with the most recognized (NIST) definition: “Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.” Since I knew the conference organizer treated the service models and the deployment models, I only needed to explain the essential cloud computing characteristics to the audience. Amazingly I noticed that most CIOs knew nothing about 2 of the 5 models, namely • on-demand self-service (where consumer can unilaterally provision computing capabilities as needed automatically without requiring human interaction with each service provider) and • measured service (cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service. Resource usage can be monitored, controlled, and reported providing transparency for both the provider and consumer of the used service). I then focused on the elements which create trust in, and value from, cloud computing: Trust in cloud computing 39 September 2012 The advantages of cloud computing: Why you should start experimenting today the advantages of cloud computing: why you should start experimenting today Marc Vael Chairman Cloud Computing Task Force ISACA the advantages of cloud computing: why you should start experimenting today 40 • Confidentiality - Cloud computing solutions provide by default proper authentication and authorization layers. Since these solutions are used by many organisations (being it infrastructure, or platform, or applications), the cloud solutions are better secured. Of course, the applications developed by a company on top of the infrastructure or platform remain the responsibility of the company. The monitoring feature to prevent, detect and react to breaches in a timely manner is also present. • Privacy - Cloud computing solutions provide proper measured protection of sensitive personal information which can be verified by any company. • Integrity - Cloud computing solutions provide similar protection of integer data. • Availability - Cloud computing service providers provide the infrastructure and bandwidth to accommodate companies with high speed access, storage and applications. While availability can be promised, companies should still ensure that they have provisions in place for service interruptions. Cloud computing even allows more reliable backup and recovery. • Resiliency - Cloud providers have disaster recovery equipment to ensure sustainability through any type of negative event. • Compliance - Any company must comply with a litany of laws, regulations and standards. If data are demanded by authorities, cloud computing service providers can provide this without compromising other information. • Licensing - Cloud computing allows companies to only use those licenses needed at a specific point in time without any concern of using illegal versions. September 2012 • Reliability - Cloud computing provides solutions available wherever people are. • Monitoring - This is one of the 5 key characteristics of cloud computing solutions. Measurable transparent monitoring is provided by default by solution providers to companies. Of course, reading and interpreting the results remains the responsibility of the companies. • Integration - Cloud computing solutions provide proper connectors to integrate with existing internal solutions. •N etwork centric - Cloud computing solutions are by default offered via the network. • Transparency - Cloud computing service providers can demonstrate the existence of effective and robust security controls, assuring companies their information is properly secured against unauthorized access, change and destruction. • Certification - Cloud computing service providers can provide proper assurance that they are doing the “right” things. Independent assurance from third-party audits and/or service auditor reports is a vital part of any service provider assurance program. Value from cloud computing • Cost containment - Cloud computing offers companies scalability without huge financial commitments upfront for infrastructure acquisition and maintenance. Capital expenditure with cloud computing is much lower since services and storage are available on demand and are priced as a pay-as-you-go service. Capital expenditure is largely replaced with operational expenditure. Savings on unused server space and licenses allows companies to contain costs. •O n demand Convenience - A core added value for many companies since they can unilaterally provision computing capabilities as needed automatically without requiring human interaction with cloud services providers. • Scalability - Cloud services offer increased scalability for evolving IT needs of companies, allowing for traffic spikes and reducing the time to implement new services. Companies can also focus on their core business, rather than be concerned about solving peak business demands for performance. • Better resource pooling/usage - Cloud services allow to better use existing infrastructure at the service provider and increase productivity and transforming business processes through means that were prohibitively expensive before the cloud. • Flexibility - Cloud services offer increased flexibility for evolving IT needs of companies, allowing for traffic spikes and reducing the time to implement new services and thus increase innovation. • Business control over IT solutions - One of the major added value impacts of cloud computing is that the business is back in control over its solutions. Business departments can find their own solutions online and decide themselves if they go ahead or not (streamline processes), without too much intervention by others. Cloud computing allows business departments to decouple their IT needs and their infrastructure. • Centralized data (sort of) - Cloud computing allows data to be stored in a centralized accessible matter from the viewpoint of the user. Of course, with virtualization it has become impossible to physically pinpoint the exact physical disc where data is stored. • Faster implementation - Instead of extensive discussions, analysis and lots of people involved in developing and testing applications and data solutions, business units are able to activate and use practical solutions in days. This has a fundamental impact on the agility of a business and the reduction of costs associated with time delays. • Logging & Monitoring - One of the cornerstones of cloud computing is automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service. Resource usage can be monitored, controlled, and reported providing transparency for both the provider and company of the used service. • Green IT - Another added value of cloud computing is less energy usage at the company and using existing energy at the cloud computing service provider, who might have different locations and choose where energy is cheapest at any point in time. • Efficiency - Re-allocating information management operational activities to cloud computing offers companies the opportunity to focus on innovation and research and development. This allows for growth. • The premise of the cloud is that by outsourcing portions of information management and IT operations, enterprise workers will be free to improve processes, increase productivity and innovate while the cloud provider handles operational activity smarter, faster and cheaper. Assuming this to be the case, significant changes to the existing business processes will likely be required to take advantage of the opportunities that cloud services offer. 2. IT governance model: expand governance approaches and structures to appropriately handle the new IT solutions and enhance business processes. 3. Integration with internal IT systems: focus on the connectors between the internal systems and the cloud computing solution(s). 4. Network connectivity / bandwidth: without it, cloud computing solutions are not accessible. Cloud computing is a major change in how computing resources will be used, and as such will be a major governance initiative within adopting organizations, requiring involvement of a broad set of stakeholders. You can find more interesting information on http://www. isaca. org/cloud, http://www. nist. gov/itl/cloud/publications. cfm and http://www. enisa. europa. eu/activities/application-security/cloudcomputing/. Marc Vael, Chairman Cloud Computing Task Force ISACA (marc@vael. net) http://www. linkedin. com/in/marcvael 5. Data location: when information can be stored anywhere in the cloud, the physical location of the information can become an issue. Physical location dictates jurisdiction and legal obligation. Country laws governing personally identifiable information (PII) vary greatly. What is allowed in one country can be a violation in another. http://twitter. com/marcvael 6. Shared tenancy: there might be interest to know who your company is sharing information with. 7. Lock in with vendor: added risk with increased dependency on a third-party provider to supply flexible, available, resilient and efficient IT services. 8. Cloud Service Provider stability, reliability and viability: a typical focus point when working with an external party. 41 9. Service portability: this point is usually forgotten but is necessary to think about, even before the contract is signed: what about the portability of the service to another cloud computing service provider? 10. Legal & regulatory compliance aspects (including licensing, contractual arrangements). 11. Information security management (including Identity and Access Management): a proper overview of the different mechanisms used for information security is interesting for the company. 12. Incident response & crisis management: since cloud computing service providers are only accessible via networks, it is important to find out how incidents/crisis are handled, documented and escalated. 13. Business Continuity Management & Disaster Recovery Planning: some information about BCM & DRP is good to know from a company perspective to have guarantees on data and services availability. 14. Data archiving & removal: especially important at the end of any cloud computing contract, all data should be removed from the cloud computing service provider. 15. (Right to) Audit (penetration testing, screening, monitoring, ...): this focus point makes it possible to have more transparency around different topics. the advantages of cloud computing: why you should start experimenting today 1. Psychological impact: level of abstraction between the physical infrastructure and the owner of the information being stored and processed. Also no direct or indirect control of the physical environment affecting his/her data. When I finished establishing this list of focus points and reviewed my list, I found that this list reminded me of a list I made more than 10 years ago. Indeed, this list of focus points is similar to the one for traditional (IT) outsourcing. So, for cloud computing, the focus points are not new, but need to be taken into account. Indeed, this list of focus points is similar to the one for traditional (IT) outsourcing. So, for cloud computing, the focus points are not new, but need to be taken into account. September 2012 O bviously, in order to put things in perspective, I also made a list of focus points when implementing cloud computing: Jan Claes Process Mining Researcher / Teaching Assistent at Faculty of Economics and Business Administration of the Ghent University & Mieke Jans Manager | Auditing and Enterprise Risk Services at Deloitte Bedrijfsrevisoren Process mining: get your processes out of the black box Process mining: get your processes out of the black box By Jan Claes and Mieke Jans September 2012 42 Organizations often construct business process models to document how they think processes are executed (as-is) or should be executed (to-be). But are these models accurate? Do they represent real process execution or do they only reflect people’s perceptions about processes? – Typically, an auditor has to pick samples to verify certain regulations. These sample cases are mostly selected rather randomly. But isn’t it possible to use a technique that directs you quickly to suspicious cases? Wouldn’t it be interesting to be able to focus on exceptional cases right from the start? – Process mining helps you with that. It is an umbrella term for dozens of techniques that derive interesting information from historical process data that can be found in so called log files of your software systems. This will empower an auditor with the tools to focus on real process execution and to quickly jump to exceptional behavior. Introduction Collecting data In a plane, every event is recorded in a so called black box. On a ship, the captain notes every event in a log book. In software, something similar occurs: debug or audit information is stored in files or databases. This way, enormous amounts of data about process executions are available, but it is mostly left untouched. Process mining attempts to use this particular data effectively to address three practical questions. 