Embed Size (px)
Citation preview
Newsletter Risk Assurance & Advisory Services - janvier 2015
Cette Newsletter a pour vocation d’apporter des éléments d’actualité aux filières de la gestion des risques, de la conformité, du contrôle interne et de l’audit interne.
Outre les nouveautés réglementaires, événements et publications, le présent numéro aborde en particulier les enjeux liés à la gestion des grands programmes, à la Cybercriminalité et à la continuité d’exploitation dans le cadre de l’externalisation croissante des fonctions clés de l’entreprise.
Nous vous en souhaitons bonne lecture en espérant que cette Newsletter contribuera utilement à vos réflexions.
Patrice Morot
Éditorial
Newsletter Risk Assurance & Advisory Services
2 | janvier 2015
Actualité réglementaire
f Nouvelle norme IFRS 15 sur le RevenuPrésentation de la nouvelle norme sur la comptabilisation du revenu : IFRS 15 « Revenue from Contracts with Customers », qui propose un modèle commun pour comptabiliser tout type de transactions.
f Contrôles fiscaux – Obligation de présentation de sa comptabilité analytique en cas de vérificationUne transparence fiscale croissante pour lutter contre l’optimisation fiscale des groupes internationaux.
f Action de groupePrésentation d’une nouvelle voie de recours collective de consommateurs contre une entreprise, introduite par la loi Hamon du 17 mars 2014.
Actualité sectorielle
f Gestion d’actifs et BanquesQuelques informations récentes sur l’actualité réglementaire dans ces deux secteurs.
Publications
f Quatrième étude mondiale « Portfolio and Programme Management »Résultats de l’enquête 2014 réalisée par le réseau PwC auprès de plus de 3 000 clients sur le pilotage de programmes stratégiques.
f Livre blanc « Business continuity beyond company walls »Publication d’un livre blanc sur la gestion de la continuité d’activité de ses fournisseurs.
f Publications Audit InterneDeux publications récentes abordant la supervision de l’audit interne par le Comité d’Audit et les relations entre l’audit interne et l’audit externe.
f Étude « Global State of Information Security Survey »Résultats de l’étude 2015 sur la sécurité de l’information dans le monde réalisée par PwC en coordination avec les magazines CIO et CSO.
Événements récents ou à venir
f Conférence annuelle de l’IFACILe 2 et 3 octobre 2014.
f Lancement de l’Enquête Audit InterneNovembre/Décembre 2014.
f Présentation de l’enquête Global State of Information Security Survey 2015Février 2015.
Thématiques
f Gouvernance des réseaux sociauxLes médias sociaux représentent un enjeu essentiel pour les entreprises. Ils s’accompagnent de risques importants également. Nous proposons un cadre de gouvernance de ces réseaux sociaux permettant de mieux anticiper et gérer les risques.
f Mise à jour du cadre de référence COSO : Management des risques de l’entreprisePwC a été sélectionné par le COSO pour mettre à jour le cadre de référence du management des risques de l’entreprise paru initialement en 2004.
Newsletter Risk Assurance & Advisory Services
3 | janvier 2015
Contact : Philippe Vogt | 01 56 57 84 20 | [email protected] Pierre-Olivier Duranton | 01 56 57 73 53 | [email protected]
Nouvelle norme IFRS 15 sur le Revenu
L’IASB a publié en mai 2014 une nouvelle norme sur la comptabilisation du revenu : IFRS 15 « Revenue from Contracts with Customers », qui annule et remplace IAS 11 « Construction Contracts », IAS 18 « Revenue ».
Un modèle unique pour toutes les transactionsLa nouvelle norme propose un modèle commun pour comptabiliser tout type de transactions sans faire de distinction entre les ventes de biens, prestations de services et contrats de construction. L’approche retenue est focalisée sur le transfert du contrôle et non plus sur les risques et avantages, qui sont désormais analysés comme un des éléments permettant d’apprécier le contrôle.
IFRS 15 introduit des règles beaucoup plus complètes, précises et détaillées que les textes actuels, notamment en ce qui concerne l’identification des éléments d’un contrat à comptabiliser séparément, appelés « obligations de performance » et l’évaluation et l’allocation du prix de vente à ces obligations de performance. La norme apporte un filtre nouveau pour déterminer si le revenu doit être reconnu à l’avancement (« over time ») ou bien à une date spécifique (« point in time »).
Les nouveaux concepts laissent une part importante aux jugements et nécessitent un recours accru aux estimations, pouvant entraîner une plus grande décorrélation entre constatation du chiffre d’affaires et facturation. Des informations beaucoup plus riches seront par ailleurs à fournir en annexe, à la fois quantitativement et qualitativement.
Se préparer à la transitionLes impacts seront variables d’un secteur à l’autre et d’une entreprise à l’autre. L’application de la norme pourra conduire à une reconnaissance du revenu accélérée ou retardée, selon les cas. Certaines industries, comme les télécoms, seront fortement impactées et réfléchissent d’ores et déjà en termes d’adaptation de leurs processus et systèmes d’information. Pour d’autres secteurs, les impacts dépendront des pratiques actuelles de chaque entreprise. Cette nouvelle norme étant plus rigoureuse et prescriptive, et introduisant de nouveaux critères, aucune entreprise ne pourra se dispenser d’un examen attentif de ces nouvelles prescriptions. Les enjeux ne se limiteront pas aux aspects comptables mais
pourront affecter de nombreuses dimensions des entreprises comme la communication financière et les systèmes d’information ou de contrôle interne.
IFRS 15 est applicable pour les exercices ouverts à compter du 1er janvier 2017 avec application rétrospective. Si deux options sont possibles pour le retraitement des exercices comparatifs, il sera nécessaire de disposer de certaines informations au titre des exercices précédents et donc de s’y préparer. La nouvelle norme pourra être appliquée de façon anticipée.
Des publications sont disponibles pour permettre de mieux appréhender les enjeux de la nouvelle norme, y compris selon les secteurs d’activité.
Going concernFASB defines management’s going concern assessment and disclosure responsibilities
At a glanceOn August 27, 2014, the FASB (the “board”) issued Accounting Standards Update No. 2014-15, Disclosure of Uncertainties about an Entity’s Ability to Continue as a Going Concern, which requires management to assess a company’s ability to continue as a going concern and to provide related footnote disclosures in certain circumstances.Before this new standard, there was minimal guidance in U.S. GAAP specific to going concern. Under the new standard, disclosures are required when conditions give rise to substantial doubt about a company’s ability to continue as a going concern within one year from the financial statement issuance date. The new standard applies to all companies and is effective for the annual period ending after December 15, 2016, and all annual and interim periods thereafter.
