Étiquette : Audit

Pour une supervision efficace de la fonction audit interne | En rappel


Vous trouverez ci-dessous un document de référence publié par PwC et paru dans la série Audit Committee Excellence. Ce document, partagé par Denis Lefort, CPA, CIA, CRMA, expert-conseil en Gouvernance, audit et contrôle, apporte des réponses très complètes à plusieurs questions que les membres de conseils d’administration se posent eu égard au rôle de la fonction audit interne dans l’organisation.

1. Pourquoi la surveillance de l’audit interne est-elle critique pour les comités d’audit ?

2. Quel est le rôle des administrateurs dans l’optimisation des activités de l’audit interne ?

3. Comment aider l’audit interne à mieux définir sa mission ?

4. Quelles sont les lignes d’autorité et les besoins en ressources de cette activité ?

5. Quel est le processus de révision des résultats de l’audit interne ?

6. Que faire si votre entreprise ne possède pas une fonction d’audit interne ?

Ce document sera donc très utile à tout administrateur soucieux de parfaire ses connaissances sur le rôle très important qu’un service d’audit interne peut jouer.

Voici une introduction au rapport de PwC . Bonne lecture ! Vos commentaires sont les bienvenus.

 

Effective oversight of the internal audit function | PwC

 

The audit committee’s role is not getting any easier, but an audit committee has a lot of resources in its arsenal to help meet today’s high expectations. One of these tools is the internal audit function. Directors can, and should, focus on maximizing the value proposition of this group to ensure their own success.

 

A lot goes on in companies — and a lot can go wrong, even when you have good people and thoughtfully designed processes. That’s why so many audit committees look to internal audit as their eyes and ears — a way to check whether things are working as they should. Some companies staff the function internally, while others choose to outsource some or all of the role. Some do not have an internal audit function at all.

IMG00286-20100629-2027_2

 

For many audit committees, overseeing internal audit isn’t just the right thing to do, it’s a requirement. At NYSE companies, audit committees have to oversee internal audit’s performance and periodically meet in private sessions. NASDAQ is currently considering whether to require its listed companies to have an internal audit function and what role audit committees should play.

 

Whether a required function or not, we believe it’s critical that audit committees focus on internal audit. Why? PwC’s 2014 State of the internal audit profession study found that about one-third of board members believe internal audit adds less than significant value to the company, and only 64% of directors believe internal audit is performing well at delivering expectations. Even Chief Audit Executives (CAEs) are critical of their functions’ performance, with just two-thirds saying it’s performing well.

Comment le CA peut-il exercer une veille de l’éthique ?


vient de publier un excellent article, sur son blogue, qui traite des façons pour un CA d’accroître son assurance que les valeurs éthiques sont respectées. J’avais également publié un billet le 12 août intitulé : Le CA est garant de l’intégrité de l’entreprise.

Ce billet est le résultat d’une conférence que l’auteur a prononcée en se basant sur son expérience dans le domaine de la gouvernance éthique, mais aussi en s’appuyant sur les propos d’Andrew Fastow, l’ex V-P finances de Enron ainsi que sur les aveux de Conrad Black et Arthur Porter.

L’auteur a beaucoup réfléchi sur les moyens à la disposition du conseil d’administration pour superviser le comportement éthique de l’organisation et il en est arrivé à proposer dix façons pour les CA d’exercer leurs responsabilités en cette matière.

1091551_enfin-un-code-dethique-des-juristes-dentreprise-europeens-122803-1

Je vous réfère à l’article afin d’obtenir plus de détails sur chacun des aspects ci-dessous :

  1. Posez les bonnes questions eu égard aux aspects éthiques;
  2. Ayez des lignes directes au CA afin de surveiller l’éthique, l’intégrité, la réputation et la culture;
  3. Utilisez les réunions privées, sans la présence du management, afin d’obtenir des informations et poser les questions brûlantes;
  4. Assurez-vous que le CA fait affaires avec un juriste indépendant de la direction;
  5. Donnez-vous une politique de lanceur d’alerte (whistle-blowing);
  6. Ajustez la rémunération afin de tenir compte de la conduite des dirigeants, en sus de la performance !
  7. Surveillez vos processus de contrôle interne;
  8. N’hésitez pas à parler pour dénoncer certaines pratiques peu, ou pas, éthiques;
  9. Recrutez des administrateurs vraiment indépendants;
  10. Donnez le ton en tant qu’administrateur de la société.

Je vous souhaite une bonne lecture; vos commentaires sont toujours les bienvenus.

How should a board oversee ethics ?

Management is fond of explaining unethical conduct away by saying it was a “rogue” employee. Boards are fond of explaining unethical conduct by saying “we missed it.” If boards and management teams are truly honest, they know they should not have missed it and that it was not a rogue employee. It was an employee operating within the culture that was accepted.

In all of my interviews of directors over the years, including during ethical failure, when I ask about directors’ greatest regret, the answer is consistently, “I should have spoken up when I had the chance.” Speaking up is incredibly important when it comes to tone at the top. If you are uncomfortable, “speak up” is the best advice I could give a director. Chances are, several of your colleagues are thinking the exact same thing.

Trois étapes pour aider le CA à s’acquitter de ses obligations à l’égard de la surveillance de la gestion des risques


Quel doit être le rôle du conseil d’administration eu égard à la surveillance de la gestion des risques ? L’article publié par Scott Hodgkins, Steven B. Stokdyk, et Joel H. Trotter dans le forum du site du Harvard Law School présente, d’une manière très concise, les trois étapes qu’un conseil doit entreprendre en matière de gestion des risques d’une société.

Les auteurs rappellent l’utilisation d’un modèle développé par le COSO (Committee of Sponsoring Organizations de la Commission Treadway), bien connu en gouvernance, qui invite les CA à :

  1. S’entendre avec la direction sur un niveau de risque acceptable (l’appétit pour le risque);
  2. Comprendre les efforts de la direction dans l’exécution des pratiques de gestion des risques;
  3. Revoir le portefeuille des risques en considérant l’appétit pour le risque;
  4. Connaître les risques les plus importants de l’entreprise, ainsi que les stratégies de la direction pour les contrôler.

L’article discute des trois étapes que le CA doit accomplir afin de s’acquitter de son rôle en matière de gestion des risques :

  1. Déterminer le modèle de supervision privilégié par le CA;
  2. Convenir avec le management d’une approche appropriée à la gestion des risques et revoir l’approche retenue;
  3. Évaluer les ressources du CA en matière de gestion de risques et éviter les biais et la pensée de groupe.

Voici donc un extrait de l’article qui précise chacune des trois étapes.

Bonne lecture !

Three Practical Steps to Oversee Enterprise Risk Management

1. Determine the board’s preferred oversight model

Typically, boards either retain primary responsibility for risk oversight or delegate initial oversight duties to a committee, such as the audit committee or a risk committee. Where the board retains primary responsibility, individual committees may provide input on specific types of risk, such as compensation risk, audit and financial risk, and regulatory and compliance risk.

P1050650

In selecting between the active board model and the committee model, the board should consider those directors with the necessary expertise to oversee unique market, liquidity, regulatory, innovation, cybersecurity and other risks that may require special attention. The board should also consider whether adding duties to an existing committee, such as the audit committee, may be too burdensome in light of existing workload.

These issues are unique to each company, and the key is to ensure that the model you choose is effective for your situation.

2. Develop a stated approach to risk management

Some companies may adopt a risk management statement or policy. As with other policy statements, a risk management statement can create a tone-at-the-top benchmark for assessing value-creation opportunities as they arise and provide guideposts for management’s operational decisions.
A risk management statement should separately identify:

  1. Acceptable strategic risks
  2. Undesirable risks
  3. Risk tolerances or thresholds in stated categories, such as strategic, financial, operational and compliance

In developing the company’s approach, the board should consider:

  1. Investor expectations of the company’s risk appetite
  2. Competitors’ apparent risk appetite
  3. Stress-tests for risk scenarios, using historical experience and sensitivity analysis
  4. Long-term strategy versus existing core competencies
  5. Possible long-term market developments
  6. Risk concentrations (e.g., customer, supplier, investment, geographic)
  7. Effects of new business generation on desired risk profile
  8. Strategic planning and operations compared to articulated risk appetite

Developing a stated approach to risk management requires good working relationships among the board members, the CEO and management, as well as active participation by all involved.

3. Assess board capabilities and effectiveness, reviewing for bias and groupthink

The board must evaluate its own capabilities and effectiveness, paying particular attention to the possible emergence of cognitive bias or groupthink.

