a pragmatic approach to multi-cultural diversity in auditing

N°6 - September 2012
The Internal
Auditor Compass
Michel Eertmans
A pragmatic approach to
multi-cultural diversity
in Auditing
A pragmatic approach to
multi-cultural diversity in
Auditing
Internal Assurance:
Several Cultures, Several
Approaches
Systemic risk is back and
here to stay
La FSMA : une brève
présentation
Les variables culturelles
du contrôle interne
de fsma: kort voorgesteld
p. 8
P. 10
p. 14
p. 16/18
p. 53
TALKING REAL LIFE
A picture’s worth
a thousand statements
Download the Easy banking application in the App Store.
Easy banking is an additional PC banking service.
bnpparibasfortis.be
Publisher : F. Peene, Fortis Bank SA/NV, Montagne du Parc/Warandeberg 3, 1000 Brussels, RPM Brussels, TVA BE 0403.199.702
BNP Paribas Fortis is the trading name of Fortis Bank SA/NV.
Edito
Jean-Michel Cassiers
President of IIA Belgium
Hoewel, zoals Anne Cremers er ons aan
herinnert, de interne auditors per definitie
“professionele luisteraars” zijn in dienst van
hun bedrijf of organisatie, toch wordt nog te
vaak vastgesteld dat ze door hun collega’s
gevreesd worden.
As we are reminded by Anne Cremers, whilst
internal auditors are by definition “professional
listeners” at the service of their company
or organisation, it is still noted on too many
occasions that they are feared by their
colleagues.
En toch laten de interne auditors geen enkele
inspanning ongemoeid om hun competenties te
verbeteren en volgens de professionele normen
te werken. Hierbij waken ze er voortdurend over
een toegevoegde waarde aan hun bedrijf of
organisatie te bieden. De samenwerking met
alle controlerende partijen is dus essentieel.
And yet, internal auditors spare no effort to
acquire and improve their skills and to work
according to rigorous professional standards,
whilst constantly taking care to bring added
value to their business or organisation.
Collaboration with all those involved in control
is therefore essential.
De tekst van Philip Mariscal illustreert dit via
een interessant voorbeeld uit de openbare
sector. Dit thema zal verder worden uitgediept
tijdens een conferentie die door het Instituut
voor Interne Auditors wordt georganiseerd op
14 november aanstaande. Het thema van deze
conferentie : “Interne audit en openbare sector
in België: een hulpmiddel voor het bestuur?”.
Philip Mariscal’s text provides us with an
important illustration where the public sector
is concerned. What’s more, this theme will be
explored in greater depth during a conference
organised by the Institute of Internal Auditors
on the 14th November this year, of which the
theme is “Internal audit and the public sector
in Belgium: a tool to help with governance?”.
Bovendien lijkt de interne auditor die aan
de wijzigende verwachtingen van het
management wil beantwoorden, steeds meer
zijn opdracht samen met de geauditeerde uit
te voeren, de partij die het meest nut heeft
van het werk van interne audit, zoals Tommaso
Capurso ons aantoont door het “servuction”model op de interne audit toe te passen!
Furthermore, the internal auditor, concerned
with meeting management’s changing
expectations, seems more and more steered
towards co-producing his services with the
audited party, a real stakeholder in internal
audit results, as Tommaso Capurso shows us,
by applying the “servuction” model to internal
audit activity!
Zo lijken de auditprestaties invloed te
hebben de bedrijfscultuur. De interne auditor,
geconfronteerd met de multiculturele
verscheidenheid zal de pragmatische
benadering, die door Michel Eertmans
aanbevolen wordt, overnemen en aandacht
schenken aan de culturele eigenaardigheden
van de interne controle door zich aan te passen
aan de bedrijfscultuur. In een multiculturele
organisatie, kan dit een grote uitdaging zijn
zoals André G Kiewitz vermeldt.
Therefore, internal audit performances seem to
be dependent on the culture of the business.
The internal auditor, faced with multicultural
diversity, will find it helpful in this regard to
adopt the pragmatic approach recommended
by Michel Eertmans, and will be interested
in the cultural variables of internal control,
whilst taking care to adapt to the culture of the
business, which can prove a major challenge in
a multicultural organisation, as André G Kiewitz
in particular reminds us!
Hartelijk dank aan alle schrijvers van de
artikels om hun kennis te delen en om ons
mee te nemen op een reis door het oneindige
en boeiende universum van de interne audit!
Ze herinneren er ons aan dat iedere interne
auditor, binnen zijn bedrijf of organisatie, een
rol speelt bij het schrijven van geschiedenis
over de interne audit!
Thank you to those who have written articles to
share their knowledge and take us on a journey
into the infinite and enchanting world of internal
audit! They remind us that each internal auditor,
within his business or organisation, has a role
to play in writing the story of internal audit!
Deze geschiedenis wordt ook geschreven
binnen het Instituut voor Interne Auditors,
een geprivilegieerde ontmoetingsplek van
verschillende ervaringen gekleurd door de
verscheidenheid in bedrijfscultuur. Het is ook
een plek van wederzijdse verrijking, binnen
comités en werkgroepen die ten dienste van
het beroep opgericht zijn!
Veel leesplezier!
JMC
This story is also being written within the
Institute of Internal Auditors, a special meeting
place for varied practices, coloured by the
diversity of business cultures; but also a place
for mutual enrichment where I invite you to
join in with organised activities, as well as the
different committees and working groups set
up for the benefit of the profession!
Excellent reading!
JMC
Je suis très heureux de vous présenter
ce nouveau numéro du Compass qui vous
plongera au cœur de la dimension historique
et culturelle de l’audit interne, et de ses
différentes approches.
Si, comme nous le rappelle Anne Cremers,
les auditeurs internes sont par définition des
« écouteurs professionnels » au service de
leur entreprise ou organisation, on constate
encore trop souvent qu’ils sont craints par leurs
collègues.
Et pourtant, les auditeurs internes ne ménagent
par leur peine pour acquérir et améliorer leurs
compétences et travailler selon des normes
professionnelles rigoureuses, en veillant sans
cesse à apporter une valeur ajoutée à leur
entreprise ou organisation. La collaboration
avec l’ensemble des acteurs du contrôle est
donc primordiale.
Le texte de Philip Mariscal nous en apporte
une illustration importante en ce qui concerne
le secteur public. Ce thème sera par ailleurs
approfondi à l’occasion d’une conférence
organisée par l’Institut des Auditeurs Internes
le 14 novembre prochain, et ayant pour thème
« Audit interne et secteur public en Belgique :
une aide à la gouvernance ? »
En outre, l’auditeur interne, soucieux
de répondre aux attentes évolutives du
management, semble de plus en plus amené
à coproduire ses prestations avec l’audité,
véritable partie prenante des résultats
de l’audit interne, comme nous le montre
Tommaso Capurso, en appliquant le modèle de
« servuction » à l’activité d’audit interne !
Ainsi, les performances de l’audit interne
semblent tributaires de la culture d’entreprise.
L’auditeur interne confronté à la diversité
multiculturelle adoptera utilement à cet égard
l’approche pragmatique recommandée par
Michel Eertmans, et s’intéressera aux variables
culturelles du contrôle interne, en veillant à
s’adapter à la culture de l’entreprise, ce qui peut
s’avérer un défi majeur dans une organisation
multiculturelle, comme nous le rappelle
notamment André G Kiewitz !
Merci aux rédacteurs des articles de faire
partager leurs connaissances et de nous faire
voyager dans l’univers infini et enchanteur de
l’audit interne ! Ils nous rappellent que chaque
auditeur interne, au sein de son entreprise ou
organisation, a un rôle à jouer dans l’écriture de
l’histoire de l’audit interne !
Cette histoire s’écrit également au sein de
l’Institut des Auditeurs Internes, lieu privilégié
de rencontre des pratiques variées, colorées
par la diversité des cultures d’entreprise ;
mais également lieu d’enrichissement mutuel
au sein duquel je vous invite à rejoindre les
activités organisées, ainsi que les différents
comités et groupes de travail mis en place au
service de la profession !
Excellente lecture !
JMC
EDITO
I am delighted to present you with this new
issue of Compass which will take you to the very
heart of the historic and cultural dimension of
internal audit, and its different approaches.
3
September 2012
Met groot genoegen stel ik u dit nieuwe nummer
van Compass voor dat u zal onderdompelen in
de historische en culturele dimensie van interne
audit en zijn verschillende benaderingen.
Is your company risk averse? Or risk intelligent?
Current economic conditions can raise risk exposure beyond acceptable limits. Yet there may be long-term consequences to being
risk averse in a downturn. Deloitte can help you recognize the dual nature of risk and devote sufficient resources to risk taking for
reward and to protecting existing assets. Step ahead safely at www.deloitte.com
© 2012 Deloitte Belgium
Inhoud
Sommaire
Contents
You can send
your comments,
suggestions or articles to:
compass@iiabel. be
3 Edito
6 IIA Corner
7 Career Corner
8 A pragmatic approach to multi-cultural diversity in Auditing
14 Systemic risk is back and here to stay
16 La FSMA : une brève présentation
18 De FSMA: kort voorgesteld
20 Ready to Audit Solvency II?
22 L’audit interne : un service coproduit dans un monde de services
INHOUD - SOMMAIRE - CONTENTS
10 Internal Assurance: Several Cultures, Several Approaches
31 Auditeur, un métier qui a ses racines dans l’Histoire européenne
35 Auditor, een beroep dat zijn wortels heeft in de Europese geschiedenis
5
42 Process mining: get your processes out of the black box
45 La démarche de Risk Management dans les entreprises en Belgique et son degré de maturité
48 Cybercriminaliteit
53 Les variables culturelles du contrôle interne
58 IIA - INTOSAI « Des structures différentes mais complémentaires »
62 IIA Belgium events
Editor
IIA Belgium
Rue Royale 109-111 Koningstraat – b 5
1000 Brussels
Tel. : 02/219. 82. 82 • Fax: 02/217. 12. 97
info@iiabel. be
www. iiabel. be
Produced by
Green Pepper
info@greenpepper. be
www. greenpepper. be
Redaction Committee
Jacques Coucke
Tommaso Capurso
Steve Plasman
Pieter Peremans
Philip Mariscal
Marc Vael
Danièle Roussel
Pictures (Certification Celebration)
Call Agency
Tel: 02/784. 28. 23
info@callagency. be
www. callagency. be
www. polatonium. be
Pictures (General Assembly)
Audoin de Vergnette
audoindevergnette@hotmail. com
The views expressed in the articles, reports reflect the views of the writers. IIA Belgium does not accept any responsibility for those views expressed herein.
September 2012
39 The advantages of cloud computing: Why you should start experimenting today
IIA corner
IIA CORNER
News from IIA Belgium
The Board of Directors nominated Mr Pascal Stroobant as managing director CSO of IIA Belgium as from 18 June 2012.
Pascal Stroobant knows IIA Belgium since long. He has been member from
2004 to 2010, and board member from 2006 to 2008.
If you want to contact him, you can send an email at pascal. s@iiabel. be or
contact IIABEL at +32 2 219 82 82
If you want to know more about Pascal, you can go to his profile on LinkedIn:
http://be. linkedin. com/in/pascalstroobant
The Board is convinced that his experience both as a senior manager in
important companies as well as with our Institute will help to develop IIA
Belgium as a professional organisation.
September 2012
6
News from Global
Update on IIA Certification Exam Seat Time Reduction
Since January 2012, The IIA has been implementing, on a language-by-language basis, two key changes
that enhance the certification candidate’s exam experience:
- The removal of the computer-based testing (CBT) tutorial from the examination process
- A reduction in the number of unscored questions on exams
These two changes are enabling The IIA to reduce the candidate’s exam seat time and avoid an impending
price increase from the testing vendor.
Career Corner
New functions in Internal Audit Departments
Kathleen Desmedt
CAREER CORNER
Kathleen Desmedt has been appointed head of Internal Audit for the Europe and APMEA regions at
MasterCard Worldwide as from January 1, 2012. She was previously leading MasterCard’s European tax
department. Prior to MasterCard, Kathleen was a Senior Manager at KPMG. Kathleen has a Master Degree in
Applied Economics and an International Degree in European tax law.
Patrick Michalak
Koen Van Ootegem
Koen Van Ootegem has been appointed as the new Head of local audit at “Société Générale Private Banking
Belgium” within the Hub of Luxemburg. In this role, he reports to the CEO, Audit Committee and DCPE
(= Direction Du Contrôle Périodique) and coordinates all internal audit activities within the organization in
Belgium.
He has a 17-years career within Societe Generale Private Banking Belgium, where he assumed various
positions, including at the Audit (from 1999 to 2007) and Operations departments as Head of Middle Office
from 2010 up to date.
News from the
Internal Auditors
Community
7
September 2012
As from March 2012, Patrick Michalak has been appointed Chief Audit Executive of Recticel, directly
reporting to CEO Olivier Chapelle. In his function, he is responsible of all audit activities within the entire
Recticel Group and related joint ventures. He will support Recticel in making a step change toward a
sustainable governance.
Patrick started his Internal Auditor career in the Hygiene industry in Germany (SCA Hygiene, 2002-2004)
before joining the Petrochemical industry in Belgium (Borealis, 2005 - 2012). In addition to his Internal
Auditor role, Patrick actively participated to the enhancement of the Borealis governance model by
developing and structuring the internal control approach and by managing the full implementation of an
integrated Governance, Risk and Compliance tool on Group level.
A pragmatic approach to multi-cultural diversity in auditing
Michel Eertmans
Auditeur Général Honoraire ING Belgium
Independent Director and Member of
the Audit Committee of MLOZ
September 2012
8
A pragmatic approach to
multi-cultural diversity
in Auditing
by Michel Eertmans
S
omeone wrote that culture is the sum
total of shared beliefs, ways of seeing
and acting which drive more or less
consciously the behavior of an individual or
group.
A same person can therefore belong to
several different cultures or sub-cultures
depending on his or her birthplace,
nationality, ethnicity, family status, gender,
age, language, education, sexual orientation,
religion, profession, work place and its
corporate culture.
I worked in several countries and continents
and discovered that cultural diversity was
not only a geographical phenomenon but
that every region offered itself internally a
wealth of different cultures.
Take Switzerland for an example. Differences
between the French speaking part of the
country and the German or Italian speaking
regions automatically come to our mind.
Every major business faces the same
challenge on a global scale and tries to
resolve the issue by defining a “corporate
culture”.
But I found cultural differences or
approaches between Lausanne and Genève
and within the audited entities in the latter.
I noticed differing corporate cultures between
the two main business lines audited. This
impacted auditors and auditees.
Not only will this corporate culture also apply
to the internal auditors of the company but
they will in most cases have to audit the
effective and true implementation of this
culture.
Thank God (Oops! There is a lot of cultural
heritage in this expression!) audit has
internationally recognized procedures,
standards, definitions... which should
warrant a uniform way of working and
understanding worldwide... but did we
achieve excellence... can we make further
progress?
A corporate culture is a framework of
common values shared by all staff within a
company.
So, management should make sure and
auditors should check, that:
•values are understood by staff worldwide;
• staff recognize themselves in them;
•staff are proud to adhere to these values.
Fine, provided that a lot of efforts and
investments are made to align the level of
proficiency between the parties involved.
Lots of misunderstandings can arise
especially when two languages use similar
words with different meanings.
Take French and English:
• “actually” has not the same meaning as
“actuellement”
• “eventually” does not translate into
“éventuellement”
A French auditor could write in English
that an identified risk will eventually lead
to losses and mean “éventuellement” i. e.
“possibly” while the English auditor reading
the report will understand that the risk will
definitely (sooner or later) lead to losses. Not
the same!!!
If a French auditor writes in English
“actually there is a risk” intending to say
“actuellement” (for the present time) he
may not realize that he is communicating
that there is a definite risk.
Imagine now that an English auditor is
communicating to the rest of the world
using the “understatement” so common
in colloquial English and imagine how
the message will be understood by the
teams located in countries spread over five
continents!
One cannot look at cultural diversity
without addressing issues of religious and
philosophical background.
In some countries religion or a philosophical
view is the basis of the legal system and
social and cultural life.
Some countries like France guarantee
religious and philosophical freedom but
ban any reference to these in States Affairs,
Administration, Schools, etc... The principle
of “laïcité” (secularity) applies.
It is forbidden to wear religious symbols in
Government services, official schools, ...
Beware,
auditors
in
Government
services could be asked to evaluate the
implementation of above rules or policies.
This does not apply to the private sector.
So one could imagine that even auditors
in this sector wear such symbols. Is this
The institution I worked with organized
courses for foreign managers coming to
work and lead teams in Head Office which
was my case. Those courses addressed
a lot of cultural issues. The coach told us
with reference to his country that it was a
“permissive society made up of intolerant
people!” Interesting? No, complex!
Auditors should be able to cope with such
complexity.
Many areas that auditors will explore are
bound to show cultural influences:
• Dogma versus pragmatism
• Valuing breaches to Corporate policies
• Compensation and benefits rewarding
systems
• Flat or pyramidal management structures
• Direct or coded communication
• Consensus or challenge
• Attitude towards uncertainty
• Perception of time
• Attitude towards age and experience
• Elitism
to name only a few.
Just a few comments about these points:
Neither dogma nor flexibility should ever
defeat common sense even if it leads to
some pragmatism.
When auditing the implementation of
Corporate policies keep in mind that the
risk is rated on the basis of impact and
occurrence of a violation and do not conclude
systematically that any breach causes the
highest risk. One should of course always
report such violations.
If you audit reward systems, remember they
are initially originating from an Anglo-Saxon
environment. Some well publicized excesses
caused a lot of damage. Be open about it with
management. If bonuses are so high that
they allow the beneficiaries to retire and lead
a life of comfort and luxury after 1 to 5 years
they may be tempted to make such quick
fortune by reckless management. Questions
have arisen about whether bonuses are
appropriate for auditors? Why not, as long as
the targets in performance are not biased?
Some organizations have decided to cut or
cancel bonuses for individuals or teams who
get a non satisfactory audit report during the
year. Beware that this will make debriefings
of audits a sterile fight between a threatened
auditee who intellectually agrees on the
audit findings but fights for his bonus and
a conscientious auditor who should never
ever be part of the bonus process except for
his own.
Flat management structures are increasingly
introduced but some organizations still
have pyramidal management structures.
Understand how communications work or
fail in both structures so that your messages
flow easily up and down the organization.
In some countries consensus is the name of
the game, in others “challenging” or “staging
wars” is the compulsory way to decision
making. Adapt to this but an auditor should
convince in the end.
Perception of time and attitude towards
uncertainty (accepted or not) characterize
some cultures in such a way that they will
impact audit work. Some cultures hate
uncertainty while others promote it as a
booster of entrepreneurship.
Attitude towards age and experience is both
linked to culture and to recent demographic
developments. Some civilizations notably
in Asia, Africa and Southern Europe show a
deep respect for senior persons and their
experience. Northern Europe and America
now facing a generation gap due to the
retirement of baby boom managers see less
interest in experience (= the past) and rely
more on management by models.
Model building can be a source of new
growth, but some models already tried out in
the past turned out to be a recipe for disaster
and here experience should have a voice.
Finally, elitism is widely pursued with the
availability on the market of a growing
number of highly educated candidates.
Corporates should not miss out on this
opportunity and hire bright applicants.
The challenge however is to keep a high level
of communication and cooperation between
specialists and managers. Major disasters
occurred in the financial sectors when senior
managers were not able to understand
what bright new recruits were doing in their
organizations. For auditors the challenge will
be to get the attention of highly specialized
staff.
They will therefore have to constantly
upgrade their own skills.
Jack Welsh, former CEO of General Electric,
wrote: discouraging culture... diversity not
celebrated... lack of shared values... are
signs of a losing organization.
So let us be on the winner’s side!
A pragmatic approach to multi-cultural diversity in auditing
Communication is key! This is why a
common language is often adopted; in most
cases English is the obvious choice.
appropriate? Can it lead to a breakdown in
the operation of audit? My experience leads
to the conclusion that auditors have a better
chance to be respected as objective officers
if they do not show personal beliefs. But I
also respect the rights of people and had
brilliant auditors in my team not hiding their
being part of a religious or philosophical
community.
When auditing, one should anyway be aware
and respectful of such backgrounds.
9
September 2012
To be internationally adopted and complied
with “values” should be “identified” with the
goals of the company but not be a copypaste of the national culture of the country
of head-office.
internal assurance: several cultures, several approaches
André G Kiewitz
Supervisor Competence Center
ArcelorMittal Luxembourg
Internal Assurance:
Several Cultures,
Several Approaches
September 2012
10
by André G Kiewitz
A
llow me to share a message from an
internal assurance (IA) functional
vantage point, from an environment
where several cultures and several
approaches abound, in the largest steel and
mining company in the world.
This is a recipe for much complexity and
challenge, not just from a control, risk
management and governance point of view
but from a qualitative business standpoint
as well, where people are a key driving force
(a factor we easily overlook in business).
Compounding this challenge was a perceived
global economic roller-coaster ride which
tested us along our journey to fulfil the vision
of ArcelorMittal (AM), Internal Assurance.
The birth of a new Internal Assurance
vision
S
hortly after the merger of Arcelor and
Mittal Steel in 2007, the independent
Audit Committee required Francis
Lefèvre (VP, Internal Assurance) and his
management team to present a strategy and
action plan. Francis and his team’s response
was bold, setting a target of being in the
top quartile along with a leading human
capital development culture. This ambitious
objective was accepted by the Audit
Committee members and CEO and President
of the merged ArcelorMittal group.
Francis Lefèvre embraced this challenge
with open arms. He knew that a fresh
approach was required, a new IA vision. The
vision would have to be seen, implemented,
and be contributed to by everyone at IA. He
also needed other leaders to help to make
this mental picture a reality.
In Spain, Valencia, during the 2007 IA
Leadership Convention, a group of senior IA
members were rallied together for a strategic
session - a plan of action was required to
tackle this momentous task. IA would have
a new vision that needed everyone to fulfil
three tiers:
• A provider of premier audit services,
• A value-adding business partner, and
• A unique training ground for future
business leaders.
internal assurance: several cultures, several approaches
Figure 1: Organizational Chart of ArcelorMittal, Internal Assurance
T
he second stage of moving towards IA’s
vision and aligned values was to have
the right team to provide assistance,
(along with top management’s support
and guidance), to ensure that IA took a
leadership role in assessing and managing
risk, applying continuous quality initiatives,
benchmarking and leveraging best practices,
and identifying innovative opportunities for
its staff in order to feed ArcelorMittal with
leaders to ensure its sustainability. Hence,
the Competence Center (CC) was formed.
The CC is driven by a common goal of
facilitating the sustainability of IA through:
• appropriate standards,
• a common culture,
• continuous improvement,
• human capital development, and
• leveraging best practices.
The CC team would have input into every IA
unit worldwide, to achieve IA’s new vision.
In addition, it also worked hard on a human
capital development model which included a
career acceleration strategy. What they also
had in their arsenal was L N Mittal’s support.
As a student and teacher of enduring great
companies, Jim Collins (author of Good
to Great) points out that: “... there is a big
difference between being an organization
with a vision statement and becoming a truly
visionary organization. The difference lies in
creating alignment - alignment to preserve
1
2
an organization’s core values, to reinforce
its purpose, and to stimulate continued
progress towards its aspirations. When you
have superb alignment, a visitor could drop
into your organization from another planet
and infer the vision without having to read it
on paper.”1
With this in mind, the CC was placing
a much needed emphasis on people
since the other two elements of Internal
Assurance, namely positioning and process
were firmly entrenched within the AM, IA
function (Positioning: Internal Assurance
in ArcelorMittal Governance, Risk and
Compliance Model (GRC); Process: working
practices and technologies).
The Human
Model
Capital
H
Development
aving finalized the merger in 2008,
many challenges existed with respect
to people’s opposing cultures and
values systems. Cultural challenges may
be detrimental to “acceptance, participation
and advancement in the work world.”2 These
challenges may reverberate through the
hallways and fester, rotting the fabric of an
organization.
In a multicultural company, the management
of people – human capital – plays an
important role in embedding a vision. If this
is done correctly, an inspired and productive
workforce is developed which fine-tunes
Jim Collins, “Aligning Action and Values”, The Forum, June 2000
Madeline E. Heilman & Harvey A. Hornstein, “Managing Human Forces in Organizations,” Richard D Irwin, Inc, 1982
processes beneficial to a company’s bottom
line. Since organizations are continuously
changing their techniques, structures,
goals, equipment, people and locations, how
they effectively lead and manage people and
these changes, especially in a multicultural
environment, is of utmost importance.
ArcelorMittal is no stranger to change. The
organization has moved from a restructuring
to a merger, in an economic downturn and
with many other challenges along the way.
At Internal Assurance we are aware of the
importance of having a common vision and
set of values under a common culture. This
is a continuous evolution and refinement
process. We have made huge strides in
developing a human capital development
tool to assist with this evolution.
The aim of our human capital development
model is to speak to each individual’s value
system and to show the link between the
company’s values and the individual’s
value system. When this link is seen, the
individual moves into inspiration, rather than
motivation.
Millions are spent on motivating people.
Motivation is an external process – the
individual needs external stimuli to get back
on track. This is in contrast to inspiration
which is an internal process, coming from
within the individual. If you appeal to an
individual’s highest values and the individual
sees the link between their values system
and a company’s, a supportive and inspired
11
September 2012
A new team
internal assurance: several cultures, several approaches
workforce is created. A unified culture is built on this tenet.
Our Human Capital development model allows people to discover their highest values (their
driving force), to have self-tailored value statements, to reflect on soft skills they would like
to leverage or develop, to have a personalized vision and a mission in the following areas of
life:
• vocational service and success,
• mental understanding and wisdom, and
• social power and leadership,3 and
to do an assessment and alignment of the two value systems, i. e. the individual’s and
company’s.
People then plot a personal development plan in the short, medium and long term - this allows
for powerful succession planning. In addition, the model gives the individual a choice to also
develop other areas of life. The individual is therefore developing his/herself holistically,
rather than one-dimensionally. The model is depicted diagrammatically below.
September 2012
12
• Role Modeling,
• Expectancy – treat people like they are
highly competent,
• Structural re-arrangement – constant
structure (order and certainty),
• Extrinsic rewards, and
• Challenge.
A unified culture and vision, with aligned
values and action, allows the company to
“evolve” rather than “revolve”.
Understanding this dynamic allows cultural
and stereotyping challenges to be managed
effectively. This kind of thinking, along
with a point made in the Harvard Business
Review, October 2010 “Google suspected
that many of its low-performing employees
were either misplaced in the organization
or poorly managed. Employee performance
data bore that out,”5 was an additional key
pointer which helped to trigger the creation
of a new human capital development model
at Internal Assurance.
“The best organizations see their people not
only as individuals but also as a rich source
of collective data that managers can use
to make better decisions.”5 Nothing is ever
missed. People have strengths which can
be leveraged. We need to communicate as a
team and utilize our people resources.
This allows us to grow towards being a
premier audit business partner, a valuedadded business partner and leaders of the
future.
An organization’s future performance is
bound to the abilities and inspiration of a
company’s people. “Organizations that have
used data from human capital development
to gain human capital insights already have
a hard-to-replicate competitive advantage.”5
Benchmarking and innovation
W
A human capital development mindset is further being embedded through eight elements
which are represented in the following diagram.
A unified culture is the glue that aligns the vision, mission and goals of individuals and the
company, creating an alchemy amongst its parts. This further ensures the growth of QUALITY,
SUSTAINABLE, LEADERSHIP which are some of ArcelorMittal’s values.
The Innovation and Creativity Seminar, held by ArcelorMittal University (AMU) in 2011,
presented the following on how a leader creates culture:
• Proper persuasive communication (communication through people’s values),
• Participation,
Dr John DeMartini, DeMartini Human Behavioural Institute Seminar, Prophecy I, 2009
Points 1 to 6 has been adapted from “The Big Idea: Competing on Talent Analytics”, Harvard Business Review, October 2010
5
“The Big Idea: Competing on Talent Analytics”, Harvard Business Review, October 2010
6
“Benchmarking”, presentation overheads from the International Benchmarking Clearinghouse, p. 4
3
4
e aspire to being a premier auditing
service provider and a value-added
business partner where people pull
together. However, different approaches
abound. As a result, included in the CC’s
mission was the added task:
• Benchmarking and best practices studies
with other top companies, measuring
with the best as part of IA’s continuous
improvement process, to ensure that IA is
a world class function.