1. How is a business process executed in reality (process discovery)? 2. Which deviations from the normal or desired behavior (conformance checking) exist? 3. How to enrich a process model, for example with performance data or decision determinants (process enhancement)? The recorded process data from various IT systems (e. g., ERP software, CRM software, accounting software) first needs to be hierarchically structured to assemble an event log. This event log forms the base for all process mining techniques. Figure 1 shows an example of an event log of a customer support process. Another typical example of data used to construct the log are status updates on certain fields. Truly, the search for and preparation of data is the most challenging part of a process mining effort, because it depends on your particular information system setup. Once the data is covered in an event log, several process mining techniques can be applied. An event log is a file that captures the history of executed processes. This history is constructed in traces and events. A trace is a group of activities (events) that belong to the same process execution (e. g., all events for the same customer, for the same sales order, for the Figure 1 Configuring CSV data for process mining (Fluxicon Disco) Making use of this information, traces can be defined (through the case id) and the event log can be constructed. Process mining techniques After constructing the event log, various process mining techniques are accessible. They can be seen as mathematical pattern seeking algorithms. Based on reoccurring patterns, the main and exceptional ways of executing a process are discovered and represented in a process model. Process discovery (see Figure 2) is only concerned about detecting how processes were executed in reality. For an event log, you basically select a specific discovery technique to form the generated process model based on actual process data. The model can be examined to explore exceptional paths. Diverse regulations such as Sarbanes-Oxley Act demand proper and accurate business process documentation. With process mining you can be confident the process models are up-to-date. 43 September 2012 Conformance checking can be used to check if certain rules are violated (e. g., segregation of duties). It instantly gives an overview of all violations. The input for such an analysis is an event log and a set of business rules to check compliance for. Process mining: get your processes out of the black box same ordered product, ...). In a first phase you decide which view you want to take on the process (e. g., do you wish to follow customers throughout the process, or sales orders, or ordered products, ... ?). Having selected the case you wish to follow throughout a process, the traces of activities can be created. A trace contains all the activities that are executed on the case you follow, like ‘Creating a purchase order’, ‘Releasing a purchase order’ etc in a procurement process. Aside from the activity traces, the log can contain other interesting attributes (e. g., the customer number, ...). To create an event log the minimal information you need for events is: • a case id • an event name • a time stamp Figure 2 Discovered process model from event log (Fluxicon Disco) Decision mining is a specific process enhancement technique that searches for determinants that drive decisions in the process. It can be used to search for causes to select inappropriate paths in the process. In which period do these exceptions occur? Or is there a certain group of users that need more extensive training? Maybe the inadequate steps are only performed for larger orders? The more attributes you add to the event log, the more information can be considered to find the determinants. Process mining: get your processes out of the black box Another typical example of process enhancement is performance analysis. For this technique, each task needs to be represented by two moments in the log: a starting moment and an ending moment. This way a difference is made between effective process time and waiting time. Bottlenecks can be easily exposed by excessive waiting times, but process mining also offers techniques for social network mining. These techniques explore how people (or devices) work together. Bottlenecks are typically involved in (too) many cases or tasks of a process. Social network analysis allows to look at the impact of bottlenecks: Which other people/devices/tasks are involved? Third step is the creation of the event log from the collected data. For this step, the extracted data of the information system must be reorganized in the desired format. All information in the related tables must be collected in one single table in the right format. Once this table is created, this should be converted into a minable file. Tools exist to convert an .xls or .csv file to the appropriate format. As a fourth step different explorative process mining techniques will be applied to the event log. Here are some examples: • basic log information (number of cases, of events, events per case, etc.) See Figure 3. • top ten most frequent process variations • cases with the longest lead time • general process model discovery • simple segregation of duties check • testing other internal controls • social network analysis Analysis of results Process mining comes with some explicit limitations. First, the only goal of process mining techniques is to present useful information based on actual process data. It is still up to analysts to decide what the discovered information means, what needs to be changed to solve some issues (to-be), etcetera. It must be seen as an additional instrument in the toolset of managers and (process) analysts to determine the current situation of processes (as-is). Figure 3 Log overview: event log statistics (Fluxicon Disco) September 2012 44 Next, as with all mining techniques the quality of results heavily depends on the input. While much software packages store lots of data, it might be difficult to filter the right information, at the right granularity level. It is also not certain that every single step in a process is reflected in the data. This is not a big issue, but it deserves explicit attention to mention that one has to keep this fact in mind when interpreting process mining outcomes. Steps in a typical project A typical process mining project for audit consists of seven steps: • interview • data dump • event log creation • process mining • audit discussion • process mining 2 • reporting As most data mining techniques, process mining techniques search for answers to some typical questions. The first step in a project is to formulate those questions for your organization. Are you concerned about optimizing performance (e. g., in a lean/six sigma exercise)? Are you concerned about finding violations against predefined policies? Are you concerned about comparing process executions of different business units? Then, the quest for data begins. Depending on your particular information system setup standard data extraction options might exist (e. g., for SAP Deloitte developed a data extraction tool or a custom ABAP-file can be used). If no default extractions are available, this step becomes the harder one. But as long as you manage to find data about what (event name) is done, when (time stamp), and for which case (case id), you will be able to construct an event log. In an audit discussion first results are discussed and new, more specific question are raised. A second or perhaps third round of process mining should provide the missing answers and finally all conclusions are bundled in an audit report. Read more about process mining in the Process Mining Manifesto that can be downloaded from http://www.win.tue.nl/ieeetfpm. Please don’t hesitate to contact the authors if you would like to receive more information. Jan Claes Teaching assistant, Ph. D. Student Ghent University jan. claes@ugent. be Mieke Jans Deloitte Bedrijfsrevisoren Berkenlaan 8B 1831 Diegem mjans@deloitte. com Screenshots from Fluxicon Disco http://fluxicon. com/disco/ par Gaëtan Lefevre La démarche de « Risk Management » au sein des entreprises s’est progressivement imposée ces dernières années en Europe, et donc en Belgique, mais son évolution n’est certainement pas achevée. Vu la multiplicité des types d’entreprise et le côté parfois diffus de la démarche « Risk Management » en leur sein, il est difficile, voire malaisé, d’en évaluer la maturité. Un rappel des quelques principes de base s’impose avant toute tentative d’évaluation. Il est important de souligner que le risque en lui-même n’est pas une mauvaise chose, ce qui est dangereux pour une entreprise ce sont les risques non gérés, sous-estimés ou inattendus. De plus, l’innovation nécessaire au développement des activités élargit le spectre des risques et les moyens de communication, en pleine évolution, accélèrent la vitesse de propagation de ces risques. En résumé, prendre des risques fait partie intégrante de la vie des entreprises, les maîtriser est un facteur clé de leur rentabilité et de leur pérennité. La 8ième directive européenne sur les droits des sociétés impose des responsabilités générales aux Comités d’Audit (Conseil d’Administration) et de manière spécifique, en son article 41, § 2b, elle impose un rôle de vérification de l’efficacité des activités de contrôle interne, d’audit interne et de risk management. Comme cette directive ne définit pas comment le faire, les entreprises peuvent utilement s’inspirer du guide établi par les associations FERMA et ECIIA. Ce guide met en évidence le modèle basé sur trois lignes de défense sur lesquelles tant le Comité d’audit que le Conseil d’Administration peuvent s’appuyer : •1ère ligne de défense : la gestion opérationnelle qui est responsable de l’identification des risques et de leur contrôle => « Risk owner » •2ième ligne de défense : la fonction de Risk Management mais aussi de conformité aux règlementations et procédures internes (D’autres fonctions peuvent s’ajouter comme le conseiller en prévention ou en environnement) => « Risk Monitoring » •3ième ligne de défense : la fonction d’audit interne => « Risk Assurance » 45 September 2012 La démarche de Risk Management dans les entreprises en Belgique et son degré de maturité la démarche de risk management dans les entreprises en belgique et son degré de maturité Gaëtan Lefevre Group Risk & Insurance Manager at CMI la démarche de risk management dans les entreprises en belgique et son degré de maturité Cette approche a le mérite de clarifier et donc de