Background.1 Financial reporting under U.S. GAAP assumes that a company will continue to operate as a going concern until its liquidation becomes imminent1. This is commonly referred to as the going concern basis of accounting.
.2 If a company faces conditions that give rise to uncertainties about its ability to continue to operate (for example, recurring operating losses), it may be necessary to make adjustments in the company’s financial statements and provide related disclosures(for example, asset impairment losses). Nevertheless, financial statements wouldcontinue to be prepared under the going concern basis of accounting even when there aresignificant going concern uncertainties. Although the basis of accounting generally would not change no matter how significant the going concern uncertainty, disclosures may be appropriate to alert investors about the underlying conditions and management’s plans.
.3 Disclosures regarding going concern uncertainties are common in financial reporting today, but before the new standard, there was minimal guidance in U.S. GAAP aboutwhen management should start providing such disclosures (that is, how significant must the uncertainty become to trigger disclosures) or about what information to disclose. The lack of management-specific guidance led to diversity in practice. The new standard
1 When a company’s liquidation becomes imminent, financial statements should no longer be prepared under the going concern basis of accounting, but rather under the liquidation basis of accounting in accordance with ASC 205-30, Presentation of Financial Statements-Liquidation.
No. US2014-07September 23, 2014
What’s inside:Background ..................... 1Key provisions.................2Disclosure threshold:
Substantial doubt ................ 2Consideration of
management’s plans ........... 4Required disclosures .............. 6
What’s next ......................7AppendicesAppendix A: Decision
flowchart...................... 8Appendix B: Example
application....................9
National Professional Services Group | CFOdirect Network – www.cfodirect.pwc.com In depth 1
Pour en savoir plus
Quelques pistes de réflexion
- Avez-vous évoqué avec la Direction Financière l’impact potentiel de cette évolution des normes, en intégrant la transformation de vos modèles de vente (vente de produits vs vente de services par exemple) ?
- Vos référentiels de contrôle interne sont-ils adaptés pour contribuer à la maîtrise de la qualité de l’information financière ?
- Pouvez-vous mieux intégrer les contrôles dans vos systèmes d’information ?
- Faut-il adapter vos programmes d’audit interne pour intégrer plus fortement la dimension reconnaissance des revenus (revue de la cohérence des principes appliqués sur des contrats types par exemple)
- Les contrôleurs internes et auditeurs internes doivent-ils être sensibilisés ou formés sur ces aspects techniques ?
Newsletter Risk Assurance & Advisory Services
4 | janvier 2015
Contacts : Hélène Rives | 01 56 57 42 20 | [email protected] Jean Sayag | 01 56 57 86 32 | [email protected] Pierre-Olivier Duranton | 01 56 57 73 53 | [email protected]
Contrôles fiscaux – une nouvelle obligation de présentation étendue à la comptabilité analytique
Pour lutter contre l’optimisation fiscale des groupes internationaux, le législateur impose une transparence fiscale croissante aux entreprises.Les plus récentes concernent :• Une documentation accrue à fournir à l’administration
(prix de transfert, piste d’audit TVA, douanes, etc.),• Un accès facilité aux données comptables
pour l’administration (Fichier des Écritures Comptables et comptes consolidés).
Depuis 2014, l’administration fiscale est en droit de demander la remise de la comptabilité analytique pour les avis de vérification adressés à compter du 1er janvier 2014.
Panorama simplifié des obligations mises à la charge des entreprises et des évolutions possibles dans un futur proche.
En l’absence de définition juridique de la comptabilité analytique (aucun texte en vigueur n’oblige à en tenir une) ceci implique pour les entreprises :• D’identifier les données de la comptabilité analytique
concourant à la justification des résultats,• De revoir et analyser les données analytiques à remettre et
d’en mesurer les enjeux fiscaux (notamment afin de justifier des flux intragroupes et la politique prix de transfert).
L’objectif est d’éviter les sanctions mises à la disposition des vérificateurs (opposition à contrôle fiscal et 100 % de pénalités ou 20 000 euros par exercice) et maîtriser l’information fournie à l’administration.
Cette nouvelle obligation vient compléter un ensemble de mesures qui nécessite, pour les entreprises, un effort d’anticipation, notamment pour adapter les processus comptables et financiers et les systèmes d’information associés.
Pour en savoir plus
Quelques pistes de réflexion
- Les risques liés à la conformité fiscale sont-ils suffisamment détaillés dans votre cartographie des risques ?
- La gouvernance de la fonction fiscale permet-elle de comprendre les risques liés à l’empreinte internationale de votre groupe ?
- Avez-vous la capacité d’identifier et d’apprécier les résultats des différents contrôles fiscaux passés ou en cours, révélateurs potentiels de risques réels ?
- Avez-vous décliné des objectifs de contrôle suffisamment spécifiques pour assurer le respect des obligations, en particulier ceux affectant la politique de prix de transfert et la traçabilité des enregistrements comptables ?
- Menez-vous des audits internes sur des thèmes liés à la fiscalité, pour donner aux parties prenantes un niveau d’assurance suffisamment robuste sur ces risques ?
Transparence fiscaleAvis de véri�cation
Contrôles �scaux des comptabilités informalisées
Fichier des écriturescomptables (FEC)
2006 2010 2013 2014
Evolution ?
Documentation prix de transfert(sur demande)
Documentation contemporaineprix de transfert
Inclusion des rulings étrangers Reporting pays par pays ?
Documentation « allégée » prixde transfert (6 mois post liasse)
Facturation : piste d’audit TVA
Comptablité analytique
Comptes consolidés
Emport de copies de documents
Déclaration des schémasd’optimisation
Ecritures de passage auxcomptes consolidés ?
Déclaration des schémasd’optimisation ?
Publication de données�scales par pays ?
Altoweb (facultatif)
Newsletter Risk Assurance & Advisory Services
5 | janvier 2015
Contacts : Bruno Thomas | 01 56 57 83 75 | [email protected] Paul-Mathieu De La Foata | 01 56 57 50 03 | [email protected] Françoise Bergé | 01 56 57 81 59 | [email protected]
Action de groupe
L’action de groupe est une nouvelle voie de recours introduite par la loi Hamon du 17 mars 2014, qui a été intégrée aux nouveaux articles L.423-1 et suivants du Code de la consommation.