Benchmarking is “the practice of being
humble enough to admit that someone else
is better at something, and wise enough to
try and learn how to match and even surpass
them at it.”6
The CC therefore established a trusted
benchmarking cycle where knowledge is
regularly shared with invited corporate
giants and global multinationals, from
major industries (like Automotive, Oil and
Gas, Information Technology (IT), Mining
and Steel, Aerospace and Defence, Food,
Chemistry, and Pharmaceuticals). The
benchmarking cycle’s success mirrored the
The importance
perspective
T
of
a
balanced
oday’s competitive and dynamic
environment requires drastic shifts in
paradigm - quantum leaps are required.
We need to move at greater speeds, raise the
level of our vision and mission a couple of
notches, work smarter, and have a balanced
perspective on our goals if we are to be
sustainable.
The author of the Tao of Physics, Fritjof
Capra8, believes that the natural laws are
key to maintaining sustainability. “Natural
ecosystems exist as webs, networks of
interrelated parts that are multidirectional
and nonlinear. They have cycles and they
self-regulate by a process of feedback loops.
This feedback creates learning. For examples
when we touch a fire, we get burned. This is
a learning process which creates growth and
creativity.
In the ecosystem of nature, species often
live inside one another, dependent on each
other for survival.”7 Flow happens when we
realize this.
We are dependent on many people for
information and we also have to provide
many people with information and
advice. Therefore, for our projects and our
departments to evolve and run smoothly,
cooperation and partnership amongst parts
7
8
Lessons Learned
T
he economic crises and the merger
between Arcelor and Mittal have been
reported on many a newspaper’s front
page. Despite this, the road we have travelled
has led us to many interesting insights
about our people and where we would like to
be. In particular, as leaders we have come to
realize the importance that:
• Values,
• Vision,
• Alignment of values,
• Culture,
• Having a leading team
have on a modern economy and its people,
and the consequences of getting it wrong.
Having assessed 1.435 companies over 40
years, Jim Collins has highlighted how these
pointers are the glue holding any company
together.
We have further come to realize that we
require:
• A clearly articulated and held vision of
being:
- A provider of premier audit services,
- A value adding business partner, and
- A unique training ground for future
business leaders;
• A robust human capital development model
focused on growing the “right” leading
team,
• A mindset that transformation is the only
certainty and that specific aspects of
ourselves need to evolve, along with work
aspects, to deliver value and influence, and
• A focus that innovativeness and the
technology we use is meant to assist us to
our greatness and not be the ruler of our
destiny.
These points have strengthened the
incentives of our leaders within the auditing
environment and the business. They
have taken us back to the drawing board
many times to reassess the structure and
processes needed to produce:
• Speedy and streamlined decision making
and reporting, leveraging technology and
resources at our disposal even when cost
is under severe scrutiny,
• A world class human capital development
model producing visionary leaders and
succession planning, aligned fully to our
business strategy and crossing all cultures
in our team’s global environment,
• A robust change management strategy to
deal with the conflict that surfaces when
James Redfield and Carol Adrienne, “The Celestine Prophecy, An Experiential Guide,” Bantam Books, 1995
Fritjof Capra, “The Tao of Physics,” Shambhala Boulder l, 1975
ideas and approaches are being pulled in
all directions,
• An emotionally intelligent mindset focused
on both qualitative and quantitative
aspects of a task or project and realizing
the risk of neglecting either of these
aspects.
The most important of all insights is learning
that as leaders, we have to take heed of the
above important factors related to people
and to also realize that we are here, as
leaders to:
• Inspire others to a shared cause and
vision, and
• Communicate through people’s values,
bringing them into inspiration. This holds
each aspect of our business together.
These are the key ingredients required
for streamlining and cultivating a healthy
multicultural work force and for supporting
a company’ vision and goals. This allows
us to transcend the challenges inherent in
creating a new dynamic equilibrium.
Conclusion
A
rcelorMittal is a huge global
multicultural institution with many
cultures and many approaches.
However, Head of ArcelorMittal Internal
Assurance, Francis Lefèvre’s leadership,
along with that of his team, has allowed
Internal Assurance to constantly support
and challenge. His strategies and vision
allow IA and its environment to abound with
innovation and creativity and has set the
function apart from the rest.
The Internal Assurance department has
become a champion of innovation, crossing
all cultures and integrating ways that people
do things. Francis Lefèvre is systematically
innovating across the entire function – a
new human capital development tool, new
IT systems, organic growth of leaders, new
metrics and a new management process.
Maximum growth occurs in the center of
two extremes. A new dynamic equilibrium
has been created by ArcelorMittal, Internal
Assurance inside a multicultural steelproducing powerhouse.
The Internal Assurance
department has
become a champion of
innovation, crossing
all cultures and
integrating ways that
people do things.
internal assurance: several cultures, several approaches
is essential.
If we ignore the above and an over-emphasis
is placed on one aspect, be it quantitative or
qualitative rather than a balanced focus on
both, a system does not evolve but revolve.
Insight, maturity or true wisdom into
anything is a synchronous understanding
which arises the moment you obtain an
equilibrated/balanced,
and
therefore
transcendent, state of mind.
13
September 2012
respect that the new steel giant ArcelorMittal
was receiving in the global industry.
Many learnings are gleaned from the
benchmarking cycle reviews but the
philosophy of knowledge-sharing and
benchmarking does not end: to maintain its
sustainability, a company needs to continue
to search for innovative and improved ways
and to always stay a number of steps ahead
of the competition.
A renowned Fortune 500 business
consultant, Dr J DeMartini, had this to say
about innovation: “Innovation: The rate of
growth in an organization is a sound index
to its vitality. Vitality declines with biological,
if not chronological age. Everything in the
universe grows at a slower rate as it gets
older, unless something new is added.
When something new is birthed, it is
immature. It has a fast rate of growth, an
elevated momentum. When something old
is matured and dying, it grows slowly or it
declines and decays, and it has a depressed
or reversed momentum. Keep adding novelty
and newness to your business...”
“Every living system is in constant flux.
To survive, any system has to respond to
(the challenge of) change. The more diversity
within the system, the more chances it
has to survive major change because it
can draw upon these diverse resources.”7
Management of people and their diverse
cultural resources and ways of doing things
is key. Maximum progress occurs at the
border of support and challenge.
Systemic risk is back and here to stay
Stefan Duchateau
Prof. van de Hogeschool-Universiteit Brussel (HUB)
Systemic risk is back
and here to stay
September 2012
14
by Stefan Duchateau
I
n the run up to the financial crisis, policy
makers and financial regulators created
inappropriate legislation and ill-inspired
regulation that served as a platform for
an uncontrolled proliferation of risks, in
different forms and shapes that finally led
to a near collapse of the western financial
system. The fear of a blow-up of the banking
system, brought systemic risk back at the
core of academic research.
The existence of systemic risk comes as
no surprise to academic researchers in the
field of securities’ markets. Systemic risk
was pointed out as a major concern from
investors in equity markets, explaining
to a large extent the long time behavior
of stock prices in general and solving the
equity premium paradox in particular: The
spectacular outperformance of equity over
bonds, both in nominal and real terms over
longer periods of time, is unexplained by
standard risk aversion theory unless we
apply a substantial additional discount
factor, compensating for the possibility
of the realization of systemic risk. When
systemic risk remains unrealized and
the banking system appears stable and
reliable, as in the period 1950-2008, this
leads to a gradual decline of the required
systemic risk premium, leading stock prices
to record levels. In the reverse case, as we
witnessed in the aftermath of the events of
2008, a build-up of systemic risk increases
this discount factor and results in sharply
reduced valuations of stocks.
The perception of financial stability abruptly
ended in 2008, when after a series of
rather minor financial events and an
unsurprising increase in the delinquency
rate of subprime mortgages, started an
avalanche of substantial losses, resulting
in unprecedented bail-outs of European
and American banks and scourges Western
economies to this day.
In an attempt to avoid further impacts in
the real economy, Government intervention
inflated budgetary deficits and government
debt to dangerous levels. This, in turn,
caused downgrades in the quality of
investments in most government bonds,
increasing the momentum of the negative
downturn and causing even more damage in
the real economy.
The jury is still out on the question who is to
be blamed for this massive destruction of
wealth, but superficial analysis in the press
quickly points to overly populist arguments:
Excessive compensation for traders and
appalling moral hazard of top bankers,
resulting in extreme risk taking behavior,
combined with puzzlingly poor risk control
and eagerly but injudiciously attributed
high quality scores to certain types of
investments by rating bureaus.
This explanation seems unsatisfactory.
Behavior of this type is not typical for this
period alone and has not created systemic
risks of this order in the past.
The more plausible explanation rather
seems to rest in the argument that procyclical regulation created risk management
practices with extreme tunnel vision and
propelled risk taking behavior of banks to
unchartered waters.
Balance sheet leveraging of this
magnitude boosted the ROE of banks
to unseen levels but also stressed
the liquidity of the financial system to
an extreme.
Unfortunately, the correct pricing of
the risk of the CDO structures relied
heavily on the assumptions of correlation
between the different types of mortgages,
corporate and Government loans.
The assumptions on the correlations
of default rates with newly introduced
subprime loans proved to be dramatically
unrealistic. As a result, positions that
allegedly were riskless and financed
through extreme balance sheet leveraging,
now proved to be very risky. Obviously, no
additional capital buffers were provided and
resulted in substantial loss that quickly
eroded the banks’ capital base.
Correlations between various assets have
a reputation of being highly erratic and are
close to impossible to predict. Swings in
correlation patterns have a history of being
dramatic, ranging between extreme values
over short periods of time. Obviously,
building a hedged position based on the
correlation in a previous period, can prove
to be highly inaccurate over the next period.
The Influence of correlations are that
devastating since they determine the
calculated risk hedges. A sudden switch in
these values turns a highly leveraged zero
risk position into a shipwrecking experience.
The identification and measurement of this
type of risk is therefore absolutely crucial
in modern risk management that can lift us
beyond current measures and assumptions.
The accuracy of the models used in risk
management should be tested incisively.
The first answers most come from accurate
back tests of the models. If these tests point
to differences in results that are attributed
to deviations in the assumed values, risk
management should react appropriately
and reassess the calibration of the models.
Additional, well designed, stress test will
be highly instrumental in this process,
introducing the concept of “regime shifts”.
This technique allows a risk manager to
systemically alter the assumed correlation
patterns and assess the resulting shift in
the risk position of the banks. Admittedly,
the recent “official” stress test on the
European banking system has given a
bad reputation to this technique since the
results proved to be highly inaccurate. This
was mainly caused by a lack of “regime
shifts” that were built into the test. Stress
testing the financial system without this
specific test is quite pointless and will only
confirm certain ill-inspired calculations
instead of challenging them. “Garbage in,
Garbage out”.
The standard risk management techniques,
suggested by the regulators are therefore
very much at the core of the current crisis.
I wouldn’t go as far as certain academics as
to point to current days’ risk management
as a “chocolate teapot”, but there seems to
be room for substantial improvement. The
false sense of security that was introduced
to the financial markets, rampaged the
Western economies. In the end, we are not
insisting on a harsh judgment on the used
risk measure itself but more on underlying
assumptions and the resulting increase of
systemic risk.
E. g. the now infamous value-at-risk is
not necessarily biased and inappropriate
for the evaluation of financial risk. Of
course, it always will be an audacious
attempt to reduce risk to just one number
and one dimension, as happens in the
VaR-approach. This risk-metric mainly
becomes a flawed statistic because of a
number of underlying assumptions, like
the normality of the underlying variables
and their correlations. This flaw can easily
be remedied by standard techniques, like
the Cornish Fisher-Method, resulting in
appropriate, modified VaR-numbers, but
instead the regulator chooses to insist
on fixed assumptions, notwithstanding
obvious empirical evidence. Instead of
altering erroneous assumptions, the
regulator imposes a VaR-multiple as the
qualified buffer for market risks in the
banking sector. Using 3 times VaR indeed
reduces the probability of a bank default to
near zero under assumption of a Gaussian
distribution of asset returns. This of
course is highly unrealistic but leaves
the banking system with a false sense of
security. I would flag this type of behavior
as a main contributor to the formation of
systemic risk.
If we were to leave the erroneous
assumptions and introduce e. g. a standard
technique as Chebychev’s inequality, we
can easily calculate the expected frequency
of major bank failures: 4 years...
This comes close to empirical results, that
point to major upheavals in the banking
sector with a ten year frequency. By any
standard, this very high probability is very
remote from the assumed impossibility
implied and suggested by the regulator.
This lack of reality in the assumptions is
masked by the high degree of complexity
of rules, implying a substantial effort from
the banks’ risk management department,
leaving little or no room for an inspirational
type of risk assessment that goes beyond
standard techniques.
Flawed rules, resulting from a substandard
use of modern statistics and a “formover-substance” behavior from regulators
will only tend to lead us astray. Future
generations deserve better and more
creative risk measures, that can stand up
to an ever more challenging environment.
Systemic risk is back and here to stay
Combined with the eagerness of the
American Government to boldly stimulate
the housing market, this created a gigantic
business opportunity, perceived at zero risk
but with high profits in almost unlimited
proportions. Certainly, if the mortgage loans
could also be attributed to a low standard
credit risk environment as can be found in
the segment of the subprime debtors. Given
the pricing formula, the CDO models could
easily be hedged anyhow, reducing the
credit risk to near zero.
The idea of having a lucrative, zero risk
position then turns into a nightmare. This
brought about the fall of England’s eldest
bank in 1995 when the infamous Nick
Leeson hedged a highly leveraged position
in Japanese equity with Government
bonds. After the Kobe earthquake, the
suggested correlations suddenly changed
and the “zero risk”- position eroded the
bank’s capital in a short span of time.
Wrong assumptions on the correlations
between corporate and mortgage loans
with Government bonds led to the collapse
of the highly profiled LTCM hedge fund in
1998. Injudiciously calculated correlation
between different types of bonds and loans
in CDO structures ravaged investments
throughout the Western banking system.
15
September 2012
S
ince the early nineties, banking
regulation provided an excellent
platform for balance sheet leveraging,
after the introduction of a set of new
rules for the risk weightings of different
types of asset risks, allowing unlimited
positions in investments with high ratings.
By mid 2000, absurdly inflated balance
sheets of banks were able to attract
more investments assets than a sound
economy could provide, certainly after
the now infamous David X. Li introduced
a new technique for the pricing of CDOstructures. The problem of the correlated
default risks of the underlying bonds was
tackled by Dr. Li with an application of the
Gaussian Copula function. This pricing in
fact allowed banks to calculate the default
risk of the total CDO structure under a set
of assumptions. Given this result, it then
became obvious how to hedge this risk by
providing an equity buffer that equals the
anticipated loss.
Jean-Paul Servais,
président de la FSMA
la fsma : une brève présentation
La FSMA : une brève
présentation
par J-P Servais
September 2012
16
La FSMA et ‘Twin Peaks’
A
l’instar de ce qui s’est produit dans
d’autres Etats membres de l’Union
européenne, le législateur belge a opté
pour le passage d’un modèle de contrôle
intégré à un modèle de contrôle bipolaire,
appelé ‘modèle Twin Peaks’. Ce modèle
prévoit le regroupement, auprès de la banque
centrale, du contrôle macroprudentiel et du
contrôle microprudentiel des établissements
financiers, tandis que la protection des
investisseurs, le contrôle des marchés et le
contrôle du respect par les établissements
financiers des règles de conduite qui leur
sont applicables, est confié à une autre
autorité de contrôle, l’Autorité des Services
et Marchés Financiers (Financial Services
and Markets Authority ou FSMA).
Le modèle Twin Peaks a été instauré en
Belgique par la loi du 2 juillet 2010 et par
l’arrêté royal du 3 mars 2011 mettant en
œuvre l’évolution des structures de contrôle
du secteur financier, qui donne exécution à
la loi Twin Peaks du 2 juillet 2010.
La nouvelle répartition des compétences
entre la Banque Nationale de Belgique
(BNB) et la FSMA est entrée en vigueur le
1er avril 2011. Depuis cette date, la BNB est
chargée du contrôle macroprudentiel et du
contrôle microprudentiel des banques, des
entreprises d’assurances et des sociétés de
bourse. Outre ses missions traditionnelles
relatives à la surveillance des marchés
financiers et au contrôle de certains acteurs
financiers et de l’offre illicite de produits
et services financiers, la FSMA exerce
également de nouvelles compétences.
Celles-ci concernent le contrôle du
respect des règles de conduite par les
établissements financiers, la surveillance de
la commercialisation de produits financiers
et l’éducation financière du public.
Les compétences de la FSMA
L
es compétences de la FSMA couvrent
désormais six grands domaines :
• le contrôle des sociétés cotées et la
surveillance des marchés financiers ;
• le contrôle du respect des règles de
conduite ;
• le contrôle des produits financiers ;
• le contrôle des prestataires de services
financiers et des intermédiaires ;
• le contrôle des pensions complémentaires ;
• la contribution à l’éducation financière.
1. Contrôle des marchés et des sociétés
cotées
L
e contrôle des sociétés cotées consiste
pour la FSMA à vérifier les informations
diffusées par les sociétés en question.
La FSMA veille à ce que ces informations
soient complètes, donnent une image fidèle
de la société concernée et soient mises à
la disposition du public en temps utile et de
manière adéquate. La FSMA est également
attentive à l’égalité de traitement de tous
les détenteurs de titres d’une société cotée.
Enfin, la FSMA surveille le fonctionnement
des marchés financiers eux-mêmes en
exerçant un contrôle sur les infrastructures
de marché.
2. Contrôle des produits
L
’objectif premier du contrôle exercé
par la FSMA sur les produits financiers
est de contribuer à ce que les
produits offerts soient compréhensibles,
sûrs, utiles et transparents en termes
de frais. Ce contrôle concerne tous les
produits financiers qui sont proposés aux
consommateurs. Le contrôle porte tant
sur l’information et la publicité diffusées
au sujet des produits financiers que sur le
respect de la réglementation relative aux
C’est la raison pour laquelle il est nécessaire
d’intervenir plus tôt dans le processus,
à savoir lors du développement même
des produits financiers. Cette approche
permet d’assurer que les nouveaux produits
répondent mieux aux besoins des clients
auprès desquels ils seront commercialisés.
Le moratoire, lancé par la FSMA en
2011 à propos de l’interdiction de la
commercialisation de produits structurés
particulièrement
complexes
s’inscrit
entièrement
dans
cette
nouvelle
approche. Dans le sillage de la crise
financière, la commission spéciale
chargée par le parlement belge d’examiner
la crise financière et bancaire avait
recommandé de renforcer la traçabilité
des produits financiers. A la suite de cette
recommandation, le législateur a doté la
FSMA du pouvoir d’arrêter des règlements
qui peuvent prévoir une interdiction ou
des conditions restrictives concernant la
négociation de produits d’investissement de
détail, ou qui sont susceptibles de favoriser
la transparence de la tarification et des frais
liés à de tels produits.
Dans le cadre de ce pouvoir, la FSMA a, en
juin 2011, appelé le secteur financier à ne
plus proposer aux investisseurs particuliers
de produits structurés qui peuvent être
considérés
comme
particulièrement
complexes. La FSMA a, dans un premier
temps, axé son action sur le marché
des produits structurés destinés aux
investisseurs non spécialisés, eu égard à
l’ampleur de ce marché. Avec un encours
de 87,2 milliards d’euros en 2010 (pour
10,8 millions d’habitants), le marché belge
fait partie des plus importants d’Europe. A
titre de comparaison, l’encours des dépôts
d’épargne réglementés dans le secteur
privé belge s’élevait, fin 2010, à environ 200
milliards d’euros et celui des dépôts à terme
à environ 35 milliards d’euros.
Le moratoire concerne la commercialisation,
auprès des investisseurs de détail, de
produits structurés qui sont considérés
comme particulièrement complexes sur la
Après négociations avec le secteur, la FSMA
a réussi à obtenir l’adhésion volontaire
de toutes les entreprises bancaires et
d’assurance-vie et de très nombreux
intermédiaires ont adhéré volontairement
au moratoire. Le moratoire a induit une
simplification de l’offre de produits
structurés sur le marché belge. La démarche
de la FSMA a suscité un vif intérêt à l’échelle
internationale et, en particulier, auprès de
ses homologues étrangers.
3. Le contrôle du respect des règles de
conduite
D
ans le modèle dit Twin Peaks, qui est
entré en vigueur le 1er avril 2011, la
FSMA se voit notamment confier le
rôle d’une autorité de contrôle spécialisée
dans le domaine des règles de conduite.
Pour pouvoir jouer pleinement ce rôle et
intensifier le contrôle des règles de conduite,
la FSMA a créé un nouveau service, baptisé
‘Contrôle des règles de conduite’.
La FSMA a dans un premier temps développé,
en collaboration avec plusieurs cabinets de
réviseurs agréés, un plan d’action et une
méthodologie spécifique pour le contrôle du
respect des règles de conduite MiFID.
La nouvelle approche doit contribuer à la mise
en place d’une pratique efficace du contrôle
des règles de conduite MiFID. La méthodologie
adoptée vise à instaurer des dispositifs
uniformes et à créer un cadre de référence
pour l’application des règles de conduite MiFID.
Cette approche permet à la FSMA de se
positionner efficacement et de faire du
‘benchmarking’. La FSMA peut, sur la base
des contrôles effectués, déterminer les
thèmes pour lesquels des améliorations sont
encore possibles et publiera, si nécessaire,
des recommandations à ce sujet.
4. Le contrôle des prestataires de services
financiers et des intermédiaires
L
a mission de la FSMA à l’égard des
prestataires de services financiers
consiste essentiellement à assurer le
contrôle prudentiel des sociétés de gestion
d’organismes de placement collectif et
des entreprises d’investissement ayant
demandé l’agrément comme société de
gestion de portefeuille et de conseil en
investissement. Le contrôle a pour objectif
de veiller à ce que les entreprises contrôlées
soient en mesure de respecter à tout
moment leurs engagements et d’assurer la
continuité de leur exploitation. Les tâches du
contrôle portent entre autres sur l’analyse de
l’organisation administrative et comptable et
le système de contrôle interne, la qualité du
management et de la gestion, les qualités
des actionnaires, l’évolution des activités et
des risques, ainsi que le suivi de la structure
financière dans son ensemble. Le respect
des conditions d’agrément et d’exercice est
surveillé de façon continue.
Le contrôle des intermédiaires, une
population très importante de plus de
20.000 personnes, consiste à contrôler
l’accès à la profession d’intermédiaire
d’assurances et de réassurances ou
d’intermédiaire en services bancaires et en
services d’investissement. Cette activité
comprend principalement le traitement des
demandes d’inscriptions dans les registres
respectifs et la surveillance du respect des
conditions légales à remplir pour pouvoir
conserver cette inscription.
5. Le contrôle des pensions complémentaires
L
a FSMA assure le contrôle des
pensions complémentaires que les
travailleurs salariés ou indépendants
constituent dans le cadre de leurs activités
professionnelles (ce que l’on appelle le
‘deuxième pilier de pension’). La FSMA veille
au respect de la législation sociale relative
au deuxième pilier de pension et surveille la
santé financière des institutions de retraite
professionnelle, qui assurent la gestion des
régimes de pension complémentaire.
6. Contribution à l’éducation financière
L
a loi ‘Twin Peaks’ confie à la
FSMA la mission de contribuer à
l’éducation financière du public.
Cette nouvelle attribution s’inscrit en
parfaite complémentarité avec les autres
missions de la FSMA visant à protéger les
investisseurs et les consommateurs de
produits financiers.
Conclusion
L
a FSMA a été dotée de six grands
domaines
de
compétences.
L’interaction harmonieuse entre toutes
ces compétences doit contribuer à assurer
un contrôle adéquat du secteur financier
et à protéger le consommateur de produits
financiers. En exerçant ses compétences et
en développant ses actions, la FSMA entend
tirer les leçons de la crise et contribuer
au rétablissement de la confiance dans le
secteur financier et le système financier.
la fsma : une brève présentation
Le contrôle des produits financiers doit
contribuer à améliorer la protection des
consommateurs recourant à ce type de
produits. Traditionnellement, la protection
des consommateurs se focalisait sur la
communication à ces derniers d’informations
suffisantes. L’on ne peut toutefois partir du
principe que les consommateurs disposent
de connaissances et d’aptitudes suffisantes
pour comprendre ces informations et qu’ils
sont disposés à consulter les informations
disponibles.
base d’un test qui comporte quatre critères.
Il s’agit tout d’abord de vérifier si l’information
concernant la valeur sous-jacente est
suffisamment accessible pour l’investisseur
non spécialisé. Puis il est vérifié si le produit
n’utilise pas de stratégie d’investissement
trop complexe. Le troisième critère concerne
la question si la formule de calcul ne
comporte pas plus de trois mécanismes
pour déterminer le rendement. Le dernier
critère concerne la transparence concernant
entre autres les frais et le risque de crédit.
17
September 2012
produits. Le régime de contrôle applicable à
un produit est déterminé par le cadre légal
en vigueur.
Jean-Paul Servais,
Voorzitter van de FSMA
de fsma kort voorgesteld
De FSMA kort
voorgesteld
September 2012
18
door J-P Servais
De FSMA en ‘Twin Peaks’
Z
oals ook in andere lidstaten van de
Europese Unie is gebeurd, heeft de
Belgische wetgever gekozen voor de
overstap van een geïntegreerd toezichtsmodel
naar een bipolair toezichtsmodel, het
zogenaamde Twin Peaks-model. In dit model
worden het micro- en macroprudentieel
toezicht op de financiële instellingen
gebundeld bij de centrale bank, terwijl de
bescherming van de beleggers, het toezicht
op de markten en het gedragstoezicht op
die financiële instellingen bij een andere
toezichthouder worden ondergebracht,
namelijk de Autoriteit voor Financiële
Diensten en Markten (Financial Services and
Markets Authority of FSMA).
Het Twin Peaks-model werd in België
ingevoerd bij wet van 2 juli 2010 en
bij koninklijk besluit van 3 maart
2011 betreffende de evolutie van de
toezichtsarchitectuur voor de financiële
sector waarmee uitvoering gegeven wordt
aan de Twin Peaks-wet van 2 juli 2010.
Op 1 april 2011 is de nieuwe bevoegdheidsverdeling tussen de Nationale Bank van
België (NBB) en de FSMA in werking getreden.
Sinds die datum is de NBB belast met het
micro- en macroprudentieel toezicht op de
banken, de verzekeringsondernemingen
en de beursvennootschappen. De FSMA
heeft naast haar traditionele opdrachten in
verband met het toezicht op de financiële
markten, op bepaalde financiële actoren
en op het onrechtmatige aanbod van
financiële producten en diensten, ook
nieuwe bevoegdheden gekregen. Die
hebben betrekking op het toezicht op de
naleving van de gedragsregels door de
financiële instellingen, het toezicht op de
commercialisering van financiële producten
en de financiële vorming van het publiek.
en op correcte wijze ter beschikking wordt
gesteld van het publiek. Daarnaast ziet de
FSMA toe op de gelijke behandeling van alle
houders van effecten van een genoteerde
vennootschap. Voorts houdt de FSMA
toezicht op de werking van de financiële
markten zelf door controle uit te oefenen op
de marktinfrastructuren.
De bevoegdheden van de FSMA
et het toezicht dat de FSMA houdt
op de financiële producten, wil zij
er in de eerste plaats toe bijdragen
dat de aangeboden producten begrijpelijk,
veilig, nuttig en kostentransparant zijn. Het
toezicht heeft betrekking op alle financiële
producten die aan de consumenten
worden aangeboden. Het slaat zowel op
de informatie en de publiciteit die over
financiële producten verspreid wordt als
op de productreglementering zelf. Het
toezichtsregime voor een product wordt
bepaald door het wettelijke kader dat van
toepassing is.