renforcer les rôles de chaque fonction en matière de gestion des risques au sein des sociétés. September 2012 46 Afin d’être capable de maîtriser les risques, il faut d’abord les connaître. La première étape est donc d’établir une cartographie des risques, c’est-à-dire les identifier et les évaluer en mesurant l’impact et l’exposition par le management opérationnel en tenant compte des spécificités de la société. Cela permet de mettre en évidence les risques critiques pour l’entreprise qui nécessitent des plans d’actions spécifiques afin de pouvoir les maîtriser. Pour aider le Risk Manager dans sa fonction, il est utile de mettre en place un « Comité de Gestion des Risques ». Cette approche est pertinente notamment dans le cadre d’une entreprise familiale dont le dirigeant serait peu enclin à partager l’information et la décision sur les risques. Il est important d’en définir les membres, les responsabilités et les interactions avec les autres comités, selon la culture de l’entreprise. Il faut être attentif à bien définir son rôle et ses priorités qui doivent être en phase avec les objectifs de la société. Il s’agit d’un comité « technique » en charge de supporter l’animation de la gestion des risques dont les missions principales sont : mettre à jour la cartographie des risques, les évaluer et sur cette base, faire une proposition de risques prioritaires en précisant leur propriétaire au sein du management opérationnel et enfin mettre en place un suivi de l’avancement du traitement de ces risques prioritaires. Même si des initiatives diverses existent déjà dans le cadre de la gestion des risques, il est nécessaire d’avoir une approche structurée de type Entreprise Risk Management (ERM). En effet, cette façon de faire apporte de la transparence, de la visibilité, une structure et surtout un outil d’aide à la décision pour le top management, basée sur la gestion des risques. La combinaison de ces deux éléments, Comité de Gestion des risques et méthode d’identification / évaluation des risques, sont la base de l’Entreprise Risk Management. La taille de l’entreprise va influencer le modèle de gestion de risques mais aussi son niveau de maturité. Examinons les différents schémas possibles. Dans le cas des PME, le dirigeant est le « risk manager », c’est lui qui connait son entreprise, sa stratégie, et la manière dont il veut procéder pour réaliser ses objectifs. La faiblesse de cette approche résidera dans l’absence de formalisation et dans l’évaluation des conséquences, vraisemblablement faussée par son ressenti personnel, sa formation et sa culture. Dans les cas des moyennes entreprises, le Risk Management va s’organiser, se formaliser et évoluer parallèlement à la croissance de l’entreprise. Souvent, le dirigeant attribuera la responsabilité de la gestion des risques à un collaborateur proche qui gardera sa fonction et la complètera avec le Risk Management. Dans le cadre des Grandes Entreprises ou des Multinationales, le Risk Management ne peut plus s’improviser. L’approche doit être organisée et structurée tout en restant flexible et adaptée à la culture de l’entreprise. Le moteur de développement sera souvent les obligations légales et les réglementations. L’approche décrite ci-dessus s’applique parfaitement à ce type d’entreprises. Examinons maintenant les résultats d’une enquête menée en 2010 par la Fédération Européenne de Risk Management (FERMA) auprès de ses membres et qui donne un éclairage intéressant sur le degré de maturité de la gestion des risques au sein des entreprises en Europe. Cette enquête, la cinquième du genre, a été menée auprès de 800 Risk Managers / Chief Risk Officers répartis dans 19 pays européens (dont 4% de Belges) et portait notamment sur la gouvernance des risques, la maturité et le futur du Risk Management. Voyons ensemble quels en sont les principaux résultats. Key observations 2010: General results: •Risk Management (RM) on the agenda of the top management, board and shareholders, which sponsor the function •Progress in RM fundamentals with significant disparities from one company, country or RM topic to another •High level of sponsorship for RM function: board of directors or supervisory board (25%), CFO (24%), CEO (17%) Key RM findings: •Financial crisis increased the standing of RM (47%) •Triggers for RM: compliance & legal requirements (70%), shareholder’s requirements (39%) •Expectations from shareholders / senior management: minimizing operational surprises (70%), managing cross-enterprise exposures (52%) •Basic risk assessment methods in place (66% use workshops), but quantification tools poorly used (22%) •Company complexity impacted clearly the maturity of RM practices •Risk appetite more closely correlated with risk category than the significance of the risk 1. Le Risk Management doit être efficace aux yeux du Top Management et prouver sa valeur ajoutée. Pour cela, il doit parfaitement comprendre l’organisation et les activités de l’entreprise afin de bien en saisir les enjeux et difficultés et de pouvoir répondre à la question « qu’est-ce qui empêche le management de dormir ? » ! 2. Le Risk Management doit être légitime mais cela ne se décrète pas. Cela dépendra des qualités propres du Risk Manager et de la confiance qu’il aura pu développer avec ses collègues au sein de l’organisation. 3. Le Risk Management doit être crédible vis-à-vis du Top Management et/ou du Comité d’Audit ce qui implique transparence et reporting efficace, sans rétention d’information critique. Il devra faire preuve d’un grand sens de l’éthique. 4. Le Risk Management ne doit pas être isolé mais, au contraire, il doit développer de bonnes relations au sein de l’entreprise grâce à des contacts de qualité, ce qui lui permettra lors d’un incident ou d’une crise majeure de pouvoir les gérer de manière efficace et avec la confiance du management. 5. Le Risk Management doit être mieux connu et reconnu du monde extérieur (pouvoirs publics, associations nationales et internationales, ...) C’est l’un des chantiers majeurs en cours de l’association européenne de Risk Management (FERMA). En conclusion, je souhaiterais mettre en évidence les éléments suivants. Le modèle avec les trois lignes de défense est une manière de mieux coordonner les différentes fonctions en matière de gestion des risques. Le Risk Management et l’Audit Interne sont des fonctions complémentaires, qui font face aux mêmes défis. Il est important de garder un équilibre entre les deux approches. La mise en place d’une cartographie des risques et d’un Comité de Gestion des Risques sont les bases d’une approche structurée de type Entreprise Risk Management (ERM). L’approche Risk Management doit être adaptée à la taille et à la culture de l’entreprise. Il n’y a pas de modèle unique mais bien des principes communs. L’enquête européenne de 2010 a mis en évidence que le Risk Management est bien à l’agenda du Top Management, qu’il rapporte essentiellement au Senior Management et que les éléments déclencheurs d’une réflexion en Risk Management sont surtout les exigences légales et de conformité. Enfin, le Risk Management doit continuer à évoluer afin de relever les défis de demain s’il veut jouer un rôle déterminant dans la gestion des entreprises. Références : Guidance on the 8th EU Company Law Directive (art 41), Published by FERM /ECIIA Part 1: Guidance for boards and audit committees (2010) Part 2: Implementing the 8th EU Company Law Directive – Q&A for Executives Committees (2011) FERMA European Risk Management Benchmarking Survey 2010, Keys to understand the diversity of Risk management practices in Europe – 5th Edition, by FERMA in collaboration with Axa Corporate Solutions and Ernst&Young Trajectoire vers un Enterprise Risk Management (Collection Maîtrise des Risques - 2012), publiée par l’ AMRAE (www. amrae. fr) www. ferma. eu www. belrim. com Participate in the Isabel 6 survey, benchmark your organisation and be the first to get the results. www.isabel6industrialsurveybelgium.be 47 September 2012 Avant de conclure, j’aimerais reprendre ici la même approche que celle développée dans le Compass n°5 sur les enjeux et challenge de l’audit interne et plus précisément sur les 5 conditions qui doivent être remplies pour que le Risk Management puisse jouer un rôle déterminant dans la vie des entreprises : la démarche de risk management dans les entreprises en belgique et son degré de maturité La sixième édition de l’enquête est en cours et les résultats seront disponibles d’ici fin 2012 avec le même objectif de mesurer l’évolution du Risk Management au sein des entreprises en Europe. cybercriminaliteit Luc Beirens Hoofdcommissaris van de Federal Computer Crime Unit (FCCU) 48 September 2012 Cybercriminaliteit door Luc Beirens D e vlag cybercriminaliteit dekt vele ladingen. Iedereen heeft, afhankelijk van het kader waarin hij gebruik maakt van informatiesystemen en internet, wel een andere definitie. In de jaren negentig werden de “computer crime units” opgericht om het misbruik van ICT voor het plegen “traditionele” vormen van criminaliteit forensisch te onderzoeken. Sinds de invoering van de wet op de informaticacriminaliteit van 2000 zijn echter ook een aantal handelingen op de computersystemen op zich ook strafbaar als valsheid in de informatica of bedrog in de informatica. Met de opkomst van het Internet namen bepaalde vormen van criminaliteit explosief toe omdat het internet als communicatiemedium zo gebruiksvriendelijk én bijna anoniem is: illegale verspreiding van kinderpornografie en auteursrechtelijk beschermde werken zoals muziek, films en software. Cybercriminaliteit in de strikte zin van het woord: de misdrijven die zich specifiek richten tegen de computersystemen en netwerken zelf met als doel deze systemen te schaden of er informatie uit te ontvreemden. Deze handelingen kunnen bijvoorbeeld de ontwikkeling en het gebruik van virussen inhouden, het onderscheppen en manipuleren van data, het zich illegaal de toegang verschaffen tot systemen of het uitvoeren van aanvallen met de buitenwerkingstelling van computersystemen tot gevolg. Cybercriminaliteit heeft 3 kenmerken: • Ten eerste is het een technologisch fenomeen en vergt het dus enige vaardigheid en kennis van de cybercrimineel om succesvol een aanval uit te voeren. Minder ervaren cybercriminelen gebruiken tools of scripts. Dit zijn kleine applicaties die werden geschreven door ervaren hackers en die slechts de ingave van enkele instellingen en parameters vereisen om bijvoorbeeld virussen en andere malware te creëren. Toch is altijd enige technische kennis vereist. • Ten tweede is cybercriminaliteit een internationaal fenomeen. Hackers laten zich niet tegenhouden door grenzen. Dit heeft complexe juridische en procedurele implicaties tot gevolg. Bij vele Belgische KMO’s denkt men “bij ons valt niets te halen” en dat is net fout. Het is correct dat cybercriminelen in een KMO niet altijd op zoek zijn naar de informatie die op de computersystemen staat, maar eenmaal gehackt, zullen deze computersystemen zelf aangewend worden voor de criminele activiteiten. Ze zijn vaak permanent met internet verbonden en beschikken bovendien over een grote opslagcapaciteit en bandbreedte. Zo werden in het verleden de servers van KMO’s bijvoorbeeld gehackt waarna er illegale software of kinderpornografie op wordt gestockeerd en uitgewisseld. Soms worden ze gebruikt als mailservers om spam of virussen te versturen. Vaak blijft deze illegale activiteit op de bedrijfssystemen onopgemerkt omdat veel KMO’s geen eigen systeembeheerder hebben of alleen een firma die af en toe, vanop afstand, wat onderhoud uitvoert. Als men al iets abnormaals vaststelt, is het vaak al een hele tijd bezig. Dit zou een aandachtspunt moeten zijn voor elke interne auditor bij de controle van IT systemen die beheerd worden door de eigen