In assessing board capabilities and effectiveness, the board should consider:

  1. Directors’ skills and expertise compared to the company’s current and future operations
  2. Possible director education initiatives or new directors with additional skills
  3. Delegation of risk oversight in highly technical areas, such as cybersecurity
  4. Retention of independent experts to evaluate specific risk management practices
  5. Clear allocation of responsibility among the board committees and members
  6. The balance between board-level risk oversight and management-level day-to-day ERM Boards must also guard against two types of bias:
  7. Resistance to new ideas from outsiders, thus overlooking new opportunities or risks
  8. Confirmation bias, incorrectly filtering information and confirming preconceptions

Maintaining contact with business realities also requires collegiality and open communication among management and directors.

Boards should consider their risk oversight in light of these three steps to assist in framing an effective approach to enterprise-level risk exposures.

Colloque étudiant en gouvernance de sociétés


Les personnes  intéressées par les nouvelles recherches en gouvernance des entreprises sont invitées à assister au Colloque étudiant en gouvernance de société mardi 14 avril 2015

En partenariat avec la FSA et la Chaire en gouvernance des sociétés, le CÉDÉ organise un colloque étudiant. Les étudiants du cours de Gouvernance de l’entreprise DRT-6056 du professeur Ivan Tchotourian et du cours de Gouvernance des sociétés CTB-7000 du professeur Jean Bédard présenteront lors de cet événement le bilan de travaux de recherche réalisés durant la session d’hiver 2015.

Heure : 8 h 30 à 11 h 30
Lieu : Salon Hermès de la Faculté des sciences de l’administration

L’entrée est libre.

 

Les dix (10) billets vedettes en gouvernance sur mon blogue en 2014


Voici une liste des billets en gouvernance les plus populaires publiés sur mon blogue en 2014.

Cette liste constitue, en quelque sorte, un sondage de l’intérêt manifesté par des dizaines de milliers de personnes sur différents thèmes de la gouvernance des sociétés. On y retrouve des points de vue bien étayés sur des sujets d’actualité relatifs aux conseils d’administration.

Les dix (10) articles les plus lus du Blogue en gouvernance ont fait l’objet de plus de 1 0 000 visites.

Que retrouve-t-on dans ce blogue et quels en sont les objectifs ?

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie.

6f49ada2-22d7-453a-b86d-31dfd1b4ca77

Je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes.

Quelques statistiques à propos du blogue Gouvernance | Jacques Grisé

Ce blogue a été initié le 15 juillet 2011 et, à date, il a accueilli plus de 125 000 visiteurs. Le blogue a progressé de manière tout à fait remarquable et, au 31 décembre 2014, il était fréquenté par plus de 5 000 visiteurs par mois. Depuis le début, j’ai œuvré à la publication de 1 097 billets.

En 2015, on estime qu’environ 5 500 personnes par mois visiteront le blogue afin de s’informer sur diverses questions de gouvernance. À ce rythme, on peut penser qu’environ 70 000 personnes visiteront le site du blogue en 2015. 

On  note que 44 % des billets sont partagés par l’intermédiaire de LinkedIn et 44 % par différents engins de recherche. Les autres réseaux sociaux (Twitter, Facebook et Tumblr) se partagent 13 % des références.

Voici un aperçu du nombre de visiteurs par pays :

  1. Canada (64 %)
  2. France, Suisse, Belgique (20 %)
  3. Magreb (Maroc, Tunisie, Algérie) (5 %)
  4. Autres pays de l’Union Européenne (2 %)
  5. États-Unis (2 %)
  6. Autres pays de provenance (7 %)

En 2014, le blogue Gouvernance | Jacques Grisé a été inscrit dans deux catégories distinctes du concours canadien Made in Blog (MiB Awards) : Business et Marketing et médias sociaux. Le blogue a été retenu parmi les dix (10) finalistes à l’échelle canadienne dans chacune de ces catégories, le seul en gouvernance.

Vos commentaires sont toujours grandement appréciés. Je réponds toujours à ceux-ci.

Bonne lecture !

Top 10 de l’année 2014 du blogue en gouvernance de www.jacquesgrisegouvernance.com

1.       Guides de gouvernance à l’intention des OBNL : Questions et réponses
2.       Sur quoi les organisations doivent-elles d’abord travailler ? | Sur la stratégie ou sur la culture*
3.       Dix (10) activités que les conseils d’administration devraient éviter de faire !
4.       Douze (12) tendances à surveiller en gouvernance | Jacques Grisé
5.       Comportements néfastes liés au narcissisme de certains PCD (CEO)
6.       LE RÔLE DU PRÉSIDENT DU CONSEIL D’ADMINISTRATION (PCA) | LE CAS DES CÉGEP
7.       On vous offre de siéger sur un C.A. | Posez les bonnes questions avant d’accepter ! **
8.       Sept leçons apprises en matière de communications de crise
9.       Pourquoi les entreprises choisissent le Delaware pour s’incorporer ?
10.     Document de KPMG sur les bonnes pratiques de constitution d’un Board | The Directors Toolkit

Aperçu de certains changements dans la gestion des OBNL | Deloitte


Dans ce document de Deloitte, intitulé « un état de changement », j’attire votre attention sur deux sections qui sont importantes pour les gestionnaires d’OBNL :

(1) La communication de l’information sur les avantages sociaux futurs par les organismes sans but lucratif;

(2) L’améliorations des normes pour les organismes sans but lucratif – un rapport présentant les commentaires sur les 15 principes clés relatifs à la comptabilité des OBNL privées et publiques.

Le Conseil des normes comptables du Canada (CNC) et le Conseil sur la comptabilité dans le secteur public (CCSP) sont responsables des suite à donner à la consultation menée depuis plus d’un an.

Bonne lecture ! Vos commentaires sont les bienvenus.

Un état de changement dans les OBNL | Deloitte

 

Croisière Eurodam Iphone août 2011 006Pour l’instant, l’orientation qui sera adoptée par les organismes de normalisation est incertaine compte tenu des commentaires reçus et des principes proposés à l’origine dans l’énoncé de principes. Restez à l’affût des renseignements qui suivront, car les Conseils collaborent en vue d’améliorer l’orientation future des normes comptables pour les organismes sans but lucratif! Si vous souhaitez prendre connaissance de certains ou de tous les commentaires reçus à l’égard de l’énoncé de principes, visitez le site Web des Normes d’information financière et de certification (www.nifccanada.ca).

 

La contribution du comité d’audit à la stratégie | KPMG


Comment le comité d’audit contribue-t-il à la stratégie de l’entreprise ?

C’est le sujet abordé par Laurent Giguère, associé Audit chez KPMG, dans cet excellent article dont je vous propose la lecture.

Voici le questionnement qui a donné naissance à cet article :

Au cours de la dernière décennie, le comité d’audit a surtout mis l’accent sur la conformité, la gouvernance et diverses questions d’approbation. Toutefois, dans la plupart des cas, les comités d’audit d’aujourd’hui ont établi des cadres de surveillance rigoureux qui permettent de consacrer moins de temps à la surveillance. Les comités d’audit ont-ils ainsi l’occasion de se pencher sur de nouveaux domaines? Voilà la question qui se pose. Compte tenu de l’évolution du rôle du comité d’audit dans la surveillance des risques, y a-t-il des domaines nouveaux dans lesquels le comité d’audit peut améliorer la qualité de la surveillance?

Vous trouverez, ci-dessous, un extrait de l’article qui traite des moyens utilisés pour obtenir la bonne information.

Je vous invite à lire ce court article.

Bonne lecture !

La contribution du comité d’audit à la stratégie | KPMG

L’efficacité stratégique du comité d’audit dépend, dans une certaine mesure, de sa capacité de bien comprendre les indicateurs clés de performance de l’organisation, de même que de la question de savoir si ces indicateurs respectent et appuient les objectifs stratégiques d’ensemble. Étant donné que le comité d’audit a récemment mis l’accent sur la surveillance de l’information financière, il pourrait ne pas s’être investi autant dans ce domaine qu’il ne l’aurait fait autrement.

La contribution du comité d’audit à la stratégie

Toutefois, le comité d’audit a maintenant la chance d’améliorer le « dialogue en matière de finances » entre le conseil d’administration et la direction concernant la façon dont les systèmes de gestion évaluent la performance. Les comités d’audit favorisent également cet objectif en déployant des efforts accrus pour que des experts opérationnels les aident à mieux comprendre l’entreprise elle-même et à déterminer les indicateurs clés de performance les plus efficaces.

