Quel rôle pour l'Audit Interne en situation de Crise?

Par Franque TSUE SETCHOM

En l’espace de quelques jours, le COVID-19, maladie virale apparue en chine en fin d’année 2019, s’est répandue comme une trainée de poudre à l’échelle du globe. Cette maladie,vite qualifiée de pandémie par l’OMS, a engendré des crises sanitaires dans la plupart des pays du globe. Personne ne s’y attendait !A l’exemple de la crise provoquée par le COVID-19, le rythme d’évolution des menaces globales augmente de plus en plus le risque de crises dans les organisations. Les incidents de nature complexe tels que les cyber sabotages, les aléas climatiques, les actes terroristes ou les crises sanitaires connaissent une forte augmentation et frappent sans prévenir. Ces événements, l’incapacité de poursuitedes activités et de respectdes objectifs fixés qui en résulte, portent atteinte à la réputation des organisations et à leur capacité à répondre aux attentes des parties prenantes : il faut gérer la crise ! En situation de crise, l’entreprise a souvent tendance à tout vouloir mettre en veille, voulant prendre de la hauteur, réfléchir, ou alors tout simplement éviter diverses pressions internes et externes. Grâce à leur expertise, leur position au sein de l’organisation et leur connaissance approfondie des métiers, l’audit interne pendant cette période est un instrumentnécessaire pour bien comprendre la situation, cerner les opportunités, ou s’ouvrir à une autre vision pour limiter l’impact la crise et en tirer les leçons pour l’avenir.

Cependant du fait de ce même positionnement, qui pour des questions liées à l’objectivité lui impose de ne pas effectuer de tâches opérationnelles, il existe quelques ambiguïtés sur le degré d’implication que doit avoir l’audit interne dans la gestion de crise dans une organisation.

Un très grand nombre de définitions de la crise existent, elles reprennent majoritairement les éléments suivants :

• L’incertitude : Dans une crise, les modèles et les repères traditionnels disparaissent. C’est notamment un élément clé de la définition que donne le philosophe et sociologue Edgar Morin : « C’est le moment où, en même temps qu’une perturbation, surgissent les incertitudes. »
• La soudaineté : La crise présente un caractère aigu et limité dans le temps. Otto Lerbinger définissaitla crise comme étant notamment un événement imprévu, ce que précisait PatrickBoccard : « Un événement inattendu ou non contrôlé».
• L’impact : C’est ce qui différencie la crise de l’accident ou a fortiori de l’incident. La crise est un événement pouvant mettre en péril l’existence même d’une organisation.
• La médiatisation négative : Par la crise, l’organisation devient le centre d’intérêt médiatique, et ceci de manière critique.
• La perception :Ici, la crise est «la perception d’un événement imprévisible qui menace d’importantes attentes des parties prenantes concernant la santé, la sécurité, l’environnement ou des problèmes économiques, elle peut impacter fortement la performance de l’organisation et générer des conséquences dommageables ».
• Le changement : La crise marque la transformation brutale d’une organisation, le passage entre deux états.

• L’opportunité potentielle : La crise peut receler de nombreux facteurs positifs et déboucher sur une situation favorable. C’est un point de bascule pour le meilleur ou le pire ».
• Le processus : Derrière ce terme se retrouve l’idée que la crise n’est pas l’effet du hasard. Davantage qu’un événement, la crise est l’effet d’un processus et traduit le plus souvent une série de dysfonctionnements. Selon cette approche, la crise est la résultante d’un processus qui s’est dégradé et pour lequel l’organisation a évité de réagir. La définition devient donc : crise = accumulation de fragilités + ignorance.

Un consensus existe sur le fait que les problématiques de gestion de crise et de continuité d’activité doivent être articulées. Néanmoins, il n’existe pas de normes sur l’articulation de ces deux concepts. Certains professionnels intègrent la gestion de crise dans les politiques de gestion de continuité d’activité alors que d’autres proposent d’insérer le plan de continuité d’activité dans des dispositifs globaux de gestion de crise. Concernant ces deux concepts, nous nous en tiendrons à la position de l’IIA[1].