organisatie of door derden. Welke zijn de motivaties van de cybercrimineel? De intenties van criminelen zijn onveranderd: rijk worden en hun economische, wetenschappelijke, politieke of militaire macht uitbreiden. Aanvankelijk waren hackers er op uit om hun kennis te testen, uitdagingen aan te gaan en roem te verwerven. Er zijn nog steeds hackers die om deze reden actief zijn. Thans hebben ze echter ook de kans om hun kennis en kunde op legale manier ter beschikking te stellen van anderen als ethical hacker. Nauw aansluitend op deze categorie zijn er de script kiddies. Dit zijn (meestal jongere) hackers die handelen uit nieuwsgierigheid, uit verveling, uit de wil om schade aan te richten en/of om te kunnen opscheppen tegenover andere script kiddies of hun vrienden. Omdat zij niet over de nodige kennis beschikken, maken script kiddies gebruik van tools of scripts die door ervaren hackers werden geschreven. Ondanks hun gebrek aan kennis en ervaring slagen velen er met deze tools in om onrechtmatig binnen te dringen in slecht beveiligde computersystemen en netwerken. Door hun onkunde leiden hun hackingactiviteiten echter vaak tot belangrijke schade in het gehackte systeem. Ondertussen leven we meer en meer in een mobiele informatiemaatschappij. Miljoenen mensen beheren hun geld via online bankieren en hun digitale informatie via sociale media. Waar geld en mensen massaal samenkomen, daar komen ook de criminelen op af. De toegang tot cybersystemen en tot de opgeslagen informatie wordt bovendien vaak slecht beveiligd met makkelijk te raden paswoorden, of is eenvoudig te verkrijgen via “social engineering” technieken. Steeds meer vindt de georganiseerde misdaad dan ook zijn weg naar het internet. Als samenwerkende gespecialiseerde bedrijven vinden zij elkaar in de “underground market”, virtuele platformen waar zij hun criminele diensten of producten te koop of te huur aanbieden. Nieuwe groepen hebben echter ook de kracht van cybertools ontdekt waardoor zij hun doelstellingen beter kunnen realiseren. Er zijn de hactivisten – hackende activisten – die het doen uit maatschappelijk protest tegen overheden en grote bedrijven, zoals de hackers die onder de vlag van de “Anonymous-beweging” de website van Paypal, VISA en Mastercard lamlegden ter ondersteuning van Wikileaks en de website van ArcelorMittal veranderden na aankondiging van 600 ontslagen. Ook nieuw zijn de economische belangengroepen en landen die zich schuldig maken aan cyberspionage vanuit economische en politieke motieven. Hun bedoeling is om kennis te nemen van strategieën, patenten, voorraden, e.d. zowel bij grote bedrijven (olieen energiemaatschappijen, financiële instellingen) als bij diverse overheidsdepartementen in alle landen. Vaak blijft deze spionage maanden of zelfs jaren onopgemerkt en is onduidelijk welke informatie in handen van de tegenstander is gekomen. Ten slotte zijn de illegale activiteiten in cyberspace die duidelijk vertrekken vanuit politieke motivatie en er op gericht zijn om kritieke infrastrukturen of bedrijven bij “de vijand” buiten werking te stellen. Deze vorm van cybercriminaliteit, de cyberwarfare, is duidelijk staatsgestuurd. Welke criminele activiteiten zien we in cyberspace? De meest voorkomende (niet-exhaustieve lijst van) cybermisdrijven vandaag zijn de volgende: 5.1. Communicaties ter bevordering van misdadige samenzweringen Het internet is een enorm handig, eenvoudig en snel communicatie-instrument bij de organisatie van hun activiteiten. Uiteraard is dit niet anders voor criminele organisaties. Zij maken dankbaar gebruik van de nieuwe communicatiemogelijkheden voor het organiseren van drugstrafieken, illegaal gokken, witwaspraktijken, handel in kinderpornografie, ... De anonimiteit en de mogelijkheden tot het encrypteren van de communicatie – waardoor opsporing en bewijslast sterk bemoeilijkt worden – bieden een extra voordeel. Vaak gaan de criminelen hiervoor echter ook andere “onverdachte” systemen gaan hacken en misbruiken. 5.2. Verspreiding van illegaal of beledigend materiaal Het internet is een vrij medium en iedereen kan er zijn mening plaatsen of bestanden met anderen delen. Daar kan makkelijk misbruik van worden gemaakt en cyberspace is dan ook niet vrij van racistische uitingen, kinderporno, instructies om wapens te maken en cyberstalking. Vaak komen hierdoor ook de reputatie van bedrijven of van hun vertegenwoordigers in het gedrang. 5.3. Diefstal van telecommunicatiediensten Deze phone phreaking ligt aan de basis van veel telecommunicatiecriminaliteit. Tegenwoordig bestaat dit uit het hacken van VOIP- telefooncentrales van bedrijven of het gebruik van vervalste telefoonkaarten. De criminelen bieden hiermee hun “klanten” goedkope verbindingen aan waarvoor de cybercriminaliteit In vergelijking met conventionele criminaliteit biedt cybercriminaliteit enkele interessante voordelen. Vooreerst is er een enorme bron aan potentiële slachtoffers, verspreid over de hele wereld, die, omwille van de onderschatting van het fenomeen, weinig ervaring hebben met beveiliging en cybercriminaliteit. Verder worden de illegale handelingen van de cybercrimineel danig vereenvoudigd door de toegankelijkheid en de snelheid die kenmerkend zijn voor het medium. Tenslotte bieden het internationale karakter, de anonimiteit en de moeilijke samenwerking tussen overheden een extra voordeel omdat zij de opspoorbaarheid van de cybercrimineel en zijn activiteiten grondig bemoeilijken. België in het bijzonder is bovendien kwetsbaar omdat er veel permanente breedbandaansluitingen zijn. Vroeger zei men altijd, dat zeventig tot tachtig procent van het gevaar van binnenuit komt. De drijfveren van de crimineel intern in het bedrijf zijn voornamelijk geldgewin of wraak. Zij maken misbruik van hun toegang tot de ICT-infrastruktuur en van hun kennis van de kwetsbaarheden ervan om zich op onrechtmatige wijze te verrijken of om schade toe te brengen. Dat risico is gebleven, maar de risico's die van buiten komen, nemen zeker toe. 49 September 2012 • Tenslotte is cybercriminaliteit een onderschat fenomeen. De meeste organisaties zijn relatief onervaren in hun aanpak van deze nieuwe misdaadvorm. Deze onervarenheid in combinatie met de technologische complexiteit en het internationale karakter zorgen ervoor dat cybercriminaliteit momenteel helaas door de meeste organisaties niet op een efficiënte manier wordt aangepakt. cybercriminaliteit slachtoffers betalen. De slachtoffers worden vaak op zeer korte termijn opgezadeld met zeer hoge telecommunicatiefacturen. September 2012 50 5.4 Misbruik van slecht beveiligde (draadloze) internetverbindingen Cybercriminelen zijn vaak op zoek naar een internetverbinding waarmee zij hun ware identiteit kunnen verbergen tijdens hun criminele activiteiten. Hiervoor misbruiken ze onbeveiligde draadloze netwerken in hun omgeving. Het nadeel hiervan voor het slachtoffer bestaat erin dat zijn downloadvolume wordt opgebruikt en een deel van de bandbreedte door de crimineel wordt ingenomen. Sinds het opheffen van de downloadlimieten, liggen veel internetgebruikers daar echter niet van wakker. Als hun internetverbinding echter heeft gediend voor illegale activiteiten, dan zullen de sporen hiervan leiden naar het IPadres van het slachtoffer. De kans is dan ook reëel dat de politiediensten bij het slachtoffer een huiszoeking komen uitvoeren om er de computersystemen in beslag te nemen voor verder onderzoek naar zijn betrokkenheid met de misdrijven. Het is voor de politie vaak niet mogelijk om op korte termijn vast te stellen dat het slachtoffer zelf niets te maken heeft met de verdachte activiteiten. Gedurende al die tijd kan het slachtoffer niet beschikken over de inbeslaggenomen apparatuur. 5.5. Piraterij en informatievervalsing Digitale technologie maakt het heel eenvoudig om afbeeldingen, geluid, multimediatoepassingen en dergelijke meer te reproduceren en te verspreiden. De recentste films en cd’s zijn soms al beschikbaar op internet nog vóór ze officieel uitgebracht worden of in de zalen verschijnen. Velen komen in verleiding om de gratis afgehaalde software, films en muziek door te verkopen voor een lage prijs of zelfs gewoon weg te geven. Dat leidt uiteraard tot enorme verliezen voor softwarehuizen, filmmaatschappijen en platenlabels. 5.6. Digitale afpersing Bij digitale afpersing breken hackers eerst in een computersysteem in om er bedrijfs- of persoonsgevoelige informatie uit te kopiëren/stelen. Vervolgens wordt de eigenaar van de informatie verwittigd dat men over deze gegevens beschikt en wordt een geldsom geëist in ruil voor het niet verspreiden of misbruiken van de gegevens. Dit kan bijvoorbeeld gaan om de creditcardgegevens van één individu, waarbij het slachtoffer wordt afgeperst, maar evenzeer over het stelen van duizenden klantengegevens bij een uitzendbureau, waarna dan wordt gedreigd om het gebeuren en de verworven gegevens bekend te maken. Uiteraard komt dit de reputatie van de desbetreffende organisatie niet ten goede. In 2012 werden alle landen in Europa getroffen door zeer aggressieve afpersingsmalware dat zich voornamelijk verspreidt via erotische en spelletjes websites maar ook via Facebookberichten en per e-mail. De besmette PC blokkeert en beeldt een scherm af dat schijnbaar afkomstig is van de nationale politie of van een auteursrechtenorganisatie. Het bericht stelt dat de PC is geblokkeerd omwille van bepaalde misdrijven die de PC-gebruiker zou hebben gepleegd en dat een boete van 100 euro betaald dient te worden om de PC te deblokkeren. In België worden de naam van de Federal Computer Crime Unit (FCCU), de politie en Sabam misbruikt. Er werden al 1.900 klachten van slachtoffers geregistreerd waarvan er ongeveer 300 over gingen tot betaling. Jammer genoeg moesten zij vaststellen dat hun PC hierdoor niet werd gedeblokkeerd. Veel mensen dienen geen klacht in uit schaamte omdat ze niet durven te vertellen wat ze aan het doen waren op het moment dat hun computer blokkeerde. Deze ransomware is nog redelijk gemakkelijk te verwijderen en raakt niet aan de gegevens van de PC-gebruiker. Een veel agressievere versie van afpersingsmalware trof enkele bedrijven en encrypteerde er alle bestanden: tekstdocumenten, rekenbladen, databasebestanden, mailboxen enz. Deze bedrijven werden gedwongen om een losgeld te betalen om de decryptiesleutel voor hun bestanden te ontvangen. 5.7. Botnet De evolutie van cybercriminaliteit heeft ertoe geleid dat de cybercriminelen hierdoor kunnen beschikken over zeer krachtige “eigen” ICT-infrastruktuur die is gebaseerd op gehackte computersystemen van slachtoffers. Hiervoor ontwikkelen de criminelen in de eerste plaats kwaadaardige software (malware) die ze dan verspreiden via e-mail, sociale netwerken of via netwerken voor bestandsuitwisseling. Meestal vermomt het virus zich als een legitiem bestand om detectie te voorkomen. Het kunnen spelletjes zijn, “facturen” of “leveringsbons”. Daarom worden deze malware vaak ook Trojaanse paarden genoemd. Sommige van deze computervirussen kunnen zichzelf binnen het netwerk van de geïnfecteerde computer gaan verspreiden. Hierdoor kunnen volledige bedrijfsnetwerken op korte tijd helemaal besmet geraken. Het is niet langer zo dat de kwaadaardige software zich in de eerste plaats focust op het toebrengen van schade aan de besmette computersystemen. Zodra een PC vandaag besmet is met een malware, zal deze zich via internet verbinden met servers die onder controle staan van de cybercriminelen. Op deze “command&control” servers zijn vaak honderden zelfs duizenden PC’s verbonden zodat de cybercrimineel echt beschikt over een heus crimineel cybernetwerk dat hij kan gebruiken voor allerlei criminele doeleinden . het verspreiden van spam en kwaadaardige software, het bespioneren van bedrijven en particulieren, het uitvoeren van frauduleuze financiële transacties, het afpersen van bedrijven na sabotage van servers en werkposten en het buiten werking stellen van systemen door ze massaal met data te bestoken. De bestrijding van botnets zijn een topprioriteit voor de Federal Computer Crime Unit want botnets zijn gelinkt met zowat elke vorm van internetcriminaliteit. Een botnet volledig uitschakelen is een utopie maar de servers die zich in België bevinden, haalt de FCCU eruit. Sinds 2010 zijn in België een zeventigtal command & control servers, de computers die een botnet aansturen, uit de lucht gehaald. 