D
e bevoegdheden van de FSMA beslaan
voortaan zes grote domeinen:
• het toezicht op de genoteerde vennootschappen en op de financiële markten;
• het toezicht op de naleving van de
gedragsregels;
• het toezicht op de financiële producten;
• het toezicht op de financiële dienstverleners en tussenpersonen;
• het toezicht op de aanvullende pensioenen;
• het bijdragen tot de financiële vorming.
1. Toezicht op de genoteerde vennootschappen en op de financiële markten
H
et toezicht op de genoteerde
vennootschappen houdt in dat de
FSMA waakt over de informatie die
door deze vennootschappen wordt verstrekt.
De FSMA ziet erop toe dat deze informatie
volledig is, een getrouw beeld geeft en tijdig
2. Producttoezicht
M
Het toezicht op de financiële producten moet
bijdragen tot een betere bescherming van de
consument van die producten. Traditioneel lag
de focus van die consumentenbescherming
op het ter beschikking stellen van voldoende
informatie aan de consument. Men mag er
echter niet vanuit gaan dat de consumenten
voldoende kennis en vaardigheden hebben om
die informatie te begrijpen, noch dat zij bereid
Het moratorium op de commercialisering
van bijzonder ingewikkelde gestructureerde
producten dat in 2011 door de FSMA is
gelanceerd, past volledig in die nieuwe
benadering. In de nasleep van de financiële
crisis heeft de bijzondere commissie die
door het Belgische parlement was belast met
het onderzoek naar de financiële crisis en de
bankencrisis, de aanbeveling geformuleerd
om de traceerbaarheid van financiële
producten te verbeteren. In navolging
van deze aanbeveling werd de FSMA de
bevoegdheid verleend om reglementen
te bepalen die een verbod of beperkende
voorwaarden kunnen bevatten voor de
verhandeling van retailbeleggingsproducten,
of die de transparantie kunnen bevorderen
over de tarifering en de kosten van dergelijke
producten.
In het kader van deze bevoegdheid heeft
de FSMA de financiële sector in juni 2011
opgeroepen om niet langer gestructureerde
producten die als bijzonder ingewikkeld
kunnen worden beschouwd aan te bieden
aan particuliere beleggers. De FSMA
heeft in een eerste fase de markt van
gestructureerde producten voor nietgespecialiseerde beleggers aangepakt
omwille van de omvang van deze markt. Met
een uitstaand bedrag van 87,2 miljard euro in
2010 (voor 10,8 miljoen inwoners) behoort
de Belgische markt tot een van de grootste
in Europa. Ter vergelijking, einde 2010 had de
particuliere sector in België voor bijna 200
miljard euro uitstaan op gereglementeerde
spaardeposito’s en circa 35 miljard euro op
termijndeposito’s.
Het moratorium richt zich op de verhandeling
van gestructureerde producten aan
retailbeleggers die als bijzonder ingewikkeld
worden beschouwd op basis van een
test die bestaat uit vier criteria. Allereerst
wordt nagegaan of de informatie over
de onderliggende waarde voldoende
toegankelijk is voor de niet-gespecialiseerde
belegger. Vervolgens wordt nagegaan of de
beleggingsstrategie van het product niet te
ingewikkeld is. Voor het derde criterium wordt
nagegaan of de berekeningsformule niet
meer dan drie mechanismen omvat om het
rendement te berekenen. Het laatste criterium
heeft betrekking op de transparantie van o. a.
de kosten en het kredietrisico.
Na onderhandelingen met de sector, is de
FSMA erin geslaagd om alle instellingen
uit de bank- en levensverzekeringssector
3. Toezicht op de naleving van de
gedragsregels
I
n het zogenaamde Twin Peaks-model,
dat sinds 1 april 2011 in voege is,
krijgt de FSMA onder meer de rol van
gespecialiseerde gedragstoezichthouder.
Om die rol voluit te kunnen spelen en het
gedragstoezicht te intensifiëren, heeft de
FSMA een nieuwe dienst ‘Toezicht op de
gedragsregels’ opgericht.
De FSMA heeft in eerste instantie, in
samenwerking met een aantal erkende
revisorenkantoren, een actieplan en een
specifieke methodologie uitgewerkt voor
het toezicht op de naleving van de MiFIDgedragsregels.
De nieuwe benadering moet bijdragen
tot een efficiënte praktijk van het
toezicht op de MiFID-gedragsregels. Via
de nieuwe methodologie wordt tevens
een uniforme aanpak verzekerd en wordt
een referentiekader gecreëerd voor de
toepassing van de MiFID-gedragsregels.
De nieuwe aanpak zal de FSMA in staat
stellen efficiënt stelling te nemen en aan
‘benchmarking’ te doen. Zij zal op basis van
de uitgevoerde controles kunnen vaststellen
voor welke thema’s er nog verbeteringen
mogelijk zijn en zal daarover indien nodig
aanbevelingen publiceren.
4. Toezicht op de financiële dienstverleners
en tussenpersonen
D
e opdracht van de FSMA ten aanzien van
de financiële dienstverleners houdt in
essentie in dat zij prudentieel toezicht
uitoefent op de beheervennootschappen
van instellingen voor collectieve belegging
en op de beleggingsondernemingen die
een vergunning als vennootschap voor
vermogensbeheer en beleggingsadvies
hebben aangevraagd. Dat toezicht heeft tot
doel erop toe te zien dat de vennootschappen
onder toezicht hun verbintenissen te allen
tijde kunnen nakomen en de continuïteit van
hun bedrijfsuitoefening kunnen waarborgen.
De toezichtstaken betreffen onder andere
de analyse van de administratieve en
boekhoudkundige organisatie en het interne
controlesysteem, de kwaliteit van het
management en het beheer, de geschiktheid
van de aandeelhouders, de evolutie van de
activiteiten en de risico’s, alsook de followup van de financiële structuur in zijn geheel.
Ook op de naleving van de vergunnings- en
bedrijfsuitoefeningsvoorwaarden
wordt
continu toegezien.
Het toezicht op de tussenpersonen, die
met meer dan 20. 000 personen een
zeer omvangrijke populatie vormen,
komt erop neer de toegang te controleren
tot het beroep van tussenpersoon in
bank- en beleggingsdiensten alsook
tot het beroep van verzekerings- en
herverzekeringstussenpersoon. Dit houdt
voornamelijk de behandeling in van de
inschrijvingsaanvragen voor de respectieve
registers en het toezicht op de naleving
van de wettelijke voorwaarden om die
inschrijving te kunnen behouden.
5. Toezicht op de aanvullende pensioenen
D
e FSMA is bevoegd voor het
toezicht
op
de
aanvullende
pensioenen die werknemers en
zelfstandigen opbouwen in het kader van
hun beroepsactiviteiten (de zogenaamde
‘tweede pijler’). De FSMA houdt toezicht op
de naleving van de sociale wetgeving met
betrekking tot de tweede pensioenpijler.
Zij ziet tevens toe op de financiële
gezondheid van de instellingen voor
bedrijfspensioenvoorziening (IBP’s) die
instaan voor het beheer van pensioenregelingen.
6. Bijdrage tot de financiële vorming.
D
e Twin Peaks-wet heeft de FSMA de
opdracht toevertrouwd om bij te
dragen tot de financiële vorming
van het publiek. Deze nieuwe bevoegdheid
vormt een perfecte aanvulling op de
andere opdrachten van de FSMA waarbij
de bescherming van de beleggers en de
consumenten van financiële producten
centraal staat.
Conclusie
A
an de FSMA werden zes grote
bevoegdheidsdomeinen toegekend.
Een harmonische interactie tussen al
deze bevoegdheden moet bijdragen tot een
passend toezicht op de financiële sector
en de bescherming van de consumenten
van financiële producten. Door deze
bevoegdheden uit te oefenen en haar
initiatieven verder uit te werken, wenst de
FSMA de nodige lessen te trekken uit de
crisis en bij te dragen tot het herstel van het
vertrouwen in de financiële sector en het
financiële systeem.
de fsma kort voorgesteld
Om die reden is het nodig om in een vroeger
stadium in te grijpen, namelijk bij de
ontwikkeling zelf van het financiële product.
Op die manier kan ervoor gezorgd worden
dat nieuwe producten beter beantwoorden
aan de noden van de cliënten aan wie ze
verhandeld zullen worden.
alsook talrijke tussenpersonen ervan te
overtuigen het moratorium vrijwillig te
onderschrijven. Het moratorium heeft geleid
tot een vereenvoudiging van het aanbod van
gestructureerde producten op de Belgische
markt. De demarche van de FSMA heeft
veel interesse gewekt op internationaal
niveau en meer bepaald bij de buitenlandse
toezichthouders.
19
September 2012
zijn de beschikbare informatie te raadplegen.
Atila Kas
Vice-President of IIA Belgium
& Chief Internal Auditor at Generali Belgium
ready to audit solvency II?
Ready to Audit
Solvency II ?
by Atila Kas
20
September 2012
What is Solvency II?
It is a fundamental review of the capital adequacy regime of the
European insurance industry. It aims to establish a revised set of
EU-wide capital requirements and risk management standards.
The ultimate goal is to protect insurance policy holders across the
European market.
It was important to associate the Belgium Insurance federation
(Assuralia) as being one of the key stakeholders in the Solvency II
context. The project aimed at clarifying the internal auditor’s role
within Solvency II and at providing guidance for the internal auditors
in the insurance sector.
The Solvency II regime creates a number of drivers for change in the
(re)insurance undertaking management and in its internal control
system. As such, it imposes internal audit functions to re-align
themselves and update their audit plans to address the increased
assurance requirements that Solvency II is likely to demand.
This means that internal audit functions will need to carry out
periodical reviews (following a risk-based audit planning approach)
over corporate governance, risk management, internal model,
(supervisory) reporting, ORSA and data quality control processes in
order to provide the organisations’ governing bodies with assurance
over their new areas of responsibility.
A position paper on “The Role of Internal Audit in Solvency II” provides
guidance to the members on the permissible roles for an internal
auditor in the Solvency II context and on the safeguards needed to
protect his/her independence and objectivity. Hence, the position
paper identifies assurance activities and consulting services related
to Solvency II which could be carried out by Internal Audit while
complying with the International Standards for the Professional
Practice of Internal Auditing.
Also, the need has arisen to clarify internal audit’s interaction with
the validation processes.
IIA Belgium initiative:
The IIAs members (CAE, Chief Auditors, Internal Audit Managers)
working for the leading companies within the Belgium Insurance
Market joined the initiative launched by the Institute in 09/2010
by working together on the available regulations, directives and
documentations in order to produce an overview on the role of the
IA function.
It was important to
associate the Belgium
Insurance federation
(Assuralia) as
being one of the key
stakeholders in the
Solvency II context.
This position paper includes the following aspects:
• Pillar approach, the legislative structure, the available regulations/
directives and disclaimer (at the date of the position taken by IIA
Belgium).
• Internal Audit under Solvency II and specific concepts to consider,
including the Internal Audit role in Solvency II, Internal Audit‘s
assurance activity versus consulting activity, the 3 lines of defence
model (used as best practice) and some specific Solvency II
concepts applicable to the Internal Audit function as a) Insurance
groups, b) Proportionality principle, c) Outsourced internal audit
function & d) Fit and proper requirements.
The position of IIA Belgium, based on cockpit view includes “the
related Internal Audit tasks in the SII framework”, the “possible
consulting roles in the Solvency II context” and certainly, the task
considered as being “out of the internal audit scope”.
An important aspect has been taken into account in regards with
the ORSA, which stands for Own Risks and Solvency Assessment
and is part of the second pillar of the EC Directive “Solvency II”.
ORSA can be defined as the entirety of processes and procedures
deployed by the Board of Directors and the Executive Committee (i)
to identify, assess, monitor, manage and report the short and long
term risks the (re)insurance undertaking faces or may face and (ii)
to determine the own funds necessary – taking into account the
existing and emerging risks to ensure that the undertaking’s overall
solvency needs are met at all times. The position paper refers to the
benefit from the ORSA, the high level activities and the IA’s role in this
context.
Conclusion:
Under Solvency II, the fundamental role of the internal
audit function doesn’t change in terms of its attributes,
or practices. Actually, Solvency II is for the internal audit
function an evolution, not a revolution. Nevertheless,
Solvency II is drastically changing the Internal Audit scope
as it essentially changes the company’s environment,
governance and decision making processes.
Therefore, the internal audit function should anticipate and
properly calibrate the audit approach, audit programmes
and audit organisation to the Solvency II requisites in
order to provide expected assurance to all internal audit
stakeholders.
The Institute, in collaboration with Assuralia, took a
step forward regarding our professionalism by having
this position paper validated by the BOD of IIA Belgium
(04/2012) & Assuralia (06/2012). Additional stakeholders
will be involved going forward, in order to enhance the view
both of and for our profession.
Please refer to our website to obtain the full view of the
Position Paper: IIA Bel Position Paper: The role of IA in SII
ready to audit solvency II?
In other words, the paper’s purpose is to assist chief audit executives
in responding to Solvency II requirements toward the internal audit
function.
Bouw met de NMBS-Groep mee aan
de mobiliteit van vandaag en morgen.
Ontdek al onze vacatures op
www.de spoorwegen werven aan.be
September 2012
21
l’audit interne : un service coproduit dans un monde de services
Ir. Tommaso Capurso,
MIA, CIA, CCSA, QA, EFARM
Audit Interne H-AI, SNCB Holding
Chef de la Division d’audit H-AI. 03
“Opérations et Systèmes techniques”
Vice-Président de l’UFAI pour l’Europe
(hors France)
L’audit interne :
un service coproduit dans
un monde de services
par Ir. Tommaso Capurso
September 2012
22
Résumé de l’article
• Les entreprises évoluent dans un contexte de concurrence, globalisation, complexité, réglementation, ... accrues.
Les attentes du Management sont elles aussi en conséquence largement évolutives, ce qui affecte le rôle attendu de l‘Audit
Interne.
• Bien que le cœur de la profession reste l’évaluation des systèmes de contrôle interne, des processus de management des
risques et des dispositifs de gouvernement d’entreprise, l‘Audit Interne doit s’adapter au contexte et à la culture d’entreprise.
Il est de plus en plus amené – pour contribuer à créer de la valeur – à assurer des prestations hautement interactives,
d’assurance et de conseil, dans le cadre d’un accord informel voire au contraire formalisé dans un « contrat », établissant la
compréhension commune des attentes et les conditions de réalisation de la prestation.
• On dépasse alors largement la fourniture d’une opinion (diagnostic, état des lieux) établie – traditionnellement –
pour l’essentiel par l‘Audit Interne lui-même, sur base de son jugement professionnel, soutenu par un cadre normatif.
La prestation devient alors un « service », qui a la spécificité d’être « coproduit » par le client lui-même ET l‘Audit Interne, et
dont les résultats dépendent de manière significative de la culture d’entreprise et de l’engagement du client/du demandeur
de la mission.
• Le présent article vise à :
1. faire découvrir le concept de service coproduit et de ses propriétés, dont le modèle (la « servuction ») a été
développé à l’origine par les Prof. Eiglier/Langeard dans le domaine du marketing des services ;
2. exposer comment il peut être appliqué à l’activité de l’Audit Interne lui-même ;
3. montrer que les « services » représentent de plus en plus la logique dominante des activités économiques à travers
le monde et donc une large part de tout « univers d’audit » moderne ;
4. sensibiliser dès lors à l’utilisation potentielle du modèle de servuction comme cadre-référentiel pour l’audit
d’activités de services et illustrer la démarche mise en œuvre au travers d’un exemple pratique traité lors d’une
mission d’audit de conseil ;
5. tirer quelques conclusions.
1. Qu’est-ce que la « servuction » ?
Pour illustrer l’aspect de coproduction d’une
mission d’audit, commençons par relater une
anecdote, lors d’une réunion de clôture.
—Moi : « Monsieur le Directeur, ce n’est pas
l’Audit Interne qui a réalisé cette mission
d’audit. »
—Le Directeur, surpris : « Comment ??? »
—Moi : « Ce sont les membres de votre
Service ET l’Audit Interne qui l’ont réalisée
ENSEMBLE ! »
James Teboul2 insiste sur l’importance de
l’interaction avec le client.
« Le service, c’est (d’abord) l’avant-scène
(le « front-office »), l’interaction avec le
client, son expérience, sa perception. La
production, les opérations de transformation,
le traitement des données, c’est l’arrièrescène (le « back-office »). »
par an. Les points de vue de la Direction
Générale et du Conseil doivent être pris en
compte dans ce processus.
•N
2201. C1 Les auditeurs internes doivent
établir avec le client donneur d’ordre un
accord sur les objectifs et le champ de la
mission de conseil, les responsabilités
de chacun et plus généralement sur les
attentes du client donneur d’ordre.
• MP
A4 2410- Point 11. Dans le cadre des
discussions entre l’auditeur interne et
l’audité, l’auditeur interne obtient l’accord
de l’audité sur les résultats de l’audit
et sur tout plan d’action nécessaire à
l’amélioration des activités.
• MP
A 2440- Point1. Les auditeurs internes
échangent sur leurs conclusions et
recommandations avec le niveau de
management approprié avant que le
responsable de l’audit interne n’émette le
rapport définitif. L’IFACI ajoute que « Ceci
sera facilité si le management audité a été
considéré tout au long de la mission comme
un partenaire. Ceci est le cas notamment
lorsque des échanges périodiques ont lieu
au cours de la mission sur le déroulement
de celle-ci. ».
Le débat sur les conclusions et les
recommandations s’effectue habituellement
durant la mission d’audit ou lors des réunions
de fin de mission (réunions de clôture). Ces
débats et examens contribuent à donner
l’assurance qu’il n’y a pas eu de malentendus
ni de fausses interprétations des faits et
offrent à l’entité auditée l’occasion de clarifier
certains points particuliers.
Autrement dit, transparence et validation
sont les déterminants de la confiance et
de l’intensité de l’interaction audit interne/
audité, facteur clef de succès de création de
valeur.
La fabrication traditionnelle d’un bien/
produit/objet (« la prod...uction ») d’une
entreprise industrielle se réfère au
modèle classique suivant, le produit étant
généralement pré-existant à l’interaction
avec et sa « consommation » par le CLIENT
(modèle de base Eiglier/Langeard).
Nous attirons en effet l’attention du lecteur,
en citant Christian Mayeur3, sur le fait que la
création de valeur se joue effectivement dans
l’interaction avec le client.
« La valeur d’un service repose d’abord
sur la confiance, mais ne s’arrête pas à la
confiance. Une fois la confiance acquise,
l’adaptation permanente aux demandes des
clients et la capacité à anticiper leurs désirs,
à les émerveiller sont les véritables voies de
l’amplification de la création de valeur ».
23
September 2012
Les « normes professionnelles » confèrent à
l’Audit Interne une place importante au sein
de l’entreprise, qui doit être légitimée, selon
la Norme 1000, par une Charte. Cette dernière
doit préciser en particulier la mission, les
pouvoirs, les responsabilités et la position
dans l’organisation ; elle autorise l’accès aux
documents, aux personnes et aux biens,
nécessaires à la réalisation des missions, ...
La N 1110. A1 stipule « L’audit interne ne doit
subir aucune ingérence lors de la définition de
son champ d’intervention, de la réalisation du
travail et de la communication des résultats ».
l’audit interne : un service coproduit dans un monde de services
« La participation du client dans la réalisation
d’un « service » est une notion un peu
déroutante. Non seulement le client paie
pour le service mais il doit, en plus, donner
de son énergie, de son temps, pour obtenir
satisfaction. »1
La fabrication d’un service (la « serv... uction ») relève au contraire d’un modèle d’interaction
avec un ou plusieurs clients, répondant aux définitions tant de Eiglier/Langeard que de Teboul.
Les normes seraient-elles donc à sens unique
et introduiraient-elles une asymétrie des
pouvoirs/devoirs par rapport aux entités
auditées (« expectations gap » comme disent
les anglophones) ? Que du contraire ! Les
normes invitent au dialogue permanent et à
une coopération intelligente avec les acteurs
des entités/processus audités, comme en
témoignent des extraits de normes IIA ou de
leur interprétation par l’IFACI :
•N
2010. A1. Le plan d’audit interne doit
s’appuyer sur une évaluation des risques
documentée et réalisée au moins une fois
1. P.Eiglier et E.Langeard, « Servuction : le marketing des services », Collection Stratégie et Management, Ediscience, Paris, 1999. Voir notamment les modèles et schémas, extraits, empruntés ou adaptés.
2. « Le management des services - Une approche opérationnelle pour toutes les entreprises », Collection Eyrolles, 2007
3. F.Sigot, « Services... Quelle contribution à la création de valeur dans l’industrie? », Entretien avec Christian Mayeur, Qualité en mouvement, n°43, pp.59-62
4. Modalité Pratique d’Application
l’audit interne : un service coproduit dans un monde de services
Précisons
quelques
concepts
qui
interviennent dans ce modèle.
Support physique : matériel nécessaire à la
production du service utilisé par le client et/
ou personnel en contact. Il comporte :
• les instruments de « transformation »
(matériels, appareils, ...)
• l ’environnement autour des instruments
(infrastructure)
Personnel : employé par l’entreprise de
service.
Client : consommateur/ bénéficiaire impliqué
dans la fabrication du service.
Service : C’est à la fois l’objectif du système
mis en œuvre et la résultante de l’interaction
entre le client, le support physique et ses
instruments, et le personnel en contact.
Il a pour but de satisfaire les besoins du client.
Le client est systématiquement impliqué
dans l’élaboration du service.
De plus, la valeur du service n’est réelle que
parce que le client consomme ce service.
« Une activité de service se caractérise
essentiellement par la mise à disposition
d’une capacité technique ou intellectuelle.
A la différence d’une activité industrielle,
elle ne peut pas être décrite par les seules
caractéristiques d’un bien tangible acquis par
le client. »
(La France des services, 2003)
Ce schéma illustre fort bien la problématique
de gestion de la diversité des « clients »
(Comité d’audit, Senior Management, ...) et
de leurs attentes différenciées voire parfois
contradictoires, dont l’Audit Interne doit
tenir compte. La variabilité de leurs attentes
et leurs interactions affecte en effet les
prestations attendues de l’Audit Interne.
Une caractéristique importante du service
est l’inséparabilité de la fabrication (... la
« servuction ») de la consommation du
service.
Prenons un exemple simple de la vie
courante : le cas du transport de voyageurs
par train. Tant que le voyageur n’est pas
transporté du point A au point B, le service
n’est pas produit; le service doit être produit
au moment de sa consommation, car la
réalisation du service requiert la participation
du bénéficiaire. Le terme « coproduction »
2. Application du modèle de « servuction » à l’activité d’audit interne
Le modèle présenté peut s’appliquer aux activités d’audit interne.
Il se décline alors de la façon suivante.
September 2012
24
implique que le bénéficiaire prend en charge
une partie du processus de production du
service (préparation de l’itinéraire, choix de
l’horaire et du train, compostage éventuel,
déplacement jusqu’au quai en suivant la
signalétique, ouverture des portes, analyse
de l’information reçue à bord, ...).
En fait, les quatre caractéristiques souvent
reconnues d’un service sont les attributs :
• INSEPARABLE : « servuction » /
consommation (client/fournisseur)
• INTANGIBLE : c’est très clairement le
cas de l’activité d’audit interne, dont les
livrables sont essentiellement immatériels :
information, conseils, propositions
• HETEROGE
NE : compte tenu de la variabilité
de perception de la qualité selon les
personnes, le facteur psychologique
(« ambiance »), ce qui conduit à la difficulté,
d’une manière générale, d’évaluer le service
• PERI
SSABLE : le service ne peut être produit
à l’avance ni stocké.
Certains services d’audit interne, qui ont bien
intégré cette notion de « coproduction »,
ont mis en place des dispositions
organisationnelles spécifiques et formalisé
Il est clair que l’audit interne correspond
aux domaines des « Services destinés
à l’esprit des personnes » (comme :
psychiatrie, éducation, loisirs, consultance,
La prise de conscience de la notion de
servuction peut induire chez le praticien
d’audit un changement de paradigme6, en
passant :
• d e l’approche « méthodo-centrique »,
focalisée sur la connaissance des
méthodologies et techniques de conduite
d’une mission d’audit.
• à la pratique « business-centrique »,
concentrant son attention sur savoir
comment comprendre le business et
développer une relation de qualité avec
les responsables opérationnels. Il s’agit
d’adopter une attitude de partenaire,
orientée « résolution de problème » et
« amélioration du business ».
Examinons maintenant l’aspect « transformation », cité tant dans la définition de Teboul
que dans le modèle de Eiglier/Langeard. Le
service est en effet le résultat du processus
de « servuction », qui peut potentiellement
opérer une transformation.
Quelle transformation ? Nous renvoyons
le lecteur, pour plus de détail, à la matrice 7
« bénéficiaire du service (personnes/
biens) » en fonction de « la nature du service
(actions tangibles/actions intangibles) ».
formation, information, communication) et
aux « Services destinés à des possessions
intangibles » (comme : banque, bourse,
comptabilité, aide juridique, assurances).
L’audit interne, service d’assurance et de
conseil, agit en effet sur les représentations
cognitives et informationnelles, en vue
d’induire un changement et de produire une
transformation de représentation mentale
(« AS IS » ⇨ « TO BE »), par une aide à la
décision.
Cette transformation de représentation
mentale se reflète concrètement dans le taux
d’acceptation des recommandations, parfois
appelé « indicateur de pertinence » de l’audit
interne.
La transformation opérationnelle par le
Management sur ses actifs (personnel,
matériel, immatériel) relève ensuite de
sa capacité ou possibilité (en fonction de
l’évolution du contexte) à implémenter
les recommandations acceptées. Certains
évoquent alors, en termes de taux
d’implémentation, la notion d’« indicateur de
persuasion » de l’audit interne.
Nous avons tenté de modéliser ci-contre la
chaîne des transformations s’opérant lors
de la « servuction » Audit Interne/client (ou
audité). Les transformations de type « backoffice » (formation des auditeurs, excellence
des processus, infrastructure de travail, ...) et
« front office » (établissement de la confiance,
communication des résultats, assurance sur
le degré de maîtrise des opérations, ...) sont
aisément reconnaissables.
5. http://ec.europa.eu/dgs/internal_audit/docs/ias_charter_fr.pdf. « Mutual expectations paper » (What you should expect from the IAS. What the IAS expects from you). Le « document d’attentes mutuelles », décrit les relations entre
l’auditeur et l’entité auditée dans l’optique de clarifier les responsabilités de chacun et de rapprocher les attentes mutuelles, de sorte que les audits se déroulent sans heurt et de manière efficiente et efficace
6. J.M.Boers, Conférence internationale IIA, Amsterdam, juillet 2007, Track C1, « My years as an internal auditor…How a CFO looks back on his period in internal auditing »
7. Voir Eiglier/Langeard, adaptée de Lovelock « Classifying services to gain strategic market insight », Journal of marketing, vol.46, Summer 1983
l’audit interne : un service coproduit dans un monde de services
une charte de coopération auditeurs/audités
(droits et devoirs respectifs). L’exemple
de l’IAS (Internal Audit Service) de la
Commission Européenne est sous cet angle
particulièrement intéressant.5
25
September 2012
Le degré d’implication du client dans la
« servuction » d’une mission d’audit interne
peut varier très fortement selon la nature
(assurance, conseil), la culture d’entreprise
(maturité en termes de gouvernance,
de contrôle interne, de management des
risques, ...), le contexte, ...
On peut citer par exemple la gradation
suivante en termes de coopération :
• p as de participation active ; attentes
implicites (non formalisées)
• s imple mise à disposition par l’audité de
données, informations
• v alidation des propositions de l’Audit Interne
(orientation mission, étendue, objectifs
d’audit)
• a ttentes précises voire formalisées
(orientation mission, étendue, objectifs
business)
• v alidation ex post des constats et résultats
de l’audit
• d iscussion, feedbacks et validation des
résultats intermédiaires
• p articipations ponctuelles à des sessions
d’évaluation (workshops, ...)