Les conditions de mise en place de cette nouvelle procédure ont fait l’objet du décret n° 2014-1081 du 24 septembre 2014.
Il convient de préciser que contrairement au système américain de la « Class action », la procédure française ne permet toujours pas d’octroyer des dommages-intérêts dits « punitifs » qui restent proscrits en droit français.
L’action de groupe est une voie de recours collective de consommateurs contre une entreprise dans le cadre d’une action en justice prise en charge et organisée par des associations de consommateurs agréées.
Cette action en justice peut être engagée :
• en cas de manquements d’une entreprise aux règles prévues par le Code de la consommation à l’occasion de la vente de biens ou de la fourniture de services,
• ainsi qu’en cas de pratiques anticoncurrentielles.
Ce champ d’application est strictement limité à ces deux domaines. Ainsi, les conséquences des atteintes à l’environnement en sont exclues.
Tous les consommateurs qui agissent contre une entreprise via une action de groupe pourront ainsi demander une réparation de leur préjudice dans le cadre d’un unique recours mené par les associations de consommateurs agréées. Ces dernières soulageront donc les consommateurs pour l’avance des frais ainsi que l’accomplissement des formalités procédurales.
Seuls les préjudices matériels sont indemnisables dans le cadre de l’action de groupe. Les dommages corporels (accidents par exemple) ou les dommages moraux ne sont donc pas concernés.
Le Tribunal de Grande Instance (TGI) est compétent en la matière. En cas de condamnation de l’entreprise, le juge fixera le montant que le professionnel devra allouer à chacun des consommateurs ainsi que les mesures de publicité à apporter au jugement rendu afin de permettre aux consommateurs concernés de se déclarer individuellement pour obtenir réparation (système de « l’option-in » par opposition à celui de « l’option-out »).
Pour en savoir plus
Quelques pistes de réflexion
- Cette nouvelle procédure s’applique-t-elle aux activités de votre entreprise ?
- Dans votre cartographie des risques, avez-vous intégré l’impact financier lié au risque de condamnation dans le cadre d’une action de groupe ?
- Ne serait-ce pas pour vous l’opportunité de vous intéresser de plus près à la robustesse du dispositif de gestion des assurances ?
- Êtes-vous en mesure de donner une assurance suffisante sur le dispositif de traitement des plaintes et réclamations au regard de cette réglementation ?
Newsletter Risk Assurance & Advisory Services
6 | janvier 2015
Gestion d’actifs
Directive UCITS V : publication au Journal Officiel de l’Union européenne La Directive UCITS V a été publiée au Journal Officiel de l’Union européenne (JOUE) du 28 août 2014. Elle complète les dispositions actuelles pour les OPCVM (SICAV et FCP coordonnés) en ce qui concerne la fonction de dépositaire, la politique de rémunération des salariés des sociétés de gestion de portefeuille et le régime de sanctions. Cette directive entre en vigueur au niveau européen 20 jours après sa publication, soit le 18 septembre 2014 et les États membres auront 18 mois, soit jusqu’au 18 mars 2016, pour une transposition dans leur droit national.
Publication par l’ESMA de questions-réponses relatives à la Directive AIFM
Le 27 juin et le 21 juillet 2014, l’ESMA a publié deux mises à jour de ses questions-réponses relatives à l’application de la Directive AIFM. Les nouvelles questions-réponses portent sur la rémunération, le reporting aux autorités nationales compétentes et le passporting des activités des AIFM.
Pour en savoir plus
Contact : Patrice Bergé-Vincent | 01 56 57 55 33 | [email protected] Romain Camus | 01 56 57 87 83 | [email protected]
Banque
Abrogation du règlement CRBF 97-02 sur le contrôle interneL’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumis au contrôle de l’Autorité de contrôle prudentiel et de résolution abroge le règlement CRBF 97-02 et transpose notamment les articles de la directive CRD IV consacrés à la gouvernance. Il intègre également les dispositions concernant la gouvernance de l’arrêté du 5 mai 2009 relatif à l’identification, la mesure, la gestion et le contrôle du risque de liquidité. Les principales modifications de cet arrêté, qui contribue à constituer un corpus réglementaire homogène en termes de définitions et références, sont présentées dans l’Alerte regulatory PwC de novembre 2014.
Mécanisme de supervision uniqueEntrée en vigueur du Mécanisme de supervision unique (MSU) le 4 novembre 2014, au travers duquel la Banque Centrale Européenne (BCE) est désormais responsable de la supervision directe des plus grands groupes bancaires et indirecte de l’ensemble des banques de la zone euro.La Banque centrale européenne a publié début octobre un guide relatif aux modalités de fonctionnement du MSU. Par ailleurs, le dimanche 26 octobre 2014 ont été publiés les résultats de l’Asset Quality Review (AQR) et des stress tests, exercice engagé par la BCE sur le périmètre des banques entrant sous sa supervision en préalable à la prise de fonction dans son nouveau rôle.
Pour en savoir plus
Contacts : Nicolas Montillot | Banque | 01 56 57 77 95 | [email protected] Florence Keller | Banque | 01 56 57 19 50 | [email protected] Romain Camus | 01 56 57 87 83 | [email protected] Nicolas Le Moual | 01 56 57 77 89 | [email protected]
Newsletter Risk Assurance & Advisory Services
7 | janvier 2015
Quatrième étude mondiale « Portfolio and Programme Management »
Les organisations font face à des changements majeurs et à des besoins de transformation qui incitent aujourd’hui près de 75 % des CEOs interviewés dans le cadre de l’étude 2014 PwC CEOs Survey à planifier la définition et la réalisation d’un plan de transformation et/ou d’amélioration dans de nombreux domaines de l’organisation (cf. graphique ci-dessous).
La capacité des organisations à conduire le changement de manière efficace constitue un enjeu clé et même un facteur différenciant dans un environnement en forte évolution. Face à ces enjeux, une majorité des entreprises s’estime aujourd’hui encore insuffisamment préparée pour mener à bien ces transformations.