5.8. Internet-oplichtingen en elektronische (handels)fraude Met de stijgende populariteit van internet handel stijgt ook de fraude bij elektronische handel. Via het internet hebben fraudeurs nu immers de onmiddellijke toegang tot miljoenen potentiële slachtoffers, verspreid over de ganse wereld en met een minimum aan kosten en risico’s om ontdekt of herkend te worden. Wellicht één van de eenvoudigste vormen van elektronische handelsfraude is een product online aanbieden (zoals via een veilingwebsite), de aankoper op voorhand laten betalen en dan uiteindelijk het aangekochte goed niet verzenden. Nog een andere mogelijke manier om fraude te plegen via het internet, is het fenomeen van de Nigeriaanse fraude. Hierin worden e-mails gestuurd naar willekeurige e-mailadressen in naam van een overleden of verdreven regeringsleider uit het Afrikaanse continent. De familie zou over een gigantische rijkdom beschikken en dat geld uit zijn land in opstand willen wegsmokkelen. Hiervoor heeft de familie echter de hulp nodig van de geadresseerde. De e-mailontvanger wordt gevraagd de kosten van de transactie op zich te nemen. Uiteraard laat de verzender van de e-mail niets meer van zich horen, eens hij het overgeschreven geld heeft ontvangen. Een ander fenomeen is phishing. Alles begint met de ontvangst van een e-mail van een of andere bankinstelling. Daarin wordt melding gemaakt dat er zich een probleem heeft voorgedaan met de accountgegevens van de gebruiker en wordt deze gevraagd via een aangegeven site zijn of haar persoonlijke gegevens te wijzigen. Wanneer op de link wordt geklikt, komt de gebruiker op een website terecht die als twee druppels water lijkt op de website van de bankinstelling. In werkelijkheid betreft het een valse site die door cybercriminelen werd aangemaakt. Wanneer de argeloze gebruiker zijn naam 5.10. Illegaal toegang verschaffen tot computersystemen en/of –netwerken Het hacken van computers en netwerken is wellicht hét beeld dat iedereen krijgt bij de term “cybercriminaliteit”. Dit is niet verwonderlijk gezien het ook, samen met het ontwikkelen van virussen, één van de oudste vormen is van computercriminaliteit. Binnenbreken in een computersysteem of een account kan op verschillende manieren. De eenvoudigste is het raden van een paswoord. Hackers worden hierbij bijgestaan door de slachtoffers die, uit angst om hun wachtwoord te vergeten, zelden een moeilijk te raden paswoord kiezen. Dit paswoord is vaak een kort, bestaand woord of een eigennaam, dat enkel uit lettertekens bestaat. Het komt ook vaak voor dat het slachtoffer naliet om het standaardwachtwoord, dat door de fabrikant werd ingegeven, te wijzigen. Hackers kunnen er ook in slagen dit wachtwoord te achterhalen via password breakers. Dit zijn tools die ofwel alle woorden uit een woordenboek overlopen (dictionary attack), of intenser, alle mogelijke letteren cijfercombinaties uitproberen (brute force attack). Het hoeft echter niet altijd technologisch. Social engineering is een In recente dossiers zagen we bijvoorbeeld ook dat een aantal Belgische scholen op deze manier het slachtoffer werden van hackers. Vaak waren de daders eigen leerlingen die het digitale schoolsysteem hacken om op voorhand de examenvragen in te kijken of hun examenresultaten te veranderen. Vaak slagen de leerlingen er ook in de paswoorden van leerkrachten of medeleerlingen te achterhalen. Deze hackers doen een beroep op ‘keyloggers’ (kleine apparaatjes die alles bewaren wat de leraar typt) om vrij eenvoudig belangrijke gegevens te pakken te krijgen. Wat is de mogelijke impact van cybercrime? 1. Fysieke schade Wat er zou gebeuren mocht het internet plots langdurig wegvallen is moeilijk om in te schatten. Omtrent de kwetsbaarheden van deze kritieke infrastructuur is heel weinig geweten. Dit geldt zowel voor de maatschappelijke als de economische gevolgen. Mede omwille van de vele verbindingen met andere kritische sectoren zoals energie- en financiële dienstverlening, is het haast onmogelijk om ons een accuraat beeld te vormen wat de impact zou zijn mocht de telecommunicatie en het internet plots volledig wegvallen gedurende lange tijd. Stel je eens voor dat hackers de website van Tax-on-Web een maand platleggen op het moment van de aangifte periode. Wat zou het verlies aan inkomsten zijn voor de overheid? De gevolgen zouden niet te overzien zijn en België zou ongetwijfeld in diepe crisis verkeren, los van de reputatieschade. Momenteel zijn hierover te weinig gegevens beschikbaar om echt in te schatten hoe groot die kans is en wat de gevolgen zouden zijn mocht ze zich voordoen. Mede daarom verzamelt de FCCU steeds informatie om een correcte risico analyse uit te voeren inclusief het inschatten van de kansen en welke tegenmaatregelen eventueel genomen kunnen worden. 2. Economische schade Omtrent de economische impact van cybercriminaliteit is reeds meer geweten. Cybercriminaliteit heeft vooral economische gevolgen, zowel op macro- (de globale markteconomie) als microniveau (de individuele gebruiker of het bedrijf). Het grote probleem is dat organisaties pas ergens mee naar buiten komen als ze daartoe gedwongen worden om de schade te beperken. Imagoschade kan een factor zijn om geen formele melding te maken. Als de FCCU geen kennis krijgt van de misdrijven, dan kan de FCCU ook moeilijk reageren en dan doen die cybercriminelen elders verder. De FCCU doet onderzoek op basis van feiten die gemeld worden en heeft weet van enkele tientallen gevallen van computercriminaliteit in België die schade aanrichten bij organisaties. Zo werden in de eerste vijf maanden van 2012 261 gevallen van fraude met internetbankieren vastgesteld tegen 94 gevallen tijdens heel 2011. Het daarmee gepaarde fraudeverlies bedraagt 2,5 miljoen euro, maar meer dan twee derde daarvan werd gerecupereerd. Toch blijft de kans op fraude klein: slechts bij één op de 800.000 transacties gaat het fout. Bij quasi alle fraudegevallen gaat het om mensen van wie de computer met een trojaans paard besmet is. Een andere moeilijkheid bij het berekenen van de economische verliezen zijn de impliciete kosten. Expliciete kosten, zoals bijvoorbeeld de kostprijs van het herinstalleren van software of de tijd die een werknemer niet kon verder werken op zijn computer maar toch uitbetaald kreeg, zijn eenvoudig te berekenen. Impliciete kosten zijn minder accuraat in te schatten. Dit slaat bijvoorbeeld op het verlies van potentiële verkopen wegens connectieverlies of omwille van negatieve publiciteit (het bedrijf verliest klanten nadat bekend werd dat het slachtoffer werd van een hacker). Ook individuele gebruikers kunnen impliciete kosten ervaren. Dit is bijvoorbeeld het ongemak dat wordt ervaren bij de activiteiten van malware. Dit kan een trager werken van het computersysteem inhouden, de aantasting of het verlies van data, het onregelmatige crashen van de computer met eventueel gegevensverlies tot gevolg en de ervaren ergernis bij het wachten op technische hulp van de helpdesk. 3. Juridische schade Er zijn een beperkt aantal bepalingen die stellen dat een organisatie strafbaar is als deze hun eigen systemen niet beveiligt. Het gaat dan altijd over persoonsgegevens. De wet op de bescherming van de persoonlijke levenssfeer zegt: als je persoonlijke gegevens bewaart, dan moet je technische en organisatorische maatregelen nemen om ze te beveiligen. En in de meeste organisaties is het zo, dat als de systemen gehackt worden, cybercriminelen ook toegang hebben tot alle persoonsgegevens van werknemers en/of klanten. Immers, encryptie is voor de meeste organisaties onbestaande, en interne firewalls tussen departementen bestaan alleen in heel grote bedrijven. Dus in principe staat een organisatie bloot aan de straffen die voorzien zijn in de wet op de bescherming van de persoonlijke levenssfeer. cybercriminaliteit 5.9. Illegaal onderscheppen van digitale informatie Met de ontwikkelingen in de technologie ontstaan ook nieuwe mogelijkheden om elektronisch “af te luisteren”. Toepassingen hiervan zijn te vinden zowel bij het traditionele controleren van een ontrouwe echtgenoot tot fenomenen zoals bedrijfsspionage. Er zijn verschillende mogelijkheden om digitale informatie te onderscheppen. Eén daarvan is het packet sniffing. Dit is een techniek waarbij internettrafiek wordt onderschept met behulp van software. Uit de verkregen gegevens kunnen niet enkel login-namen en paswoorden gehaald worden, ook kan die internettrafiek handig zijn voor spammers om nieuwe e-mailadressen te verwerven en stelt het hackers in staat de identiteit van een ander aan te nemen (identity theft). Hackers proberen steeds vaker om argeloze surfers in de val te lokken en hen bijvoorbeeld de inloggegevens van hun Twitter-of Facebook account te ontfutselen. Het is vaak zo dat gebruikers dezelfde paswoorden gebruiken voor verschillende accounts. Op die manier krijgen de cybercriminelen dus vaak toegang tot het volledige “cyberleven” van hun slachtoffer. vaakgebruikte, succesvolle methode waarin hackers de naïviteit van mensen misbruiken om persoonlijke gegevens te bekomen. 51 September 2012 en paswoord ingeeft met de intentie de persoonlijke gegevens te veranderen, is het hek van de dam en beschikken de daders over de login-gegevens van de gebruiker waarmee zij toegang hebben tot zijn creditcardinformatie. In België zijn de banktoepassingen beter beveiligd dan in andere landen, omdat in België ook een 'token' of een digitaal certificaat nodig om toegang te krijgen tot bankgegevens. Welke zijn mogelijke oplossingen? cybercriminaliteit Koken kost geld. Elke organisatie en elke interne auditor moet beseffen dat cybercrime enkel kan bestreden worden mits de nodige middelen (mensen, tijd en budget). Veel bedrijven investeren nog steeds te weinig in bescherming van digitale informatie. Meestal is het maar een fractie van alle informatica-uitgaven. En dat terwijl het gevaar steeds groter wordt. September 2012 52 1. Cybersecurity aanpak Wachtzinnen, antivirus software, firewalls, antispyware tools en andere beveiligingsmaatregelen volstaan niet op zich om aanvallen van cybercriminelen tegen te houden. Door systemen met het internet te connecteren, creëert een organisatie een bijkomend risico. Hoe groot dat risico is, hangt onder meer af van het aantal systemen en poorten naar het internet. Bovendien blijft de mens nog steeds de zwakste schakel en dus kan het risico om als organisatie slachtoffer te worden van cybercriminaliteit nooit volledig weggedacht worden. En dus moet elke organisatie beginnen met een duidelijk beleid rond cybersecurity dat zowel menselijke als technische aspecten omvat. De ISO 27001 en ISO 27002 normen bevatten een goede vertreksbasis voor inspiratie. 