Compte tenu de ces défis et de l’ampleur considérable des enjeux qui entourent le risque financier, les comités d’audit semblent être les seuls à être qualifiés pour discuter de certaines questions, notamment les suivantes :

  1. Quels sont les objectifs de performance quantifiés que nous devons évaluer?
  2. De quelle façon pouvons-nous les surveiller à l’avenir?
  3. Quels sont les contrôles en place?
  4. À quel point nos systèmes et nos contrôles sont-ils solides?
  5. Nos systèmes permettent-ils de mesurer ces indicateurs clés de la performance?
  6. Procédons-nous régulièrement à un examen des indicateurs clés de la performance afin de déterminer leur pertinence?
  7. Procédons-nous à un examen rétrospectif des résultats obtenus par rapport aux objectifs établis dans les plans sur trois ou cinq ans?
  8. Pouvons-nous arriver à obtenir une combinaison optimale d’expertise financière et opérationnelle afin de répondre aux préoccupations de façon globale?
  9. Devrions-nous faire appel à des experts externes afin d’élargir la discussion?
  10. Devrions-nous avoir recours aux connaissances opérationnelles des membres du conseil d’administration qui ne font pas partie du comité d’audit?

Top 10 des billets en gouvernance sur mon blogue | Année 2014


Voici une liste des billets en gouvernance les plus populaires publiés sur mon blogue en 2014.

Cette liste constitue, en quelque sorte, un sondage de l’intérêt manifesté par des dizaines de milliers de personnes sur différents thèmes de la gouvernance des sociétés. On y retrouve des points de vue bien étayés sur des sujets d’actualité relatifs aux conseils d’administration.

Les dix (10) articles les plus lus du Blogue en gouvernance ont fait l’objet de plus de 1 0 000 visites.

Que retrouve-t-on dans ce blogue et quels en sont les objectifs ?

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie.

6f49ada2-22d7-453a-b86d-31dfd1b4ca77

Je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes.

Quelques statistiques à propos du blogue Gouvernance | Jacques Grisé

Ce blogue a été initié le 15 juillet 2011 et, à date, il a accueilli plus de 125 000 visiteurs. Le blogue a progressé de manière tout à fait remarquable et, au 31 décembre 2014, il était fréquenté par plus de 5 000 visiteurs par mois. Depuis le début, j’ai œuvré à la publication de 1 097 billets.

En 2015, on estime qu’environ 5 500 personnes par mois visiteront le blogue afin de s’informer sur diverses questions de gouvernance. À ce rythme, on peut penser qu’environ 70 000 personnes visiteront le site du blogue en 2015. 

On  note que 44 % des billets sont partagés par l’intermédiaire de LinkedIn et 44 % par différents engins de recherche. Les autres réseaux sociaux (Twitter, Facebook et Tumblr) se partagent 13 % des références.

Voici un aperçu du nombre de visiteurs par pays :

  1. Canada (64 %)
  2. France, Suisse, Belgique (20 %)
  3. Magreb (Maroc, Tunisie, Algérie) (5 %)
  4. Autres pays de l’Union Européenne (2 %)
  5. États-Unis (2 %)
  6. Autres pays de provenance (7 %)

En 2014, le blogue Gouvernance | Jacques Grisé a été inscrit dans deux catégories distinctes du concours canadien Made in Blog (MiB Awards) : Business et Marketing et médias sociaux. Le blogue a été retenu parmi les dix (10) finalistes à l’échelle canadienne dans chacune de ces catégories, le seul en gouvernance.

Vos commentaires sont toujours grandement appréciés. Je réponds toujours à ceux-ci.

Bonne lecture !

Top 10 de l’année 2014 du blogue en gouvernance de www.jacquesgrisegouvernance.com

1.       Guides de gouvernance à l’intention des OBNL : Questions et réponses
2.       Sur quoi les organisations doivent-elles d’abord travailler ? | Sur la stratégie ou sur la culture*
3.       Dix (10) activités que les conseils d’administration devraient éviter de faire !
4.       Douze (12) tendances à surveiller en gouvernance | Jacques Grisé
5.       Comportements néfastes liés au narcissisme de certains PCD (CEO)
6.       LE RÔLE DU PRÉSIDENT DU CONSEIL D’ADMINISTRATION (PCA) | LE CAS DES CÉGEP
7.       On vous offre de siéger sur un C.A. | Posez les bonnes questions avant d’accepter ! **
8.       Sept leçons apprises en matière de communications de crise
9.       Pourquoi les entreprises choisissent le Delaware pour s’incorporer ?
10.     Document de KPMG sur les bonnes pratiques de constitution d’un Board | The Directors Toolkit

La réglementation canadienne est déficiente à plusieurs égards | Richard Leblanc


Aujourd’hui, je tiens à partager avec vous le point de vue de Richard Leblanc, expert canadien de la gouvernance corporative, professeur de droit des affaires, consultant en gouvernance et observateur attentif de la scène réglementaire canadienne.

Richard nous présente cinq domaines de la règlementation canadienne qui sont déficients, ou à tout le moins  perfectibles. Ce jugement peut sembler assez sévère mais, en ce qui me concerne, je le partage entièrement, d’autant plus que plusieurs de mes billets vont dans le sens des lacunes observées par Richard.

Un document réglementaire de quatre (4) pages sur la bonne gouvernance est, en effet, un  peu restreint !

La règlementation en gouvernance au Canada, laquelle date de 10 ans, est certainement désuète eu regard aux autres règlementations des pays développés.

Voici donc cinq (5) lacunes identifiées par Richard Leblanc, qui, selon plusieurs observateurs, méritent une attention particulière, sinon une révision systématique :

  1. Déficiences au niveau des pratiques et des principes de gouvernance
  2. Manque d’importance accordée à la gestion des risques
  3. Manque d’une définition objective de l’indépendance des administrateurs
  4. Manque d’importance accordée à l’expertise requise dans le domaine de l’industrie
  5. Connaissances insuffisantes relatives aux aspects financiers et à l’audit interne.

Je vous invite à lire le compte rendu de son blogue, ci-dessous, afin de connaître les raisons invoquées.

Canada’s Corporate Governance Guidelines Are Out of Date

In my teaching, research and consulting, I no longer use “NP-58201 Corporate Governance Guidelines,” June 17, 2005 (“Guidelines”), that apply to publicly traded companies in Canada, as an example of exemplary corporate governance. I regard them as stale and dated. I cannot think of another developed country that has not updated its governance guidelines in almost 10 years. There have been more changes to governance since the financial crisis of 2008 than in a generation. And we are only about half way through all of them. Canadian regulators – including all provinces and territories – need to keep up, and step up.

Here are the deficiencies to the Guidelines as I see them:

IMG_20141013_150649

1. Lack of principles and practices:

Our Guidelines are four pages long. The UK’s new Code (September 2014) is thirty-six pages. Australia’s Principles and Recommendations (March 2014) are forty-four. South Africa’s “King III” (2009) is sixty-six pages, to pick only three examples. Quantity is not necessarily quality, but by having such succinct guidelines, the opportunity to set out (i) best practices that (ii) achieve the objective of principles is gone. It is comply or explain against a perfunctory unitary guideline, which can be – and is – gamed by reporting management. There should be more robust guidance, where the regulator explains various ways good governance can occur, from which listed companies can pick and choose according to their circumstances.

2. Lack of focus on risk management:

Take risk for example. The Canadian Guidelines simply state that the board should identify principal risks and ensure appropriate systems are in place to manage these risks. I have no idea what this actually means, nor may directors. Risk management oversight now involves an explicit risk appetite framework, internal controls to mitigate, technology, limitations, and assurance provided directly to the board and committees by independent risk, compliance, and internal audit functions. None of these practices, which are very much addressed by other regulators, appear in the 2005 Guidelines. Consequently, many public companies have immature risk management, especially in addressing non-financial risks such as cyber security, operations, terrorism and reputation. Regulatory inaction has an effect. Even a forward-thinking director may be blocked by intransigent management to devote greater resources to mitigating risk because of inadequate regulation.

3. Lack of independence of mind:

In Canada, a board can subjectively believe a director to be independent, but this belief need not be independently validated, nor tied to any objective or reasonable standard. Nowhere else can a conflict of interest lack a perceptual foundation. As a result, directors tell me how colleagues are compromised by an office, perks, vacations, gifts, jobs for friends, social relatedness, relations to major shareholders, excessive pay, excessive tenure, interlocks, and other forms of capture. If a director or chair is captured, they are owned by management and totally ineffective. If there is a difference between regulatory independence and the independence of mind of directors, the fault lies with the regulation. Regulators should implement an objective standard of director independence, not a subjective one.

4. Lack of industry expertise:

It was admitted in open forum that the original 1994 committee did little research. Sufficient industry expertise on boards is glaringly absent from the Guidelines, and consequently in many boardrooms. We are suffering from an independence legacy, perpetuated by entrenched directors, and unsupported by academic research. For example, in Australia, two academics claim has cost their country’s decline in shareholder value between 30 and 50 billion Australian dollars (“Does “Board Independence” Destroy Corporate Value,” by Peter L. Swan and David Forsberg).