• p articipation active et périodique du
bénéficiaire (phases clefs)
• c ontrat (convention ou mémorandum)
formalisant les rôles/responsabilités
respectifs
• c oproduction continue de l’audit, le bénéficiaire (opérationnels, Management, ...)
étant intégré à l’équipe d’audit (« guest
auditor », experts métiers, ...).
l’audit interne : un service coproduit dans un monde de services
Ces dernières années, notre pratique
d’audits8 réalisés avec la conscience - voire la
conviction - de la philosophie « servuction »
(degré d’interaction et de coproduction élevé
avec le client) a généralement conduit à un
niveau de satisfaction accru tant pour l’audité
que pour l’équipe d’audit interne et à une
perception originale de co-création de valeur.
Le schéma ci-après propose deux visions
extrêmes quant à la réalisation d’une mission
audit interne :
• u ne vision traditionnelle, correspondant
à un système de production classique,
linéaire, séquentielle et unidirectionnelle ;
• u ne vision moderne, correspondant à la
servuction, qui nous semble plus proche
d’une réalité « business-centrique »,
intégrée,
hautement
interactive
(rétroactions multiples), reflet d’un
engagement élevé des clients/entités
auditées.
3. L’évolution de l’importance des services à travers le monde
Les services occupent une part croissante dans les activités humaines à travers le monde, comme le démontre la figure suivante, et deviennent
la « logique économique » dominante.
September 2012
26
8. Par exemple : accompagnement d’un projet de Business Process Reengineering à la Direction Voyageurs; évaluation de la mise en place d’une organisation nouvelle « Dispatching Voyageurs » ; évaluation du fonctionnement des
répartiteurs de tension ; amélioration de la qualité du transport des voyageurs ; assistance à la mise en place d’un processus standardisé de retour d’expérience ; facilitation de la mise en place de la méthodologie AMDEC ??? en
matière de risques techniques et organisationnels ; audit qualité interne d’un projet de signalisation ferroviaire ; ...
Dès lors, le modèle de servuction, bien que ne
se substituant pas aux modèles reconnus au
sein de la profession d’audit interne (COSO,
CoCo, ...), peut aussi être potentiellement
fort utile comme cadre-référentiel pour
apprécier et auditer des activités spécifiques
de services.
4. Application pratique du modèle de servuction lors d’une mission d’audit
(de conseil, dans le cas présent)
Le CEO d’une importante filiale du Groupe
SNCB, spécialisée dans l’ingénierie
(désignons-la par « Société X »), sollicita un
jour notre Service d’Audit Interne pour une
mission de conseil quant à l’amélioration
du « business model » entre elle-même
et sa société-mère (soit la « Société Y »).
La finalité de la mission était de contribuer
à la maîtrise du cycle de vie d’un projet
(depuis son initialisation jusqu’au transfert
de l’ouvrage construit).
Cette mission d’audit était un challenge car
les attentes étaient fortes :
•«
faciliter » le processus de concertation
entre les 2 sociétés pour améliorer leur
modèle d’interaction
• s outenir les plans de transformation
stratégiques en cours
• a ccélérer, dans un contexte évolutif qui n’a
pas facilité la tâche de l’Audit Interne, le
projet de mise au point du modèle amélioré
d’interaction (convention, procédures
associées, ...)
•m
ettre à disposition une analyse détaillée
Score
(sur 60
points)
0 - 25
26 - 40
41 - 60
des risques des processus d’interaction, à
mener selon divers critères :
- d ’une part : Project Management, Contract
Management, System Integration
- d ’autre part : les divers processus métiers
concernés (au nombre de 16)
• identifier le degré de couverture des risques
par les « actions en cours » et formaliser
des propositions additionnelles d’actions
• é valuer la répartition de ces risques selon
le rôle (Actionnaire/Client/Fournisseur) de
la société-mère Y
• é valuer la convergence de perception des 2
sociétés sur l’état des lieux fourni.
Etant donné l’ampleur et la complexité de la
mission, l’Audit Interne :
• a sollicité la mise en place d’un groupe
stable de travail/réflexion au sein la société
X pour la tenue d’une série de workshops,
animés par l’Audit Interne
• a procédé à une analyse de risques pour
les 16 processus d’interaction concernés.
A cet effet, une matrice de risque a
été mise à disposition et enrichie lors
Approche recommandée
des workshops. Les identifications et
évaluations des risques ont été effectuées
de manière pragmatique (échelle pseudoquantitative de 1 à 4 tant pour la gravité que
la probabilité ; un risque individuel pouvait
donc « valoir » entre 1 et 16 points).
Procéder par workshops pour obtenir des
résultats probants était-il pertinent ?
Autrement dit, la question de « mesurer » le
degré d’ouverture culturelle se posait.
Dans ce but, le questionnaire de Larry
Hubbard9 a été utilisé. Les 8 participants
réguliers ont répondu, de façon anonyme,
à chacune des 6 questions, cotées sur 10
(safety ; truthfulness/candor ; empowerment ;
training ; creativity/innovation ; rigour).
Le score relatif à chaque répondant pouvait
donc atteindre 60 points au maximum sur
l’ensemble des 6 questions.
Les critères de décision, selon L. Hubbard,
pour apprécier l’adéquation culturelle afin de
pouvoir mener des « workshops » (control
self assessments ou « CSA ») sont donnés
dans le tableau suivant :
C’est-à-dire, en pratique ?
Fort attachement pour l’approche
historique/traditionnelle
(“controler & commander”)
• Utiliser de manière limitée et prudente les outils et concepts du CSA
• Fournir une formation sur le CSA au Senior management, aux experts,
aux auditeurs et au Comité d’audit
Etape intermédiaire : tenter de
faire évoluer la culture
• Offrir des services de CSA aux entités opérationnelles qui sont réceptives et se
sentent en « sécurité » pour débattre librement des contrôles et des risques, ainsi
qu’aux personnes intéressées par l’approche
• R echercher le support du Management en matière de CSA
La nouvelle vision est un “mode
de vie” (responsabilisation du
personnel)
• Déployer le CSA à travers l’organisation entière
• Toutes les entités opérationnelles font régulièrement de l’auto évaluation,
améliorent eux-mêmes la conception de leurs contrôles, et rapportent vers
le Management sur les risques et les contrôles
9. « A practical guide to control self assessment », Editions IIA
l’audit interne : un service coproduit dans un monde de services
Historiquement, en effet, les étapes
successives d’évolution des activités
humaines, en général, ont été :
• la société pré-industrielle (Economies
principalement agraires)
• la société industrielle (Economies dominées
par les biens)
• la société post-industrielle (Economies
d’information, de connaissance et de
qualité de vie)
• la société des services
27
September 2012
Ces tendances confirment et actualisent
l’évolution déjà constatée par l’OCDE et les
Nations Unies dans différentes analyses
depuis une dizaine d’années.
l’audit interne : un service coproduit dans un monde de services
Les réponses obtenues sont données ci-après et confirment le bien-fondé culturel de l’approche par workshops. Deux points d’attention peuvent,
à peine, être identifiés.
September 2012
28
Une série de 4 workshops ont été menés au
sein de la filiale X, enrichissant la matrice
de risques de 98 lignes de risques pour
l’ensemble des 16 processus métiers
analysés. Au cours de deux workshops
supplémentaires avec la société-mère Y, la
perception de cette dernière a été recueillie
afin de valider les risques majeurs identifiés
et les pistes d’amélioration, ce qui a bien été
le cas.
Etant donné que les activités d’ingénierie
constituent des « services », le modèle
d’Eiglier/Langeard était tout désigné
pour permettre une « agrégation » (un
« clustering ») des risques.
Voici le résultat effectué en commun et de
façon très interactive avec la société X, lors
d’un workshop dédié. Les 98 risques figurant
sur les flèches d’interaction sont identifiés
par le symbole du processus concerné
(parmi les 16) suivi d’un numéro d’ordre.
Par exemple CMA7 = risque n°7 relatif au
processus « Contract Management ».
Grâce au modèle de « servuction » et à la distribution des risques dans celui-ci, l’Audit Interne a pu persuader les parties prenantes que les
pistes d’amélioration devaient concerner non seulement les interactions – attendues – au niveau du « front office », mais également les
éléments du « back office ».
l’audit interne : un service coproduit dans un monde de services
L’histogramme ci-après permet par ailleurs de synthétiser et de visualiser l’importance relative des divers flux/risques d’interaction, à des fins
en particulier d’allocation adéquate des ressources pour le plan d’actions d’amélioration.
Sans rentrer dans la « substance » opérationnelle de la mission, l’Audit Interne a ainsi co-produit avec le Client audité plusieurs propositions
stratégiques, appréciées, « accrochées » aux divers modes/flux du modèle d’interaction, afin de contribuer au succès du plan de transformation.
Sélection de quelques exemples.
Flux d’interaction
Identification du Risque
Proposition d’amélioration
Instruments 1 Client
principal
(Société mère Y)
• CMA1
• CRM3
• POR1
• PTH6
• Actualiser la « convention historique » entre les deux Sociétés
X et Y
• Mettre à disposition un catalogue de produits/compétences/
services
• Clarifier les modalités d’arbitrage des priorités au sein du
portfolio de programmes
• Affiner le cadre et les responsabilités en matière d’homologation
Organisation interne 1
Personnel en contact
• CRM4
• CMA10
• ODE14
• Mettre en place un KMS (« knowledge management system »)
• Etablir un planning-type générique corporate
• Mettre en place un processus structuré « Risk Management
Plan »
Systèmes 1 Support
physique
• CMA7
• OPB1
• Etablir un registre des technologies standards validées par le
Client Y
• Fiabiliser le « resource planning » (disponibilité des
composants sur site)
Support physique 1
Client principal
(société mère Y)
• PCO7
• Assurer la conformité « as built » de la documentation
contractuelle
September 2012
29
l’audit interne : un service coproduit dans un monde de services
Client principal (société
mère Y) 1 Services pour
client principal
• PTH8
• Etablir un plan de surveillance après mise en service
Organisation interne 1
Instruments
• DDE1
• Formaliser une procédure de reconnaissance d’état des lieux
Systèmes 1
Instruments
• PCO1
• Recenser les interfaces entre projets dès l’analyse fonctionnelle
5. Quelques conclusions...
L’activité de l’Audit Interne constitue
effectivement un service coproduit. La
« valeur » de la prestation est co-créée lors
de l’interaction de l’Audit Interne avec les
clients/audités.
L’Audit Interne peut « réinventer » ses
activités pour auditer des entités/processus
à l’aide du « modèle de servuction »
comme paradigme/cadre utile et facilement
applicable aux activités de services.
Le type d’organisation et les caractéristiques
culturelles influencent considérablement les
modes d’interaction et leur efficacité.
De « servuction » à... « séduction », il n’y a
peut-être qu’un pas à franchir.
L’Audit Interne peut puiser une inspiration
considérable dans le modèle générique
de « servuction » d’Eiglier/Langeard, pour
comprendre, optimiser ses processus et
réussir sa transformation continue.
Finalement, le « service », c’est la somme de
la vente d’une compétence technique et de la
gestion d’une relation, soit un véritable défi !
Au lecteur de décider !
September 2012
30
Je dormais et je rêvais que la vie n’était que joie.
Je m’éveillais et je vis que la vie n’est que service.
Je servis et je compris que le service est joie.
Rabindranàth Tagore (1861-1941), écrivain indien,
Prix Nobel de littérature, 1913
un métier qui a ses racines
dans l’Histoire européenne
par Anne Cremers
Licenciée en Histoire de l'Art et Archéologie -ULB
Si vous osez prononcer cette simple phrase dans le couloir
de n’importe quelle entreprise « La semaine prochaine, on
a le contrôle de l’audit interne dans notre département... »
vous assisterez instantanément à une modification radicale
du comportement de votre interlocuteur : son visage va se
crisper, son regard s’affoler, son pas s’accélérer. Une frêle
angoisse émotionnelle transpire de tout son corps. Il ne sait
ni pourquoi ni comment, mais en fait, il est assailli par le
poids de l’histoire des auditeurs, réputés depuis des siècles
et des siècles, pour de « chercheurs de petites bêtes », de
« contrôleurs ».
Ce sont bien évidemment nos collègues, mais venant d’un service
« différent ». Ils sont les gardiens de la droiture et de l’exemplarité
des actions menées au sein de l’entreprise et tout le monde tremble
à l’annonce de leur venue. On commence à douter de tout, la peur du
détail mal fait nous ronge intérieurement. On va aller jusqu’à douter
d’avoir bien placé la bonne facture dans le bac adéquat, selon les
souhaits de notre hiérarchie, alors qu’en fait, ils ont bien d’autres
choses à penser.
Leur responsabilité au sein de l’entreprise est bien plus importante
et bien plus porteuse de nouvelles directions. Ils ont des yeux qui
pointent vers le long terme, ils cherchent les solutions aux moindres
problèmes, ils sont à l’affut du plus petit dysfonctionnement qui
auditeur, un métier qui a ses racines dans l’histoire européenne
31
September 2012
Auditeur,
auditeur, un métier qui a ses racines dans l’histoire européenne
September 2012
32
pourrait entraver l’évolution de l’entreprise. Ils sont les garants de la
bonne santé financière de l’entreprise.
Pour anéantir ce réflexe, certes primaire, mais ancré de force dans
notre mémoire collective depuis plusieurs décennies et pour nous
rassurer, on devrait connaître par cœur l’étymologie latine exacte du
mot « audit ». Il provient du verbe « audio, audire, audivi, auditum »
qui signifie « écouter ».
Encyclopédie « Panckoucke » au XVIIIe siècle, de nombreuses
fonctions attribuées aux auditeurs. On y définit l’auditeur à la fois
comme chargé de revoir les comptes et les finances du Roi, les juges
auditeurs comme fonctionnaires au courant des comptes personnels
du Roi, les auditeurs conventuels ou collégiaux comme examinateurs
des comptes des monastères et l’auditeur de nonciature nommé
par le pape auprès d’un nonce comme un secrétaire auprès d’un
ambassadeur.3
« Audit » est donc la troisième personne de l’indicatif présent et
est traduit par « Il écoute ». Les auditeurs sont donc par définition
des « écouteurs professionnels ». Ils sont à l’écoute des failles, des
mauvais engrenages liés au travail quotidien et ils trouvent par leur
raisonnement des solutions répondant précisément aux besoins de
leur entreprise. Ce n’est que vers la première moitié du XXème siècle
que la langue anglaise va utiliser le mot « auditors » pour désigner
toute personne pratiquant des actions de vérification, de révision,
d’ajustement comptable ou financier dans une entreprise.
Par contre, dans le même volume, l’Encyclopédie préconise un emploi
très limité du nom commun « audition », nom commun dérivé de la
même racine latine : « ... qui ne se dit que dans deux phrases : l’audition
d’un compte et l’audition des témoins. Dans la première, il signifie la
réception et l’examen d’un compte, dans l’autre, il signifie la réception
des dépositions soit dans une enquête ou une information »4.
Si on reprend les idées globales de Jeremy Rifkin1, l’invention de
l’écriture (3ième millénaire avant Jésus Christ) et l’invention de
l’imprimerie (15ième siècle) seraient les deux grandes étapes qui ont
très progressivement mené nos traditions orales vers une culture
écrite. Le moyen-âge fut la période de transition car on avait pour
habitude de lire à haute voix les livres de comptes comme si on avait
besoin de donner crédibilité à ce qui était écrit.
On pourrait accumuler les exemples à travers les siècles. Ainsi, on
retrouve dans certaines expressions actuelles cette volonté constante
de faire passer la parole orale comme supérieure à toutes valeurs
écrites. Ne parle-t-on pas d’un homme de parole ? Ne croit-on pas
quelqu’un sur parole ? Ne donne-t-on pas sa parole d’honneur ? N’at-on pas qu’une parole ? Oui mais ... les paroles s’envolent et les écrits
restent ! Et pour trancher cet immense dilemme sémantique, je donne
la parole à la défense ! En conclusion, je dirai que la parole est d’argent
et que le silence est d’or.
Peut-être les prémices, les premiers pas de ce qui deviendra
l’Assemblée Générale de nos sociétés actuelles où on a coutume
d’exprimer oralement ce qui est expliqué par écrit dans le rapport
annuel ... Il existe une autre origine moins connue au terme d’
« audit ». Gilles Martin revient sur son étymologie du mot et rappelle
« l’importance de « dire les choses » oralement pour leur donner de
la valeur. Le mot « audit » est le résultat de la préposition « à » et du
déterminant « ledit », donc « ce qui a été dit à » » 2.
On retrouve d’ailleurs dans l’Encyclopédie méthodique dite
Cette définition garde le poids de la valeur orale du mot mais souligne
de manière subtile, l’acte même de contrôle.
On pourrait faire remonter l’histoire de l’audit à l’édification de l’Empire
Babylonien au IIe millénaire avant Jésus-Christ où « le secrétaire d’état,
responsable des affaires financières consignait dans les documents
comptables toutes les transactions commerciales importantes et
attestait, par le fait même, de leur véracité ».5
A cette même époque, on peut lire sur la fameuse stèle du Code de
Hammourabi (Roi de Babylone, 1792-1750 av. J. C.) conservée au
1 Jeremy Rifkin, « Une nouvelle conscience pour un monde en crise. Vers une civilisation de l’empathie », Editions Les Liens qui libèrent, 2011.
2 Rédacteur du blog Zone Franche Président de PMP conseil en stratégie et management.
3 « Encyclopédie méthodique : Jurisprudence », Tome I, publié par Charles-Joseph Panckoucke, Paris, 1773,
p. 579-583.
4 « Encyclopédie méthodique : Jurisprudence », Tome I, publié par Charles-Joseph Panckoucke, Paris, 1773,
p. 583.
5 Gilles Willet, « L’audit de communication : analyse critique », Communication et Organisation, Presses Universitaires de Bordeaux, 1994.
Dans un esprit de gestion financière saine, on peut évoquer la vie de
Joseph dans l’ancien testament. Gouverneur de l’Egypte et homme
de confiance de Pharaon, il imposa, pendant les années d’abondance
le stockage systématique d’un cinquième des récoltes en prévision
de famines potentielles. Il perçut des taxes rigoureuses sur toutes
exportations et importations de céréales dans le pays. Joseph fit de
cette disposition une loi en Egypte imposant ainsi le versement du
cinquième de toute récolte à Pharaon. Peut-être est-ce à partir de là
que l’Egypte devint une puissante nation ?
Autre période, autres méthodes. Le contrôle des finances de l’état grec
antique nous est parvenu par les écrits d’Aristote (384-322 av JC), dans
« La Constitution d’Athènes ». Il nous rapporte que « dix logistes et dix
synégores reçoivent les comptes de tous les fonctionnaires : seuls,
ils ont qualité pour examiner les comptes des comptables, et pour
les porter devant le tribunal, s’il y a lieu. Si les logistes convainquent
quelque magistrat de détournement de fonds, les juges le condamnent
pour vol, et il est tenu de payer au décuple le montant du détournement
fixé par le tribunal. Si les logistes établissent quelque fait de corruption
et que les juges condamnent le comptable, ils le condamnent pour
corruption, et il est tenu de payer au décuple la somme reçue. Si le
comptable est condamné pour malversation, le tribunal évalue la
faute et le comptable n’est condamné qu’au simple ; mais le simple est
porté au double, si le paiement n’est pas effectué avant la neuvième
prytanie. Le décuple n’est jamais doublé. »6
Le contrôle de gestion d’un Empire, aussi vaste que celui de
Charlemagne n’est pas une mince affaire. Par la capitulaire (ce sont des
textes législatifs typiques de la dynastie carolingienne) du 23 mars
789 après Jésus Christ, l’Admonitio generalis (Exhortation générale),
il crée les Missi Dominici (les envoyés du maître), les inspecteurs de
l’Empire. Ce sont « les yeux, les oreilles et la langue du souverain ». Ils
avaient les pleins pouvoirs et leur mission était très claire : sanctionner
les abus, veiller à l’application du droit, surveiller le bon fonctionnement
de la justice et l’état des finances, contrôler l’administration des
provinces et signaler à l’empereur les moindres abus qu’ils auraient pu
constater. Ils se déplaçaient dans l’Empire par deux, un laïc (comte ou
chevalier) et un clerc. Ils faisaient leur tournée quatre fois par année.
Ils portent sur eux des capitula missorum, un résumé reprenant,
article par article, l’essentiel des ordres verbaux qui leur avaient été
donnés par le souverain avant leur départ. Par ce biais, Charlemagne
avait trouvé le moyen d’exercer un contrôle absolu sur l’ensemble de
son territoire. (Illustration les missi dominici se présentant devant
Charlemagne). Pour compléter ce parcours à travers les époques et les
pays, nous devons évoquer par deux exemples, l’évolution de l’audit
en Angleterre. Nous devons remonter au XIIème siècle où Mc Mickle7
décrit « en 1131, l’organisation de la collecte des fonds royaux par les
shérifs des différents comtés au Royaume-Uni par l’Ancien ministère
33
September 2012
Cela signifie en termes plus simples que si les logistes constatent qu’il
y a eu vol ou corruption, la personne devait rendre dix fois la somme
dérobée. En cas de malversation, la cour faisait une évaluation et le
responsable ne devait rendre la somme qu’une seule fois, mais s’il
ne le faisait pas avant la fin du délai de 9 mois, la somme doublait !
Pratiques bien radicales...
L’empire romain va lui, opter pour la nomination de questeurs. Ce sont
des fonctionnaires chargés de veiller sur les ressources de Rome
en gérant les finances du Trésor public, des Provinces et de l’armée.
Lors de la création de cette fonction vers 447 avant Jésus Christ, les
questeurs n’étaient que deux puis leur nombre évolua au fil des siècles
(ils furent 40 à la fin de la République). Pour atteindre cette fonction, il
fallait avoir effectué 10 ans de service militaire (stipendia, orum, npl) et
avoir au moins 28 ans (pour les patriciens, 30 ans pour les plébéiens).
Les questeurs étaient tenus de rendre les comptes oralement devant
une assemblée composée d’ « auditeurs » qui approuvaient par la suite
leurs conclusions. Le célèbre Cicéron commença sa carrière politique
en 75 avant Jésus Christ comme questeur et la termina comme consul,
après avoir franchi toutes les étapes de la magistrature.
auditeur, un métier qui a ses racines dans l’histoire européenne
Louvre, l’intérêt et l’attention qu’il porte à l’obligation de reddition des
comptes de ceux à qui était confié l’argent des autres (§49,50,51 par
exemple).
6 Aristote, « La Constitution d’Athènes », Chapitre LIV : Magistratures conférées par le sort (suite), les dix logistes et les dix synégores. De la reddition des comptes, §2.
7 Mc Mickle P. L. Jr, « The nature and objectives of auditing : a unified rationale of public, governmental and internal auditing », Ph. D. Dissertation, 1978.
auditeur, un métier qui a ses racines dans l’histoire européenne
September 2012
34
des Finances anglais, l’Exchequer. A cette époque chaque shérif doit
en effet se rendre à Westminster et payer à l’Exchequer une moitié des
montants dus par son comté. Une souche est alors frappée, servant de
reçu et d’enregistrement du paiement. Plus tard dans l’année, le shérif
retourne à Westminster pour clôturer la comptabilité au cours d’une
procédure solennelle. Les montants dus par les différents shérifs y
sont communiqués oralement et comparés aux souches et espèces
étalées sur un tissu ».8 Il faudra attendre la fin du XIIème siècle pour que
le terme d’audit soit utilisé formellement pour la première fois dans
les pays saxons. Il apparaît en 1285, dans les statuts de Westminster,
rédigés par Edouard Ier d’Angleterre (roi de 1272 à 1307). Voici ce que
les statuts mentionnent : « Concernant les serviteurs, les intendants,
les chambellans et de manière générale, les receveurs de fonds qui
sont tenus de produire des comptes, les maîtres de ces serviteurs
doivent nommer des auditeurs pour examiner les comptes. Dans le cas
d’arriérés de paiement, toutes les choses permises doivent être mises
en place. Sur le témoignage de l’auditeur des comptes, ils peuvent être
envoyés ou délivrés de la prison du roi ».9
La France du 12e siècle voit naître les origines de la Cour des comptes.
C’est une ordonnance de Philippe Auguste datant de 1190 qui fixe la
procédure de reddition des comptes publics du roi. Celle-ci est issue
de la curia régis, de la Cour du Roi qui siégeait dans la résidence du
souverain dans l’Ile de la Cité à Paris et qui contrôlait les dépenses et
les recettes du royaume. Saint-Louis va confirmer en 1256 le rôle de
ces gens de comptes en les installant dans une salle particulière, la
« camera computorum », la chambre des comptes au sein du Palais
de Justice. Supprimée à la révolution la chambre des comptes est
reconstituée sous Napoléon par la loi du 16 septembre 1807 sous
l’appellation actuelle de « Cour des Comptes ». Sur les murs des
Invalides, sous la représentation sculptée de la Cour des Comptes sont
gravés ces mots prononcés par l’Empereur : « Je veux que par une
surveillance active, l’infidélité soit réprimée et l’emploi légal des fonds
garanti » (cf. illustration). Après avoir été déplacée au fil des années,
elle s’installera définitivement en 1912 au Palais Cambon à Paris. 10
Une autre étape importante fut la loi française du 24 juillet 1867
s’adressant aux sociétés commerciales. En effet, elle a joué un rôle
important dans les balbutiements de la profession d’auditeurs que l’on
rapprochait plus à cette époque, de celle des comptables, des teneurs
de livres. Elle a imposé la désignation officielle de « Commissaires de
sociétés » et un peu plus tard des « Commissaires aux comptes ».
« Ce contrôle, destiné à protéger les actionnaires est longtemps
demeuré très illusoire, en l’absence de garantie d’indépendance et
de capacité des commissaires, nommés pour un an seulement, mal
rémunérés et dépourvus de réels pouvoirs d’investigation. »11
De 1867 à nos jours, le législateur n’a cessé d’étendre sa mission et
de renforcer son indépendance. Mais cette loi est primordiale car elle
a permis aux sociétés commerciales de s’entourer de professionnels
spécialisés... les ancêtres de nos auditeurs actuels !
la réalisation des audits par des auditeurs externes pour toutes
entreprises cotées en bourse.
Notre maison mère, l’Institute of Internal Auditors est créée en 1941
à New York et marque donc l’apparition de l’audit interne dans les
entreprises.
Durant ces dernières années, la pratique de l’audit s’est
considérablement développée par une extension spécifique de la
fonction dans certains domaines comme la recherche à la fraude,
l’évaluation critique des procédures et des structures, la diversité des
secteurs. La fonction d’audit interne apparaît en France avec la loi du
24 juillet 1966 préconisant l’appel à des contrôles pour les sociétés
commerciales, filiales de grands groupes étrangers mais la fonction
reste encore fort proche des techniques de comptabilité. Elle s’en
dégagera et prendra ses spécificités qu’à partir des années 80. Vu les
crises économiques successives depuis 2008, le rôle de l’audit n’est
plus à démontrer. Son développement rapide et son adaptabilité en
fonction de l’actualité lui promettent assurément un avenir prometteur.
Je terminerai par la réflexion du journaliste français, Yves Calvi : « La
Cour des Comptes remet chaque année un rapport au gouvernement
que personne ne suit. Faudra-t-il aller un jour à ce que l’Etat doive
se justifier de ne pas suivre ce que préconise la Cour sous peine de
sanctions ? »12. Encore un bel avenir en perspective ...
« Audit » est donc la troisième
personne de l’indicatif présent
et est traduit par « Il écoute ».
Les auditeurs sont donc par
définition des « écouteurs
professionnels ».
Il faudra attendre le 20ième siècle pour assister au développement et à
l’organisation de la fonction d’audit notamment aux Etats-Unis suite à
la crise économique de 1929. La récession économique en point de
mire, les entreprises cherchent à réduire drastiquement leurs charges.
Elles vont alors faire appel à des cabinets d’audit externe, organismes
indépendants ayant pour mission la certification des comptes, bilans
et états financiers.