2. Onderzoek in samenwerking met werkgroepen De FCCU werkt hard om nationaal en internationale de samenwerking tussen partners te verbeteren, zodat cybercriminaliteit beter kan bevochten worden. De FCCU verleent haar medewerking in verschillende werkgroepen omtrent IT en internet veiligheid. Rode draad hierbij is steeds weer het nagaan hoe men op een efficiënte manier reële dreigingen ten opzichte van de meest kritieke ICT-infrastructuur kan herkennen en, belangrijker nog, hoe ze te voorkomen. Om de samenwerking met deze werkgroepen geolied te laten verlopen, is het dan ook noodzakelijk dat iedereen die in de materie betrokken is, zich ten volle bewust is van de mogelijke risico’s. Van hen wordt dan ook verwacht dat ze alle mogelijke stappen ondernemen om iedere dreiging te neutraliseren. Om dit te bereiken houdt de FCCU regelmatig voorstellingen van wat werd vastgesteld en wat eventueel de oplossingsmogelijkheden zijn. 3. Bewustmaking van bedrijven Bedrijven nemen e-security pas echt ter harte als ze er slachtoffer van geworden zijn. Om bedrijven toch tijdig wakker te schudden, geeft de FCCU regelmatig presentaties rond informaticaveiligheid, incidenten en incidentafhandeling. Meestal worden deze bijgewoond door informatici doch we willen voornamelijk bedrijfleiders bewustmaken en overtuigen. Zij kunnen immers een betere inschatting maken van de impact van cybercriminaliteit op de bedrijfsactiviteiten. Bovendien hebben zij de beslissingsbevoegdheid over de beschikbare budgetten die noodzakelijk zijn om voor bewustmaking, opleiding en IT beveiligingsoplossingen. 4. Bewustmaking van eindgebruikers Eindgebruikers dienen regelmatig en voldoende bewust gemaakt te worden van het belang van een veilig computersysteem. Vanuit de overheid, en in samenwerking met de FCCU, werden daarom ook meerdere initiatieven genomen om eindgebruikers te wijzen op zijn/haar verantwoordelijkheden. FEDICT lanceerde in oktober 2005 in samenwerking met een zestigtal IT-bedrijven in België de informatiecampagne “Peeceefobie”. Deze sensibiliseringscampagne richtte zich naar gebruikers toe rond het veilig gebruik van de computer, email en het internet. 5. Investeren in beveiligingstools Antivirusprogramma’s en firewalls blijven een must. Firewalls dienen als grenscontrole tussen twee netwerken. Ze zijn onmisbaar, maar helaas op zich onvoldoende als beveiliging. Meestal worden de applicaties op webservers vanop het internet misbruikt. Van de verbinding tussen de webserver en de interne systemen wordt vervolgens gebruik gemaakt om door de firewall heen interne systemen te manipuleren. Ook slecht geschreven applicaties komen helaas maar al te vaak voor. Meestal worden alleen functionele eisen aan applicaties gesteld. Beveiligingseisen zijn dus noodzakelijk en dienen van bij de ontwerpfaze mee deel uit te maken van de applicatie. De meest veilige ICT-omgeving is deze niet niet verbonden is met internet en waarop geen externe gegevensdragers kunnen worden aangesloten. De technologische en maatschappelijke evolutie heeft echter gemaakt dat dergelijke systemen eerder de uitzondering dan de regel zijn geworden. Hebben organisaties in de uitvoering van hun bedrijfsactiviteit de keuzemogelijkheid dan zou ik aanraden om hun meest kritieke informaticasystemen niet te verbinden met het internet. Immers, hoe afhankelijker een organisatie voor de bedrijfsactiviteit wordt van de verbinding met het internet, hoe groter de bedreiging. E-government, e-loketten, e-commerce zijn allemaal mogelijke toegangen voor hackers. Uiteindelijk moeten organisaties zich realiseren dat een veilig internet niet bestaat en nooit zal bestaan. Organisaties kunnen samen met interne auditors proberen om het veiliger te maken, maar de beveiliging zal nooit waterdicht zijn. Vandaag zijn organisaties afhankelijker dan ooit van IT en internet. Helaas staan de meesten niet stil hoe ernstig de gevolgen zijn indien het fout loopt. Het is essentieel dat iedere betrokkene die ook maar iets met de vorming of het gebruik van IT te maken heeft, voldoende en regelmatig wordt geïnformeerd en gesensibiliseerd over de mogelijke risico’s en gevaren die een onveilig IT gebruik met zich meebrengt. Ook een interne auditor heeft een belangrijke rol hierin te spelen. WIE IS LUC BEIRENS? Hoofdcommissaris Luc Beirens is diensthoofd van de Federal Computer Crime Unit (FCCU). De FCCU is een dienst van de directie voor de bestrijding van financiële en economische criminaliteit bij de Federale gerechtelijke politie. De dienst houdt zich vooral bezig met het forensisch onderzoek van complexe ICT-systemen die worden gebruikt door of het doelwit zijn van criminelen. Het onderzoek gebeurt ter ondersteuning van de centrale opsporingsdiensten en van de regionale Computer Crime Units. Daarnaast tracht de FCCU criminele fenomenen en activiteiten in cyberspace op te volgen. par Véronique Rousseau, Annie Bressac et Bernard Chapuis Fin 2011, l’IFACI a publié un cahier de la recherche « Les variables culturelles du contrôle interne » ainsi qu’un outil de caractérisation des profils culturels. Fruit des travaux d’une unité de recherche, ce cahier vise à outiller les professionnels de l’audit et du contrôle en leur apportant une aide grâce à des clés de lecture et des pistes d’action en matière de : • c ompréhension de l’environnement de contrôle dans lequel l’auditeur interne, le contrôleur interne, le manager évoluent ; •m ise en place d’un dispositif de contrôle cohérent avec la culture de l’organisation ; • f ormulation de recommandations cohérentes avec la culture d’entreprise ; • d éploiement et amélioration continue d’un dispositif de contrôle ; •« marketing » du contrôle interne. Pourquoi s’intéresser à la culture de l’entreprise ? La culture d’entreprise peut être définie comme l’ensemble des règles explicites ou implicites d’une organisation (entreprise privée, publique, association, etc.), des valeurs partagées, des pratiques, de la manière commune d’aborder les problèmes, des façons de penser et d’agir, du système de cohésion et de cohérence... Pour autant cet actif, aujourd’hui reconnu comme important dans la gestion des organisations, reste souvent immatériel aux yeux du plus grand nombre. La matérialisation de la culture d’entreprise est facilitée par l’identification de composantes repérables sur le terrain, par exemple : • les modes de relation internes entre pairs ou à l’intérieur de lignes hiérarchiques ; • les modes de relation avec les interlocuteurs extérieurs (clients, partenaires, fournisseurs, concurrents, etc.) ; • les codes vestimentaires, le langage ; • les rituels d’intégration, de reconnaissance, de gratification, de sanction ; • les valeurs et les normes qui influencent les comportements ; • les croyances collectives ; • les méthodes de travail ; • les structures de pouvoir ; • les mythes, notamment le mythe fondateur ; • les symboles ; • l’histoire de l’entreprise ; •... 53 September 2012 Les variables culturelles du contrôle interne les variables culturelles du contrôle interne Véronique Rousseau, Directrice Associée Ressources et Pédagogie Annie Bressac, Directeur de l’audit et du contrôle interne, Fondation Apprentis d’Auteuil Avec la contribution de Bernard Chapuis, Directeur Associé BCCA Conseil et Accompagnement les variables culturelles du contrôle interne Aujourd’hui, les organisations évoluent dans un contexte de plus en plus multiforme et pluriel : internationalisation, entreprises multiactivités, produits et services complexes nécessitant l’intervention de plusieurs lignes métiers, jeu des fusions ou acquisitions, gestion plus complexe des ressources humaines, responsabilité sociétale, environnementale. Au-delà des conséquences organisationnelles que ces transformations produisent, la culture des organisations s’en trouve fortement impactée, avec des manifestations plus ou moins apparentes ou sous-jacentes, mais toujours avec des résonances importantes et multiples. September 2012 54 Or, la dimension culturelle s’appréhende difficilement car la culture d’entreprise a cette étrange qualité d’être la chose la plus partagée et la moins formalisée. Dans un monde occidental fortement marqué par la formalisation, l’informel nous échappe alors qu’il constitue souvent une clé indispensable de compréhension fine de la réalité d’une organisation. Pour nous, auditeurs et responsables de contrôle interne, à la fois évaluateurs et acteurs du changement, comprendre cette culture est indispensable à notre mission. Quel lien entre culture de l’organisation et contrôle interne ? Pour nous, auditeurs et responsables de contrôle interne, à la fois évaluateurs et acteurs du changement, comprendre cette culture est indispensable à notre mission. Condition de l’alignement entre les intentions, les paroles et les actes des managers, la culture de l’organisation pourra être un facteur de robustesse ou de faiblesse des processus de gouvernance. Elle constitue également la toile de fond sur laquelle viendront s’implanter le contrôle interne et la gestion des risques. Nous avons tous vécu des audits concluant à l’inefficacité d’un outil de gestion, non du fait de sa qualité intrinsèque, mais parce qu’il n’est pas compatible avec les valeurs, normes ou méthodes de l’organisation. Nous constatons régulièrement que la mise en œuvre de bonnes pratiques éprouvées de contrôle interne échoue dans certaines entreprises. A la racine de ces difficultés se trouve presque toujours la culture de l’organisation. Celle-ci influence, voire détermine, l’environnement de contrôle, au sein duquel le référentiel COSO 1 dessine deux grandes catégories d’éléments : • des contrôles plutôt formels (politiques, procédures, organisation, délégations de pouvoir, politique RH) ; • des contrôles informels (intégrité, valeurs éthiques, philosophie et style de management, importance accordée aux compétences). L’importance des contrôles informels, « soft controls », n’est plus à démontrer : les dispositifs de contrôle les plus tangibles restent animés par des personnes porteuses des croyances et valeurs de l’organisation. Ainsi, une bonne compréhension de l’environnement de contrôle et de sa dimension culturelle est nécessaire car elle permet à la fois : • de mieux interpréter l’évaluation du dispositif de contrôle interne ; • d’identifier les facteurs clés qui empêcheraient la réalisation des objectifs de contrôle ; • d’utiliser les points forts de cet environnement comme levier pour faciliter les améliorations du dispositif de contrôle. Des variables culturelles pour appréhender la culture d’une organisation Pour appréhender la culture et sa dimension liée à l’environnement de contrôle, une approche par les variables culturelles permet de disposer d’une méthode opérante et de repérer des composantes identifiables. En effet, les composantes de la culture d’une organisation sont soustendues par des variables qui mettent en jeu le rapport à différentes dimensions : l’autonomie, le formel, le pouvoir, la règle, le temps... Ainsi l’unité de recherche a identifié 13 variables qui pouvaient être mises en relation avec des pratiques de contrôle interne. Au travers de cette notion, notre volonté a été d’apporter une vision élargie du contrôle interne, au fil de trois étapes qui nous ont servi de partis pris : 1. Le premier est qu’il est possible de distinguer les traits culturels. La culture est faite de micro-éléments qu’il faut sérier pour élaborer une démarche plus systématique. De plus, il est possible de distinguer des caractéristiques spécifiques du contrôle interne dans chaque organisation. En effet, le cadre général dont nous disposons, le COSO, partagé par l’ensemble des acteurs de la profession, peut se décliner de manière différente dans chaque entreprise. 2. Le second est qu’il existe un lien entre ces variables culturelles et le contrôle interne. Il nous est apparu intéressant d’éclairer ce lien dans quatre champs : • la mise en place d’un dispositif de contrôle interne, sur laquelle nous avons insisté ; • le déploiement de l’amélioration continue d’un dispositif de contrôle interne ; • l’étude du lien avec l’auditeur ou le contrôleur interne lorsqu’il émet des recommandations ou des préconisations ; • le marketing du contrôle. Il s’agit d’étudier comment porter le discours du contrôle auprès de l’ensemble de l’entreprise, et plus particulièrement auprès des instances de gouvernance. 