Les sanctions pour tester l'efficacité des dispositifs
Pour toute prise de connaissance en matière d’audit, la nature des
irrégularités régulièrement relevées par les autorités de contrôle est
une donnée intéressante en complément de la cartographie
des risques. En effet, les sanctions prononcées à l’encontre
d’organisations illustrent des anomalies effectives comparativement à la
gestion des risques qui est centrée sur des évènements
incertains. Autrement dit, l’auditeur interne peut s’appuyer sur des
éléments factuels pour orienter ses travaux. Il peut notamment
apprécier l’efficacité des dispositifs en œuvre au sein de son
organisation au regard des sanctions prononcées à l’égard d’autres
entités. Mais pour cela, encore faut-il connaître les peines prononcées
par les institutions compétentes. Le recueil de
jurisprudence de l’Autorité de Contrôle Prudentiel et de Résolution
(ACPR), disponible en consultation sur Internet[1]
est à ce titre une base documentaire des plus fructueuses pour
l’audit interne. Certes, cette publication ne concerne que le secteur
bancaire. Mais sur bon nombre de sujets, les remarques émises
dans le cadre de la supervision des banques sont tout à fait
transposables à d’autres secteurs d’activité pour l’identification des
risques potentiels.
Les manquements habituellement relevés par les autorités concernant la fonction conformité
Au-delà des aspects spécifiques et réglementaires, une mission
d’audit peut être enrichie de tout retour d’expériences extrait de
contrôles externes. Pour illustrer les avantages de pratiquer
ainsi, les manquements habituellement relevés par l’ACPR concernant
la fonction conformité sont un bon exemple de l’exploitation qui peut en
être faite par l’audit interne. Les carences ainsi
ordinairement identifiées sont les suivantes :
- les procédures traitant des processus employés par le Département conformité sont inadaptées, obsolètes, voire inexistantes ;
- les moyens humains affectés à la fonction conformité sont insuffisants pour traiter l’ensemble des tâches ;
- la connaissance du client, point réglementaire essentiel pour les banques mais non moins pertinent pour tout autre secteur, est mal documentée ;
- la vigilance du Département de la conformité fait défaut compte de traitement insuffisant des erreurs constatées au sein de la structure. Cette situation ne favorise pas l’identification si nécessaire d’irrégularité et donc de prendre les actions correctives en conséquence ;
- les contrôles de conformité menés par les collaborateurs dédiés à cette tâche ne sont pas suffisamment formalisés.
Exploitation par l'audit interne des anomalies détectées concernant la fonction conformité
Sur base de ces cinq constats, l’auditeur interne peut intégrer dans
son programme de mission relatif à la fonction de conformité les points
d’audit suivants :
- existe-t-il un corps procédural en lien avec la cartographie des risques de non-conformité ? Si oui, les procédures sont-elles accessibles par les personnes concernées, et régulièrement actualisées ?
- les ressources humaines dédiées au contrôle de la conformité sont-elles suffisantes et disposent-elles de moyens adaptés au regard du champ réglementaire auquel est soumise l’organisation ?
- les informations et données relatives à la clientèle sont-elles collectées et conservées pour servir la connaissance par l’entité de ses clients et ainsi lui permettre d’accroître sa performance commerciale ?
- les incidents opérationnels sont-ils répertoriés et classés par nature, avec une catégorisation réservée à la conformité, pour que soient identifiées les anomalies susceptibles d’être des irrégularités ?
- la fonction conformité dispose-t-elle d’un plan spécifique et révisé annuellement pour le pilotage des activités de contrôle et nécessitant leur formalisation ?
On apprend des irrégularités des autres
Les rapports d’activité et les publications des autorités de contrôle quelles qu’elles soient représentent une source d’informations intéressantes pour apprécier les implications en matière de conformité concernant une organisation. En plus des positions et des interprétations des pouvoirs publics sur des sujets réglementaires, l’auditeur interne a tout intérêt à connaître les sanctions prononcées par les institutions compétentes. Certes, on apprend de ses erreurs, mais aussi des irrégularités des autres. Considérant également que le risque ne se définit pas mieux qu’une fois réalisé, les sanctions prononcées par les autorités de contrôle sont autant de manifestation permettant d’en accroître la connaissance, donc d’être plus amène de déterminer les dispositifs de couverture adéquats.
la source : https://www.formation-audit-ecofi.com/2017/04/13/exploiter-les-irr%C3%A9gularit%C3%A9s-pour-auditer-la-fonction-conformit%C3%A9/
Aucun commentaire:
Enregistrer un commentaire