N’oublions pas non plus la création de la SEC (Security and Exchange
Commission) en 1934. C’est à cette époque que la bourse exige
8 David Carassus, Georges Gregorio, « Gouvernance et audit externe légal : une approche historique comparée à travers l’obligation de reddition des comptes », Communication aux 9èmes journées d’histoire de la comptabilité et du
management, mars 2003, p. 5.
9 Idem, p. 5.
10 http://www. ccomptes. fr/Nous-connaitre/Histoire-et-patrimoine
11 Bulletin de la Commission Bancaire, n°26, avril 2002, p. 10.
12 Yves Calvi, « C’est dans l’air », France 5, 2 juillet 2012.
Illustrations : http://napoleon1er. perso. neuf. fr/BR-Comptes. html - Tombeau de Napoléon Ier, Les Invalides, Paris.
http://www. histoire-france. net/moyen/charlemagne/missidomici. jpg - Les missi dominici se présentant devant Charlemagne
Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis
een beroep dat zijn wortels heeft
35
in de Europese geschiedenis
September 2012
Auditor,
door Anne Cremers
Master in Kunstgeschiedenis en Archeologie-ULB
Wanneer u in de gangen van eender welke onderneming deze
eenvoudige zin durft uit te spreken: “volgende week hebben
we een interne audit in onze afdeling...”, bent u onmiddellijk
getuige van een radicale verandering van het gedrag van uw
gesprekspartner: zijn gelaatsuitdrukking verandert, hij krijgt
een radeloze blik in de ogen, hij versnelt zijn pas. Zijn hele
lichaam verraadt een zweem van emotionele ongerustheid.
Hij weet niet waarom noch hoe, maar hij wordt inderdaad
bezwaard door het gewicht van de geschiedenis van de
auditors, al eeuwenlang bekend en berucht als “zoekers naar
spijkers op laag water”, “controleurs”.
Het zijn natuurlijk onze collega’s, maar ze komen van een
“verschillende” dienst. Het zijn de bewaarders van de onkreukbaarheid
en de voorbeeldigheid van de in de onderneming ondernomen acties,
en iedereen beeft wanneer hun komst wordt aangekondigd. Men
begint aan alles te twijfelen, de angst voor het slecht uitgevoerde
detail knaagt aan ons. Men gaat zelfs zo ver dat men twijfelt of men
de goede factuur in het passende bakje gelegd heeft, afhankelijk van
de wensen van onze hiërarchie, terwijl zij in werkelijkheid heel wat
anders aan hun hoofd hebben.
Hun verantwoordelijkheid in de onderneming is veel belangrijker, en
dit op veel punten. Hun blik is gericht op de lange termijn, zij zoeken
naar oplossingen bij het minste probleem, zij loeren op het kleinste
detail dat de evolutie van de onderneming in gevaar zou kunnen
brengen. Zij staan garant voor de goede financiële gezondheid van
de onderneming.
Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis
Om deze reactie, die zeker simplistisch is, maar al decennialang stevig
in ons collectief geheugen ingeprent werd, teniet te doen en om ons
gerust te stellen moeten we de exacte Latijnse etymologie van het
woord “audit” bekijken. Het begrip is afkomstig van het werkwoord
“audio, audire, audivi, auditum” wat “luisteren” betekent.
September 2012
36
“Audit” is dus de derde persoon van de onvoltooid tegenwoordige tijd
en wordt vertaald door “Hij luistert”. De auditors zijn dus per definitie
“professionele luisteraars”. Zij hebben een luisterend oor voor de
gebreken, voor het slecht draaien van de machine dat samenhangt
met het dagelijkse werk en zij vinden door hun rationele denkwijze
oplossingen die exact inspelen op de behoeften van hun onderneming.
Het is pas in de eerste helft van de XXste eeuw dat de Engelse taal
het woord “auditors” gaat gebruiken voor personen die handelingen
uitvoeren die in verband staan met nazicht, revisie, aanpassing van de
boekhouding of van de financiën in een onderneming.
Wanneer men zich baseert op de globale ideeën van Jeremy Rifkin1,
dan zouden de uitvinding van het schrift (IIIde millennium voor
Jezus Christus) en de uitvinding van de boekdrukkunst (XVde eeuw)
de twee grootste etappes zijn die onze mondelinge tradities zeer
geleidelijk brachten tot een geschreven cultuur. De middeleeuwen
waren de overgangsperiode, omdat men gewoon was om de
boeken met rekeningen met luide stem voor te lezen, alsof men
geloofwaardigheid aan het geschrevene zou moeten geven.
Het was misschien de aanvang, de eerste stap van wat de Algemene
Vergadering van onze huidige vennootschappen zouden worden,
waar men de gewoonte heeft om mondeling uit te drukken wat in het
jaarrapport geschreven is...
Er bestaat een andere, minder bekende oorsprong voor het begrip
“audit”. Gilles Martin doet beroep op de etymologie van het woord en
herinnert aan “het belang om “dingen te zeggen” om er waarde aan
te geven. Het woord “audit” is het resultaat van het voorzetsel “à” en
van het bepalende woord “ledit”, dus “wat gezegd werd aan”” 2.
Men vindt trouwens in de methodische encyclopedie, de zogenaamde
“Panckoucke”-encyclopedie in de XVIIIde eeuw, dat tal van functies
werden toegekend aan auditors. In dit naslagwerk definieert men
de auditors als personen belast met de revisie van de rekeningen
en financiën van de Koning, de rechter-auditors als ambtenaren die
op de hoogte zijn van de persoonlijke rekeningen van de Koning, de
klooster- of collegiale auditors als onderzoekers van de rekeningen
van kloosters en de nuntiatuurauditors, benoemd door de Paus bij
een nuntius zoals een secretaris bij een ambassadeur.3
In hetzelfde volume beschrijft de encyclopedie echter een zeer
beperkt gebruik van de gemeenschappelijke naam “verhoor”, een
zelfstandig naamwoord met de Latijnse oorsprong: “... wat slechts
in twee zinnen gezegd wordt: het verhoor van een rekening en het
verhoor van getuigen. In het eerste geval betekent dit de ontvangst
en het onderzoek van een rekening, in het andere geval de ontvangst
van getuigenissen, hetzij in een onderzoek, hetzij bij wijze van
informatie”4.
Deze definitie behoudt het gewicht van de gesproken waarde van het
woord, maar onderstreept op subtiele wijze de controle op zich.
In de loop der eeuwen stapelen de voorbeelden zich op. Zo vindt men
in bepaalde actuele uitdrukkingen deze constante wil om voorrang
te geven aan het gesproken woord boven alle geschreven waarden.
Spreekt men niet van een man van zijn woord? Gelooft men niet
iemand op zijn woord? Geeft men niet zijn woord van eer? Heeft men
niet slechts één woord? Ja, maar... de woorden vervliegen en het
geschrevene blijft! En om in dit immense semantische dilemma een
oordeel te kunnen vellen, geef ik het woord aan de verdediging! Bij
wijze van conclusie zou ik zeggen: spreken is zilver, zwijgen is goud.
Men zou de geschiedenis van de audit kunnen laten beginnen bij
de opkomst van het Babylonische Keizerrijk in het IIde millennium
voor Jezus Christus waar “de staatssecretaris, verantwoordelijk
voor de financiële zaken, in de boekhoudkundige documenten alle
belangrijke handelstransacties noteerde en hierdoor bevestigde dat
ze echt waren”.5
1 Jeremy Rifkin, « Une nouvelle conscience pour un monde en crise. Vers une civilisation de l’empathie », Editions Les Liens qui libèrent, 2011.
2 Redacteur van de blog Zone Franche, Voorzitter van PMP, advies in strategie en management.
3 « Encyclopédie méthodique : Jurisprudence », Tome I, uitgegeven door Charles-Joseph Panckoucke, Parijs, 1773, p. 579-583.
4 « Encyclopédie méthodique : Jurisprudence », Tome I, uitgegeven par Charles-Joseph Panckoucke, Parijs, 1773, p. 583.
5 Gilles Willet, « L’audit de communication : analyse critique », Communication et Organisation, Presses Universitaires de Bordeaux, 1994.
In een geest van gezond financieel bestuur kan men verwijzen
naar het leven van Jozef in het Oude Testament. Als gouverneur van
Egypte en vertrouwenspersoon van de Farao voerde hij tijdens de
jaren van overvloed de systematische opslag van één vijfde van de
oogsten in als preventieve maatregel voor eventuele periodes van
hongersnood. Hij hief strenge belastingen op alle import en export
van granen in het land. Jozef maakte van deze verordening een wet
in Egypte, en voerde zo de betaling in van één vijfde van de complete
oogst aan de Farao. Is het misschien vanaf dat ogenblik dat Egypte
een machtige natie werd?
Een andere periode... andere methoden. De controle over de
financiën van de antieke Griekse staat kwam tot ons door de werken
van Aristoteles (384-322 voor Christus), meer bepaald in de “De
grondwet van Athene”. Hierin lezen we dat “tien logisten en tien
synegoren de rekeningen van alle ambtenaren ontvangen: zij hebben
de bevoegdheid om de rekeningen van boekhouders te onderzoeken
en om hen voor de rechtbank te dagen mocht dit nodig zijn. Indien
de logisten een magistraat overtuigen van het feit dat fondsen
verduisterd werden, zullen de rechters de persoon in kwestie voor
diefstal veroordelen, en moet hij tien keer het verduisterde bedrag,
vastgelegd door de rechtbank, terugbetalen. Indien de logisten
corruptie vaststellen en de rechters de boekhouder veroordelen,
veroordelen ze hem voor corruptie, en moet hij het tienvoud van
het ontvangen bedrag betalen. Wordt de boekhouder veroordeeld
wegens malversatie, onderzoekt de rechtbank het misdrijf en wordt
de boekhouder enkel veroordeeld tot het enkele bedrag; maar deze
boete wordt verdubbeld wanneer de betaling niet voor de negende
prytanie plaatsvindt. Het tienvoud wordt nooit verdubbeld.”6
In meer eenvoudige bewoordingen betekent dit dat wanneer de
logisten vaststellen dat er sprake is van diefstal of corruptie, de
persoon in kwestie tien keer het ontvreemde bedrag moet betalen.
In geval van malversatie, ging de rechtbank over tot een onderzoek
Het Romeinse rijk zal ervoor kiezen om quaestors te benoemen. Dit
zijn ambtenaren belast met het toezicht op de middelen van Rome
door de financiën van de Openbare Schatkist, de Provincies en het
leger te beheren. Toen deze functie rond 447 voor Christus gecreëerd
werd, waren er slechts twee quaestors, maar in de loop van de eeuwen
zal hun aantal toenemen (op het eind van de Republiek waren ze
met 40). Om toegang te kunnen krijgen tot deze functie moest men
10 jaar dienstplicht (stipendia, -orum, zelfstandig naamwoord mv.)
achter de rug hebben en ouder zijn dan 28 jaar (voor de patriciërs,
30 jaar voor de plebejers). De quaestors moesten de rekeningen
schriftelijk voorleggen voor een vergadering bestaande uit “auditors”
die hun conclusies vervolgens goedkeurden. De beroemde Cicero
begon zijn politieke carrière in het jaar 75 voor Christus als quaestor
en zal zijn loopbaan beëindigen als consul, na alle etappes van de
magistratuur doorlopen te hebben.
De controle van het beheer van een Rijk, zo groot als dat van Karel de
Grote, is geen kinderspel. Door het capitulum (dit is een wetgevende
tekst, typisch voor de Karolingische dynastie) van 23 maart 789 na
Christus, de Admonitio generalis (“Algemene aansporing”), worden
de Missi Dominici (koningsboden), de inspecteurs van het Rijk in
leven geroepen. Dit zijn “de ogen, de oren en de tong van de heer”.
Ze hadden de grootste macht en hun missie was zeer duidelijk:
misbruik bestraffen, toezicht houden op de toepassing van het recht,
toezicht houden op de goede werking van justitie en de staat van de
financiën, de administratie van de provincies controleren en het
geringste misbruik dat ze eventueel zouden ontdekken aan de Keizer
melden. Zij verplaatsten zich in het Keizerrijk met zijn tweeën, een leek
(graaf of ridder) en een klerk. Zij deden vier keer per jaar hun ronde.
Zij hadden capitula missorum bij zich, zijnde een samenvatting,
artikel per artikel, van de essentiële inhoud van de mondelinge
bevelen die hen voor hun vertrek door de koning gegeven waren. Op
deze wijze had Karel de Grote het middel gevonden om een absolute
controle over zijn heel grondgebied uit te oefenen. (Illustratie waar de
missi dominici zich voor Karel de Grote presenteren).
6 Aristoteles, « La Constitution d’Athènes », Chapitre LIV : Magistratures conférées par le sort (suite), les dix logistes et les dix synégores. De la reddition des comptes, §2. – vertaald naar het Nederlands op basis van de Franse tekst.
Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis
en moest de verantwoordelijke het bedrag slechts een keer betalen
maar, deed hij dit niet voor het verstrijken van een termijn van
9 maanden, dan werd het bedrag verdubbeld! Tamelijk radicale
praktijken...
37
September 2012
Uit dezelfde periode vindt men op de beroemde stèle met het
wetboek van Hammourabi (Koning van Babylonië, 1792-1750 voor
Christus), bewaard in het Louvre, het belang en de aandacht die
geschonken worden aan de plicht tot het opstellen van rekeningen
door de personen aan wie door anderen geld was toevertrouwd (§49,
50, 51 bijvoorbeeld).
Auditor, een beroep dat zijn wortels heeft in de europese geschiedenis
September 2012
38
Wanneer we onze tocht doorheen de loop der tijden en de landen
verderzetten, kunnen we de evolutie van de audit in Engeland
beschrijven aan de hand van 2 voorbeelden. We moeten teruggaan
tot de XIIde eeuw waar Mc Mickle7 de beschrijft hoe “in 1131 de
organisatie van het innen van de Koninklijke fondsen door de sheriffs
van de verschillende graafschappen in het Verenigd Koninkrijk
gebeurt door het Voormalige ministerie van Financiën van Engeland,
de Exchequer. Op dat moment moet elke sheriff zich immers naar
Westminster begeven en aan de Exchequer de helft van de door
zijn graafschap verschuldigde bedragen betalen. Daarna wordt een
zegel geslagen dat dienst doet als ontvangstbewijs en als registratie
van de betaling. Later tijdens het jaar keert de sheriff terug naar
Westminster om de boekhouding tijdens een plechtige procedure af
te sluiten. De door de verschillende sheriffs verschuldigde bedragen
worden daar mondeling meegedeeld en vergeleken met de zegels
met geldwaarden die op een doek zijn uitgestald”.8
slechts één jaar, slecht betaald en niet beschikkend over reële
onderzoeksvolmachten.”11 Van 1867 tot vandaag is de wetgever niet
gestopt om hun missie uit te breiden en hun onafhankelijkheid te
versterken. Maar deze wet was van fundamenteel belang omdat zij
de handelsvennootschappen toegelaten heeft zich te omringen met
gespecialiseerde professionals... de voorvaderen van onze huidige
auditors!
We moeten wachten tot het einde van de XIIde eeuw om te zien dat
het begrip audit voor de eerste keer formeel gebruikt wordt in de
Saksische landen. Het woord verschijnt in 1285, in de statuten van
Westminster, opgesteld door Eduard I van Engeland (koning van
1272 tot 1307). Daar lezen we: “Met betrekking tot de dienaars, de
opzichters, de kamerheren en, in het algemeen, de ontvangers van
fondsen die verplicht zijn om rekeningen op te stellen, moeten de
heren van deze dienaars auditors benoemen om de rekeningen te
onderzoeken. In geval van achterstallige betalingen moeten alle
toegelaten maatregelen genomen worden. Op getuigenis van de
controleur van de rekeningen kunnen ze naar de gevangenis van de
koning gezonden of uit de gevangenis ontslagen worden”. 9
Vergeten we in dat verband ook niet de creatie van de SEC (Security
and Exchange Commission) in 1934. Het is in deze periode dat de
beurs de uitvoering van audits door externe auditors eist, en dit voor
alle beursgenoteerde ondernemingen.
Het Frankrijk van de 12de eeuw ziet de oorsprong van het Rekenhof
ontstaan. Het is een verordening uit 1190 van Filip II August die de
procedure vastlegt voor de voorlegging van de openbare rekeningen
van de koning. Dit is de taak van de curia regis, van het Koninklijke
Hofraad die zitting hield in de residentie van de vorst op de Ile de
la Cité in Parijs en die de uitgaven en inkomsten van het koninkrijk
controleerde.
Lodewijk IX de Heilige zal in 1256 de rol van deze ambtenaren
voor de rekeningen bevestigen door ze in een speciale zaal te
installeren, namelijk de “camera computorum”, de rekenkamer,
in het Justitiepaleis. Deze rekenkamer werd tijdens de revolutie
ontbonden maar onder Napoleon door de wet van 16 september 1807
in ere hersteld worden. Vandaag wordt het het “Rekenhof” genoemd.
De volgende woorden die door de keizer werden uitgesproken, werden
onder een beeldhouwwerk met de voorstelling van het Rekenhof
gebeiteld: “Je veux que par une surveillance active, l’infidélité soit
réprimée et l’emploi légal des fonds garanti” (Ik wens dat door een
actief toezicht de ontrouw beteugeld wordt en dat het wettelijke
gebruik van de fondsen gegarandeerd wordt) (zie illustratie). Na in
de loop der jaren verhuisd te zijn, werd het Rekenhof in 1912 definitief
geïnstalleerd in het Palais Cambon in Parijs. 10
Een andere belangrijke stap was de Franse wet van 24 juli 1867 die
gericht was op de handelsmaatschappijen. Deze wet heeft inderdaad
een belangrijke rol gespeeld bij het aan zijn kinderschoenen ontgroeien
van het beroep van auditor dat in die tijd meer gelijkenissen vertoonde
met dat van boekhouders, van mensen die de boeken bijhielden.
Deze wet heeft de officiële naam van “Commissaires de sociétés”
(Bedrijfscommissarissen) en een beetje later “Commissaires aux
comptes” (Financiële commissarissen) opgelegd. “Deze controle,
bestemd om de aandeelhouders te beschermen, is lange tijd zeer
illusoir gebleven, bij gebrek aan een garantie aan onafhankelijkheid
en aan competentie van de commissarissen, benoemd voor
Men moet wachten tot de 20ste eeuw vooraleer de auditfunctie
verder tot ontwikkeling komt en georganiseerd wordt, meer bepaald
in de Verenigde Staten en dit als gevolg van de economische crisis
van 1929. In het oog van de storm van de economische recessie
proberen de ondernemingen hun kosten drastisch te verlagen.
Zij gaan dan beroep doen op externe auditkantoren, onafhankelijke
organismen, met als missie het certificeren van de rekeningen,
balansen en financiële staten.
Ons hoofdkantoor, het Institute of Internal Auditors, wordt in 1941
opgericht in New York en markeert zo het verschijnen van de interne
audit in de ondernemingen.
Tijdens de laatste jaren heeft de praktijk van de audit zich aanzienlijk
ontwikkeld met een specifieke uitbreiding van de functie in bepaalde
domeinen zoals fraudeonderzoek, de kritische evaluatie van
procedures en structuren, de diversiteit van de sectoren. De functie
van interne audit verschijnt in Frankrijk met de wet van 24 juli 1966.
Deze legt de nadruk op controles voor handelsmaatschappijen,
filialen van grote buitenlandse groepen. De functie blijft echter nog
zeer dicht bij boekhoudtechnieken. Ze zal er zich pas van losmaken
en wordt maar specifiek en gespecialiseerd vanaf de jaren 80.
Gezien de opeenvolging van economische crisissen sinds 2008
hoeft de rol van de audit niet meer aangetoond te worden. Zijn
snelle ontwikkeling en zijn aanpassingsvermogen in functie van
de actualiteit verzekeren hem zonder twijfel een veelbelovende
toekomst.
Ik eindig met een overweging van de Franse journalist, Yves Calvi:
“Het Rekenhof stuurt elk jaar een rapport naar de regering dat
niemand volgt. Moet het zover komen dat de Staat zich op een mooie
dag moet rechtvaardigen omdat ze niet volgt wat het Hof aanbeveelt,
op straffe van sancties?”12. Er wacht ons nog een mooie toekomst...
« Audit » is dus de derde
persoon van de onvoltooid
tegenwoordige tijd en wordt
vertaald door « Hij luistert ».
De auditors zijn dus per
definitie « professionele
luisteraars ».
7 Mc Mickle P. L. Jr, « The nature and objectives of auditing: a unified rationale of public, governmental and internal auditing », Ph. D. Dissertation, 1978.
8 David Carassus, Georges Gregorio, « Gouvernance et audit externe légal : une approche historique comparée à travers l’obligation de reddition des comptes », Communication aux 9èmes journées d’histoire de la comptabilité et du
management, maart 2003, p. 5. – vertaald naar het Nederlands op basis van de Franse tekst.
9 Idem, p. 5. – vertaald naar het Nederlands op basis van de Franse tekst.
10 http://www. ccomptes. fr/Nous-connaitre/Histoire-et-patrimoine
11 Bulletin de la Commission Bancaire, n°26, april 2002, p. 10. - vertaald naar het Nederlands op basis van de Franse tekst.
12 Yves Calvi, « C’est dans l’air », France 5, 2 juli 2012 - vertaald naar het Nederlands op basis van de Franse tekst.
Illustraties : http://napoleon1er. perso. neuf. fr/BR-Comptes. html - Graftombe van Napoleon I, Les Invalides, Parijs. / http://www. histoire-france. net/moyen/charlemagne/missidomici. jpg - De missi dominici die zich voor Karel de Grote
presenteren
by Marc Vael
A
few days ago, I presented to an audience of more than 100
CIOs why they should go for cloud computing. The conference
organizer specifically asked me to also focus on the advantages
instead of mainly to the risks, since he thought that scaring people
away from cloud was too much done by certain groups and media.
Especially since the Amazon Clouddrive incident and the MegaUpload
scandal, the organizer wanted to bring a positive message.
I liked the idea about this constructive approach and made my
life easy by using the slogan of ISACA “trust in, and value from,
information systems”.
Even today many people interpret cloud computing as they
have heard via several media and presentations, so I started my
presentation with the most recognized (NIST) definition: “Cloud
computing is a model for enabling convenient, on-demand network
access to a shared pool of configurable computing resources that
can be rapidly provisioned and released with minimal management
effort or service provider interaction. This cloud model promotes
availability and is composed of five essential characteristics, three
service models, and four deployment models.”
Since I knew the conference organizer treated the service models
and the deployment models, I only needed to explain the essential
cloud computing characteristics to the audience. Amazingly I noticed
that most CIOs knew nothing about 2 of the 5 models, namely
• on-demand self-service (where consumer can unilaterally provision
computing capabilities as needed automatically without requiring
human interaction with each service provider) and
• measured service (cloud systems automatically control and optimize
resource use by leveraging a metering capability at some level of
abstraction appropriate to the type of service. Resource usage can be
monitored, controlled, and reported providing transparency for both
the provider and consumer of the used service).
I then focused on the elements which create trust in, and value from,
cloud computing:
Trust in cloud computing
39
September 2012
The advantages of
cloud computing:
Why you should start
experimenting today
the advantages of cloud computing: why you should start experimenting today
Marc Vael
Chairman Cloud Computing
Task Force ISACA
the advantages of cloud computing: why you should start experimenting today
40
• Confidentiality - Cloud computing solutions provide by default proper
authentication and authorization layers. Since these solutions are
used by many organisations (being it infrastructure, or platform, or
applications), the cloud solutions are better secured. Of course, the
applications developed by a company on top of the infrastructure or
platform remain the responsibility of the company. The monitoring
feature to prevent, detect and react to breaches in a timely manner
is also present.
• Privacy - Cloud computing solutions provide proper measured
protection of sensitive personal information which can be verified by
any company.
• Integrity - Cloud computing solutions provide similar protection of
integer data.
• Availability - Cloud computing service providers provide the
infrastructure and bandwidth to accommodate companies with high
speed access, storage and applications. While availability can be
promised, companies should still ensure that they have provisions
in place for service interruptions. Cloud computing even allows more
reliable backup and recovery.
• Resiliency - Cloud providers have disaster recovery equipment to
ensure sustainability through any type of negative event.
• Compliance - Any company must comply with a litany of laws,
regulations and standards. If data are demanded by authorities, cloud
computing service providers can provide this without compromising
other information.
• Licensing - Cloud computing allows companies to only use those
licenses needed at a specific point in time without any concern of
using illegal versions.
September 2012
• Reliability - Cloud computing provides solutions available wherever
people are.
• Monitoring - This is one of the 5 key characteristics of cloud
computing solutions. Measurable transparent monitoring is provided
by default by solution providers to companies. Of course, reading and
interpreting the results remains the responsibility of the companies.
• Integration - Cloud computing solutions provide proper connectors to
integrate with existing internal solutions.
•N
etwork centric - Cloud computing solutions are by default offered
via the network.
• Transparency - Cloud computing service providers can demonstrate
the existence of effective and robust security controls, assuring
companies their information is properly secured against
unauthorized access, change and destruction.
• Certification - Cloud computing service providers can provide proper
assurance that they are doing the “right” things. Independent
assurance from third-party audits and/or service auditor reports is a
vital part of any service provider assurance program.
Value from cloud computing
• Cost containment - Cloud computing offers companies scalability
without huge financial commitments upfront for infrastructure
acquisition and maintenance. Capital expenditure with cloud computing
is much lower since services and storage are available on demand and
are priced as a pay-as-you-go service. Capital expenditure is largely
replaced with operational expenditure. Savings on unused server space
and licenses allows companies to contain costs.
•O
n demand Convenience - A core added value for many companies
since they can unilaterally provision computing capabilities as
needed automatically without requiring human interaction with cloud
services providers.
• Scalability - Cloud services offer increased scalability for evolving IT
needs of companies, allowing for traffic spikes and reducing the time
to implement new services. Companies can also focus on their core
business, rather than be concerned about solving peak business
demands for performance.
• Better resource pooling/usage - Cloud services allow to better
use existing infrastructure at the service provider and increase
productivity and transforming business processes through means
that were prohibitively expensive before the cloud.
• Flexibility - Cloud services offer increased flexibility for evolving IT
needs of companies, allowing for traffic spikes and reducing the time
to implement new services and thus increase innovation.
• Business control over IT solutions - One of the major added value
impacts of cloud computing is that the business is back in control
over its solutions. Business departments can find their own solutions
online and decide themselves if they go ahead or not (streamline
processes), without too much intervention by others. Cloud
computing allows business departments to decouple their IT needs
and their infrastructure.
• Centralized data (sort of) - Cloud computing allows data to be stored
in a centralized accessible matter from the viewpoint of the user.
Of course, with virtualization it has become impossible to physically
pinpoint the exact physical disc where data is stored.
• Faster implementation - Instead of extensive discussions, analysis
and lots of people involved in developing and testing applications and
data solutions, business units are able to activate and use practical
solutions in days. This has a fundamental impact on the agility of a
business and the reduction of costs associated with time delays.
• Logging & Monitoring - One of the cornerstones of cloud computing
is automatically control and optimize resource use by leveraging a
metering capability at some level of abstraction appropriate to the
type of service. Resource usage can be monitored, controlled, and
reported providing transparency for both the provider and company
of the used service.
• Green IT - Another added value of cloud computing is less energy
usage at the company and using existing energy at the cloud
computing service provider, who might have different locations and
choose where energy is cheapest at any point in time.
• Efficiency - Re-allocating information management operational
activities to cloud computing offers companies the opportunity to
focus on innovation and research and development. This allows for
growth.
• The premise of the cloud is that by outsourcing portions of
information management and IT operations, enterprise workers will
be free to improve processes, increase productivity and innovate
while the cloud provider handles operational activity smarter, faster
and cheaper. Assuming this to be the case, significant changes to the
existing business processes will likely be required to take advantage
of the opportunities that cloud services offer.
2. IT governance model: expand governance approaches and
structures to appropriately handle the new IT solutions and
enhance business processes.
3. Integration with internal IT systems: focus on the connectors
between the internal systems and the cloud computing solution(s).
4. Network connectivity / bandwidth: without it, cloud computing
solutions are not accessible.