3. Il peut y avoir, pour une même variable, des incidences différentes d’une organisation à une autre : un même trait culturel ne va pas nécessairement produire les mêmes effets. Par exemple, la variable culturelle de l’autonomie et de la délégation ne produira pas les mêmes effets au sein d’une entreprise de taille très importante couvrant plusieurs continents que dans une entreprise plus resserrée en termes de nombre d’acteurs et d’implantation géographique. A partir de ces variables, nous avons élaboré un questionnaire de diagnostic de 70 questions, permettant de caractériser les traits culturels d’une organisation (Voir extrait en encadré). Les liens entre variables culturelles et éléments du contrôle interne peuvent être analysés de différentes manières : • Pour certaines questions, une modalité de réponse traduit un levier pour la composante liée. Ainsi, pour la variable « Mission » (cf. tableau ci-dessous), la modalité de réponse 1 à la question 1 (« Vous adhérez pleinement aux objectifs et aux valeurs de votre organisation ») constitue un facteur favorable possible pour le déploiement d’une charte d’éthique. En revanche, la réponse inverse (« Vous vous limitez à apporter vos compétences à l’entreprise ») ne constitue pas forcément un frein, mais devra être prise en compte pour adapter le discours sur les valeurs et les comportements attendus et le rendre plus percutant. Au travers de certaines réponses, on peut donc identifier des pistes d’action pour faciliter la mise en œuvre ou l’optimisation du contrôle interne. Ce questionnaire peut être utilisé : • dans son intégralité pour qualifier les traits culturels d’une entité, d’un site, d’une entreprise ; • en repérant des questions pertinentes compte tenu du contexte de l’entité et/ou du thème de la mission ou de la problématique de contrôle ; • en ciblant une variable culturelle et les questions qui correspondent. Il peut être intéressant pour un contrôleur ou un auditeur de repérer la présence d’une variable culturelle spécifique dans l’entité où il mène ses travaux afin de mieux en comprendre l’environnement de contrôle. • La réponse peut aussi constituer un frein potentiel ou un point de vigilance au regard de la qualité du contrôle interne. Ainsi, pour la question 38, la modalité de réponse 2 (« Les mots « adhésion », « mission » ne font jamais partie du discours des managers de votre organisation ») permet de supposer que le discours sur l’éthique et les valeurs de l’entreprise ne sont pas ou ne seront pas facilement relayés par les managers. Pour les professionnels de l’audit et du contrôle internes, l’application pratique peut prendre plusieurs formes au travers de différents niveaux de lecture complémentaires. • Pour certaines questions, les deux modalités de réponse peuvent mettre en évidence l’impact d’un trait culturel sur le contrôle interne. C’est le cas notamment pour la question 38 : « Les mots « adhésion », « mission » ne font jamais partie du discours des managers de votre organisation » : 55 September 2012 - Le choix de la réponse 1 (« Oui, très souvent ») qui indique à la fois un facteur favorable à un environnement de contrôle de qualité, appelle aussi un point de vigilance : le discours doit être cohérent avec l’action. - Le choix de la réponse 2 (« Non, jamais ») indique un frein à la mise en œuvre d’un code d’éthique. Extrait du questionnaire N° des questions Questions Réponse 1 Vous-même, diriez-vous que Vous adhérez pleinement aux objectifs et aux valeurs de votre organisation Vous vous limitez à apporter vos compétences à l’entreprise mission Les mots « adhésion », « mission » font-ils partie du discours des managers de votre organisation ? Oui, très souvent Non, jamais mission 1 38 les variables culturelles du contrôle interne Un questionnaire pour appréhender les traits culturels d’une organisation Réponse 2 Variable Une typologie de profils culturels La prépondérance de certains traits culturels dans une organisation permet d’esquisser différents « profils culturels ». Pour les identifier, nous n’avons pas choisi d’utiliser une typologie déjà existante dans le monde académique ou dans la littérature. Nous avons préféré fonder notre choix sur les résultats des questionnaires que nous avons adressés à un « échantillon » d’auditeurs internes, de manière à mettre en évidence des profils culturels qui ont un rapport avec le contrôle interne. Ainsi, les diverses dénominations ont été choisies au sein de notre Unité de Recherche. Néanmoins, elles peuvent certainement être réinterrogées. RÈGLE September 2012 56 COMMUNAUTÉ ORGANISATION PYRAMIDALE ORGANISATION PORTEUSE DE SENS COMMUNAUTÉ INNOVANTE ORGANISATION UTILITARISTE MOSAÏQUE RÉSEAU D’EXPERTS INDIVIDU les variables culturelles du contrôle interne ORGANISATION ORIENTÉE CONTRÔLE ÉLECTRONS LIBRES AUTONOMIE Le cahier de la recherche propose une analyse des interactions entre les profils culturels et les composantes du contrôle interne. Chaque profil culturel est analysé en partant des variables culturelles significatives pour ce profil, et de leurs liens avec les composantes ou sous-composantes du COSO. Les commentaires s’attachent aux aspects de mise en œuvre du contrôle et de marketing d’un dispositif de contrôle. Ils sont structurés en termes de : • Levier : élément facilitateur • Frein : élément bloquant, pénalisant • Point de vigilance : si le trait culturel est poussé à l’extrême, les dérives éventuelles • Piste d’action : proposition pour éviter le frein et/ou gérer le point de vigilance Exemple : Organisation pyramidale Ce profil est centré sur la règle, et fait apparaitre une culture du résultat, de l’efficacité, voire de la contrainte, à travers la mise en œuvre des valeurs « action », « espace » et « temps » qui caractérisent cette dimension. C’est une organisation centrée sur le statut, voire sur la centralisation, au sein de laquelle l’aspect quantitatif revêt une grande importance. A l’extrême, le caractère protocolaire de la communication peut conduire à une bureaucratie fonctionnant en silos, donnant un caractère artificiel à l’organisation hiérarchique et centralisée. Le formalisme, prégnant dans cette organisation est a priori favorable au contrôle interne. Nous pouvons cependant nous interroger sur l’efficacité réelle du contrôle interne, dans un cadre très contraint par un contrôle hiérarchique fort et un formalisme qui peut parfois être excessif. Prenons par exemple les interactions de ce profil au regard de la composante du contrôle interne « Identification et évaluation des risques ». On trouve dans l’organisation pyramidale deux facteurs favorables : • u ne prédisposition à une fixation claire des objectifs qui constitue le point d’entrée de l’analyse des risques. • la présence de cadres de fonctionnement très formalisés doit également faciliter la mise en place de procédures de gestion de ces risques. Néanmoins, d’autres éléments appellent des points de vigilance. D’abord, la prééminence et le formalisme du pouvoir hiérarchique peuvent contrarier la mise en évidence des « vrais » risques. Un cadre rigide peut en effet contraindre la réflexion des opérationnels et même nuire à la transparence, à la libre expression des collaborateurs qui vont peut-être éviter de s’impliquer dans un processus d’identification des risques auxquels ils sont exposés. Enfin, un autre point de vigilance réside dans la focalisation sur le quantitatif et la faible prise en compte des résultats qualitatifs, qui peut biaiser l’analyse des risques. Comment utiliser ces travaux ? Ces travaux ont la volonté d’offrir • un vecteur de sensibilisation de l’audit et du contrôle internes sur l’impact des variables culturelles sur les constats d’audit et sur le déploiement du contrôle interne. • un outil sur la caractérisation des traits culturels de vos organisations, via le questionnaire. • des réponses pour identifier des leviers, des freins potentiels, des points de vigilance au regard de la qualité du dispositif de contrôle interne, grâce à cette grille de questionnement. • des pistes d’actions, c’est-à-dire des propositions pour éviter le frein et/ou gérer le point de vigilance. Pour les professionnels de l’audit et du contrôle internes, l’application pratique peut prendre plusieurs formes au travers de différents niveaux de lecture complémentaires : • premier niveau : il pourra par exemple s’agir de développer un élément du contrôle interne qui apparaît systématiquement comme défaillant lors des missions d’audit ; l’analyse des traits culturels liés à cet élément permettra de mieux appréhender les facteurs explicatifs du dysfonctionnement ; • deuxième niveau : un responsable du contrôle interne, chargé de déployer un référentiel de contrôle interne ou une démarche d’autoévaluation du contrôle interne dans une entité donnée, pourra être intéressé par les traits culturels dominants (son « profil culturel ») pour identifier des points d’appui ou des freins potentiels. Dans tous les cas, les recommandations de l’audit interne pourront être ajustées en conséquence pour faciliter leur appropriation et leur mise en œuvre. Découvrez toutes nos offres d’emploi sur www.les chemins de fer engagent.be les variables culturelles du contrôle interne Avec le Groupe SNCB, construisons ensemble la mobilité d’aujourd’hui et de demain. Audit, Risk & Compliance Increase efficiency. Boost productivity. Studies have shown that on average, auditors spend in excess of 40 percent of their time documenting and reviewing workpapers and preparing their reports. Work smarter with new user interface Risk assessment streamlined Robust dashboards: the data you need at your fingertips Dynamic graphics provide in-depth analysis TeamMate has been designed as a tool to dramatically reduce time spent on those elements which provide less value by empowering users at all levels to spend less time documenting and reviewing, and more time providing value-added services. Our users report average productivity increases of 20-25 percent in the first year of TeamMate use. TeamMate is used by 85,000 auditors around the world and is the industry standard in Audit Management Systems. TeamMate provides a platform to deliver high quality audits, standardise the workpaper process, leverage auditor knowledge, enhance audit reporting and provide management with key information. TeamMate was designed for use across all business sectors for all types of audits. Audit departments of all sizes are using TeamMate to increase the efficiency and productivity of their entire audit process, including: risk assessment, scheduling, time and expense tracking, planning, execution, review, report generation, trend analysis, committee reporting and storage. For a demonstration or to request additional information, visit www.teammatesolutions.com or contact Laurence Vanhoenacker,+32 15 36 21 90, [email protected] www.teammatesolutions.com September 2012 57 IIA - INTOSAi « des structures différentes mais complémentaires » Philip Mariscal Premier Auditeur Cour des Comptes de Belgique Conférencier II A Belgium à Abidjan September 2012 58 IIA - INTOSAI « Des structures différentes mais complémentaires » par Philip Mariscal 1. L’auditeur interne, qu’il soit certifié ou nom, connaît les normes professionnelles édictées par l’IIA. « Afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l’audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d’assurance et de conseil. » Quant à la mise en œuvre de cette norme, je vous renvoie à la MPA 2050. L’auditeur interne est donc soucieux de collaborer avec les autres acteurs de la chaîne de contrôle. Le rapport avec l’auditeur externe nous intéressera plus particulièrement. Dans toute forme de collaboration ou de coopération, il faut deux parties dont l’audit externe et ses propres référentiels. Dans ces derniers, nous y reviendrons, nous pouvons citer comme exemple l’Institut des Réviseurs d’Entreprise (IRE) et la Cour des comptes qui a elle même un référentiel issu des normes ISA (International Standards on Auditing) pour partie. 