Fraud, meltdowns and underperformance such as Nortel, RIM and CP all had a paucity of industry experts on their boards, including, most recently, Tesco in the UK. JP Morgan at the time of the risk management failure did not have a single independent director with banking experience. Prior to Bill Ackman’s involvement in CP, not a single independent director had rail experience. I recently assessed a similar board and not a single director had the necessary industry experience. The Guidelines should require relevant industry expertise on boards. I recommended this to OSFI when I was retained by them to examine their earlier guidelines, and this is now the law for all federally regulated financial institutions, along with risk expertise being present on boards.

5. Lack of financial literacy and internal audit:

There is no requirement to be financially literate to sit, initially, on an audit committee of a Canadian public company. This presumes someone can acquire financial literacy as opposed to having it to begin with. There is also no requirement to have an internal audit function for a Canadian public company. This should also change so audit committee members hit the ground running, and there should be a comply or explain approach to internal audit. In many compliance failures, there is a defective or non-existent internal audit function, with a weak audit committee lacking recent and relevant expertise. Regulators are now moving towards “independent coordinated assurance,” which means that reporting to, and functional oversight by, the board and committees are fulfilled by internal and external personnel who are independent of senior and operating management, including, most importantly, an effective and independent internal audit function.

L’audit interne au cœur d’une grande bataille !


Je partage avec vous un récent article que Denis Lefort, expert conseil en gouvernance et audit interne, m’a fait parvenir, accompagné de ses commentaires.

Cet article de Mike Jacka* est paru dans Internal Auditor Magazine​​​​​​​. Toute personne préoccupée par l’importance de cette fonction devrait prendre connaissance de cette mise en garde.

« En lisant ce bref article, vous saisirez rapidement que son auteur est d’avis que l’audit interne et les autres fonctions d’assurance des organisations (gestion des risques, conformité, sécurité et autres) sont entrées dans une guerre de juridiction… Et que l’audit interne ne peut agir comme si elle était comme la Suisse, neutre et inattaquable…!!!

L’auteur est ainsi d’avis que l’audit interne doit préparer à la fois sa stratégie de défense et d’attaque pour contrer les coups durs présents et à venir… »

Bonne lecture !

Internal Audit Is in the Midst of a Great War

 

The Harvard Law School Forum on Corporate Governance and Financial Regulation recently posted an interesting piece titled « Compliance or Legal? The Board’s Duty to Assure Compliance. » I know it all sounds a little boring, but trust me on this one — there is interesting information here. Take some time to read through it before we dive in.

(One very quick, very important aside. I came across this article as a part of The IIA’s SmartBrief — a weekly « snapshot » of news and issues internal auditors might care about. To receive the newsletter you must « opt in. » I cannot urge you enough to opt in. No puffery here. Seldom does a week go by where I don’t find at least one nugget I can use. If you aren’t receiving it, you can opt in here.)

Ia Online Home

If you have been paying attention to the discussions that are going on regarding internal audit’s evolving role you were probably gobsmacked by the similarities between those discussions and what is being said in this article. Take the opening sentence: « A series of developments threaten to blur the important distinction between the corporation’s legal and compliance functions. » Make a few changes and you are talking about the dilemma internal audit is facing. « A series of developments threaten to blur the important distinction between the organization’s internal audit department and [insert your favorite assurance provider’s name here]. »

There it is in a nutshell, the crux of the battle currently being waged over the role of internal audit and others within the organization.

Wait, let’s back up a second. Did you miss that there is a war going on? Let’s take a quick look.

I have a good friend who is a CAE. In that role he is also in charge of risk management. We often talk about the potential conflict that exists with those dual roles. He is not alone. I have talked with other audit leaders who are being approached about audit taking on the role of risk. Not a bad fit. We are risk experts, we have the communication and relationship skills, and there should be a definite meshing of gears between audit and risk.

On the other hand, I have also heard from others who face the opposite issue; they are under pressure to have internal audit placed under the jurisdiction of the risk officer. « Wait a minute, » you say, « That is a very bad idea: a serious problem, a conflict of interests, a subversion of our objectivity, an invasion on our independence. » Our list of reasons why this shouldn’t happen is quite long.

When the shoe is on the other foot the bunions become just a tad more obvious.

And it is not just the risk function. While not as common, I am hearing similar discussions around such functions as compliance, corporate security, finance, quality assurance, and, yes, even legal. In some cases the discussion is around audit taking on part of the role; in others it is about audit becoming a part of the other function.

Why are we suddenly seeing this land grab?

Governance has become an important topic at the executive and board level. (Definitely a good thing.) Assurance providers (compliance, legal, risk, et al) realize the way to raise the esteem with which the board and executives hold them is to take on a greater piece of the governance pie. The pushing and shoving starts. Escalation ensues. And we find ourselves in the midst of a jurisdictional war.

And while internal audit would like to believe we are above the fray (we are independent, we are objective, we are internal audit, hear us roar), unless we recognize the existence of this war — unless we are willing to take up arms and join in the fray — we will find ourselves trivialized, the core values we provide handed off to the victors.

We think we are Switzerland. But there is no such thing as neutrality in this battle.

So, with that background, let’s return to the article previously referenced. The contents provide a good indication of the type of arguments internal audit will encounter. Two examples:

  1. The author states that a forced separation of compliance from under legal would jeopardize the ability of the organization to preserve attorney-client privilege. Cold chills went up my spine as I read this. I still vividly recall similar debates from 20 years ago when the legal department argued they should have more direct control over internal audit in order to preserve attorney-client privilege. We won. But it is obvious that the ugly head of that particular argument continues to rise again and again.
  2. The article quotes compliance thought leaders as saying that the role of « guardian of corporate reputation » is exclusively reserved for the corporate compliance officer; that the compliance officer is the organizational « subject matter expert » for ethics and culture. The author of the article states that this is « contrary to long standing public discourse that frames the lawyer’s role as a primary guardian of the organizational reputation. » My first, knee-jerk reaction is that internal audit should be the guardian of reputation and the subject matter expert. But once I put my knee back where it belongs, I realize it is probably more true that the attempt to define any one department as guardian or expert is a fool’s game. Everyone with any governance role should have the protection of reputation, ethics, and culture as their No. 1 responsibility.

There is much more in the article and many more thoughtful and reasoned arguments. And it would be quite easy to say « Let them duke it out. Their arguments are not important to us. » However, that is exactly why we should be paying attention. The article contains the points that will be used in the battle — points to be used against us and points we can use in our defense.

We are in a war. And audit cannot sit back and say, « We have independence; we are safe and above the fray. » No. They will have an eye on our « turf, » also. And who’s to say that some of their turf shouldn’t be ours. I’m not saying we break out the bayonets and start going after some of the unwounded, but I am saying we have to recognize the existence of a battle and be willing to take a stand — be willing to say what it is we do, why it is important, and why we should have those responsibilities.

What are your thoughts? What is internal audit’s role regarding the organization’s approach to risk, governance, compliance, legal, etc.? If we are more involved, is there a conflict? If the lines blur, does it have a negative impact on the company? Is there really a war brewing? And what might this have to do with the future (if there is going to be a future) of internal audit?​

_____________________________________

*Mike Jacka, CIA, CPA, CPCU, CLU, worked in internal audit for nearly 30 years at Farmers Insurance Group.

Dix pratiques exemplaires à l’intention des membres de comités d’audit


Vous trouverez ci-dessous un article publié par Naomi Snyder* dans BankDirector.com qui présente une synthèse des caractéristiques des comités d’audit performants dans le domaine bancaire.

Bien sûr, ces pratiques peuvent aussi s’appliquer à tout autre comité d’audit. Bonne lecture !

10 Best Practices for Audit Committee Members

Serving on the audit committee can be one of the toughest jobs on the board, which is why audit committee members often are paid more than what members of other committees receive. Audit committee members have more duties than ever before, thanks to heightened regulatory scrutiny that banks have received in recent years, and are under more pressure than ever to get it right.

Sal Inserra, a partner at accounting and advisory firm Crowe Horwath LLP, spoke at Bank Director’s Bank Audit Committee Conference in Chicago recently, and laid out some of the qualities of highly functioning audit committee members. This is not his list, but was created based on his talk.