L’étude mondiale « Portfolio and Programme Management » 2014 réalisée par PwC auprès de plus de 3 000 clients de tous secteurs confondus montre que pour près de 40 % des acteurs de l’étude, les dispositifs actuels ne permettent pas de garantir le respect des engagements visés et des résultats stratégiques attendus dans le cadre de ces plans de transformation.
L’évolution depuis 2004 des principales causes de non-respect des délais et des budgets de réalisation des programmes de transformation confirme la nécessité d’une maîtrise des fondamentaux de la Gestion de Programme.
Dans un contexte de changement, cette étude met également en évidence les difficultés majeures rencontrées par les entreprises pour garantir une meilleure conformité entre les ambitions initiales et l’exécution au sein des projets :
• un besoin de collaboration plus étroite entre les acteurs internes et externes et un enjeu de flexibilité de la part des organisations pour mieux détecter, anticiper et être réactif vis-à-vis des évolutions externes ;
• une complexité croissante des projets sur le plan réglementaire, technologique et des besoins en termes de compétences nouvelles rendant difficiles les estimations de budget et de planning ;
• des difficultés à mettre en place un respect strict du cahier des charges initial et des dérogations encadrées.
Top 3 des principales causes d’échec des projets depuis 2004
2004 2007 2012 2014
Mauvais budget/ retards
Mauvais budget/ retards
Budget trop peu approfondi en amont
Budget trop peu approfondi en amont
Changements de périmètres
Changements de périmètres
Manque d’engagement du top management
Changements de périmètres à mi-projet
Modifications externes
Ressources insuffisantes
Objectifs et trajectoires mal définis
Ressources insuffisantes
Stratégie de gestion des talents
Stratégie de rétention et croissance de la clientèle
Investissements technologiques
Structure organisationnelle
Gestion et analyse des données
Capacité d'innovation et R&D
Approche de gestion des risques
Canaux de distribution
Stratégie de M&A, joint venture ou alliances
Gouvernance d'entreprise
Supply chain
Investissement en capacité de productionLocalisation des unités opérationnelles
clés ou des sièges sociaux
0 20 40 60 80 100
32
34
35
35
28
27
31
25
21
33
24
30
Reconnaissance du besoin de changementDéveloppement d'une stratégie de changement
Developpement de plans pour implémenter les programmes de changementProgramme de changement en cours ou terminé
12
9
10
7
12
13
11
10
13
8
10
7
9
22
20
19
21
21
22
19
23
24
16
21
14
13
27
28
27
25
26
24
22
23
20
17
19
21
1712
Plans de transformation au sein des organisations
Newsletter Risk Assurance & Advisory Services
8 | janvier 2015
Quatrième étude mondiale « Portfolio and Programme Management »
Ces éléments se traduisent in fine par un écart significatif entre les initiatives lancées par les équipes de management et leur déclinaison au niveau des projets opérationnels.
Vos plans de transformation sont-ils alignés avec votre stratégie ?
0 20 40
Ne sait pas
Les projets sont validés localement
en fonction des agendas et besoins
Les budgets des projets sont validés,
mais ces derniers ne sont pas
nécessairement alignés avec la
stratégie globale
La majorité des projets est alignée
avec notre stratégie mais il n'y a pas
de processus d'approbation formel
La plupart des initatives de
changement est en phase avec la
stratégie grâce à un processus
d'approbation
Tous les plans de transformations
émanent de la stratégie globale
Collaborateurs Directeurs Directeurs et collaborateurs
De
gré
d'a
lign
eme
nt à
la s
tra
tégi
e
7
6
11
14
38
24
2
4
9
20
37
29
6
6
11
15
38
24
Newsletter Risk Assurance & Advisory Services
9 | janvier 2015
Contacts : Yoann Derriennic | 01 56 57 41 11 | [email protected] Françoise Bergé | 01 56 57 81 59 | [email protected]
Quatrième étude mondiale « Portfolio and Programme Management »
L’étude présente les meilleures pratiques mises en place par les organisations et permet d’identifier 5 leviers clés pour garantir une meilleure maîtrise des programmes de transformation :
1. Optimiser la gestion du portefeuille de projets et piloter le programme en s’appuyant sur des critères de performance organisationnelle - La gestion du portefeuille de projet est une fonction clé pour garantir une meilleure cohérence et un alignement des objectifs des projets avec les ambitions stratégiques.
2. Être flexible et réactif pour mettre en œuvre le changement et adapter les objectifs du programme en fonction des évolutions et de l’avancement des projets - S’appuyer sur des dispositifs renforcés de planification, de re-priorisation des projets et de pilotage agile pour faciliter la remontée des alertes et la gestion des risques.
3. Donner aux collaborateurs et aux parties prenantes un environnement leur permettant d’assurer une maîtrise du programme et un engagement des équipes opérationnelles - Veiller à « l’adhésion » des équipes opérationnelles avec les objectifs du programme et accompagner les responsables dans leurs rôles de leaders opérationnels des programmes de transformation.
4. Connecter les équipes dirigeantes avec les équipes opérationnelles de projet pour assurer un haut niveau d’engagement des équipes - S’appuyer sur des échanges transverses et garantir une bonne articulation entre des fonctions « centrales » de programme et des fonctions « locales » au sein des projets.
5. S’appuyer sur un pilotage de programme visant l’arbitrage des « écarts significatifs » et l’efficacité des cycles de décision - Revoir les cycles de pilotage et les dispositifs de gouvernance pour répondre à la fois aux besoins de pilotage de programme, de cohérence et de sécurisation.
Pour en savoir plus
Quelques pistes de réflexion
- Quels dispositifs utilisez-vous pour garantir un meilleur contrôle de la conformité et de la performance des projets opérationnels par rapport aux objectifs stratégiques ?
- Comment votre contrôle interne contribue-t-il aux 5 enjeux majeurs listés dans l’étude PPM 2014 ?
- Avez-vous des dispositifs de gouvernance et de contrôle pour mieux maîtriser les décisions d’arbitrage relatives à la gestion du portefeuille de projets ?
- Avez-vous mis en place des approches d’amélioration continue basées sur des retours d’expérience et la prise en compte des évolutions de l’environnement externe ?
- Plus de 25 % des entreprises interrogées reconnaissent que les risques ne sont pas suffisamment identifiés et évalués. Comment intégrez-vous dans le plan pluriannuel, de l’audit interne, les missions adressant les risques d‘exécution de la transformation ?