Continuité d’activité

La Gestion de la Continuité d’Activité (GCA) prépare les organisations à de futurs incidents ou crises susceptibles d'interférer avec la réalisation des objectifs de l'entreprise. Plus précisément, la GCA est une approche de gestion des risques basée sur la valeur de l’entreprise et dont le but est de permettre à toute organisation de restaurer les activités opérationnelles critiques, de gérer les communications et minimiser les effets d'une catastrophe, une interruption des activités ou un autre événement majeur.

Le principal outil de gestion de la continuité d’activité est le Plan de continuité d’activité (PCA). Celui-ci regroupe les mesures de gestion préventive et réactive des risques dans les situations de crise.
 

Gestion de crise

La gestion de crise (GC) quant à elle est un élément clé de la gestion de la continuité d’activité et traite de la communication d'informations pertinentes sur la crise aux parties prenantes de l'organisation.

La GC est un élément clé de la GCA qui est déclenché lorsque la perturbation de services d’une entreprise atteint le niveau d'une crise ou d'une catastrophe. La GC documente les méthodes utilisées pour répondre à la réalité et à la perception des crises. La GC implique également la mise en place de paramètres permettant de définir quels scénarios constituent une crise et devraient par conséquent déclencher les mécanismes de réponse nécessaires.

L'étendue et la profondeur des compétences et des qualifications de l'audit interne, sa position dans l'organisation et sa connaissance approfondie des opérations à l'échelle de l'organisation lui permettent de contribuer de manière significative au développement, à la mise en œuvre et à l'évaluation des initiatives de GCA et de GC d'une organisation. L'audit interne peut jouer divers rôles clés et de soutien, selon l'existence et / ou la maturité des initiatives de continuité d’activité et de gestion de crise, ainsi que la gravité et les circonstances de la crise. Les rôles de l'audit interne peuvent impliquer des services d'assurance et de conseil avant, pendant et après une crise. Les services d'assurance et de conseil nécessitent tous deux une connaissance approfondie des éléments clés de la GCA, notamment la gouvernance du programme de continuité, la gestion des risques, l'analyse de l'impact sur l’entreprise, la planification de la continuité et de la reprise des activités.

• Des missions d'assurance peuvent être effectuées pour vérifier que la GCA et la GC sont efficaces.

• Des services consultatifs peuvent être fournis pour aider la direction à concentrer les activités de planification et à coordonner la GCA et la GC avec les risques et les contrôles.

Pendant une crise, les auditeurs internes peuvent également être attendus et autorisés à jouer des rôles critiques non liés à l'audit pour répondre aux besoins de l'organisation.

Rôles et engagements de l'audit interne

Définition du rôle de l'audit interne

Les auditeurs internes sont en mesure de contribuer à la gestion des crises en fournissant aux organisations des informations pratiques sur les opérations. Le directeur de l'audit interne (DAI) devrait définir les rôles de l'audit interne avant, pendant et après une crise, en veillant à ne pas assumer la responsabilité de la propriété ou de la gestion des risques liés à la crise. Souvent, la fonction d'audit interne peut avoir un siège à la table pendant le processus de planification de la gestion de crise. Dans un premier temps, le directeur de l'audit interne, ainsi que les principaux responsables de l'audit interne, devraient se familiariser avec les principales pratiques de GCA, grâce à des références et des normes externes.

Si l'audit interne ou le Directeur de l’audit interne n'ont pas de rôle dans le processus de gestion de crise, le comité d'audit doit être averti pour éviter les écarts dans les attentes. Lorsque l’audit interne joue un rôle consultatif auprès de la direction générale dans le contexte du développement du plan de continuité d’activité (PCA) et/ou leplan de gestion de crise (PGC), l’impact potentiel sur l’indépendance et l’objectivité de l’audit interne doit être explicitement pris en compte. Au fur et à mesure que les rôles sont identifiés, ils doivent être approuvés par les lignes hiérarchiques administratives et fonctionnelles du directeur de l’audit interne et potentiellement documentés dans la charte d'audit interne.