  1. Be a skeptic.
    “If you notice inconsistencies, ask the question,’’ Inserra said. “It’s not necessarily wrong. You are just trying to find out.”
  2. Understand your business.
    If you enter a new business line, you must understand that new line of business. Trust departments present banks with a minefield of compliance issues, for example.
  3. Meet with regulators.
    Examiners are more likely now to have a discussion with board members than years past. Regulators are interested in learning about the audit committee’s understanding of the risks in the organization. Attend some meetings with examiners to get a flavor for the bank’s relationship with its regulators and to prepare you for any problems ahead of time.6-28-13_Naomi_Article.png
  4. Support the internal audit department and its findings.
    Make sure the department is adequately funded and staffed. “I have seen way too many situations where internal audit was not a functional unit of the bank because no one respected them,’’ Inserra said. The internal audit chief should report directly to the audit committee chairman.
  5. Look for red flags.
    Red flags include when management delivers the audit committee book without sufficient time for members to digest it before the audit committee meetings. Other red flags include problematic findings that remain unaddressed between audits.
  6. Take control of the audit committee meetings.
    Don’t let management control the meeting agenda by burying you under a mountain of detail. It’s your meeting. Put the priorities at the beginning of the meeting, instead of starting with the easiest things. Get summaries of reports with the most important points highlighted. Who can read a 600 page audit in two nights?
  7. Make sure every member is contributing.
    Three to six people should serve on the audit committee. If it’s politically problematic to remove someone who is no longer contributing, add people you do need on the audit committee.
  8. Hold management accountable.
    Actively monitor management’s action plans. If remediation plans aren’t followed or completed on time, why not?
  9. Communicate with internal and external auditors.
    Be proactive. Have executive sessions with members of the internal auditing staff on a regular basis, as well as with external auditors.
  10. Improve the committee’s knowledge of technology by recruiting an IT expert to be a member, or hire a consultant to advise the board.
    If you are getting third party reports on your bank’s information security you don’t fully understand, then you need help.

Of course, there are many more aspects of being a great audit committee member. This is just a small sample. But at a time when audit committees have an increasing amount of responsibilities, it is important that the audit committee performs at the top of its game.

______________________________________________

*Naomi Snyder is the managing editor for Bank Directoran information resource for directors and officers of financial companies.

Pour une supervision efficace de la fonction audit interne | PwC


Vous trouverez ci-dessous un document de référence publié par PwC et paru dans la série Audit Committee Excellence. Ce document, partagé par Denis Lefort, CPA, CIA, CRMA, expert-conseil en Gouvernance, audit et contrôle, apporte des réponses très complètes à plusieurs questions que les membres de conseils d’administration se posent eu égard au rôle de la fonction audit interne dans l’organisation.

1. Pourquoi la surveillance de l’audit interne est-elle critique pour les comités d’audit ?

2. Quel est le rôle des administrateurs dans l’optimisation des activités de l’audit interne ?

3. Comment aider l’audit interne à mieux définir sa mission ?

4. Quelles sont les lignes d’autorité et les besoins en ressources de cette activité ?

5. Quel est le processus de révision des résultats de l’audit interne ?

6. Que faire si votre entreprise ne possède pas une fonction d’audit interne ?

Ce document sera donc très utile à tout administrateur soucieux de parfaire ses connaissances sur le rôle très important qu’un service d’audit interne peut jouer.

Voici une introduction au rapport de PwC . Bonne lecture ! Vos commentaires sont les bienvenus.

 

Effective oversight of the internal audit function | PwC

 

The audit committee’s role is not getting any easier, but an audit committee has a lot of resources in its arsenal to help meet today’s high expectations. One of these tools is the internal audit function. Directors can, and should, focus on maximizing the value proposition of this group to ensure their own success.

 

A lot goes on in companies — and a lot can go wrong, even when you have good people and thoughtfully designed processes. That’s why so many audit committees look to internal audit as their eyes and ears — a way to check whether things are working as they should. Some companies staff the function internally, while others choose to outsource some or all of the role. Some do not have an internal audit function at all.

IMG00286-20100629-2027_2

 

For many audit committees, overseeing internal audit isn’t just the right thing to do, it’s a requirement. At NYSE companies, audit committees have to oversee internal audit’s performance and periodically meet in private sessions. NASDAQ is currently considering whether to require its listed companies to have an internal audit function and what role audit committees should play.

 

Whether a required function or not, we believe it’s critical that audit committees focus on internal audit. Why? PwC’s 2014 State of the internal audit profession study found that about one-third of board members believe internal audit adds less than significant value to the company, and only 64% of directors believe internal audit is performing well at delivering expectations. Even Chief Audit Executives (CAEs) are critical of their functions’ performance, with just two-thirds saying it’s performing well.

L’État de l’audit interne à l’échelle internationale | Rapport 2014 de Thompson Reuters Accelus


Denis Lefort, CPA,  expert-conseil en Gouvernance, audit et contrôle, vient de me faire parvenir l’édition 2014 de l’étude Thompson Reuters Accelus sur l’audit interne.

Ce sondage identifie des observations intéressantes pour la profession d’auditeur interne :

(1) Seulement un peu plus de 27% des services d’audit interne vérifient les processus de gouvernance de leur organisation;

(2) Il y a encore des écarts importants de perception entre les services d’audit interne et les comités d’audit quant aux priorités que devraient être celles des services d’audit interne;

(3) Les auditeurs internes investissent 45% de leur temps pour l’audit de la sécurité des TI;

(4) Près de 50% des services d’audit interne interagissent maintenant avec les autres fonctions d’assurance de leur organisation (Conformité, Gestion des risques, etc…).

Ce document sera donc très utile à tout administrateur soucieux de parfaire ses connaissances de l’état de la situation en 2014 dans le monde.

Bonne lecture. Vos commentaires sont les bienvenus. Voici le sommaire de l’étude.

 

 ÉTAT DE L’AUDIT INTERNE – RAPPORT 2014 DE THOMSON REUTERS ACCELUS

 

Thomson Reuters Accelus’ annual State of Internal Audit Survey provides an insight into the experiences and expectations of internal audit professionals around the world. More than 900 internal audit practitioners across 50 countries participated in the 2014 survey sharing their views across a range of subjects, issues and concerns. The experiences shared in this report are intended to help internal audit functions and senior management benchmark the myriad of challenges faced and enable them to leverage the approach taken by their peers.

The survey has demonstrated that the world and work of internal audit continues to be as complex, and challenging as ever. Both the volume and diversity of issues that internal auditors need to understand and assess continues to increase globally and across all industries.

In fact, at a high level the results of the Thomson Reuters Accelus State of Internal Audit Survey have remained relatively unchanged for the last few years.IMG_20140521_164057

This year the results confirmed that the vast majority (81 percent) of internal auditors’ focus remains on providing assurance on the efficacy of internal control process. While assurance work is the traditional mainstay of internal audit there are a wide range of other areas and issues for internal auditors to consider, including:

(1) Nearly a quarter (24 percent) of internal auditors expect their personal liability to increase in 2014. The adequacy of internal auditors’ skills, focus and approach is firmly on the radar of regulators worldwide. It is no surprise, therefore, that internal auditors expect their own personal liability to increase in the near future.

(2) Nearly half (49 percent) of all internal auditors have had no involvement in assessing their firm’s culture. There are distinct regional variations with respondents from South America reporting that three-quarters (77 percent) of internal auditors have not assessed the culture of their firm.

(3) Just over a quarter (27 percent) of internal auditors have had no involvement in assessing their firm’s corporate governance; regionally this figure looks most concerning for North America, with 32 percent of internal auditors having no involvement.

4) Internal auditors spend 45 percent of their time on IT security and risk. Nearly half (48 percent) of respondents said that it should be a top priority for their organization and 35 percent said it would be a top challenge for boards of directors in 2014.

(5) Nearly half of the respondents (48 percent) expect to be spending more time reporting to senior management and tracking remedial actions. This is in addition to almost a quarter (24 percent) of internal auditors anticipating a need to focus on the implementation of industry-specific legislation.

(6) Nearly half of internal auditors interact with risk management (44 percent) and compliance (47 percent) on at least a monthly basis. While these figures are a slight improvement on last year it remains an area where improvements could be made.

(7) It is interesting that areas not considered a priority for internal audit included customer outcomes (6 percent), whistle-blowing (5 percent) and capital and liquidity (4 percent).

(8) Internal auditors’ perception of priorities for the board are not aligned with their own. The key challenges for internal auditors are greater complexity of issues and focus on risk and control, as well as changing business models. In contrast, boards’ priorities are corporate strategy, strategic risk management and legal and regulatory risk.

The growing focus which policymakers and regulators have been placing on culture, corporate governance and risk management has emphasized still further the need for a strong, well-resourced independent audit function operating, and in particular reporting, in close coordination with other risk and compliance functions, all with visible support from the top of the organization. Yet the results show a relatively unchanged picture in these areas from previous years. As the risks increase so does the need for internal audit to react to those changes.

 

Quels sont les grands enjeux de gouvernance ? | Six thèmes chauds ! *


En rappel, vous trouverez, ci-joint, une excellente publication de la NACD (National Association of Corporate Directors) qui présente les grands défis et les enjeux qui attendent les administrateurs de sociétés au cours des prochaines années.

Ce document est un recueil de textes publiés par les partenaires de la NACD : Heidrick & Struggles International, Inc., KPMG’s Audit Committee Institute, Marsh & McLennan Companies, NASDAQ OMX, Pearl Meyer & Partners et Weil, Gotshal & Manges LLP.