Cloud computing is a major change in how computing resources will
be used, and as such will be a major governance initiative within
adopting organizations, requiring involvement of a broad set of
stakeholders.
You can find more interesting information on http://www. isaca.
org/cloud, http://www. nist. gov/itl/cloud/publications. cfm and
http://www. enisa. europa. eu/activities/application-security/cloudcomputing/.
Marc Vael, Chairman Cloud Computing Task Force ISACA
(marc@vael. net)
http://www. linkedin. com/in/marcvael
5. Data location: when information can be stored anywhere in the
cloud, the physical location of the information can become an
issue. Physical location dictates jurisdiction and legal obligation.
Country laws governing personally identifiable information (PII)
vary greatly. What is allowed in one country can be a violation in
another.
http://twitter. com/marcvael
6. Shared tenancy: there might be interest to know who your
company is sharing information with.
7. Lock in with vendor: added risk with increased dependency on
a third-party provider to supply flexible, available, resilient and
efficient IT services.
8. Cloud Service Provider stability, reliability and viability: a typical
focus point when working with an external party.
41
9. Service portability: this point is usually forgotten but is necessary
to think about, even before the contract is signed: what about
the portability of the service to another cloud computing service
provider?
10. Legal & regulatory compliance aspects (including licensing,
contractual arrangements).
11. Information security management (including Identity and Access
Management): a proper overview of the different mechanisms
used for information security is interesting for the company.
12. Incident response & crisis management: since cloud computing
service providers are only accessible via networks, it is important
to find out how incidents/crisis are handled, documented and
escalated.
13. Business Continuity Management & Disaster Recovery Planning:
some information about BCM & DRP is good to know from a
company perspective to have guarantees on data and services
availability.
14. Data archiving & removal: especially important at the end of any
cloud computing contract, all data should be removed from the
cloud computing service provider.
15. (Right to) Audit (penetration testing, screening, monitoring, ...):
this focus point makes it possible to have more transparency
around different topics.
the advantages of cloud computing: why you should start experimenting today
1. Psychological impact: level of abstraction between the physical
infrastructure and the owner of the information being stored
and processed. Also no direct or indirect control of the physical
environment affecting his/her data.
When I finished establishing this list of focus points and reviewed
my list, I found that this list reminded me of a list I made more
than 10 years ago. Indeed, this list of focus points is similar to
the one for traditional (IT) outsourcing. So, for cloud computing,
the focus points are not new, but need to be taken into account.
Indeed, this list of focus
points is similar to the one for
traditional (IT) outsourcing.
So, for cloud computing, the
focus points are not new, but
need to be taken into account.
September 2012
O
bviously, in order to put things in perspective, I also made a list
of focus points when implementing cloud computing:
Jan Claes
Process Mining Researcher / Teaching
Assistent at Faculty of Economics and
Business Administration of the Ghent
University
& Mieke Jans
Manager | Auditing and Enterprise Risk
Services at Deloitte Bedrijfsrevisoren
Process mining: get your processes out of the black box
Process mining:
get your processes
out of the black box
By Jan Claes and Mieke Jans
September 2012
42
Organizations often construct business process models to document how they think processes are executed (as-is) or should be executed
(to-be). But are these models accurate? Do they represent real process execution or do they only reflect people’s perceptions about
processes? – Typically, an auditor has to pick samples to verify certain regulations. These sample cases are mostly selected rather randomly.
But isn’t it possible to use a technique that directs you quickly to suspicious cases? Wouldn’t it be interesting to be able to focus on exceptional
cases right from the start? – Process mining helps you with that. It is an umbrella term for dozens of techniques that derive interesting
information from historical process data that can be found in so called log files of your software systems. This will empower an auditor with
the tools to focus on real process execution and to quickly jump to exceptional behavior.
Introduction
Collecting data
In a plane, every event is recorded in a so called black box. On a
ship, the captain notes every event in a log book. In software,
something similar occurs: debug or audit information is
stored in files or databases. This way, enormous amounts of
data about process executions are available, but it is mostly
left untouched. Process mining attempts to use this particular
data effectively to address three practical questions.
1. How is a business process executed in reality (process
discovery)?
2. Which deviations from the normal or desired behavior
(conformance checking) exist?
3. How to enrich a process model, for example with
performance data or decision determinants (process
enhancement)?
The recorded process data from various IT systems (e. g., ERP
software, CRM software, accounting software) first needs to be
hierarchically structured to assemble an event log. This event log
forms the base for all process mining techniques. Figure 1 shows
an example of an event log of a customer support process. Another
typical example of data used to construct the log are status updates
on certain fields.
Truly, the search for and preparation of data is the most challenging
part of a process mining effort, because it depends on your particular
information system setup. Once the data is covered in an event log,
several process mining techniques can be applied.
An event log is a file that captures the history of executed processes.
This history is constructed in traces and events. A trace is a group of
activities (events) that belong to the same process execution (e. g.,
all events for the same customer, for the same sales order, for the
Figure 1 Configuring CSV data for process mining (Fluxicon Disco)
Making use of this information, traces can be defined (through the
case id) and the event log can be constructed.
Process mining techniques
After constructing the event log, various process mining techniques
are accessible. They can be seen as mathematical pattern seeking
algorithms. Based on reoccurring patterns, the main and exceptional
ways of executing a process are discovered and represented in a
process model.
Process discovery (see Figure 2) is only concerned about detecting
how processes were executed in reality. For an event log, you
basically select a specific discovery technique to form the generated
process model based on actual process data. The model can be
examined to explore exceptional paths. Diverse regulations such as
Sarbanes-Oxley Act demand proper and accurate business process
documentation. With process mining you can be confident the
process models are up-to-date.
43
September 2012
Conformance checking can be used to check if certain rules are
violated (e. g., segregation of duties). It instantly gives an overview
of all violations. The input for such an analysis is an event log and a
set of business rules to check compliance for.
Process mining: get your processes out of the black box
same ordered product, ...). In a first phase you decide which view you
want to take on the process (e. g., do you wish to follow customers
throughout the process, or sales orders, or ordered products, ... ?).
Having selected the case you wish to follow throughout a process, the
traces of activities can be created. A trace contains all the activities
that are executed on the case you follow, like ‘Creating a purchase
order’, ‘Releasing a purchase order’ etc in a procurement process.
Aside from the activity traces, the log can contain other interesting
attributes (e. g., the customer number, ...). To create an event log the
minimal information you need for events is:
• a case id
• an event name
• a time stamp
Figure 2 Discovered process model from event log (Fluxicon Disco)
Decision mining is a specific process enhancement technique that
searches for determinants that drive decisions in the process.
It can be used to search for causes to select inappropriate paths in
the process. In which period do these exceptions occur? Or is there
a certain group of users that need more extensive training? Maybe
the inadequate steps are only performed for larger orders? The more
attributes you add to the event log, the more information can be
considered to find the determinants.
Process mining: get your processes out of the black box
Another typical example of process enhancement is performance
analysis. For this technique, each task needs to be represented by
two moments in the log: a starting moment and an ending moment.
This way a difference is made between effective process time and
waiting time.
Bottlenecks can be easily exposed by excessive waiting times, but
process mining also offers techniques for social network mining.
These techniques explore how people (or devices) work together.
Bottlenecks are typically involved in (too) many cases or tasks of
a process. Social network analysis allows to look at the impact of
bottlenecks: Which other people/devices/tasks are involved?
Third step is the creation of the event log from the collected data.
For this step, the extracted data of the information system must be
reorganized in the desired format. All information in the related tables
must be collected in one single table in the right format. Once this
table is created, this should be converted into a minable file. Tools
exist to convert an .xls or .csv file to the appropriate format.
As a fourth step different explorative process mining techniques will
be applied to the event log. Here are some examples:
• basic log information (number of cases, of events, events per case,
etc.) See Figure 3.
• top ten most frequent process variations
• cases with the longest lead time
• general process model discovery
• simple segregation of duties check
• testing other internal controls
• social network analysis
Analysis of results
Process mining comes with some explicit limitations. First, the only
goal of process mining techniques is to present useful information
based on actual process data. It is still up to analysts to decide what
the discovered information means, what needs to be changed to
solve some issues (to-be), etcetera. It must be seen as an additional
instrument in the toolset of managers and (process) analysts to
determine the current situation of processes (as-is).
Figure 3 Log overview: event log statistics (Fluxicon Disco)
September 2012
44
Next, as with all mining techniques the quality of results heavily
depends on the input. While much software packages store lots of
data, it might be difficult to filter the right information, at the right
granularity level. It is also not certain that every single step in a
process is reflected in the data. This is not a big issue, but it deserves
explicit attention to mention that one has to keep this fact in mind
when interpreting process mining outcomes.
Steps in a typical project
A typical process mining project for audit consists of seven steps:
• interview
• data dump
• event log creation
• process mining
• audit discussion
• process mining 2
• reporting
As most data mining techniques, process mining techniques search
for answers to some typical questions. The first step in a project is to
formulate those questions for your organization. Are you concerned
about optimizing performance (e. g., in a lean/six sigma exercise)?
Are you concerned about finding violations against predefined
policies? Are you concerned about comparing process executions of
different business units?
Then, the quest for data begins. Depending on your particular
information system setup standard data extraction options might
exist (e. g., for SAP Deloitte developed a data extraction tool or a
custom ABAP-file can be used). If no default extractions are available,
this step becomes the harder one. But as long as you manage to find
data about what (event name) is done, when (time stamp), and for
which case (case id), you will be able to construct an event log.
In an audit discussion first results are discussed and new, more
specific question are raised. A second or perhaps third round of
process mining should provide the missing answers and finally all
conclusions are bundled in an audit report.
Read more about process mining in the Process Mining Manifesto
that can be downloaded from http://www.win.tue.nl/ieeetfpm. Please
don’t hesitate to contact the authors if you would like to receive more
information.
Jan Claes
Teaching assistant, Ph. D. Student
Ghent University
jan. claes@ugent. be
Mieke Jans
Deloitte Bedrijfsrevisoren
Berkenlaan 8B
1831 Diegem
mjans@deloitte. com
Screenshots from Fluxicon Disco
http://fluxicon. com/disco/
par Gaëtan Lefevre
La démarche de « Risk Management » au sein des entreprises s’est progressivement imposée ces dernières années en Europe, et donc en
Belgique, mais son évolution n’est certainement pas achevée.
Vu la multiplicité des types d’entreprise et le côté parfois diffus de la démarche « Risk Management » en leur sein, il est difficile, voire
malaisé, d’en évaluer la maturité. Un rappel des quelques principes de base s’impose avant toute tentative d’évaluation.
Il est important de souligner que le risque en lui-même n’est pas une mauvaise chose, ce qui est dangereux pour une entreprise ce sont
les risques non gérés, sous-estimés ou inattendus. De plus, l’innovation nécessaire au développement des activités élargit le spectre des
risques et les moyens de communication, en pleine évolution, accélèrent la vitesse de propagation de ces risques. En résumé, prendre des
risques fait partie intégrante de la vie des entreprises, les maîtriser est un facteur clé de leur rentabilité et de leur pérennité.
La 8ième directive européenne sur les droits des sociétés impose des responsabilités générales aux Comités d’Audit (Conseil d’Administration)
et de manière spécifique, en son article 41, § 2b, elle impose un rôle de vérification de l’efficacité des activités de contrôle interne, d’audit
interne et de risk management. Comme cette directive ne définit pas comment le faire, les entreprises peuvent utilement s’inspirer du guide
établi par les associations FERMA et ECIIA. Ce guide met en évidence le modèle basé sur trois lignes de défense sur lesquelles tant le Comité
d’audit que le Conseil d’Administration peuvent s’appuyer :
•1ère ligne de défense : la gestion opérationnelle qui est responsable de l’identification des risques et de leur contrôle => « Risk owner »
•2ième ligne de défense : la fonction de Risk Management mais aussi de conformité aux règlementations et procédures internes (D’autres
fonctions peuvent s’ajouter comme le conseiller en prévention ou en environnement) => « Risk Monitoring »
•3ième ligne de défense : la fonction d’audit interne => « Risk Assurance »
45
September 2012
La démarche de Risk Management
dans les entreprises en Belgique
et son degré de maturité
la démarche de risk management dans les entreprises en belgique et son degré de maturité
Gaëtan Lefevre
Group Risk & Insurance
Manager at CMI
la démarche de risk management dans les entreprises en belgique et son degré de maturité
Cette approche a le mérite de clarifier et donc de renforcer les rôles de chaque fonction en matière de gestion des risques au sein des sociétés.
September 2012
46
Afin d’être capable de maîtriser les risques, il faut d’abord les connaître. La première étape est donc d’établir une cartographie des risques,
c’est-à-dire les identifier et les évaluer en mesurant l’impact et l’exposition par le management opérationnel en tenant compte des spécificités
de la société. Cela permet de mettre en évidence les risques critiques pour l’entreprise qui nécessitent des plans d’actions spécifiques afin
de pouvoir les maîtriser.
Pour aider le Risk Manager dans sa fonction, il est utile de mettre en place un « Comité de Gestion des Risques ». Cette approche est pertinente
notamment dans le cadre d’une entreprise familiale dont le dirigeant serait peu enclin à partager l’information et la décision sur les risques.
Il est important d’en définir les membres, les responsabilités et les interactions avec les autres comités, selon la culture de l’entreprise. Il faut
être attentif à bien définir son rôle et ses priorités qui doivent être en phase avec les objectifs de la société. Il s’agit d’un comité « technique »
en charge de supporter l’animation de la gestion des risques dont les missions principales sont : mettre à jour la cartographie des risques, les
évaluer et sur cette base, faire une proposition de risques prioritaires en précisant leur propriétaire au sein du management opérationnel et
enfin mettre en place un suivi de l’avancement du traitement de ces risques prioritaires.
Même si des initiatives diverses existent déjà dans le cadre de la gestion des risques, il est nécessaire d’avoir une approche structurée de
type Entreprise Risk Management (ERM). En effet, cette façon de faire apporte de la transparence, de la visibilité, une structure et surtout un
outil d’aide à la décision pour le top management, basée sur la gestion des risques. La combinaison de ces deux éléments, Comité de Gestion
des risques et méthode d’identification / évaluation des risques, sont la base de l’Entreprise Risk Management.
La taille de l’entreprise va influencer le modèle de gestion de risques mais aussi son niveau de maturité. Examinons les différents schémas
possibles.
Dans le cas des PME, le dirigeant est le « risk manager », c’est lui qui connait son entreprise, sa stratégie, et la manière dont il veut procéder
pour réaliser ses objectifs. La faiblesse de cette approche résidera dans l’absence de formalisation et dans l’évaluation des conséquences,
vraisemblablement faussée par son ressenti personnel, sa formation et sa culture.
Dans les cas des moyennes entreprises, le Risk Management va s’organiser, se formaliser et évoluer parallèlement à la croissance de
l’entreprise. Souvent, le dirigeant attribuera la responsabilité de la gestion des risques à un collaborateur proche qui gardera sa fonction et
la complètera avec le Risk Management.
Dans le cadre des Grandes Entreprises ou des Multinationales, le Risk Management ne peut plus s’improviser. L’approche doit être organisée
et structurée tout en restant flexible et adaptée à la culture de l’entreprise. Le moteur de développement sera souvent les obligations légales
et les réglementations. L’approche décrite ci-dessus s’applique parfaitement à ce type d’entreprises.
Examinons maintenant les résultats d’une enquête menée en 2010 par la Fédération Européenne de Risk Management (FERMA) auprès de
ses membres et qui donne un éclairage intéressant sur le degré de maturité de la gestion des risques au sein des entreprises en Europe.
Cette enquête, la cinquième du genre, a été menée auprès de 800 Risk Managers / Chief Risk Officers répartis dans 19 pays européens (dont
4% de Belges) et portait notamment sur la gouvernance des risques, la maturité et le futur du Risk Management. Voyons ensemble quels en
sont les principaux résultats.
Key observations 2010:
General results:
•Risk Management (RM) on the agenda of the top management, board and shareholders, which sponsor the function
•Progress in RM fundamentals with significant disparities from one company, country or RM topic to another
•High level of sponsorship for RM function: board of directors or supervisory board (25%), CFO (24%), CEO (17%)
Key RM findings:
•Financial crisis increased the standing of RM (47%)
•Triggers for RM: compliance & legal requirements (70%), shareholder’s requirements (39%)
•Expectations from shareholders / senior management: minimizing operational surprises (70%),
managing cross-enterprise exposures (52%)
•Basic risk assessment methods in place (66% use workshops), but quantification tools poorly used (22%)
•Company complexity impacted clearly the maturity of RM practices
•Risk appetite more closely correlated with risk category than the significance of the risk
1. Le Risk Management doit être efficace aux yeux du Top Management et prouver sa valeur ajoutée. Pour cela, il doit parfaitement comprendre
l’organisation et les activités de l’entreprise afin de bien en saisir les enjeux et difficultés et de pouvoir répondre à la question « qu’est-ce
qui empêche le management de dormir ? » !
2. Le Risk Management doit être légitime mais cela ne se décrète pas. Cela dépendra des qualités propres du Risk Manager et de la confiance
qu’il aura pu développer avec ses collègues au sein de l’organisation.
3. Le Risk Management doit être crédible vis-à-vis du Top Management et/ou du Comité d’Audit ce qui implique transparence et reporting
efficace, sans rétention d’information critique. Il devra faire preuve d’un grand sens de l’éthique.
4. Le Risk Management ne doit pas être isolé mais, au contraire, il doit développer de bonnes relations au sein de l’entreprise grâce à des
contacts de qualité, ce qui lui permettra lors d’un incident ou d’une crise majeure de pouvoir les gérer de manière efficace et avec la
confiance du management.
5. Le Risk Management doit être mieux connu et reconnu du monde extérieur (pouvoirs publics, associations nationales et internationales, ...)
C’est l’un des chantiers majeurs en cours de l’association européenne de Risk Management (FERMA).
En conclusion, je souhaiterais mettre en évidence les éléments suivants.
Le modèle avec les trois lignes de défense est une manière de mieux coordonner les différentes fonctions en matière de gestion des risques.
Le Risk Management et l’Audit Interne sont des fonctions complémentaires, qui font face aux mêmes défis. Il est important de garder un
équilibre entre les deux approches.
La mise en place d’une cartographie des risques et d’un Comité de Gestion des Risques sont les bases d’une approche structurée de type
Entreprise Risk Management (ERM).
L’approche Risk Management doit être adaptée à la taille et à la culture de l’entreprise. Il n’y a pas de modèle unique mais bien des principes
communs.
L’enquête européenne de 2010 a mis en évidence que le Risk Management est bien à l’agenda du Top Management, qu’il rapporte
essentiellement au Senior Management et que les éléments déclencheurs d’une réflexion en Risk Management sont surtout les exigences
légales et de conformité.
Enfin, le Risk Management doit continuer à évoluer afin de relever les défis de demain s’il veut jouer un rôle déterminant dans la gestion des
entreprises.
Références : Guidance on the 8th EU Company Law Directive (art 41), Published by FERM /ECIIA
Part 1: Guidance for boards and audit committees (2010)
Part 2: Implementing the 8th EU Company Law Directive – Q&A for Executives Committees (2011)
FERMA European Risk Management Benchmarking Survey 2010, Keys to understand the diversity of Risk management practices in Europe – 5th Edition, by FERMA in collaboration with Axa Corporate Solutions and Ernst&Young
Trajectoire vers un Enterprise Risk Management (Collection Maîtrise des Risques - 2012), publiée par l’ AMRAE (www. amrae. fr)
www. ferma. eu
www. belrim. com
Participate in the Isabel 6 survey,
benchmark your organisation
and be the first to get the results.
www.isabel6industrialsurveybelgium.be
47
September 2012
Avant de conclure, j’aimerais reprendre ici la même approche que celle développée dans le Compass n°5 sur les enjeux et challenge de l’audit
interne et plus précisément sur les 5 conditions qui doivent être remplies pour que le Risk Management puisse jouer un rôle déterminant
dans la vie des entreprises :
la démarche de risk management dans les entreprises en belgique et son degré de maturité
La sixième édition de l’enquête est en cours et les résultats seront disponibles d’ici fin 2012 avec le même objectif de mesurer l’évolution du
Risk Management au sein des entreprises en Europe.
cybercriminaliteit
Luc Beirens
Hoofdcommissaris van de Federal
Computer Crime Unit (FCCU)
48
September 2012
Cybercriminaliteit
door Luc Beirens
D
e vlag cybercriminaliteit dekt vele
ladingen. Iedereen heeft, afhankelijk
van het kader waarin hij gebruik
maakt van informatiesystemen en internet,
wel een andere definitie.
In de jaren negentig werden de “computer
crime units” opgericht om het misbruik
van ICT voor het plegen “traditionele”
vormen van criminaliteit forensisch te
onderzoeken. Sinds de invoering van de wet
op de informaticacriminaliteit van 2000 zijn
echter ook een aantal handelingen op de
computersystemen op zich ook strafbaar
als valsheid in de informatica of bedrog in de
informatica.
Met de opkomst van het Internet
namen
bepaalde
vormen
van
criminaliteit explosief toe omdat het
internet als communicatiemedium zo
gebruiksvriendelijk én bijna anoniem is:
illegale verspreiding van kinderpornografie
en auteursrechtelijk beschermde werken
zoals muziek, films en software.
Cybercriminaliteit in de strikte zin van het
woord: de misdrijven die zich specifiek
richten tegen de computersystemen
en netwerken zelf met als doel deze
systemen te schaden of er informatie
uit te ontvreemden. Deze handelingen
kunnen bijvoorbeeld de ontwikkeling en
het gebruik van virussen inhouden, het
onderscheppen en manipuleren van data,
het zich illegaal de toegang verschaffen
tot systemen of het uitvoeren van
aanvallen met de buitenwerkingstelling van
computersystemen tot gevolg.
Cybercriminaliteit heeft 3 kenmerken:
• Ten eerste is het een technologisch
fenomeen en vergt het dus enige
vaardigheid en kennis van de
cybercrimineel om succesvol een aanval uit
te voeren. Minder ervaren cybercriminelen
gebruiken tools of scripts. Dit zijn kleine
applicaties die werden geschreven door
ervaren hackers en die slechts de ingave
van enkele instellingen en parameters
vereisen om bijvoorbeeld virussen en
andere malware te creëren. Toch is altijd
enige technische kennis vereist.
• Ten tweede is cybercriminaliteit een
internationaal fenomeen. Hackers laten
zich niet tegenhouden door grenzen. Dit
heeft complexe juridische en procedurele
implicaties tot gevolg.
Bij vele Belgische KMO’s denkt men “bij ons
valt niets te halen” en dat is net fout. Het is
correct dat cybercriminelen in een KMO niet
altijd op zoek zijn naar de informatie die op
de computersystemen staat, maar eenmaal
gehackt, zullen deze computersystemen
zelf aangewend worden voor de criminele
activiteiten. Ze zijn vaak permanent
met internet verbonden en beschikken
bovendien over een grote opslagcapaciteit
en bandbreedte. Zo werden in het verleden
de servers van KMO’s bijvoorbeeld
gehackt waarna er illegale software of
kinderpornografie op wordt gestockeerd
en uitgewisseld. Soms worden ze gebruikt
als mailservers om spam of virussen te
versturen. Vaak blijft deze illegale activiteit
op de bedrijfssystemen onopgemerkt omdat
veel KMO’s geen eigen systeembeheerder
hebben of alleen een firma die af en toe,
vanop afstand, wat onderhoud uitvoert.
Als men al iets abnormaals vaststelt, is
het vaak al een hele tijd bezig. Dit zou een
aandachtspunt moeten zijn voor elke interne
auditor bij de controle van IT systemen die
beheerd worden door de eigen organisatie of
door derden.
Welke zijn de motivaties van de
cybercrimineel?
De intenties van criminelen zijn onveranderd:
rijk worden en hun economische,
wetenschappelijke, politieke of militaire
macht uitbreiden.
Aanvankelijk waren hackers er op uit om
hun kennis te testen, uitdagingen aan te
gaan en roem te verwerven. Er zijn nog
steeds hackers die om deze reden actief
zijn. Thans hebben ze echter ook de kans
om hun kennis en kunde op legale manier
ter beschikking te stellen van anderen als
ethical hacker. Nauw aansluitend op deze
categorie zijn er de script kiddies. Dit zijn
(meestal jongere) hackers die handelen uit
nieuwsgierigheid, uit verveling, uit de wil om
schade aan te richten en/of om te kunnen
opscheppen tegenover andere script kiddies
of hun vrienden. Omdat zij niet over de nodige
kennis beschikken, maken script kiddies
gebruik van tools of scripts die door ervaren
hackers werden geschreven. Ondanks
hun gebrek aan kennis en ervaring slagen
velen er met deze tools in om onrechtmatig
binnen te dringen in slecht beveiligde
computersystemen en netwerken. Door
hun onkunde leiden hun hackingactiviteiten
echter vaak tot belangrijke schade in het
gehackte systeem.
Ondertussen leven we meer en meer in een
mobiele informatiemaatschappij. Miljoenen
mensen beheren hun geld via online
bankieren en hun digitale informatie via
sociale media. Waar geld en mensen massaal
samenkomen, daar komen ook de criminelen
op af. De toegang tot cybersystemen en tot
de opgeslagen informatie wordt bovendien
vaak slecht beveiligd met makkelijk te raden
paswoorden, of is eenvoudig te verkrijgen
via “social engineering” technieken. Steeds
meer vindt de georganiseerde misdaad
dan ook zijn weg naar het internet. Als
samenwerkende gespecialiseerde bedrijven
vinden zij elkaar in de “underground market”,
virtuele platformen waar zij hun criminele
diensten of producten te koop of te huur
aanbieden.
Nieuwe groepen hebben echter ook de
kracht van cybertools ontdekt waardoor zij
hun doelstellingen beter kunnen realiseren.
Er zijn de hactivisten – hackende
activisten – die het doen uit maatschappelijk
protest tegen overheden en grote bedrijven,
zoals de hackers die onder de vlag van de
“Anonymous-beweging” de website van
Paypal, VISA en Mastercard lamlegden
ter ondersteuning van Wikileaks en de
website van ArcelorMittal veranderden na
aankondiging van 600 ontslagen.
Ook nieuw zijn de economische
belangengroepen en landen die zich
schuldig maken aan cyberspionage
vanuit
economische
en
politieke
motieven. Hun bedoeling is om kennis
te nemen van strategieën, patenten,
voorraden, e.d. zowel bij grote bedrijven
(olieen
energiemaatschappijen,
financiële instellingen) als bij diverse
overheidsdepartementen in alle landen.
Vaak blijft deze spionage maanden of zelfs
jaren onopgemerkt en is onduidelijk welke
informatie in handen van de tegenstander is
gekomen.
Ten slotte zijn de illegale activiteiten in
cyberspace die duidelijk vertrekken vanuit
politieke motivatie en er op gericht zijn om
kritieke infrastrukturen of bedrijven bij “de
vijand” buiten werking te stellen. Deze vorm
van cybercriminaliteit, de cyberwarfare, is
duidelijk staatsgestuurd.
Welke criminele activiteiten zien we
in cyberspace?
De meest voorkomende (niet-exhaustieve
lijst van) cybermisdrijven vandaag zijn de
volgende:
5.1. Communicaties ter bevordering van
misdadige samenzweringen
Het internet is een enorm handig, eenvoudig
en snel communicatie-instrument bij de
organisatie van hun activiteiten. Uiteraard is
dit niet anders voor criminele organisaties.
Zij maken dankbaar gebruik van de nieuwe
communicatiemogelijkheden voor het
organiseren van drugstrafieken, illegaal
gokken, witwaspraktijken, handel in
kinderpornografie, ... De anonimiteit en de
mogelijkheden tot het encrypteren van de
communicatie – waardoor opsporing en
bewijslast sterk bemoeilijkt worden – bieden
een extra voordeel. Vaak gaan de criminelen
hiervoor echter ook andere “onverdachte”
systemen gaan hacken en misbruiken.