Missions de conseil ou d'assurance concernant la gestion de la continuité d’activité

En fonction de la maturité du programme de GCA de l'organisation, la responsabilité de l'auditeur interne d'ajouter de la valeur, d'améliorer les opérations et la gestion des risques d'une organisation devrait s'étendre aux missions d’assurance ou de conseil concernant la gestion de la continuité d’activité. L’inclusion de l’activité d’audit interne dans le processus de planification ou d’amélioration de laGCA et de laGC peut être la clé du succès de ceux-ci.

C'est particulièrement le cas pour les organisations ayant un faible niveau de maturité dans cesdomaines. Compte tenu de son interaction et de sa compréhension des besoins du conseil d'administration et de la direction générale de l'organisation, l'audit interne peut fournir une perspective et aider à cibler les activités de planification. Il est essentiel de garantir que les domaines clés de la GCA sont alignés sur les besoins du conseil d'administration et de la direction générale.

L'audit interne peut effectuer des missions d’assurance périodiques pour vérifier que le PCA et le PGC sont complets, pertinents pour l'environnement opérationnel actuel et communiqués aux parties prenantes internes et externes appropriées. Ces missions d'assurance peuvent comprendre :

• Des demandes d'examen par le comité d'audit ou la direction générale du PCA ou des parties de celui-ci, y compris les évaluations des fournisseurs ou des partenaires de l’entreprise ;
• La revuedu PCA pour évaluer l'exhaustivité, la maturité et la pertinence du plan en fonction des risques organisationnels, de la croissance ou des désinvestissements ;
• L’évaluation des risques du plan ;
• L’examination des dispositions existantes du PCA / PGC d'une organisation ou d'un partenaire commercial telles que définies par les clauses contractuelles (c'est-à-dire les clauses de droit d'audit ou les SLA[1]).       

L'orientation de la GCA peut rapidement se tourner vers l'examen et l'analyse de l'infrastructure informatique, car l'accès et la migration des données sont considérés comme des fonctions essentielles de l’activité. Cependant, lors de la fourniture de services consultatifs de GCA / GC, l'audit interne doit tenir compte des objectifs et risques organisationnels généraux et ne pas limiter la mission aux questions informatiques. Les missions de conseil concernant laGCA ne doivent pas compromettre l'objectivité de l'audit interne. L’audit interne ne devrait pas accepter la responsabilité de la propriété ou de la gestion des risques liés à la continuité des activités.

Évaluation des éléments clés de la GCA par l’audit interne

Les programmes de GCA comprennent des éléments communs tels que la gouvernance du programme, la gestion des risques, l’analyse de l’impact sur les activités, la planification de la continuité et de la reprise des activités. Il est essentiel que chaque élément implique les bonnes parties prenantes pour aider à assurer l'élaboration d'un plan complet, soutenu et réalisable. Les éléments de communication généraux contenus dans les plans et les informations à leur sujet devraient être partagés avec les principales parties prenantes.

L'activité d'audit interne ici peut comprendre l'évaluation de l'efficacité de la GCA et du PGC.