Vous y trouverez un ensemble d’articles très pertinents sur les sujets de l’heure en gouvernance. J’ai déjà publié un billet sur ce sujet le 23 juin 2013, en référence à cette publication.

Chaque année, la NACD se livre à cet exercice et publie un document très prisé !

Voici comment les firmes expertes se sont répartis les thèmes les plus « hot » en gouvernance. Bonne lecture.

Boardroom, Tremont Grand
Boardroom, Tremont Grand (Photo credit: Joel Abroad)

(1) What to Do When an Activist Investor Comes Calling par Heidrick & Struggle

(2) KPMG’s Audit Committee Priorities for 2013 par KPMG’s Audit Committee Institute

(3) Board Risk Checkup—Are You Ready for the Challenges Ahead ? par Marsh & McLennan Companies

(4) Boardroom Discussions par NASDAQ OMX

(5) Paying Executives for Driving Long-Term Success par Pearl Meyer & Partners

(6) What Boards Should Focus on in 2013 par Weil, Gotshal and Manges, LLP

NACD Insights and Analysis – Governance Challenges: 2013 and Beyond

Today, directors are operating in a new environment. Shareholders, regulators, and stakeholders have greater influence on the boardroom than ever before. In addition, risks and crisis situations are occurring with greater frequency and amplitude. Directors have a responsibility to ensure their companies are prepared for these challenges—present and future.This compendium provides insights and practical guidance from the nation’s leading boardroom experts—the National Association of Corporate Directors’ (NACD’s) strategic content partners—each recognized as a thought leader in their respective fields of corporate governance.

_______________________________________

* En reprise

Article relié :

Related articles
Enhanced by Zemanta

Le rôle de l’audit interne dans l’identification des risques émergents *


Denis Lefort, CPA, expert-conseil en Gouvernance, audit et contrôle, porte à ma connaissance un document de la firme Thomson Reuters (White Paper) très intéressant sur le rôle de l’audit interne dans l’identification des risques émergents.

EYE ON THE HORIZON : INTERNAL AUDIT’S ROLE IN IDENTIFYING EMERGING RISKS

Key elements of emerging risks

Reinsurance company Swiss Re defines emerging risks as “newly developing or changing risks which are difficult to quantify and which may have a major impact on the organisation.” This identifies their key elements.

Emerging risks may be entirely new, such as those posed by social media or technological innovation. Or they may come from existing risks that evolve or escalate – for example, the way counterparty credit risk or liquidity risk sky-rocketed during the 2008 financial crisis.

Newly developing risks lack precedent or history, and their precise form may not be immediately clear, which makes them difficult to measure or model. Changing risks are at least familiar in their shape and nature, although the rate of transformation and intensity can make them hard to quantify.

The final key element of emerging risks is their potential impact. New or changing risks can be as menacing as those the organisation deals with on a daily basis, and sometimes even more so. To give just one example, the way in which the music business failed to address the implications of digital downloads allowed a complete outsider, the computer company Apple, to step in and define and dominate the new market.

Emerging risks also threaten through their apparent remoteness or their obscurity. US Secretary of State Donald Rumsfeld distinguished between things we know we do not know (‘known unknowns’), and things we do not know we do not know (‘unknown unknowns’). In the first category are risks whose shape might be familiar, but where we do not necessarily understand all of their elements – causes, potential impact, probability or timing. Unknown unknowns are events that are so out of left field or seemingly farfetchedthat it takes great insight or a leap of the imagination to even articulate them. These include the ‘black swan’ events highlighted by the investor-philosopher Nassim Nicholas Taleb, where the human tendency is to dismiss them as improbable beforehand, then rationalise them after they occur. The 9/11 terrorist attack, or the financial crash of 2008, or the invention of the internet show that not only do black swan events happen, but they do so more frequently than is generally recognised, and they have an historically significant impact (and not always negative).

Many emerging risks are characterised by their global nature, their scale or their longer-term horizon – climate change is an example that displays all of these elements. In other cases, it is less the individual events themselves, some of which may be relatively moderate or manageable on their own, as the conflation of circumstances that creates a ‘perfect storm’.

Vous pouvez aussi consulter l’enquête de Thomson Reuters Accelus Survey on Internal Audit dont nous avons parlé dans notre billet du 7 juin.

New duties on horizon for internal auditors

“The clear message from the survey is that internal audit functions need to stop thinking about themselves as compliance specialists and start taking on a much larger, more strategic role within the organization,” Ernst & Young LLP internal audit leader Brian Schwartz said in a news release. “IA is increasingly being asked by senior management and the board to provide broader business insights and better anticipate traditional and emerging risks, even as they maintain their focus on non-negotiable compliance activities.”

New risks

As strategic opportunities emerge, internal auditors also are adjusting to new compliance duties, according to the survey. Globalization has resulted in increased revenue from emerging markets for many companies, so new regulatory, cultural, tax, and talent risks are emerging.

Thomson Reuters Messenger
Thomson Reuters Messenger (Photo credit: Wikipedia)

Internal audit will play a more prominent role in evaluating these risks, according to the survey report. Although slightly more than one-fourth (27%) of respondents are heavily involved in identifying, assessing, and monitoring emerging risks now, 54% expect to be heavily involved in the next two years.

The biggest primary risks that respondents said their organizations are tracking are:

  1. Economic stability (54%).
  2. Cybersecurity (52%).
  3. Major shifts in technology (48%).
  4. Strategic transactions in global locations (44%).
  5. Data privacy regulations (39%).

Survey respondents said the skills most often found to be lacking in internal audit functions are:

  1. Data analytics;
  2. Business strategy;
  3. Deep industry experience;
  4. Risk management; and
  5. Fraud prevention and detection.

“As corporate leaders demand a greater measure of strategy and insight from their internal audit functions, CAEs will need to move quickly to close competency gaps and ensure that they have the right people in the right place, at the right time.” Schwartz said. “If they fail to meet organizational expectations, they risk being left behind or consigned to more transactional compliance activities.”

__________________________________________

* En reprise

Articles récents sur l’audit interne :

Keeping Internal Auditors Up to the Challenge (forbes.com)

Internal Audit Has To STOP Focusing On Internal Controls (business2community.com)

Changement important dans la relation auditeur externe/interne | Financial Reporting Council (FRC) (jacquesgrisegouvernance.com)

Useful Internal Auditing in 4 Easy Steps (isocertificationaustralia.com)

Thomson Reuters Develops Accelus Governance, Risk and Compliance Platform (risk-technology.typepad.com)

Enhanced by Zemanta

PLANIFICATION D’AUDIT INTERNE BASÉE SUR LES RISQUES


Denis Lefort, CPA, expert-conseil en Gouvernance, audit et contrôle, porte à ma connaissance un document de la firme Thomson Reuters (White paper) qui aborde les écueils que n’ont pas su toujours éviter les responsables d’audit interne lors du déploiement de leur processus de planification annuelle/triennale fondé sur les risques.

  1. Votre planification prend-t-elle vraiment en compte les objectifs stratégiques de votre organisation ainsi que les risques qui pourraient prévenir leur réalisation…
  2. Votre planification prend-t-elle vraiment en compte les travaux réalisés par les autres fonctions d’assurance de votre organisation (Gestion des risques, Conformité, Finance, etc..)…
  3. Votre planification prend-t-elle vraiment en compte les préoccupations des dirigeants….

Voici un aperçu de la table des matières du document. Bonne lecture et bonne réflexion.

PLANIFICATION D’AUDIT INTERNE BASÉE SUR LES RISQUES

A TYPICAL INTERNAL AUDIT SCENARIO

REVIEW STANDARD INTERNAL AUDIT PROCEDURES

LISTEN TO MANAGEMENT: THE REAL OPPORTUNITY

LAY THE FOUNDATIONS: THE IMPORTANCE OF A ROBUST METHODOLOGY

KNOW YOUR COMPANY’S RISK APPETITE

PLAN FOR SUCCESS

UNDERSTAND THE BUSINESS AND ITS CULTURE

As the COSO Internal Control – Integrated Framework (2013) states, « risk assessment involves a dynamic and iterative process for identifying and assessing risks to the achievement of objectives ». Yet many in-house internal audit functions look at the annual internal audit risk assessment process as a check-the-box activity, required mainly to be in compliance with the IIA professional practices framework.

Audit

Typically, a three or five-year review cycle for the entire organization is already in place, and the annual internal audit risk assessment barely scratches the surface: It is merely used to justify minor modifications in the risk-based internal audit plan. Yet the internal audit risk assessment presents an often missed opportunity for internal auditors to understand their organization’s evolving objectives and implement a more dynamic risk-based approach to the internal audit process. Let’s take a look at a typical scenario played out every day and see if we, as uninvolved by-standers, can audit the process and see it if falls short in any way.