Newsletter Risk Assurance & Advisory Services
10 | janvier 2015
Livre blanc « Business continuity beyond company walls »
Les entreprises externalisent de plus en plus la gestion de services critiques, ce qui les rend plus vulnérables aux risques de rupture de la continuité d’activité. Cela est particulièrement vrai lorsque les entreprises ont peu de visibilité sur les capacités de résilience de leurs fournisseurs. Le nouveau livre blanc, publié par PwC, analyse l’impact des capacités de résilience des fournisseurs sur les stratégies de continuité d’activité d’une organisation.
Business continuity beyond company walls: When a crisis hits, will your vendors’ resiliency match your own? souligne que le risque est d’autant plus critique lorsque l’organisation a une compréhension limitée de ses propres risques d’interruption d’activité, de ses capacités de résilience et de ses stratégies de continuité d’activité.
Pour s’adapter aux changements économiques et démographiques mondiaux et réduire le temps d’accès au marché pour leurs produits et services, les entreprises font appel de plus en plus à des fournisseurs stratégiques. L’augmentation de la dépendance à l’égard des prestataires, fournissant des produits ou services clés pour l’entreprise, rend indispensable la surveillance des risques liés à ces parties prenantes.
Afin de se protéger contre les risques d’interruption d’activité, les entreprises doivent mettre en place un système de management de la continuité d’activité qui intègre le risque fournisseur et prend en compte les besoins de résilience accrue et de reprise rapide de l’activité.
Dans son livre blanc, PwC propose cinq étapes pour aider les entreprises à gérer les risques d’interruption d’activité de leurs fournisseurs.
Financial
Business continuity
Reputational
Country
Information security
Exit strategy
Service
Regulatory
The spectrum of vendor risk
Étape 1 : Cartographier ses risques fournisseursLa mise en place d’un système de management de la continuité des activités, intégré, agile et proactif commence par :• une évaluation des risques d’interruption d’activité,• une analyse approfondie des impacts de
ces interruptions sur l’activité,• une évaluation macro des risques d’interruption
d’activité de ses fournisseurs.
Ces actions permettent à l’entreprise d’analyser les conséquences d’une interruption sur son organisation. Cela permet également d’apprécier un élément clé du dispositif de gestion de la résilience des fournisseurs : la priorisation.
Étape 2 : Prioriser les risquesTous les fournisseurs d’une entreprise ne sont pas stratégiques. Il est donc essentiel d’adopter une approche tenant compte du risque pour déterminer quels fournisseurs sont les plus critiques pour la continuité de l’activité de l’entreprise. Cette priorisation doit se faire sur la base de l’analyse des impacts et de l’évaluation des risques d’interruption d’activité.PwC identifie neuf domaines à prendre en compte lors de l’analyse des risques critiques des parties prenantes, et notamment : l’impact sur les revenus et les stocks, les risques géopolitiques ou bien encore, les risques liés à la réglementation.Ces domaines fournissent un cadre aux organisations pour déterminer leurs risques fournisseur. Ils doivent faire l’objet d’une attention particulière en cas de situation de crise.
Newsletter Risk Assurance & Advisory Services
11 | janvier 2015
Contacts : Françoise Bergé | 01 56 57 81 59 | [email protected] Julien Muller | 01 56 57 47 19 | [email protected]
Livre blanc « Business continuity beyond company walls »
Étape 3 : Soyez précisLes entreprises ne peuvent plus se limiter à l’utilisation de questionnaires génériques relatifs à la continuité d’activité dans la gestion des risques fournisseur. Elles doivent désormais évaluer précisément la capacité de résilience de leurs fournisseurs stratégiques. Le livre blanc de PwC souligne plusieurs éléments que les entreprises devraient prendre en compte lors de l’analyse des risques de continuité d’activité et de l’évaluation de leurs impacts, notamment :• la liste des processus de l’entreprise qui dépendent de la
fourniture de produits d’un fournisseur stratégique,• l’implantation géographique des activités du fournisseur,• le rôle du fournisseur en cas d’interruption
d’activité de l’organisation.
Étape 4 : « La confiance n’exclut pas le contrôle »Une fois que l’organisation a réalisé une cartographie de ses fournisseurs stratégiques, il est important de vérifier leurs capacités de résilience. Le schéma ci-dessous montre le cadre de référence pour l’évaluation de vos fournisseurs.PwC propose également six bonnes pratiques qui peuvent aider l’entreprise dans sa relation avec ses fournisseurs stratégiques et dans l’évaluation de leurs capacités de résilience, parmi lesquelles :• faire du fournisseur stratégique un véritable partenaire
de la continuité d’activité de l’organisation,• obtenir les éléments pertinents de l’analyse
des risques réalisée par le fournisseur,• obtenir la description du processus de
gestion de crise du fournisseur.
Étape 5 : Réagissez
Les systèmes de management de la continuité d’activité des fournisseurs sont souvent peu formalisés, se concentrant essentiellement sur le plan de reprise informatique et sur la sécurité des personnes.
Les entreprises doivent déterminer leur appétence au risque fournisseur. Si un tiers est essentiel à l’atteinte d’un objectif stratégique de croissance
ou à la conformité réglementaire, alors la capacité de résilience ne devrait jamais être négociable. Changer de fournisseur est une alternative moins risquée et coûteuse qu’une mauvaise gestion de la continuité d’activité.
Pour en savoir plus
Risk prioritised planning process• Determine risk factors• Survey relationships• Leverage internal stakeholder knowledge• Develop prioritised assessment schedule
Reporting• Document reviews• Communicate findings with internal stakeholders• Develop plan of action to address significant deficiencies• Plan re-testing
Pre-visit activities• Communicate review process, goals, and methodologies to third-party• Prepare/process paperwork• Survey third-party• Arrange site visit schedule
Site visit• Meet third-party security manager• Review survey responses• Physical walkthrough• Contracts, policy, configuration examination
Country
Financial health
Reputational
IT security/Physical security
Legal, compliance,and privacy
Third-part due diligence
Technology
Operational risk
4th party
BC/DR
Technical configurationvalidation
Third-partysub-contract review
Risk-prioritisedselection approach
Third-party surveys
Physical security walkthrough
Policy and procedure reviews
Reporting and ranking
Follow-up with /internal customers
Solution delivery foundation
Quelques pistes de réflexion
- Quels sont les risques majeurs liés à vos fournisseurs, qui peuvent interrompre vos activités ?