2. En matière d’audit financier, pour ce qui concerne la collaboration audit interne et externe, nous nous référons à la norme ISA 610 (Normes élaborées par les comités ou Boards de l’IFAC1 et concernant le contrôle qualité dans les cabinets, les missions d’audit et d’examen d’informations financières ou non financières, l’Ethique, l’Enseignement, la Comptabilité Publique, les obligations des membres de l’IFAC. Les Normes de missions de l’IAASB 1. La Fédération internationale des comptables (International Federation of Accountants, IFAC) est la fédération globale de la profession comptable. L’IFAC a 159 institutions membres et associées dans 124 pays, représentant plus de 2,5 millions de comptables employés dans les services, l’industrie et le commerce, les gouvernements, et l’enseignement. Organes dépendants : - L’International Public Sector Accounting Standards Board (IPSASB) - Conseil des normes comptables internationales du secteur public - L’International Auditing and Assurance Standards Board (IAASB) Normes ISA : Les niveaux 1, 2 et 3 sont de production INTOSAI, de même que les INTOSAI GOV. Les normes de niveau 4 sont des normes ISA, reprises et complétées par des practice notes adaptant celles-ci au secteur public. On trouvera dans le schéma ci-contre le circuit de l’ensemble des normes tant comptables que d’audit applicables dans le contrôle des entités par une ISC. ISRE : Nous allons vous présenter maintenant l’essentiel de la norme qui gouverne, pour l’INTOSAI, la coopération entre l’auditeur interne et l’auditeur externe. IAASB Code d’éthique ISQC1 IRE IBE • 1. Principes fondateurs • 2. Conditions préalables au fonctionnement des ISC • 3. Principes fondamentaux de contrôle • 4. Directives de contrôle • Guide sur la bonne gouvernance de l’INTOSAI GOV • 200 • 210 •220 •230 •810 • 2400 • 2410 •... Normes sui generis ISA 610 1. L’objet de la présente Norme Internationale d’Audit est de définir des procédures et des principes fondamentaux et de préciser leurs modalités d’application pour la prise en compte par l’auditeur externe des travaux de l’audit interne. Cette Norme ISA ne traite pas des cas où des collaborateurs du service d’audit interne assistent l’auditeur externe dans la réalisation des procédures d’audit externe. Les procédures décrites dans cette Norme ISA s’appliquent uniquement aux travaux de l’audit interne qui concernent l’audit des états financiers. 2. L’auditeur externe doit prendre en compte les travaux de l’audit interne ainsi que leur incidence potentielle sur les procédures d’audit externe. 3. Quant à la collaboration au sein du secteur public et dans le cadre de l’audit non financier, l’INTOSAI2 édicte des normes propres applicables aux Institutions Supérieures de Contrôle (ISC). IIA - INTOSAi « des structures différentes mais complémentaires » IFAC Les ISSAI, c’est bien d’elles qu’il s’agit, se répartissent sur quatre niveaux : 59 « 1. Introduction 1. 1. Le présent document se veut un guide sur la façon d’instaurer une coordination et une coopération entre les Institutions Supérieures de Contrôle (ISC) et les auditeurs internes dans le secteur public, tout en respectant les fonctions respectives et les obligations professionnelles de chacun. 1. 2. En plus des ISC et des auditeurs internes, ce guide peut également s’avérer utile aux auditeurs qui réalisent des audits internes et externes du secteur public à sa demande. 1. 3. Le présent document est à lire à la lumière des Normes internationales des institutions supérieures de contrôle des finances publiques (ISSAI), des Normes internationales d’audit (ISA) publiées par le Conseil des normes internationales d’audit et d’assurance (IAASB) ainsi que de l’International Professional Practices Framework de l’Institut des auditeurs internes (IIA) » Cette norme aborde forces et faiblesses de la coopération et dépeint les domaines et méthodes. 2. Association des Institutions Supérieures de Contrôle (ISC) de nombreux pays qui promulgue des normes ISSAI (International Standards of Supreme Audit Institutions) voir ISSAI. org September 2012 (International Auditing and Assurance Standards Board), couvrent les normes de contrôle qualité (ISQC), d’audit et de mission d’assurance (ISA, ISAE), d’examen limité (ISRE) et de services connexes (ISRS)). IIA - INTOSAi « des structures différentes mais complémentaires » September 2012 60 Essayons de résumer : Fondements de la coordination et de la coopération Quel est l’intérêt de la coordination et de la coopération La norme présente quatre axes essentiels pour présenter les fondements de la coopération : • Engagement • Communication • Compréhension mutuelle • Confiance Toute une série de bénéfices peuvent être retirés d’une coordination et d’une coopération entre ISC et auditeurs internes, en particulier dans les domaines suivants : • échange d’idées et de connaissances ; • renforcement des capacités mutuelles à promouvoir la bonne gouvernance et les pratiques de transparence ; meilleure appréhension de l’importance d’un contrôle interne par la direction ; • audits plus efficaces basés sur différents principes : - encouragement d’une meilleure compréhension des rôles d’audit et exigences respectifs ; - dialogues plus documentés à propos des risques pesant sur l’organisation, avec pour conséquence un audit plus ciblé et, partant, des recommandations plus utiles ; - deux parties qui comprennent mieux les résultats découlant du travail de chacun et qui peuvent avoir un impact sur leurs futurs plans et programmes de travail respectifs ; • audits plus efficients basés sur différents principes : - activité d’audit interne et externe mieux coordonnée résultant d’une planification coordonnée et d’une meilleure communication ; - champ d’audit affiné pour les ISC et les auditeurs internes ; • r éduction des probabilités de doublons en matière d’audit (économie) ; • r éduction au maximum des désagréments dans le chef de l’entité auditée ; • a mélioration et maximisation de la couverture de l’audit sur la base de diverses évaluations de risques et de l’identification des risques importants ; • s outien mutuel au niveau des recommandations d’audit, qui peut améliorer l’efficacité des services d’audit. Une coordination ou une collaboration présente des risques, la norme nous en décrit les points suivants : • c ompromis en matière de confidentialité, d’indépendance et d’objectivité ; • c onflits d’intérêts possibles ; • d ilution des responsabilités ; • u tilisation de normes professionnelles différentes en matière d’indépendance ou d’audit ; •m auvaise interprétation des conclusions en cas d’utilisation du travail de l’autre ; • c onclusions ou opinions divergentes à propos d’un même sujet ; • p ossibilité que les conclusions potentielles de l’autre auditeur soient communiquées prématurément à la partie externe, c’est-àdire avant que l’audit ait mis en lumière suffisamment de preuves pour étayer ces conclusions ; • a bsence de prise en compte des contraintes ou restrictions auxquelles est soumis l’autre auditeur dans le cadre de la détermination de l’étendue de la coordination et coopération. La norme aborde un point particulier, à savoir l’appel aux prestataires de services. « Le travail d’audit interne dans une organisation peut également être assuré par un prestataire de services. Dans certains cas, la même société d’audit fournit un service à la fois d’audit externe et d’audit interne. Il n’est pas recommandé que le prestataire de services effectue un travail d’audit interne s’il intervient déjà en tant qu’auditeur externe ou s’il dispense à l’organisation des services de consultance autres que des services d’audit. En effet, les principes d’indépendance et d’objectivité s’en trouveraient compromis. » Modes de coopération On pourra citer par exemple la communication de la planification des audits / de la stratégie d’audit (par exemple, des réunions de planification conjointes). On ajoutera l’organisation de réunions régulières entre ISC et auditeurs internes. Les échanges d’informations (y compris des procédures de consultation) allant jusqu’à la communication mutuelle de rapports d’audit. Des programmes de formation et de cours communs et partage de matériel didactique, des méthodes développées en commun sont des aspects présentés. Modes d’organisation de la coordination et de la coopération La coordination et la coopération peuvent s’organiser tant de façon formelle qu’informelle. La coordination et coopération formelle peut être réglée par le biais d’une législation, d’accords officiels ou de protocoles. Dans certains engagements à bas risques, les ISC et les auditeurs internes peuvent organiser entre eux une coordination et une coopération plus informelles. La coordination et la coopération devraient être documentées conformément aux normes d’audit en vigueur. Quant à l’accès à l’information, l’ISC doit avoir accès aux sources d’information et aux données de l’auditeur interne afin d’assumer ses responsabilités. Les ISC devraient soigneusement peser la question de la confidentialité lorsqu’elles lèvent le secret sur des documents au contenu sensible tels que des investigations à caractère médico-légal. Dans le souci de maintenir l’indépendance des ISC, les auditeurs internes ne disposent pas d’un droit d’accès automatique à la documentation d’audit de ces dernières, ni n’ont une influence formelle sur le programme de travail des ISC. Néanmoins, il est de ces circonstances où le partage de la documentation d’audit à la discrétion de l’ISC peut s’avérer utile au processus d’audit. Quelques domaines de coordination et de coopération • cadre de contrôle interne ; • conformité des états financiers aux lois et règlements ; • indicateurs de performance et études de performance ; • bonne gouvernance ; • gestion des risques. Une belle norme, exemple d’un œcuménisme porteur de valeur ajoutée. Un protocole d’accord a été signé entre l’EUROSAI (subdivision de l’INTOSAI) et l’ECIIA (European Confederation of Institutes of Internal Auditing). Il est le cadre d’une évolution vers le single audit. Je ne peux qu’encourager chacun à lire la norme dans son texte intégral. Upcoming Events & Training OCTOBE R - TRAINING 15 - 16 Introduction to Financial Audit 17 - 18 S’initier à l’audit interne 22 - 23 Auditing the Contracting Process 24 - 25 Interviewtechniques voor auditoren (Dutch) 5 -6 Auditing Business Continuity Management 12 - 13 Revue qualité d’un département d’Audit Interne (course in French – case in English) 14 - 15 Advanced Fraud Prevention and Detection Techniques (French) 19 - 20 Fraud Awareness for Internal Auditors and Managers 26 The Insurance Activity - An introduction for auditors 27 to 30 Conduire une mission d’audit interne : la méthodologie E VE NTS 2012 DE CE MBE R - TRAINING 3 - 4 - 5Integrated Audit of Automated Business Processes 10 - 11 Introduction to Operational Audit 12 - 13 - 14Maîtriser les outils et les techniques de l’audit 11 - 12 oct.2012 IAS Conference: Performance Audit by Public Sector Internal Auditors 14 nov.Internal audit and public sector in Belgium – an assistance in governance 21 nov. Audit Software Watch Day 23 nov. Annual conference IIA Luxembourg UPCOMING EVENTS & TRAININGS Introduction à l’audit IT (French) 61 September 2012 1-3 NOVE MBE R - TRAINING General Assembly 26 April 2012 IIA Belgium events Brussels September 2012 62 Certification Celebration Event 13 June 2012 IIA Belgium events IIA Belgium - Brussels September 2012 63 www.roberthalf.be Check our internal audit jobs 11 offices in Belgium Divisions of Robert Half BVBA/SPRL Antwerpen | Brussels | Charleroi | Gent | Groot-Bijgaarden | Hasselt | Herentals | Liège | Roeselare | Wavre | Zaventem