In advance of this year’s risk assessment, the internal audit department reviewed and revised their risk assessment process and the various preparation materials for management participants. The preparation materials included a list of key management participants with their preferred contact method, a list of internal audit risk assessment questions, an announcement letter explaining the importance of the annual risk assessment process, and a presentation that provided examples of beneficial insight received from the previous year’s risk assessment.

During the risk assessment, the internal audit staff rigorously captures each management remarks in an effort to record each detail, be it quantitative or qualitative. As the « scribe, » the internal audit staff is responsible for note taking, while the internal audit director asks management a series of questions from the annual list of internal audit risk assessment queries. The internal audit director conducts the interview in a way that illustrates both their tremendous understanding of the business and their ability to not get bogged down in the details. The individual representing management, on the other hand, usually provides general responses highlighting a few generic risks inherent in their business, but not enough for one to actually audit. One of those general responses was around an increase in the organization’s credit risk exposure.

Enhanced by Zemanta

De nouvelles responsabilités pour les comités d’audit | Deloitte


Voici un excellent document de Deloitte, publié dans le cadre de la série Comité de vérification en bref, qui fait état de nouvelles responsabilités du comité d’audit, particulièrement en ce qui a trait à la surveillance des auditeurs externes et à la communication d’informations financières.

Bonne lecture !

Une nouvelle ère pour la communication d’informations par les comités d’audit

Aux États-Unis, depuis quelques années, les autorités de réglementation, les défenseurs des intérêts des investisseurs et autres parties prenantes insistent de plus en plus auprès des sociétés pour qu’elles établissent un climat de confiance avec les investisseurs. Une grande partie de l’attention est centrée sur le rôle joué par le comité d’audit dans la protection des intérêts des investisseurs.

English: Deloitte logo

Il est probable que les appels à une plus grande transparence en ce qui touche la surveillance de l’auditeur et les autres responsabilités des comités d’audit continueront de croître.

Les comités d’audit peuvent répondre à ces appels en fournissant des informations plus pertinentes qui permettent de mieux comprendre leurs responsabilités et la façon dont celles-ci sont assumées par leurs membres. Ce numéro du Comité de vérification en bref  fournit un aperçu des exigences de la SEC relatives aux rapports du comité d’audit et met en évidence les résultats d’une analyse effectuée par le cabinet américain de Deloitte en 2013 qui examinait en profondeur les informations fournies par les comités d’audit dans le cadre de leurs efforts pour assurer une plus grande transparence.

Related articles
Enhanced by Zemanta

Cinq (5) points que les comités d’audit doivent prendre en considération


Denis Lefort, CPA, expert-conseil en Gouvernance, audit et contrôle, porte à ma connaissance une publication de la firme Deloitte qui aborde cinq points que les comités d’audit doivent prendre en considération afin de réussir en période de changement et d’incertitude :

1 . Protéger la marque et la réputation

2. Renforcer la confiance des investisseurs

3. Rendre l’information financière plus pertinente pour les parties prenantes

4. Tirer parti de l’évolution technologique

5. Payer sa « juste part » d’impôts

Voici un extrait du document ci-dessous. Bonne lecture ! Vos commentaires sont les bienvenus.

Réussir en période de changement et d’incertitude : plans d’action à l’intention des comités d’audit

La plupart des entreprises prennent des mesures pour améliorer leur capacité de livrer concurrence à long terme, notamment en mettant en œuvre de nouvelles technologies, en créant des partenariats, en rationalisant leurs activités ou en explorant de nouveaux marchés, mais elles doivent aussi composer avec les changements découlant des percées technologiques, de l’entrée en vigueur de nouveaux textes réglementaires et des modifications des normes d’information financière.

Audit
Audit (Photo credit: LendingMemo)

Dans un tel contexte, les comités d’audit ont un rôle de plus en plus important à jouer, qui dépasse celui de la seule surveillance des rapports financiers et autres informations réglementaires que leur organisation doit fournir.

La présente publication aborde cinq points que le comité d’audit doit prendre en considération.

Protéger la marque et la réputation :

Aujourd’hui les entreprises sont de plus en plus jugées sur leur conduite. Respecter les lois ne suffit plus; on s’attend à ce que les entreprises se conforment à des normes plus élevées. Si elles ne peuvent entièrement contrôler la perception qu’on a de leur marque, elles peuvent prendre des mesures pour se protéger contre les atteintes à leur réputation et se doter d’un plan d’action qu’elles pourront mettre en œuvre rapidement advenant une controverse.

Renforcer la confiance des investisseurs :

Les responsabilités des comités d’audit se sont accrues considérablement au cours des dix dernières années. Aujourd’hui, les organismes de réglementation internationaux projettent d’imposer de nouvelles règles pour améliorer la qualité des audits. Un grand nombre d’entre elles auront des répercussions sur la manière dont les comités d’audit s’acquittent de leurs responsabilités et font rapport aux actionnaires.

Rendre l’information financière plus pertinente pour les parties prenantes :

Les normes comptables ont fait l’objet de nombreuses modifications qui ont rendu la comptabilité moins intuitive et plus détaillée. Plusieurs modifications avaient pour but de résoudre des problèmes financiers et, plus récemment, de dissiper de plus vastes préoccupations des parties prenantes, sur les plans social et environnemental, notamment. Les comités d’audit doivent jouer un rôle actif pour faciliter l’identification, la compréhension et l’adoption de nouvelles normes tout en veillant à ce que les informations que l’entreprise communique à ses parties prenantes soient pertinentes et utiles.

Tirer parti de l’évolution technologique :

Pratiquement toutes les activités reposent à présent sur la technologie ou sont assistées par la technologie, ce qui donne aux entreprises des occasions sans précédent de réaliser des économies d’échelle, de réinventer leurs modèles d’affaires ou d’améliorer leurs liens avec les parties prenantes. Les données numériques sont aujourd’hui une richesse extrêmement prisée, ce qui rend nécessaire la mise en place de processus de gouvernance semblables à ceux qui encadrent l’information financière pour garantir l’intégrité des données et des systèmes d’information.

Payer sa « juste part » d’impôts :

De nombreuses organisations ont été accusées, tant par des groupes d’activistes que par les médias, de ne pas payer leur « juste part » d’impôts. Dans un environnement où des mesures de planification fiscale innocentes et légitimes sur le plan commercial sont mal vues, les comités d’audit doivent s’assurer que les stratégies fiscales auxquelles l’organisation a recours sont bel et bien fondées en droit et comprendre comment ces stratégies peuvent être perçues par le public.

L’analyse de ces points vise à aider les comités d’audit à établir des plans d’action adaptés à leur entreprise et à sa situation tout en créant de la valeur pour les parties prenantes.

Chacune des rubriques de la présente publication propose des points à l’intention des comités d’audit afin de les y assister.

Article relié :
Enhanced by Zemanta

La réforme européenne de la pratique de l’audit


Vous trouverez ci-dessous un condensé de l’entente intervenue par les institutions européennes concernant la réforme de l’audit. Ce résumé nous est transmis par ecoDa- The European Confederation of Directors’ Associations, dont le Collège des administrateurs de sociétés (CAS) est l’un des membres affiliés.

Cette entente fait suite au billet du 12 décembre, (Une réglementation pour accroître l’indépendance des firmes d’audit) où on annonçait certaines modifications sur la table à dessin des autorités réglementaires des É.U. et de l’union européenne.

Voici donc un bref résumé suivi d’une présentation sommaire des principaux changements convenus. À la suite de cet article d’ecoDa, vous trouverez le point de vue de Julia Irvine présenté dans Economia. Bonne lecture !

Yesterday, the European institutions managed to get a provisional agreement in trilogue on the reform of the audit sector. With the agreement, audit firms will be required to rotate every 10 years. Public interest entities will only be able to extend the audit tenure once, upon tender. Under this measure, joint audit will also be encouraged. To avoid the risk of self-review, several non-audit services are prohibited under a strict ‘black list’, including stringent limits on tax advice and on services linked to the financial and investment strategy of the audit client. In addition, a cap on the provision of non-audit services is introduced.

Audit reform 

 

1. A clarified societal role for auditors

Increased audit quality : In order to reduce the ‘expectation gap’ between what is expected from auditors and what they are bound to deliver, the new rules will require auditors to produce more detailed and informative audit reports, with a required focus on relevant information to investors.

The legislative triangle of the European Union
The legislative triangle of the European Union (Photo credit: Wikipedia)

Enhanced transparency : Strict transparency requirements will be introduced for auditors with stronger reporting obligations vis-à-vis supervisors. Increased communication between auditors and the audit committee of an audited entity is requested.

Better accountability : The work of auditors will be closely supervised by audit committees, whose competences are strengthened. In addition, the package introduces the possibility for 5% of the shareholders of the company to initiate actions to dismiss the auditors. A set of administrative sanctions that can be applied by the competent authorities is also foreseen for breaches of the new rules.