- Quels sont vos prestataires les plus critiques ?
- Comment mettre en place un dispositif qui vous permette de faire face à un sinistre majeur chez un fournisseur stratégique ?
- Le programme de tests de votre plan de continuité est-il adapté aux risques fournisseurs ?
- Votre univers d’audit interne intègre-t-il les partenaires critiques ?
Newsletter Risk Assurance & Advisory Services
12 | janvier 2015
Contact : Jean-Pierre Hottin | 01 56 57 82 63 | [email protected]
Publications Audit Interne
Comité d’audit : supervision de la fonction audit interneLes attentes vis-à-vis des Comités d’audit sont de plus en plus élevées, et leur mission de plus en plus complexe. L’un des outils à leur disposition est la fonction audit interne. Les administrateurs peuvent et doivent se focaliser sur la contribution essentielle de l’audit interne à leur propre succès.
La publication aborde de manière synthétique quelques recommandations pratiques à destination des membres des Comités d’audit, afin de les aider à mieux exercer leur supervision de la fonction audit interne.
Auditeur interne/auditeur externe : Des intérêts convergents au service de missions distinctesCet article, publié dans la revue Audit & Contrôle interne de l’IFACI de juin-juillet 2014, aborde les disparités et convergences entre les missions des auditeurs internes et des auditeurs externes, et brosse un tableau des bonnes pratiques que l’on peut observer au sein de grandes entreprises françaises. Il aborde également les freins ou limites à cette collaboration et propose quelques idées pour renforcer d’avantage cette nécessaire collaboration entre deux acteurs clefs au service de la bonne gouvernance des organisations.
Pour en savoir plusPour en savoir plus
pwc.com/us/centerforboardgovernance
Audit Committee Excellence Series Achieving excellence: Overseeing internal audit
July 2014
PwC’s Audit Committee Excellence Series (ACES)provides practical and actionable insights, perspectives, and ideas to help audit committees maximize their performance. This edition is about effective oversight of the internal audit function.
23juin/juil. 2014 - Audit & Contrôle internes n°220
DOSSIER
Auditeur interne /auditeur externeUne coopération nécessaire
Les secrets d’une relation bénéfiqueJean-Claude Grynberg, Jean Sandler, Siân Williams
30
Un vaste champ de collaborationSylvain Rousseau
33
Des intérêts convergents au service de missionsdistinctesJean-Pierre Hottin
24
De quoi parle-t-on ?Laurent Arnaudo
27
Newsletter Risk Assurance & Advisory Services
13 | janvier 2015
Global State of Information Security Survey 2015
La Cybercriminalité augmente et les budgets sécurité diminuent…
Le nombre de cyber-attaques recensées en 2014 est en hausse de 48 % dans le monde.
Notre étude réalisée en 2014 en coordination avec les magazines CIO et CSO, révèle que le nombre d’incidents déclarés a augmenté de 48 % à travers le monde en 2014, pour atteindre un nombre total de 42,8 millions, soit l’équivalent de 117 339 attaques par jour.
Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an.
Globalement, le coût annuel moyen attribué aux incidents de cybersécurité atteint 2,7 millions de dollars en 2014, soit une augmentation de 34 % par rapport à 2013. Les pertes financières significatives ont été plus fréquentes cette année puisque les pertes de 20 millions de dollars ou plus ont quasiment doublé pour les entreprises (+ 92 % par rapport à 2013).
Pourtant, c’est la première fois depuis 2010 que le budget moyen alloué à la sécurité de l’information baisse, pour tomber à 4,1 millions de dollars, soit 4 % de moins qu’en 2013.
L’Europe et les grandes entreprises particulièrement menacées.C’est en Europe que les incidents de cybersécurité augmentent le plus fortement, avec une hausse de 41 % des incidents détectés en 2014. En Amérique du Nord, l’augmentation atteint 11 % et 5 % pour la région Asie-Pacifique. Les grandes entreprises - dont les revenus annuels bruts sont de 1 milliard de dollars ou plus – ont observé une hausse de 44 % de ces incidents en 2014.
Les organisations de taille moyenne – avec des revenus entre 100 millions à 1 milliard de dollars - ont vu le nombre d’incidents augmenter de 64 %.
13,1382014
SmallRevenues less than
$100 million
MediumRevenues $100 million–
$1 billion
LargeRevenues more than
$1 billion
9,15520134,227
2014
2,5812013
1,0912014
1,1512013
$2.2million
2010 2011 2012 2013 2014
$2.7million
$2.8million
$4.3million
$4.1million
3.8%
3.5%
3.8%
3.8%
3.6%
Cependant, les budgets mondiaux dédiés à la sécurité de l’information restent faibles et diminuent en 2014.Les budgets de cybersécurité sont en recul, en particulier dans les secteurs de l’aéronautique et de la défense (-25 %), des technologies (-21 %), de l’automobile (-16 %) et de la distribution et des biens de consommation (-15 %).
Newsletter Risk Assurance & Advisory Services
14 | janvier 2015
Global State of Information Security Survey 2015
Les collaborateurs sont les premiers responsables des incidents de sécurité !
Les incidents provoqués par les collaborateurs de l’entreprise ont augmenté de 10 % en 2014 par rapport à 2013, et représentent 35 % des incidents de sécurité déclarés. L’étude révèle que souvent les salariés compromettent involontairement les données de leur entreprise, en perdant leurs appareils mobiles ou en étant la cible de phishing.
Les incidents de cybersécurité attribués aux fournisseurs actuels et anciens et consultants extérieurs ont progressé respectivement de 15 et 17 %.
De même, les cyberattaques menées par un État ont augmenté de 86 %, en particulier dans les secteurs de l’énergie et de l’aéronautique & défense.
Les cyberattaques attribuées à des concurrents, dont certains peuvent être soutenus par des États, sont en hausse de l’ordre de 64 %.
Adopter le management du risque : plus d’agilité et de réactivité pour les entreprises face à des menaces en perpétuelle mutation. Les entreprises doivent passer d’une approche de la sécurité de l’information basée sur la prévention et le contrôle à une philosophie fondée sur le risque, pour privilégier leurs actifs les plus précieux face aux menaces les plus dangereuses. Évaluer les risques permet de les rendre assurables et ainsi d’améliorer les pratiques vertueuses.