5.2. Verspreiding van illegaal of beledigend
materiaal
Het internet is een vrij medium en iedereen
kan er zijn mening plaatsen of bestanden met
anderen delen. Daar kan makkelijk misbruik
van worden gemaakt en cyberspace is
dan ook niet vrij van racistische uitingen,
kinderporno, instructies om wapens te
maken en cyberstalking. Vaak komen
hierdoor ook de reputatie van bedrijven of
van hun vertegenwoordigers in het gedrang.
5.3. Diefstal van telecommunicatiediensten
Deze phone phreaking ligt aan de basis
van veel telecommunicatiecriminaliteit.
Tegenwoordig bestaat dit uit het hacken van
VOIP- telefooncentrales van bedrijven of het
gebruik van vervalste telefoonkaarten. De
criminelen bieden hiermee hun “klanten”
goedkope verbindingen aan waarvoor de
cybercriminaliteit
In
vergelijking
met
conventionele
criminaliteit biedt cybercriminaliteit enkele
interessante voordelen. Vooreerst is er een
enorme bron aan potentiële slachtoffers,
verspreid over de hele wereld, die, omwille
van de onderschatting van het fenomeen,
weinig ervaring hebben met beveiliging en
cybercriminaliteit. Verder worden de illegale
handelingen van de cybercrimineel danig
vereenvoudigd door de toegankelijkheid en
de snelheid die kenmerkend zijn voor het
medium. Tenslotte bieden het internationale
karakter, de anonimiteit en de moeilijke
samenwerking tussen overheden een extra
voordeel omdat zij de opspoorbaarheid
van de cybercrimineel en zijn activiteiten
grondig bemoeilijken. België in het bijzonder
is bovendien kwetsbaar omdat er veel
permanente breedbandaansluitingen zijn.
Vroeger zei men altijd, dat zeventig tot
tachtig procent van het gevaar van binnenuit
komt. De drijfveren van de crimineel intern
in het bedrijf zijn voornamelijk geldgewin of
wraak. Zij maken misbruik van hun toegang
tot de ICT-infrastruktuur en van hun kennis
van de kwetsbaarheden ervan om zich
op onrechtmatige wijze te verrijken of om
schade toe te brengen.
Dat risico is gebleven, maar de risico's die
van buiten komen, nemen zeker toe.
49
September 2012
• Tenslotte is cybercriminaliteit een
onderschat fenomeen. De meeste
organisaties zijn relatief onervaren in hun
aanpak van deze nieuwe misdaadvorm.
Deze onervarenheid in combinatie met
de technologische complexiteit en het
internationale karakter zorgen ervoor
dat cybercriminaliteit momenteel helaas
door de meeste organisaties niet op een
efficiënte manier wordt aangepakt.
cybercriminaliteit
slachtoffers betalen. De slachtoffers worden
vaak op zeer korte termijn opgezadeld met
zeer hoge telecommunicatiefacturen.
September 2012
50
5.4 Misbruik van slecht beveiligde
(draadloze) internetverbindingen
Cybercriminelen zijn vaak op zoek naar
een internetverbinding waarmee zij hun
ware identiteit kunnen verbergen tijdens
hun criminele activiteiten. Hiervoor
misbruiken ze onbeveiligde draadloze
netwerken in hun omgeving. Het nadeel
hiervan voor het slachtoffer bestaat erin
dat zijn downloadvolume wordt opgebruikt
en een deel van de bandbreedte door de
crimineel wordt ingenomen. Sinds het
opheffen van de downloadlimieten, liggen
veel internetgebruikers daar echter niet van
wakker. Als hun internetverbinding echter
heeft gediend voor illegale activiteiten, dan
zullen de sporen hiervan leiden naar het IPadres van het slachtoffer. De kans is dan ook
reëel dat de politiediensten bij het slachtoffer
een huiszoeking komen uitvoeren om er de
computersystemen in beslag te nemen voor
verder onderzoek naar zijn betrokkenheid
met de misdrijven. Het is voor de politie
vaak niet mogelijk om op korte termijn vast
te stellen dat het slachtoffer zelf niets te
maken heeft met de verdachte activiteiten.
Gedurende al die tijd kan het slachtoffer
niet beschikken over de inbeslaggenomen
apparatuur.
5.5. Piraterij en informatievervalsing
Digitale technologie maakt het heel
eenvoudig om afbeeldingen, geluid,
multimediatoepassingen en dergelijke
meer te reproduceren en te verspreiden.
De recentste films en cd’s zijn soms
al beschikbaar op internet nog vóór ze
officieel uitgebracht worden of in de zalen
verschijnen. Velen komen in verleiding om de
gratis afgehaalde software, films en muziek
door te verkopen voor een lage prijs of zelfs
gewoon weg te geven. Dat leidt uiteraard
tot enorme verliezen voor softwarehuizen,
filmmaatschappijen en platenlabels.
5.6. Digitale afpersing
Bij digitale afpersing breken hackers
eerst in een computersysteem in om er
bedrijfs- of persoonsgevoelige informatie
uit te kopiëren/stelen. Vervolgens wordt de
eigenaar van de informatie verwittigd dat
men over deze gegevens beschikt en wordt
een geldsom geëist in ruil voor het niet
verspreiden of misbruiken van de gegevens.
Dit kan bijvoorbeeld gaan om de
creditcardgegevens van één individu,
waarbij het slachtoffer wordt afgeperst, maar
evenzeer over het stelen van duizenden
klantengegevens bij een uitzendbureau,
waarna dan wordt gedreigd om het gebeuren
en de verworven gegevens bekend te maken.
Uiteraard komt dit de reputatie van de
desbetreffende organisatie niet ten goede.
In 2012 werden alle landen in Europa
getroffen
door
zeer
aggressieve
afpersingsmalware dat zich voornamelijk
verspreidt via erotische en spelletjes
websites maar ook via Facebookberichten
en per e-mail. De besmette PC blokkeert
en beeldt een scherm af dat schijnbaar
afkomstig is van de nationale politie of van
een auteursrechtenorganisatie. Het bericht
stelt dat de PC is geblokkeerd omwille van
bepaalde misdrijven die de PC-gebruiker
zou hebben gepleegd en dat een boete
van 100 euro betaald dient te worden om
de PC te deblokkeren. In België worden de
naam van de Federal Computer Crime Unit
(FCCU), de politie en Sabam misbruikt. Er
werden al 1.900 klachten van slachtoffers
geregistreerd waarvan er ongeveer 300
over gingen tot betaling. Jammer genoeg
moesten zij vaststellen dat hun PC hierdoor
niet werd gedeblokkeerd. Veel mensen
dienen geen klacht in uit schaamte omdat ze
niet durven te vertellen wat ze aan het doen
waren op het moment dat hun computer
blokkeerde. Deze ransomware is nog redelijk
gemakkelijk te verwijderen en raakt niet aan
de gegevens van de PC-gebruiker.
Een veel agressievere versie van
afpersingsmalware trof enkele bedrijven
en encrypteerde er alle bestanden:
tekstdocumenten,
rekenbladen,
databasebestanden, mailboxen enz. Deze
bedrijven werden gedwongen om een losgeld
te betalen om de decryptiesleutel voor hun
bestanden te ontvangen.
5.7. Botnet
De evolutie van cybercriminaliteit heeft
ertoe geleid dat de cybercriminelen
hierdoor kunnen beschikken over zeer
krachtige “eigen” ICT-infrastruktuur die is
gebaseerd op gehackte computersystemen
van slachtoffers. Hiervoor ontwikkelen de
criminelen in de eerste plaats kwaadaardige
software (malware) die ze dan verspreiden
via e-mail, sociale netwerken of via
netwerken voor bestandsuitwisseling.
Meestal vermomt het virus zich als
een legitiem bestand om detectie te
voorkomen. Het kunnen spelletjes zijn,
“facturen” of “leveringsbons”. Daarom
worden deze malware vaak ook Trojaanse
paarden genoemd. Sommige van deze
computervirussen kunnen zichzelf binnen
het netwerk van de geïnfecteerde computer
gaan verspreiden. Hierdoor kunnen volledige
bedrijfsnetwerken op korte tijd helemaal
besmet geraken. Het is niet langer zo dat
de kwaadaardige software zich in de eerste
plaats focust op het toebrengen van schade
aan de besmette computersystemen.
Zodra een PC vandaag besmet is met
een malware, zal deze zich via internet
verbinden met servers die onder controle
staan van de cybercriminelen. Op deze
“command&control” servers zijn vaak
honderden zelfs duizenden PC’s verbonden
zodat de cybercrimineel echt beschikt over
een heus crimineel cybernetwerk dat hij kan
gebruiken voor allerlei criminele doeleinden .
het verspreiden van spam en kwaadaardige
software, het bespioneren van bedrijven en
particulieren, het uitvoeren van frauduleuze
financiële transacties, het afpersen van
bedrijven na sabotage van servers en
werkposten en het buiten werking stellen
van systemen door ze massaal met data te
bestoken.
De bestrijding van botnets zijn een
topprioriteit voor de Federal Computer Crime
Unit want botnets zijn gelinkt met zowat
elke vorm van internetcriminaliteit. Een
botnet volledig uitschakelen is een utopie
maar de servers die zich in België bevinden,
haalt de FCCU eruit. Sinds 2010 zijn in België
een zeventigtal command & control servers,
de computers die een botnet aansturen, uit
de lucht gehaald.
5.8. Internet-oplichtingen en elektronische
(handels)fraude
Met de stijgende populariteit van internet
handel stijgt ook de fraude bij elektronische
handel. Via het internet hebben fraudeurs
nu immers de onmiddellijke toegang tot
miljoenen potentiële slachtoffers, verspreid
over de ganse wereld en met een minimum
aan kosten en risico’s om ontdekt of herkend
te worden. Wellicht één van de eenvoudigste
vormen van elektronische handelsfraude
is een product online aanbieden (zoals
via een veilingwebsite), de aankoper op
voorhand laten betalen en dan uiteindelijk
het aangekochte goed niet verzenden. Nog
een andere mogelijke manier om fraude te
plegen via het internet, is het fenomeen van
de Nigeriaanse fraude. Hierin worden e-mails
gestuurd naar willekeurige e-mailadressen
in naam van een overleden of verdreven
regeringsleider uit het Afrikaanse continent.
De familie zou over een gigantische rijkdom
beschikken en dat geld uit zijn land in
opstand willen wegsmokkelen. Hiervoor
heeft de familie echter de hulp nodig van de
geadresseerde. De e-mailontvanger wordt
gevraagd de kosten van de transactie op zich
te nemen. Uiteraard laat de verzender van de
e-mail niets meer van zich horen, eens hij
het overgeschreven geld heeft ontvangen.
Een ander fenomeen is phishing. Alles begint
met de ontvangst van een e-mail van een of
andere bankinstelling. Daarin wordt melding
gemaakt dat er zich een probleem heeft
voorgedaan met de accountgegevens van
de gebruiker en wordt deze gevraagd via een
aangegeven site zijn of haar persoonlijke
gegevens te wijzigen. Wanneer op de link
wordt geklikt, komt de gebruiker op een
website terecht die als twee druppels water
lijkt op de website van de bankinstelling. In
werkelijkheid betreft het een valse site die
door cybercriminelen werd aangemaakt.
Wanneer de argeloze gebruiker zijn naam
5.10. Illegaal toegang verschaffen tot
computersystemen en/of –netwerken
Het hacken van computers en netwerken
is wellicht hét beeld dat iedereen krijgt
bij de term “cybercriminaliteit”. Dit is niet
verwonderlijk gezien het ook, samen met
het ontwikkelen van virussen, één van de
oudste vormen is van computercriminaliteit.
Binnenbreken in een computersysteem of
een account kan op verschillende manieren.
De eenvoudigste is het raden van een
paswoord. Hackers worden hierbij bijgestaan
door de slachtoffers die, uit angst om hun
wachtwoord te vergeten, zelden een moeilijk
te raden paswoord kiezen. Dit paswoord
is vaak een kort, bestaand woord of een
eigennaam, dat enkel uit lettertekens bestaat.
Het komt ook vaak voor dat het slachtoffer
naliet om het standaardwachtwoord,
dat door de fabrikant werd ingegeven, te
wijzigen. Hackers kunnen er ook in slagen
dit wachtwoord te achterhalen via password
breakers. Dit zijn tools die ofwel alle woorden
uit een woordenboek overlopen (dictionary
attack), of intenser, alle mogelijke letteren cijfercombinaties uitproberen (brute
force attack). Het hoeft echter niet altijd
technologisch. Social engineering is een
In recente dossiers zagen we bijvoorbeeld
ook dat een aantal Belgische scholen op deze
manier het slachtoffer werden van hackers.
Vaak waren de daders eigen leerlingen die
het digitale schoolsysteem hacken om op
voorhand de examenvragen in te kijken of
hun examenresultaten te veranderen. Vaak
slagen de leerlingen er ook in de paswoorden
van leerkrachten of medeleerlingen te
achterhalen. Deze hackers doen een beroep
op ‘keyloggers’ (kleine apparaatjes die
alles bewaren wat de leraar typt) om vrij
eenvoudig belangrijke gegevens te pakken
te krijgen.
Wat is de mogelijke impact van
cybercrime?
1. Fysieke schade
Wat er zou gebeuren mocht het internet
plots langdurig wegvallen is moeilijk om in
te schatten. Omtrent de kwetsbaarheden
van deze kritieke infrastructuur is heel
weinig geweten. Dit geldt zowel voor de
maatschappelijke als de economische
gevolgen. Mede omwille van de vele
verbindingen met andere kritische sectoren
zoals energie- en financiële dienstverlening,
is het haast onmogelijk om ons een accuraat
beeld te vormen wat de impact zou zijn
mocht de telecommunicatie en het internet
plots volledig wegvallen gedurende lange
tijd.
Stel je eens voor dat hackers de website van
Tax-on-Web een maand platleggen op het
moment van de aangifte periode. Wat zou het
verlies aan inkomsten zijn voor de overheid?
De gevolgen zouden niet te overzien zijn
en België zou ongetwijfeld in diepe crisis
verkeren, los van de reputatieschade.
Momenteel zijn hierover te weinig gegevens
beschikbaar om echt in te schatten hoe
groot die kans is en wat de gevolgen zouden
zijn mocht ze zich voordoen. Mede daarom
verzamelt de FCCU steeds informatie om een
correcte risico analyse uit te voeren inclusief
het inschatten van de kansen en welke
tegenmaatregelen eventueel genomen
kunnen worden.
2. Economische schade
Omtrent de economische impact van
cybercriminaliteit is reeds meer geweten.
Cybercriminaliteit heeft vooral economische
gevolgen, zowel op macro- (de globale
markteconomie) als microniveau (de
individuele gebruiker of het bedrijf).
Het grote probleem is dat organisaties
pas ergens mee naar buiten komen als ze
daartoe gedwongen worden om de schade
te beperken. Imagoschade kan een factor
zijn om geen formele melding te maken.
Als de FCCU geen kennis krijgt van de
misdrijven, dan kan de FCCU ook moeilijk
reageren en dan doen die cybercriminelen
elders verder. De FCCU doet onderzoek op
basis van feiten die gemeld worden en heeft
weet van enkele tientallen gevallen van
computercriminaliteit in België die schade
aanrichten bij organisaties. Zo werden
in de eerste vijf maanden van 2012 261
gevallen van fraude met internetbankieren
vastgesteld tegen 94 gevallen tijdens heel
2011. Het daarmee gepaarde fraudeverlies
bedraagt 2,5 miljoen euro, maar meer dan
twee derde daarvan werd gerecupereerd.
Toch blijft de kans op fraude klein: slechts
bij één op de 800.000 transacties gaat het
fout. Bij quasi alle fraudegevallen gaat het
om mensen van wie de computer met een
trojaans paard besmet is.
Een andere moeilijkheid bij het berekenen
van de economische verliezen zijn de
impliciete kosten. Expliciete kosten,
zoals bijvoorbeeld de kostprijs van het
herinstalleren van software of de tijd die een
werknemer niet kon verder werken op zijn
computer maar toch uitbetaald kreeg, zijn
eenvoudig te berekenen. Impliciete kosten
zijn minder accuraat in te schatten. Dit slaat
bijvoorbeeld op het verlies van potentiële
verkopen wegens connectieverlies of
omwille van negatieve publiciteit (het bedrijf
verliest klanten nadat bekend werd dat het
slachtoffer werd van een hacker).
Ook individuele gebruikers kunnen
impliciete kosten ervaren. Dit is bijvoorbeeld
het ongemak dat wordt ervaren bij de
activiteiten van malware. Dit kan een trager
werken van het computersysteem inhouden,
de aantasting of het verlies van data, het
onregelmatige crashen van de computer
met eventueel gegevensverlies tot gevolg
en de ervaren ergernis bij het wachten op
technische hulp van de helpdesk.
3. Juridische schade
Er zijn een beperkt aantal bepalingen die
stellen dat een organisatie strafbaar is als
deze hun eigen systemen niet beveiligt. Het
gaat dan altijd over persoonsgegevens. De
wet op de bescherming van de persoonlijke
levenssfeer zegt: als je persoonlijke
gegevens bewaart, dan moet je technische
en organisatorische maatregelen nemen
om ze te beveiligen. En in de meeste
organisaties is het zo, dat als de systemen
gehackt worden, cybercriminelen ook
toegang hebben tot alle persoonsgegevens
van werknemers en/of klanten. Immers,
encryptie is voor de meeste organisaties
onbestaande, en interne firewalls tussen
departementen bestaan alleen in heel
grote bedrijven. Dus in principe staat een
organisatie bloot aan de straffen die voorzien
zijn in de wet op de bescherming van de
persoonlijke levenssfeer.
cybercriminaliteit
5.9. Illegaal onderscheppen van digitale
informatie
Met de ontwikkelingen in de technologie
ontstaan ook nieuwe mogelijkheden om
elektronisch “af te luisteren”. Toepassingen
hiervan zijn te vinden zowel bij het traditionele
controleren van een ontrouwe echtgenoot
tot fenomenen zoals bedrijfsspionage. Er
zijn verschillende mogelijkheden om digitale
informatie te onderscheppen. Eén daarvan
is het packet sniffing. Dit is een techniek
waarbij internettrafiek wordt onderschept
met behulp van software. Uit de verkregen
gegevens kunnen niet enkel login-namen
en paswoorden gehaald worden, ook kan die
internettrafiek handig zijn voor spammers
om nieuwe e-mailadressen te verwerven en
stelt het hackers in staat de identiteit van een
ander aan te nemen (identity theft). Hackers
proberen steeds vaker om argeloze surfers
in de val te lokken en hen bijvoorbeeld de
inloggegevens van hun Twitter-of Facebook
account te ontfutselen. Het is vaak zo dat
gebruikers dezelfde paswoorden gebruiken
voor verschillende accounts. Op die manier
krijgen de cybercriminelen dus vaak toegang
tot het volledige “cyberleven” van hun
slachtoffer.
vaakgebruikte, succesvolle methode waarin
hackers de naïviteit van mensen misbruiken
om persoonlijke gegevens te bekomen.
51
September 2012
en paswoord ingeeft met de intentie de
persoonlijke gegevens te veranderen, is
het hek van de dam en beschikken de
daders over de login-gegevens van de
gebruiker waarmee zij toegang hebben tot
zijn creditcardinformatie. In België zijn de
banktoepassingen beter beveiligd dan in
andere landen, omdat in België ook een
'token' of een digitaal certificaat nodig om
toegang te krijgen tot bankgegevens.
Welke zijn mogelijke oplossingen?
cybercriminaliteit
Koken kost geld. Elke organisatie en
elke interne auditor moet beseffen dat
cybercrime enkel kan bestreden worden
mits de nodige middelen (mensen, tijd en
budget). Veel bedrijven investeren nog
steeds te weinig in bescherming van digitale
informatie. Meestal is het maar een fractie
van alle informatica-uitgaven. En dat terwijl
het gevaar steeds groter wordt.
September 2012
52
1. Cybersecurity aanpak
Wachtzinnen,
antivirus
software,
firewalls, antispyware tools en andere
beveiligingsmaatregelen volstaan niet op
zich om aanvallen van cybercriminelen tegen
te houden. Door systemen met het internet
te connecteren, creëert een organisatie een
bijkomend risico. Hoe groot dat risico is,
hangt onder meer af van het aantal systemen
en poorten naar het internet. Bovendien blijft
de mens nog steeds de zwakste schakel
en dus kan het risico om als organisatie
slachtoffer te worden van cybercriminaliteit
nooit volledig weggedacht worden. En dus
moet elke organisatie beginnen met een
duidelijk beleid rond cybersecurity dat zowel
menselijke als technische aspecten omvat.
De ISO 27001 en ISO 27002 normen bevatten
een goede vertreksbasis voor inspiratie.
2. Onderzoek in samenwerking met
werkgroepen
De FCCU werkt hard om nationaal
en internationale de samenwerking
tussen partners te verbeteren, zodat
cybercriminaliteit beter kan bevochten
worden. De FCCU verleent haar medewerking
in verschillende werkgroepen omtrent IT
en internet veiligheid. Rode draad hierbij
is steeds weer het nagaan hoe men op
een efficiënte manier reële dreigingen
ten opzichte van de meest kritieke
ICT-infrastructuur kan herkennen en,
belangrijker nog, hoe ze te voorkomen.
Om de samenwerking met deze werkgroepen
geolied te laten verlopen, is het dan ook
noodzakelijk dat iedereen die in de materie
betrokken is, zich ten volle bewust is
van de mogelijke risico’s. Van hen wordt
dan ook verwacht dat ze alle mogelijke
stappen ondernemen om iedere dreiging
te neutraliseren. Om dit te bereiken houdt
de FCCU regelmatig voorstellingen van
wat werd vastgesteld en wat eventueel de
oplossingsmogelijkheden zijn.
3. Bewustmaking van bedrijven
Bedrijven nemen e-security pas echt ter
harte als ze er slachtoffer van geworden
zijn. Om bedrijven toch tijdig wakker
te schudden, geeft de FCCU regelmatig
presentaties rond informaticaveiligheid,
incidenten en incidentafhandeling. Meestal
worden deze bijgewoond door informatici
doch we willen voornamelijk bedrijfleiders
bewustmaken en overtuigen. Zij kunnen
immers een betere inschatting maken
van de impact van cybercriminaliteit op
de bedrijfsactiviteiten. Bovendien hebben
zij de beslissingsbevoegdheid over de
beschikbare budgetten die noodzakelijk
zijn om voor bewustmaking, opleiding en IT
beveiligingsoplossingen.
4. Bewustmaking van eindgebruikers
Eindgebruikers
dienen
regelmatig
en voldoende bewust gemaakt te
worden van het belang van een veilig
computersysteem. Vanuit de overheid, en
in samenwerking met de FCCU, werden
daarom ook meerdere initiatieven genomen
om eindgebruikers te wijzen op zijn/haar
verantwoordelijkheden. FEDICT lanceerde
in oktober 2005 in samenwerking met
een zestigtal IT-bedrijven in België de
informatiecampagne “Peeceefobie”. Deze
sensibiliseringscampagne richtte zich naar
gebruikers toe rond het veilig gebruik van de
computer, email en het internet.
5. Investeren in beveiligingstools
Antivirusprogramma’s en firewalls blijven
een must. Firewalls dienen als grenscontrole
tussen twee netwerken. Ze zijn onmisbaar,
maar helaas op zich onvoldoende als
beveiliging. Meestal worden de applicaties
op webservers vanop het internet misbruikt.
Van de verbinding tussen de webserver
en de interne systemen wordt vervolgens
gebruik gemaakt om door de firewall heen
interne systemen te manipuleren. Ook
slecht geschreven applicaties komen helaas
maar al te vaak voor. Meestal worden alleen
functionele eisen aan applicaties gesteld.
Beveiligingseisen zijn dus noodzakelijk en
dienen van bij de ontwerpfaze mee deel uit
te maken van de applicatie.
De meest veilige ICT-omgeving is deze niet
niet verbonden is met internet en waarop
geen externe gegevensdragers kunnen
worden aangesloten. De technologische
en maatschappelijke evolutie heeft echter
gemaakt dat dergelijke systemen eerder de
uitzondering dan de regel zijn geworden.
Hebben organisaties in de uitvoering van
hun bedrijfsactiviteit de keuzemogelijkheid
dan zou ik aanraden om hun meest kritieke
informaticasystemen niet te verbinden met
het internet. Immers, hoe afhankelijker
een organisatie voor de bedrijfsactiviteit
wordt van de verbinding met het internet,
hoe groter de bedreiging. E-government,
e-loketten, e-commerce zijn allemaal
mogelijke toegangen voor hackers.
Uiteindelijk moeten organisaties zich
realiseren dat een veilig internet niet bestaat
en nooit zal bestaan. Organisaties kunnen
samen met interne auditors proberen om
het veiliger te maken, maar de beveiliging zal
nooit waterdicht zijn.
Vandaag zijn organisaties afhankelijker
dan ooit van IT en internet. Helaas staan de
meesten niet stil hoe ernstig de gevolgen
zijn indien het fout loopt. Het is essentieel
dat iedere betrokkene die ook maar iets
met de vorming of het gebruik van IT te
maken heeft, voldoende en regelmatig
wordt geïnformeerd en gesensibiliseerd
over de mogelijke risico’s en gevaren die een
onveilig IT gebruik met zich meebrengt. Ook
een interne auditor heeft een belangrijke rol
hierin te spelen.
WIE IS LUC BEIRENS?
Hoofdcommissaris Luc Beirens is diensthoofd van de Federal Computer Crime Unit (FCCU).
De FCCU is een dienst van de directie voor de bestrijding van financiële en economische
criminaliteit bij de Federale gerechtelijke politie. De dienst houdt zich vooral bezig met
het forensisch onderzoek van complexe ICT-systemen die worden gebruikt door of het
doelwit zijn van criminelen. Het onderzoek gebeurt ter ondersteuning van de centrale
opsporingsdiensten en van de regionale Computer Crime Units. Daarnaast tracht de FCCU
criminele fenomenen en activiteiten in cyberspace op te volgen.
par Véronique Rousseau,
Annie Bressac et Bernard Chapuis
Fin 2011, l’IFACI a publié un cahier de la recherche « Les variables culturelles du contrôle interne » ainsi qu’un outil de caractérisation des
profils culturels. Fruit des travaux d’une unité de recherche, ce cahier vise à outiller les professionnels de l’audit et du contrôle en leur
apportant une aide grâce à des clés de lecture et des pistes d’action en matière de :
• c ompréhension de l’environnement de contrôle dans lequel l’auditeur interne, le contrôleur interne, le manager évoluent ;
•m
ise en place d’un dispositif de contrôle cohérent avec la culture de l’organisation ;
• f ormulation de recommandations cohérentes avec la culture d’entreprise ;
• d éploiement et amélioration continue d’un dispositif de contrôle ;
•«
marketing » du contrôle interne.
Pourquoi s’intéresser à la culture de l’entreprise ?
La culture d’entreprise peut être définie comme l’ensemble des règles explicites ou implicites d’une organisation (entreprise privée, publique,
association, etc.), des valeurs partagées, des pratiques, de la manière commune d’aborder les problèmes, des façons de penser et d’agir, du
système de cohésion et de cohérence... Pour autant cet actif, aujourd’hui reconnu comme important dans la gestion des organisations, reste
souvent immatériel aux yeux du plus grand nombre.
La matérialisation de la culture d’entreprise est facilitée par l’identification de composantes repérables sur le terrain, par exemple :
• les modes de relation internes entre pairs ou à l’intérieur de lignes
hiérarchiques ;
• les modes de relation avec les interlocuteurs extérieurs (clients,
partenaires, fournisseurs, concurrents, etc.) ;
• les codes vestimentaires, le langage ;
• les rituels d’intégration, de reconnaissance, de gratification, de
sanction ;
• les valeurs et les normes qui influencent les comportements ;
• les croyances collectives ;
• les méthodes de travail ;
• les structures de pouvoir ;
• les mythes, notamment le mythe fondateur ;
• les symboles ;
• l’histoire de l’entreprise ;
•...