2. A strong independence regime

Mandatory rotation of audit firms : Audit firms will be required to rotate after an engagement period of 10 years. After maximum 10 years, the period can be extended by up to 10 additional years if tenders are carried out, and by up to 14 additional years in case of joint audit, i.e. if the company being audited appoints more than one audit firm to carry out its audit. A calibrated transitional period taking into account the duration of the audit engagement is foreseen to avoid a cliff effect following the entry into force of the new rules.

Prohibition of certain non-audit services : Audit firms will be strictly prohibited from providing non-audit services to their audit clients, including stringent limits on tax advice and services linked to the financial and investment strategy of the audit client. This aims to limit risk of conflicts of interest, when auditors are involved in decisions impacting the management of a company. This will also substantially limit the ‘self-review’ risks for auditors.

Cap on the provision of non-audit services:  To reduce the risks of conflicts of interest, the new rules will introduce a cap of 70% on the fees generated for non-audit services others than those prohibited based on a three-year average at the group level.

3. A more dynamic and competitive EU audit market

A Single Market for statutory audit : The new rules will provide a level playing field for auditors at EU level through enhanced cross-border mobility and the harmonisation of International Standards on Auditing (ISAs).

More choice : In order to promote competition, the new rules prohibit restrictive ‘Big Four only’ third party clauses imposed on companies. Incentives for joint audit and tendering will be introduced, and a proportionate application of the rules will be applied to avoid extra burden for small and mid-tier audit firms. Tools to monitor the concentration of the audit market will be reinforced.

Enhanced supervision of the audit sector : Cooperation between national supervisors will be enhanced at EU level, with a specific role devoted to the European Markets and Securities Authority (ESMA) with regard to international cooperation on audit oversight.

 

Voici également le point de vue de Julia Irvine présenté dans Economia.

 

EU bodies compromise on audit reform

Listed companies will have to tender their audit every 10 years and rotate auditors every 20 years after trilogue agreement was reached this morning on a package of audit reform measures

Certain non-audit services – such as some tax and corporate finance advice – which impact on an audit client’s financial and investment strategy, will be banned, and shareholders will find it easier to initiate action to get the auditors dismissed.

The measures, which were agreed between the European Parliament and the Lithuanian EU presidency, still have to be approved later this week by COREPER, the committee of permanent representatives of the member states. The European Parliament will then have to formally adopt the text next year.

Negotiations over audit reform reached stalemate earlier this month and led to the decision by British MEP and lead rapporteur Sajjad Karim to cancel scheduled trilogue discussions “because of a lack of will by some parties to compromise”. The major sticking points were mandatory rotation of auditors and non-audit services.

However, the breakthrough came today, thanks to “constructive efforts from all sides to find a way forward”, Karim said, adding that the compromise on a 20-year timespan for rotation was workable and a “considerable improvement on the commission’s original proposal”.

The agreed measures ensure that auditors will be key contributors to economic and financial stability through increased audit quality, stronger independence requirements and more open and dynamic EU audit market.

Other measures under the agreement include extending companies that have joint auditors can extend the 20 years to 24 and a four-year transitional period to avoid every company going out to tender at the same time.

Auditors will be prohibited from providing certain non-audit services to audit clients, including “stringent limits” on tax advice and services. The measures also include a 70% cap on fees from all other non-audit services, based on a three-year average at group level.

Big Four only clauses are banned and incentives for joint audit and tendering (as yet unspecified) are to be introduced. It is also intended that the rules will be applied proportionately to avoid extra burdens on small and mid-tier audit firms.

Auditors will have to provide more detailed and informative audit reports, focusing on relevant information for investors, they will be bound by strict transparency requirements in their communications with supervisors and will generally be required to talk more often to a client’s audit committee.

Shareholders will be able to start action to dismiss the auditors, provided 5% of them collaborate.

Finally, the package of measures will ensure a level playing field for auditors throughout the European Union through enhanced cross-border mobility and harmonisation of international auditing standards.

EU commissioner Michel Barnier hailed the outline agreement as “the first step towards increasing audit quality and re-establishing investor confidence in financial information, an essential ingredient for investment and economic growth in Europe”.

Auditors, he said, played an important societal role by providing stakeholders with an accurate reflection of the veracity of companies’ financial statements. “However, a number of banks were given clean bills of health despite huge losses from 2007 onwards. In relation to the real economy, inspection reports from the member states revealed lack of professional scepticism by auditors, misstatements and a lack of fresh thinking in the audits of major companies because of the average long-lasting relationship between the auditor and their clients.

“Taken all together, the agreed measures ensure that auditors will be key contributors to economic and financial stability through increased audit quality, stronger independence requirements and more open and dynamic EU audit markets.”

Karim added, “The European Parliament is optimistic that the proposal can be approved by a majority of member states and MEPs, considering it is a balanced compromise that will go a long way towards restoring confidence in the audit market.”

Initial reaction from the profession to the news was cautious. ICAEW chief executive Michael Izza said that after three years of debate and hard work, there was now hope that the follow-up work might be achieved before the EU elections on 22 May next year.

“Focus now needs to move to the transition and practical implications,” he said. “It is important not to underestimate the considerable practical impact the reform package will have, not only on the auditing profession but also on companies across the EU.

“It will take time for everybody involved – the profession, business, regulators – to work through the details and get to grips with all the changes.”

Articles reliés :

EU agrees rules to overhaul auditing firms (irishtimes.com)

EU in preliminary deal on audit reform (irishtimes.com)

US audit watchdog reviving controversial plan to require firms to disclose names of people who work on audits – @Reuters (reuters.com)

Une réglementation pour accroître l’indépendance des firmes d’audit


Voici un article très intéressant sur un sujet peu abordé dans ce blogue et peu discuté dans les « actualités » en gouvernance; il s’agit des nouvelles réglementations susceptibles d’affecter la gestion des grandes firmes d’audit.

Rappelons que les BIG-FOUR étaient auto réglementées avant 2002. La loi Sarbanes-Oxley (SOX) a limité les mandats de consultation que les firmes d’audit effectuaient pour le compte de leurs clients de services d’audit, en plus de mettre sur pied une nouvelle autorité de réglementation, le « Public Company Accounting Oversight Board (PCAOB) ».

Les autorités réglementaires américaines et européennes étudient diverses propositions de changement dont les suivantes :

  1. l’ajout d’une section dans le rapport d’audit qui soulignerait clairement les éléments critiques à considérer, du genre : « Qu’est ce qui empêche les auditeurs de dormir la nuit »;
  2. la réduction de la portion que les firmes d’audit peuvent sous-contracter à d’autres firmes sans faire de divulgation, réduction de 25 % à 5 %;
  3. la divulgation de l’identité de l’associé responsable de chaque audit;
  4. l’obligation de la rotation des firmes d’audit : (1) obligation pour une société d’aller en appel d’offre tous les dix ans et (2) obligation de changer de firme d’audit tous les 20 ans (15 ans pour les entreprises du secteur financier).

Je vous invite à lire l’article ci-dessous publié dans The Economist le 5 décembre 2013. Voici également un extrait de cet article.

Bonne lecture ! Vos commentaires sont les bienvenus.

Shining a light on the auditors

American Accounting Association
American Accounting Association (Photo credit: Wikipedia)

EVERY financial meltdown prompts a hunt for scapegoats. In the wake of the most recent one, calls to reform accounting have grown particularly loud, and action is on the way. In the coming months both America and the European Union are expected to introduce new rules aimed at enhancing auditors’ independence. But for all the heated debate over the changes, any improvement is likely to be modest.

America’s bean-counters were effectively self-regulating until 2002. That year, following a wave of accounting scandals, Congress passed the Sarbanes-Oxley act to reform corporate governance. It limited the consulting work firms could do for their audit clients and set up a new regulator, the Public Company Accounting Oversight Board. At a meeting on December 4th it outlined three policies it expects to implement by the end of 2014.

Yet even the most vocal advocates of mandatory rotation concede that it is no cure-all. Auditors have a conflict of interest at the heart of their business—they are paid by the companies they are supposed to assess objectively. Unless that changes, there will be no substitute for investors doing their own due diligence.

Articles reliés au sujet :

US audit watchdog reviving controversial plan to require firms to disclose names of people who work on audits – @Reuters (reuters.com)

Accounting firms pushing back into consulting (ecombiz.biz)

U.S. SEC accountant wary of audit firms’ push into consulting (xe.com)

Naming Them: Why Markets Deserve To Know Audit Partner Names And More (retheauditors.com)

Take Away the Auditors’ Mandate – Bloomberg (bloomberg.com)

Beswick’s Remarks at the AICPA 2013 Conference on Current SEC and PCAOB Developments (lawprofessors.typepad.com)