Insiders
Current employees
Former employees
Current service providers/consultants/contractors
Former service providers/consultants/contractors
Suppliers/business partners
Customers
31% 35%
27% 30%
16% 18%
13% 15%
12% 13%
10% 11%
Une sensibilisation efficace aux enjeux de la cybersécurité exige un engagement de la direction, ce qui d’après l’étude fait souvent défaut. En effet, à peine un répondant sur deux explique disposer, au sein de son entreprise, d’une équipe dédiée à ces questions, qui se réunit régulièrement pour discuter, coordonner et communiquer la stratégie face à ces enjeux.
Il est crucial que les entreprises définissent des politiques et procédures de prévention et de réaction qui soient adaptables à toutes les parties prenantes de l’entreprise.
Contacts : Anne-Christine Marie | 01 56 57 13 42 | [email protected] Philippe Trouchaud | 01 56 57 82 48 | [email protected] Nuvin Goonmeter | 01 56 57 50 68 | [email protected]
Pour en savoir plus
Quelques pistes de réflexion
- Votre stratégie est-elle liée aux objectifs métier ?
- Vos risques sont-ils pris en compte dans la gestion des ressources ?
- Avez-vous mis en place un dispositif de contrôle des tiers afin de prévenir ou détecter d’éventuelles fuites de données ?
- Avez-vous intégré les risques liés aux technologies mobiles dans votre stratégie de sécurité ?
- Les incidents cybersécurité liés aux employés sont-ils traités avec la même rigueur que les menaces externes ?
- Comment sensibilisez-vous vos employés aux problématiques de la sécurité informatique ?
Newsletter Risk Assurance & Advisory Services
15 | janvier 2015
Événements récents et à venir
Conférence annuelle de l’IFACI
Le 2 et 3 octobre 2014PwC, partenaire privilégié de cet événement, a souhaité axer ses contributions sur l’impact des évolutions digitales sur la fonction audit interne, au travers de trois temps forts :• une séance plénière abordant l’impact sur le plan
d’audit et en particulier quelques idées de thèmes à envisager pour s’adapter à cette révolution digitale qui touche tous les domaines de l’organisation ;
• un atelier abordant des pistes pour intégrer aux processus propres de l’audit interne les facilités offertes par ces évolutions technologiques ;
• un atelier à la carte visant à illustrer de manière pratique comment les nouvelles technologies peuvent être appliquées, notamment sur le format des rapports, les outils d’audit et la visualisation/exploration de données.
Pour en savoir plus
Contact : Jean-Pierre Hottin | 01 56 57 82 63 | [email protected]
Lancement de l’Enquête Audit Interne
Novembre/Décembre 2014Lancement des entretiens et questionnaires dans le cadre de la 11e édition de l’enquête annuelle State of the Profession of Internal Audit.
Contacts : Jean-Pierre Hottin | 01 56 57 82 63 | [email protected] Paul Le Nail | 01 56 57 78 98 | [email protected]
Présentation de l’enquête Global State of Information Security Survey 2015
Février 2015Lors de cet événement, PwC présentera les résultats de l’édition 2015 de l’enquête annuelle relative à la sécurité de l’information.
Contacts : Anne-Christine Marie | 01 56 57 13 42 | [email protected] Philippe Trouchaud | 01 56 57 82 48 | [email protected] Nuvin Goonmeter | 01 56 57 50 68 | [email protected]
Newsletter Risk Assurance & Advisory Services
16 | janvier 2015
Gouvernance des réseaux sociaux
Vos parties prenantes s’informent, agissent, interagissent et rétroagissent en continu par le biais des médias sociaux.Les médias sociaux donnent une voix aux employés, clients, usagers, concurrents, partenaires, actionnaires et autres parties prenantes. Une voix qui résonne globalement, relayée instantanément au-delà de votre écosystème habituel.
Les initiatives sont multiples et les investissements massifs pour exploiter ces traces numériques, ces Big Data, ce nouvel « or noir ».
En effet, les business émergents à forte valeur sont créés à partir de croisements opérés entre les données soumises par vos utilisateurs, les données observables (nos traces numériques), les autres données externes (météo, open data, etc.) et vos données internes à l’organisation.
« Nous vivons dans une économie basée sur l’exploitation de nos traces numériques »
Les incidents liés à l’utilisation des réseaux sociaux par votre organisation ne sont pas une fatalité.Embrasser ces nouvelles opportunités n’est pas sans risque :• Risques de réputation et d’image• Divulgation d’informations sensibles
dans et hors de l’entreprise• Usurpation d’identité
Il existe de nombreux exemples d’incidents liés aux réseaux sociaux, allant de l’humour à ceux qui ont donné lieu à des amendes pour non-respect de la réglementation. Dans certains cas, ces incidents ont eu un impact négatif sur le cours de l’action de l’entreprise.
Que vous soyez une petite entreprise ou une grande entreprise multinationale, il est indispensable de repenser la gestion des risques et de la conformité quand il s’agit de la gouvernance des réseaux sociaux.
Or si les organisations ont généralement conscience des risques que représentent pour elles les médias sociaux, très peu ont mis en place une stratégie adéquate et les moyens d’un réel contrôle.
« La gouvernance des médias sociaux est plus une histoire de personnes, de risques et de stratégie que d’outils et de systèmes d’information. »
Comment anticiper et gérer les risques ?La mise en place d’une telle stratégie vous permettra de gérer les risques liés aux réseaux sociaux tout en profitant des opportunités qu’ils représentent
Si vous êtes présents sur les médias sociaux ou si vous en avez l’ambition, vous devez agir dans le cadre d’une stratégie qui intègre l’évaluation des risques auxquels votre organisation peut être exposée ainsi que les actions vous permettant de les gérer. Les risques peuvent avoir un impact plus large que vous pouvez l’imaginer au premier abord. Il est donc important de les gérer de façon structurée.
Une approche dédiée et holistique permettra non seulement de gérer ces risques mais aussi de tirer profit des opportunités réelles.