53
September 2012
Les variables culturelles
du contrôle interne
les variables culturelles du contrôle interne
Véronique Rousseau, Directrice Associée Ressources et Pédagogie
Annie Bressac, Directeur de l’audit et du contrôle interne, Fondation Apprentis d’Auteuil
Avec la contribution de Bernard Chapuis, Directeur Associé BCCA Conseil et Accompagnement
les variables culturelles du contrôle interne
Aujourd’hui, les organisations évoluent dans un contexte de plus en
plus multiforme et pluriel : internationalisation, entreprises multiactivités, produits et services complexes nécessitant l’intervention
de plusieurs lignes métiers, jeu des fusions ou acquisitions, gestion
plus complexe des ressources humaines, responsabilité sociétale,
environnementale. Au-delà des conséquences organisationnelles
que ces transformations produisent, la culture des organisations s’en
trouve fortement impactée, avec des manifestations plus ou moins
apparentes ou sous-jacentes, mais toujours avec des résonances
importantes et multiples.
September 2012
54
Or, la dimension culturelle s’appréhende difficilement car la culture
d’entreprise a cette étrange qualité d’être la chose la plus partagée
et la moins formalisée. Dans un monde occidental fortement marqué
par la formalisation, l’informel nous échappe alors qu’il constitue
souvent une clé indispensable de compréhension fine de la réalité
d’une organisation.
Pour nous, auditeurs et
responsables de contrôle
interne, à la fois évaluateurs
et acteurs du changement,
comprendre cette culture
est indispensable à notre
mission.
Quel lien entre culture de l’organisation et contrôle
interne ?
Pour nous, auditeurs et responsables de contrôle interne, à la fois
évaluateurs et acteurs du changement, comprendre cette culture
est indispensable à notre mission. Condition de l’alignement entre
les intentions, les paroles et les actes des managers, la culture de
l’organisation pourra être un facteur de robustesse ou de faiblesse
des processus de gouvernance. Elle constitue également la toile
de fond sur laquelle viendront s’implanter le contrôle interne et la
gestion des risques.
Nous avons tous vécu des audits concluant à l’inefficacité d’un
outil de gestion, non du fait de sa qualité intrinsèque, mais parce
qu’il n’est pas compatible avec les valeurs, normes ou méthodes
de l’organisation. Nous constatons régulièrement que la mise en
œuvre de bonnes pratiques éprouvées de contrôle interne échoue
dans certaines entreprises. A la racine de ces difficultés se trouve
presque toujours la culture de l’organisation. Celle-ci influence, voire
détermine, l’environnement de contrôle, au sein duquel le référentiel
COSO 1 dessine deux grandes catégories d’éléments :
• des contrôles plutôt formels (politiques, procédures, organisation,
délégations de pouvoir, politique RH) ;
• des contrôles informels (intégrité, valeurs éthiques, philosophie
et style de management, importance accordée aux compétences).
L’importance des contrôles informels, « soft controls », n’est plus
à démontrer : les dispositifs de contrôle les plus tangibles restent
animés par des personnes porteuses des croyances et valeurs de
l’organisation.
Ainsi, une bonne compréhension de l’environnement de contrôle et
de sa dimension culturelle est nécessaire car elle permet à la fois :
• de mieux interpréter l’évaluation du dispositif de contrôle interne ;
• d’identifier les facteurs clés qui empêcheraient la réalisation des
objectifs de contrôle ;
• d’utiliser les points forts de cet environnement comme levier pour
faciliter les améliorations du dispositif de contrôle.
Des variables culturelles pour appréhender la culture
d’une organisation
Pour appréhender la culture et sa dimension liée à l’environnement
de contrôle, une approche par les variables culturelles permet de
disposer d’une méthode opérante et de repérer des composantes
identifiables.
En effet, les composantes de la culture d’une organisation sont soustendues par des variables qui mettent en jeu le rapport à différentes
dimensions : l’autonomie, le formel, le pouvoir, la règle, le temps...
Ainsi l’unité de recherche a identifié 13 variables qui pouvaient être
mises en relation avec des pratiques de contrôle interne.
Au travers de cette notion, notre volonté a été d’apporter une vision
élargie du contrôle interne, au fil de trois étapes qui nous ont servi
de partis pris :
1. Le premier est qu’il est possible de distinguer les traits culturels.
La culture est faite de micro-éléments qu’il faut sérier pour
élaborer une démarche plus systématique. De plus, il est possible
de distinguer des caractéristiques spécifiques du contrôle interne
dans chaque organisation. En effet, le cadre général dont nous
disposons, le COSO, partagé par l’ensemble des acteurs de la
profession, peut se décliner de manière différente dans chaque
entreprise.
2. Le second est qu’il existe un lien entre ces variables culturelles et
le contrôle interne. Il nous est apparu intéressant d’éclairer ce lien
dans quatre champs :
• la mise en place d’un dispositif de contrôle interne, sur laquelle
nous avons insisté ;
• le déploiement de l’amélioration continue d’un dispositif de
contrôle interne ;
• l’étude du lien avec l’auditeur ou le contrôleur interne lorsqu’il
émet des recommandations ou des préconisations ;
• le marketing du contrôle. Il s’agit d’étudier comment porter le
discours du contrôle auprès de l’ensemble de l’entreprise, et plus
particulièrement auprès des instances de gouvernance.
3. Il peut y avoir, pour une même variable, des incidences différentes
d’une organisation à une autre : un même trait culturel ne va
pas nécessairement produire les mêmes effets. Par exemple, la
variable culturelle de l’autonomie et de la délégation ne produira
pas les mêmes effets au sein d’une entreprise de taille très
importante couvrant plusieurs continents que dans une entreprise
plus resserrée en termes de nombre d’acteurs et d’implantation
géographique.
A partir de ces variables, nous avons élaboré un questionnaire de
diagnostic de 70 questions, permettant de caractériser les traits
culturels d’une organisation (Voir extrait en encadré).
Les liens entre variables culturelles et éléments du contrôle interne
peuvent être analysés de différentes manières :
• Pour certaines questions, une modalité de réponse traduit un
levier pour la composante liée. Ainsi, pour la variable « Mission »
(cf. tableau ci-dessous), la modalité de réponse 1 à la question 1
(« Vous adhérez pleinement aux objectifs et aux valeurs de votre
organisation ») constitue un facteur favorable possible pour le
déploiement d’une charte d’éthique. En revanche, la réponse
inverse (« Vous vous limitez à apporter vos compétences à
l’entreprise ») ne constitue pas forcément un frein, mais devra
être prise en compte pour adapter le discours sur les valeurs et les
comportements attendus et le rendre plus percutant. Au travers de
certaines réponses, on peut donc identifier des pistes d’action pour
faciliter la mise en œuvre ou l’optimisation du contrôle interne.
Ce questionnaire peut être utilisé :
• dans son intégralité pour qualifier les traits culturels d’une entité,
d’un site, d’une entreprise ;
• en repérant des questions pertinentes compte tenu du contexte
de l’entité et/ou du thème de la mission ou de la problématique de
contrôle ;
• en ciblant une variable culturelle et les questions qui correspondent.
Il peut être intéressant pour un contrôleur ou un auditeur de repérer
la présence d’une variable culturelle spécifique dans l’entité où il
mène ses travaux afin de mieux en comprendre l’environnement de
contrôle.
• La réponse peut aussi constituer un frein potentiel ou un point de
vigilance au regard de la qualité du contrôle interne. Ainsi, pour la
question 38, la modalité de réponse 2 (« Les mots « adhésion »,
« mission » ne font jamais partie du discours des managers de
votre organisation ») permet de supposer que le discours sur
l’éthique et les valeurs de l’entreprise ne sont pas ou ne seront pas
facilement relayés par les managers.
Pour les professionnels de
l’audit et du contrôle internes,
l’application pratique peut
prendre plusieurs formes au
travers de différents niveaux
de lecture complémentaires.
• Pour certaines questions, les deux modalités de réponse peuvent
mettre en évidence l’impact d’un trait culturel sur le contrôle
interne. C’est le cas notamment pour la question 38 : « Les mots
« adhésion », « mission » ne font jamais partie du discours des
managers de votre organisation » :
55
September 2012
- Le choix de la réponse 1 (« Oui, très souvent ») qui indique à
la fois un facteur favorable à un environnement de contrôle de
qualité, appelle aussi un point de vigilance : le discours doit être
cohérent avec l’action.
- Le choix de la réponse 2 (« Non, jamais ») indique un frein à la
mise en œuvre d’un code d’éthique.
Extrait du questionnaire
N° des
questions
Questions
Réponse 1
Vous-même, diriez-vous que
Vous adhérez pleinement
aux objectifs et aux
valeurs de votre
organisation
Vous vous limitez
à apporter vos
compétences à
l’entreprise
mission
Les mots « adhésion »,
« mission » font-ils partie
du discours des managers
de votre organisation ?
Oui, très souvent
Non, jamais
mission
1
38
les variables culturelles du contrôle interne
Un questionnaire pour appréhender les traits culturels
d’une organisation
Réponse 2
Variable
Une typologie de profils culturels
La prépondérance de certains traits culturels dans une organisation permet d’esquisser différents « profils culturels ». Pour les identifier,
nous n’avons pas choisi d’utiliser une typologie déjà existante dans le monde académique ou dans la littérature. Nous avons préféré fonder
notre choix sur les résultats des questionnaires que nous avons adressés à un « échantillon » d’auditeurs internes, de manière à mettre en
évidence des profils culturels qui ont un rapport avec le contrôle interne. Ainsi, les diverses dénominations ont été choisies au sein de notre
Unité de Recherche. Néanmoins, elles peuvent certainement être réinterrogées.
RÈGLE
September 2012
56
COMMUNAUTÉ
ORGANISATION
PYRAMIDALE
ORGANISATION
PORTEUSE
DE SENS
COMMUNAUTÉ
INNOVANTE
ORGANISATION
UTILITARISTE
MOSAÏQUE
RÉSEAU
D’EXPERTS
INDIVIDU
les variables culturelles du contrôle interne
ORGANISATION
ORIENTÉE
CONTRÔLE
ÉLECTRONS
LIBRES
AUTONOMIE
Le cahier de la recherche propose une analyse des interactions entre
les profils culturels et les composantes du contrôle interne. Chaque
profil culturel est analysé en partant des variables culturelles
significatives pour ce profil, et de leurs liens avec les composantes
ou sous-composantes du COSO. Les commentaires s’attachent aux
aspects de mise en œuvre du contrôle et de marketing d’un dispositif
de contrôle. Ils sont structurés en termes de :
• Levier : élément facilitateur
• Frein : élément bloquant, pénalisant
• Point de vigilance : si le trait culturel est poussé à l’extrême, les
dérives éventuelles
• Piste d’action : proposition pour éviter le frein et/ou gérer le point
de vigilance
Exemple : Organisation pyramidale
Ce profil est centré sur la règle, et fait apparaitre une culture du
résultat, de l’efficacité, voire de la contrainte, à travers la mise
en œuvre des valeurs « action », « espace » et « temps » qui
caractérisent cette dimension. C’est une organisation centrée sur
le statut, voire sur la centralisation, au sein de laquelle l’aspect
quantitatif revêt une grande importance. A l’extrême, le caractère
protocolaire de la communication peut conduire à une bureaucratie
fonctionnant en silos, donnant un caractère artificiel à l’organisation
hiérarchique et centralisée.
Le formalisme, prégnant dans cette organisation est a priori favorable
au contrôle interne. Nous pouvons cependant nous interroger sur
l’efficacité réelle du contrôle interne, dans un cadre très contraint par
un contrôle hiérarchique fort et un formalisme qui peut parfois être
excessif.
Prenons par exemple les interactions de ce profil au regard de la
composante du contrôle interne « Identification et évaluation des
risques ». On trouve dans l’organisation pyramidale deux facteurs
favorables :
• u ne prédisposition à une fixation claire des objectifs qui constitue
le point d’entrée de l’analyse des risques.
• la présence de cadres de fonctionnement très formalisés doit
également faciliter la mise en place de procédures de gestion de
ces risques.
Néanmoins, d’autres éléments appellent des points de vigilance.
D’abord, la prééminence et le formalisme du pouvoir hiérarchique
peuvent contrarier la mise en évidence des « vrais » risques. Un
cadre rigide peut en effet contraindre la réflexion des opérationnels
et même nuire à la transparence, à la libre expression des
collaborateurs qui vont peut-être éviter de s’impliquer dans un
processus d’identification des risques auxquels ils sont exposés.
Enfin, un autre point de vigilance réside dans la focalisation sur le
quantitatif et la faible prise en compte des résultats qualitatifs, qui
peut biaiser l’analyse des risques.
Comment utiliser ces travaux ?
Ces travaux ont la volonté d’offrir
• un vecteur de sensibilisation de l’audit et du contrôle internes sur
l’impact des variables culturelles sur les constats d’audit et sur le
déploiement du contrôle interne.
• un outil sur la caractérisation des traits culturels de vos
organisations, via le questionnaire.
• des réponses pour identifier des leviers, des freins potentiels, des
points de vigilance au regard de la qualité du dispositif de contrôle
interne, grâce à cette grille de questionnement.
• des pistes d’actions, c’est-à-dire des propositions pour éviter le
frein et/ou gérer le point de vigilance.
Pour les professionnels de l’audit et du contrôle internes, l’application
pratique peut prendre plusieurs formes au travers de différents
niveaux de lecture complémentaires :
• premier niveau : il pourra par exemple s’agir de développer un
élément du contrôle interne qui apparaît systématiquement
comme défaillant lors des missions d’audit ; l’analyse des traits
culturels liés à cet élément permettra de mieux appréhender les
facteurs explicatifs du dysfonctionnement ;
• deuxième niveau : un responsable du contrôle interne, chargé de
déployer un référentiel de contrôle interne ou une démarche d’autoévaluation du contrôle interne dans une entité donnée, pourra être
intéressé par les traits culturels dominants (son « profil culturel »)
pour identifier des points d’appui ou des freins potentiels.
Dans tous les cas, les recommandations de l’audit interne pourront
être ajustées en conséquence pour faciliter leur appropriation et leur
mise en œuvre.
Découvrez toutes nos offres d’emploi sur
www.les chemins de fer engagent.be
les variables culturelles du contrôle interne
Avec le Groupe SNCB, construisons ensemble
la mobilité d’aujourd’hui et de demain.
Audit, Risk & Compliance
Increase efficiency. Boost productivity.
Studies have shown that on average, auditors spend
in excess of 40 percent of their time documenting and
reviewing workpapers and preparing their reports.
Work smarter with new user interface
Risk assessment streamlined
Robust dashboards: the data
you need at your fingertips
Dynamic graphics
provide in-depth analysis
TeamMate has been designed as a tool to dramatically
reduce time spent on those elements which provide
less value by empowering users at all levels to spend
less time documenting and reviewing, and more time
providing value-added services. Our users report
average productivity increases of 20-25 percent in the
first year of TeamMate use.
TeamMate is used by 85,000 auditors around the world
and is the industry standard in Audit Management
Systems. TeamMate provides a platform to deliver
high quality audits, standardise the workpaper process,
leverage auditor knowledge, enhance audit reporting
and provide management with key information.
TeamMate was designed for use across all business
sectors for all types of audits. Audit departments of all
sizes are using TeamMate to increase the efficiency and
productivity of their entire audit process, including: risk
assessment, scheduling, time and expense tracking,
planning, execution, review, report generation, trend
analysis, committee reporting and storage.
For a demonstration or to request additional information, visit www.teammatesolutions.com
or contact Laurence Vanhoenacker,+32 15 36 21 90, [email protected]
www.teammatesolutions.com
September 2012
57
IIA - INTOSAi « des structures différentes mais complémentaires »
Philip Mariscal
Premier Auditeur
Cour des Comptes de Belgique
Conférencier II A Belgium à Abidjan
September 2012
58
IIA - INTOSAI
« Des structures différentes
mais complémentaires »
par Philip Mariscal
1. L’auditeur interne, qu’il soit certifié ou nom, connaît les normes
professionnelles édictées par l’IIA.
« Afin d’assurer une couverture adéquate et d’éviter les doubles
emplois, le responsable de l’audit interne devrait partager des
informations et coordonner les activités avec les autres prestataires
internes et externes d’assurance et de conseil. »
Quant à la mise en œuvre de cette norme, je vous renvoie à la MPA
2050.
L’auditeur interne est donc soucieux de collaborer avec les autres
acteurs de la chaîne de contrôle. Le rapport avec l’auditeur externe
nous intéressera plus particulièrement.
Dans toute forme de collaboration ou de coopération, il faut deux
parties dont l’audit externe et ses propres référentiels. Dans ces
derniers, nous y reviendrons, nous pouvons citer comme exemple
l’Institut des Réviseurs d’Entreprise (IRE) et la Cour des comptes
qui a elle même un référentiel issu des normes ISA (International
Standards on Auditing) pour partie.
2. En matière d’audit financier, pour ce qui concerne la collaboration
audit interne et externe, nous nous référons à la norme ISA
610 (Normes élaborées par les comités ou Boards de l’IFAC1 et
concernant le contrôle qualité dans les cabinets, les missions
d’audit et d’examen d’informations financières ou non financières,
l’Ethique, l’Enseignement, la Comptabilité Publique, les obligations
des membres de l’IFAC. Les Normes de missions de l’IAASB
1. La Fédération internationale des comptables (International Federation of Accountants, IFAC) est la fédération globale de la profession comptable. L’IFAC a 159 institutions membres et associées dans 124 pays, représentant plus de
2,5 millions de comptables employés dans les services, l’industrie et le commerce, les gouvernements, et l’enseignement.
Organes dépendants :
- L’International Public Sector Accounting Standards Board (IPSASB) - Conseil des normes comptables internationales du secteur public
- L’International Auditing and Assurance Standards Board (IAASB)
Normes ISA :
Les niveaux 1, 2 et 3 sont de production INTOSAI, de même que les
INTOSAI GOV. Les normes de niveau 4 sont des normes ISA, reprises
et complétées par des practice notes adaptant celles-ci au secteur
public. On trouvera dans le schéma ci-contre le circuit de l’ensemble
des normes tant comptables que d’audit applicables dans le contrôle
des entités par une ISC.
ISRE :
Nous allons vous présenter maintenant l’essentiel de la norme qui
gouverne, pour l’INTOSAI, la coopération entre l’auditeur interne et
l’auditeur externe.
IAASB
Code d’éthique
ISQC1
IRE IBE
• 1. Principes fondateurs
• 2. Conditions préalables au fonctionnement des ISC
• 3. Principes fondamentaux de contrôle
• 4. Directives de contrôle
• Guide sur la bonne gouvernance de l’INTOSAI GOV
• 200
• 210
•220
•230
•810
• 2400
• 2410
•...
Normes sui generis
ISA 610
1. L’objet de la présente Norme Internationale d’Audit est de définir
des procédures et des principes fondamentaux et de préciser
leurs modalités d’application pour la prise en compte par l’auditeur
externe des travaux de l’audit interne. Cette Norme ISA ne traite
pas des cas où des collaborateurs du service d’audit interne
assistent l’auditeur externe dans la réalisation des procédures
d’audit externe. Les procédures décrites dans cette Norme
ISA s’appliquent uniquement aux travaux de l’audit interne qui
concernent l’audit des états financiers.
2. L’auditeur externe doit prendre en compte les travaux de l’audit
interne ainsi que leur incidence potentielle sur les procédures
d’audit externe.
3. Quant à la collaboration au sein du secteur public et dans le cadre
de l’audit non financier, l’INTOSAI2 édicte des normes propres
applicables aux Institutions Supérieures de Contrôle (ISC).
IIA - INTOSAi « des structures différentes mais complémentaires »
IFAC
Les ISSAI, c’est bien d’elles qu’il s’agit, se répartissent sur quatre
niveaux :
59
« 1. Introduction
1. 1. Le présent document se veut un guide sur la façon d’instaurer
une coordination et une coopération entre les Institutions
Supérieures de Contrôle (ISC) et les auditeurs internes dans le
secteur public, tout en respectant les fonctions respectives et
les obligations professionnelles de chacun.
1. 2. En plus des ISC et des auditeurs internes, ce guide peut
également s’avérer utile aux auditeurs qui réalisent des audits
internes et externes du secteur public à sa demande.
1. 3. Le présent document est à lire à la lumière des Normes
internationales des institutions supérieures de contrôle des
finances publiques (ISSAI), des Normes internationales d’audit
(ISA) publiées par le Conseil des normes internationales d’audit
et d’assurance (IAASB) ainsi que de l’International Professional
Practices Framework de l’Institut des auditeurs internes (IIA) »
Cette norme aborde forces et faiblesses de la coopération et dépeint
les domaines et méthodes.
2. Association des Institutions Supérieures de Contrôle (ISC) de nombreux pays qui promulgue des normes ISSAI (International Standards of Supreme Audit Institutions) voir ISSAI. org
September 2012
(International Auditing and Assurance Standards Board), couvrent
les normes de contrôle qualité (ISQC), d’audit et de mission
d’assurance (ISA, ISAE), d’examen limité (ISRE) et de services
connexes (ISRS)).
IIA - INTOSAi « des structures différentes mais complémentaires »
September 2012
60
Essayons de résumer :
Fondements de la coordination et de la coopération
Quel est l’intérêt de la coordination et de la coopération
La norme présente quatre axes essentiels pour présenter les
fondements de la coopération :
• Engagement
• Communication
• Compréhension mutuelle
• Confiance
Toute une série de bénéfices peuvent être retirés d’une coordination
et d’une coopération entre ISC et auditeurs internes, en particulier
dans les domaines suivants :
• échange d’idées et de connaissances ;
• renforcement des capacités mutuelles à promouvoir la bonne
gouvernance et les pratiques de transparence ; meilleure
appréhension de l’importance d’un contrôle interne par la direction ;
• audits plus efficaces basés sur différents principes :
- encouragement d’une meilleure compréhension des rôles d’audit
et exigences respectifs ;
- dialogues plus documentés à propos des risques pesant sur
l’organisation, avec pour conséquence un audit plus ciblé et,
partant, des recommandations plus utiles ;
- deux parties qui comprennent mieux les résultats découlant du
travail de chacun et qui peuvent avoir un impact sur leurs futurs
plans et programmes de travail respectifs ;
• audits plus efficients basés sur différents principes :
- activité d’audit interne et externe mieux coordonnée résultant d’une
planification coordonnée et d’une meilleure communication ;
- champ d’audit affiné pour les ISC et les auditeurs internes ;
• r éduction des probabilités de doublons en matière d’audit
(économie) ;
• r éduction au maximum des désagréments dans le chef de l’entité
auditée ;
• a mélioration et maximisation de la couverture de l’audit sur la base
de diverses évaluations de risques et de l’identification des risques
importants ;
• s outien mutuel au niveau des recommandations d’audit, qui peut
améliorer l’efficacité des services d’audit.
Une coordination ou une collaboration présente des risques, la norme
nous en décrit les points suivants :
• c ompromis en matière de confidentialité, d’indépendance et
d’objectivité ;
• c onflits d’intérêts possibles ;
• d ilution des responsabilités ;
• u tilisation de normes professionnelles différentes en matière
d’indépendance ou d’audit ;
•m
auvaise interprétation des conclusions en cas d’utilisation du
travail de l’autre ;
• c onclusions ou opinions divergentes à propos d’un même sujet ;
• p ossibilité que les conclusions potentielles de l’autre auditeur
soient communiquées prématurément à la partie externe, c’est-àdire avant que l’audit ait mis en lumière suffisamment de preuves
pour étayer ces conclusions ;
• a bsence de prise en compte des contraintes ou restrictions
auxquelles est soumis l’autre auditeur dans le cadre de la
détermination de l’étendue de la coordination et coopération.
La norme aborde un point particulier, à savoir l’appel aux prestataires
de services. « Le travail d’audit interne dans une organisation peut
également être assuré par un prestataire de services. Dans certains
cas, la même société d’audit fournit un service à la fois d’audit
externe et d’audit interne. Il n’est pas recommandé que le prestataire
de services effectue un travail d’audit interne s’il intervient déjà
en tant qu’auditeur externe ou s’il dispense à l’organisation des
services de consultance autres que des services d’audit. En effet,
les principes d’indépendance et d’objectivité s’en trouveraient
compromis. »
Modes de coopération
On pourra citer par exemple la communication de la planification
des audits / de la stratégie d’audit (par exemple, des réunions de
planification conjointes). On ajoutera l’organisation de réunions
régulières entre ISC et auditeurs internes.
Les échanges d’informations (y compris des procédures de
consultation) allant jusqu’à la communication mutuelle de rapports
d’audit.
Des programmes de formation et de cours communs et partage de
matériel didactique, des méthodes développées en commun sont
des aspects présentés.
Modes d’organisation de la coordination et de la
coopération
La coordination et la coopération peuvent s’organiser tant de façon
formelle qu’informelle. La coordination et coopération formelle peut
être réglée par le biais d’une législation, d’accords officiels ou de
protocoles. Dans certains engagements à bas risques, les ISC et les
auditeurs internes peuvent organiser entre eux une coordination et
une coopération plus informelles. La coordination et la coopération
devraient être documentées conformément aux normes d’audit en
vigueur.
Quant à l’accès à l’information, l’ISC doit avoir accès aux
sources d’information et aux données de l’auditeur interne afin
d’assumer ses responsabilités. Les ISC devraient soigneusement
peser la question de la confidentialité lorsqu’elles lèvent le secret
sur des documents au contenu sensible tels que des investigations
à caractère médico-légal. Dans le souci de maintenir l’indépendance
des ISC, les auditeurs internes ne disposent pas d’un droit d’accès
automatique à la documentation d’audit de ces dernières, ni n’ont une
influence formelle sur le programme de travail des ISC. Néanmoins, il
est de ces circonstances où le partage de la documentation d’audit à
la discrétion de l’ISC peut s’avérer utile au processus d’audit.
Quelques domaines de coordination et de coopération
• cadre de contrôle interne ;
• conformité des états financiers aux lois et règlements ;
• indicateurs de performance et études de performance ;
• bonne gouvernance ;
• gestion des risques.
Une belle norme, exemple d’un œcuménisme porteur de valeur
ajoutée.
Un protocole d’accord a été signé entre l’EUROSAI (subdivision de
l’INTOSAI) et l’ECIIA (European Confederation of Institutes of Internal
Auditing). Il est le cadre d’une évolution vers le single audit.
Je ne peux qu’encourager chacun à lire la norme dans son texte
intégral.
Upcoming Events
& Training
OCTOBE R - TRAINING
15 - 16 Introduction to Financial Audit
17 - 18 S’initier à l’audit interne
22 - 23 Auditing the Contracting Process
24 - 25 Interviewtechniques voor auditoren
(Dutch)
5 -6 Auditing Business Continuity
Management
12 - 13 Revue qualité d’un département
d’Audit Interne (course in French –
case in English)
14 - 15 Advanced Fraud Prevention and
Detection Techniques (French)
19 - 20 Fraud Awareness for Internal Auditors
and Managers
26 The Insurance Activity - An introduction
for auditors
27 to 30 Conduire une mission d’audit interne :
la méthodologie
E VE NTS 2012
DE CE MBE R - TRAINING
3 - 4 - 5Integrated Audit of Automated
Business Processes
10 - 11
Introduction to Operational Audit
12 - 13 - 14Maîtriser les outils et les techniques
de l’audit
11 - 12 oct.2012 IAS Conference: Performance
Audit by Public Sector Internal
Auditors
14 nov.Internal audit and public sector
in Belgium – an assistance in
governance
21 nov.
Audit Software Watch Day
23 nov.
Annual conference IIA Luxembourg
UPCOMING EVENTS & TRAININGS
Introduction à l’audit IT (French)
61
September 2012
1-3
NOVE MBE R - TRAINING
General Assembly
26 April 2012
IIA Belgium events
Brussels
September 2012
62
Certification
Celebration Event
13 June 2012
IIA Belgium events
IIA Belgium - Brussels
September 2012
63
www.roberthalf.be
Check our internal audit jobs
11 offices in Belgium
Divisions of Robert Half BVBA/SPRL
Antwerpen | Brussels | Charleroi | Gent | Groot-Bijgaarden |
Hasselt | Herentals | Liège | Roeselare | Wavre | Zaventem