Newsletter Risk Assurance & Advisory Services
17 | janvier 2015
Contacts : Anne-Christine Marie | 01 56 57 13 42 | [email protected] Jean Barrère | 01 56 57 57 60 | [email protected]
Gouvernance des réseaux sociaux
Nos expériences récentes nous ont permis d’identifier les défis importants de la gouvernance des réseaux sociaux.Parmi les points à prendre en compte :• Définir une stratégie digitale qui permettant d’atteindre
les bénéfices attendus des réseaux sociaux ;• Intégrer dans la stratégie les dimensions relevant
de la conformité, de la confidentialité des informations et de la sécurité des données ;
• Mettre en place une organisation et une gouvernance dédiée avec des rôles et responsabilités définis ;
• Diffuser la culture du risque au travers de la politique réseaux sociaux ;
• Définir les processus de contrôle de qualité et de sécurité sur les données ;
• Adresser la question de l’outillage pour une écoute active des réseaux sociaux ;
• Élaborer un plan de gestion de crise spécifique aux réseaux sociaux.
Quelques pistes de réflexion
Social Media
Governance
SocialGovernanceFramework
SocialMedia Policy
Data Privacyand Control
PolicyAwareness
and Training
SocialStrategy
Socia Resilienceand Crisis
Management
Regulatory/Compliance
Avez-vous mis en place des contrôles et sont-ils efficaces ?
Comment formez-vous vos employés à l’utilisation responsable des médias sociaux ?
Savez-vous sur quelles plateformes et quels canaux concentrer vos efforts, en interne et en externe ?
Votre politique est-elle alignée avec la culture de votre organisation ?
Avez-vous des indicateurs et critères pour mesurer l’impact de votre communication ?
Avez-vous élaboré votre plan de gestion de crises ?
Avez-vous identifié et évalué les exigences réglementaires et législatives ?
Newsletter Risk Assurance & Advisory Services
18 | janvier 2015
Mise à jour du cadre de référence COSO : Management des risques de l’entreprise
PwC a été sélectionné par le Committee of Sponsoring Organizations (COSO) de la Treadway Commission afin de revoir et de mettre à jour le cadre de référence du management des risques de l’entreprise du COSO.Le cadre de référence initial rédigé par PwC en 2004, est un standard largement diffusé et utilisé par les entreprises pour améliorer la capacité d’une organisation à gérer l’incertitude et l’aider à déterminer le niveau de risque à accepter pour atteindre ses objectifs et ainsi accroître la création de valeur pour ses parties prenantes. La mise à jour du cadre de référence est destinée à en améliorer le contenu et la pertinence de telle sorte que les entreprises du monde entier puissent améliorer la valeur ajoutée de leur dispositif de gestion des risques.
« PwC a une relation de longue date avec le COSO et nous avons vu le management des risque devenir une fonction clé pour le business au cours des 10 dernières années. Nous sommes fiers d’avoir été sollicité par le COSO pour la mise à jour du cadre de référence d’origine.
De nombreux risques sont, par nature, de plus en plus globaux et interconnectés. Dans la nouvelle version du cadre de référence, nous chercherons à comprendre et à refléter la façon dont le management des risques de l’entreprise peut être appliqué de façon concrète à travers les différents territoires géographiques », explique Patrice Morot, associé responsable Risk Assurance and advisory Services France.
Les mises à jour seront construites sur la base des concepts développés dans le cadre de référence d’origine, afin de refléter l’évolution de la réflexion et des pratiques de gestion des risques de l’entreprise tout en prenant en compte l’émergence de grandes tendances mondiales et l’évolution des attentes des parties prenantes.
« La mise à jour du cadre de référence est destinée à aider les organisations à être plus résistantes et mieux préparées pour saisir les opportunités liées à l’évolution des risques.De plus, le nouveau référentiel permettra de faire le lien entre les risques, la gouvernance et le contrôle interne. Les attentes quant à l’efficacité et la valeur ajoutée du management des risques ont considérablement évolué à tous les niveaux d’une organisation, de son conseil d’administration jusqu’aux responsables fonctionnels », explique Françoise Bergé, associée Risk Assurance and Advisory Services, responsable pour la France de l’activité gestion des risques, conformité et contrôle interne.
PwC sollicitera les acteurs concernés, et notamment les Directions des Risques, afin de recueillir les attentes, les préoccupations et les suggestions d’améliorations par rapport au cadre de référence actuel. Ces commentaires aideront PwC et le COSO à identifier les mises à jour requises.
Vous pouvez dès à présent contribuer à la mise à jour du cadre de référence du management des risques de l’entreprise, en répondant à l’enquête COSO à l’adresse suivante :
https ://www.research.net/s/COSO-ERM
Contacts : Patrice Morot | 01 56 57 81 68 | [email protected] Françoise Bergé | 01 56 57 81 59 | [email protected]
Newsletter Risk Assurance & Advisory Services
Nos Associés Risk Assurance & Advisory Services
Patrice Morot01 56 57 81 [email protected]
Jean-Pierre Hottin01 56 57 82 [email protected]
Anne-Christine Marie01 56 57 13 [email protected]
Françoise Bergé01 56 57 81 [email protected]
Pierre-Olivier Duranton01 56 57 73 [email protected]
Rédacteurs
Stanislas Cuvillier01 56 57 82 [email protected]
Julien Muller01 56 57 47 [email protected]
Liens vers les sites utiles
PwC en Francewww.pwc.fr
Risk Assurance & Advisory Services – Francehttp://www.pwc.fr/risk-assurance-and-advisory-services-raas.html
Et également :http://www.pwc.com/us/en/cfodirect/index.jhtml
Si vous souhaitez vous abonner, veuillez nous faire parvenir vos coordonnées électroniques à l’adresse suivante : [email protected].
Si vous pensez que cette publication pourrait concerner d’autres responsables de fonctions d’audit interne, de contrôle interne ou de gestion des risques dans votre organisation, n’hésitez pas à leur faire suivre cette lettre afin qu’ils puissent s’y abonner.
Vous pouvez également nous faire parvenir vos commentaires et suggestions.
Les informations contenues dans le présent document ont un objet exclusivement général et ne peuvent en aucun cas être utilisées comme un substitut à une consultation rendue par un professionnel. En tout état de cause, en aucun cas la responsabilité de PricewaterhouseCoopers Audit et/ou de l’une quelconque des entités membres du réseau PwC ne pourra être engagée du fait ou à la suite d’une décision prise sur la base des informations contenues dans le présent document.© 2014 PricewaterhouseCoopers Audit. Tous droits réservés.Landwell & Associés, société d’avocats, est membre du réseau international PwC dont chaque membre est une entité juridique distincte.
est la marque sous laquelle ces membres exercent leur activité.