Gouvernance du programme de continuité

La clé d’une GCA réussie est le soutien et le parrainage de la direction générale. L'audit interne peut aider à identifier et à forger des relations entre les principales parties prenantes internes de la GCA. Les activités suivantes peuvent être exécutées par l'audit interne au cours des étapes initiales de l'évaluation du GCA :

• Déterminer si les postes clés de leadership ont été documentés et approuvés pour aider à assurer l'appropriation et la responsabilité des programmes de l'organisation. Le leadership est essentiel pour identifier les interdépendances des plans, promouvoir l'amélioration continue et tirer des enseignements des activités d'après-crise.
• Recommander l'élaboration d'une charte de GCA. La charte aide à établir le parrainage et le soutien du plan au plus haut niveau de l'organisation. En plus de valider l’existence du plande GCA, une charte bien définie établit une structure de gouvernance de GCA (c.-à-d. Un comité GCA) et des directives concernant la réévaluation périodique de la charte.
• Évaluer si la structure de gouvernance de GCA et GC établie est adéquatement financée et répond efficacement aux besoins du conseil d'administration, du comité d'audit ou de la direction générale. L'audit interne peut être membre non votant ou assister à des réunions pour fournir des commentaires sur le rôle, la charte et les efforts d'un tel plan.
• Le comité d’audit approuve les membres de l’équipe des risques et les meilleures pratiques à mettre en œuvreconcernant la GCA et laGC.

Gestion des risques

Pour que la GCA soit efficace, elle doit prendre en compte les risques prioritaires auxquels une organisation est confrontée en cas de crise.

L'audit interne a souvent une compréhension détaillée des principaux risques de l’activité. Les risques peuvent être amplifiés et redéfinis en priorité pendant une crise en fonction de la nature et de l'étendue des événements auxquels une organisation est confrontée. L'audit interne peut partager des informations sur les principaux risques organisationnels lors de la mise en place et de l'évaluation de la GCA. La compréhension des principaux risques de GCA peut aider à renforcer l'élaboration du plan d'audit interne proposé. Le fait d'être exposé aux activités de GCA de l'organisation aide l'auditeur interne à identifier les principaux domaines d'exposition, notamment le soutien organisationnel, les activités de contrôle opérationnel, les processus de base et les systèmes / données / dépendances des fournisseurs potentiels. Des faiblesses ou des échecs dans ces domaines pourraient inciter la fonction d'audit interne à concentrer ses ressources sur la fourniture de missions d'assurance ou de conseil axées sur la valeur ajoutée et l'amélioration organisationnelle. La collecte de données sur les risques aide à guider le plan de l'audit interne et permet à l'audit interne d'effectuer des analyses pour évaluer les probabilités, les impacts, l'exhaustivité et la crédibilité des risques.

Analyse de l'impact sur l’entreprise (Business Impact Analysis - BIA)

L'audit interne peut fournir des conseils sur la façon dont la direction générale peut effectuer une BIA, élément clé de la GCA. Un BIA prendra en charge l'identification des actifs, fonctions, applications, partenaires, fournisseurs, ressources clés de l'entreprise et l'évaluation éventuelle des pertes potentielles pour une entreprise en cas de crise. Les résultats de la BIA conduiront probablement à une mise à niveau des actions préventives, de couverture, et de l'appétence pour le risque de l’entreprise.

Plan de continuité et de reprise d’activité

Le plan de continuité et de reprise d’activités fournit une méthode proactive par laquelle les entreprises peuvent identifier les mesures de continuité des activités et de reprise pour gérer et atténuer les principaux risques organisationnels déclenchés par une crise. L'audit interne peut fournir des services de conseil ou d'assurance liés à ces plans.

Les activités de l’audit interne avant la crise

L’évaluation de la Gestion de continuité d’activité par l’audit interne, en particulier le plan de gestion de crise, peut aider à garantir que le plan de gestion de crise reste pertinent par rapport aux priorités de l’entreprise en cas de crise. Les activités typiques dans lesquelles l'audit interne peut être engagée avant une crise sont les suivantes :

• Partager les problématiques et principaux développements de la gestion de la continuité d’activité avec la direction générale et le comité d'audit ;
• Considérer spécifiquement la GCA comme un risque pour l'organisation et considérer les risques résiduels dans l'élaboration du plan d'audit annuel ;
• Evaluer les accords avec les partenaires clés de l’entreprisepour s’assurer que les conditions contractuelles appropriées, y compris les SLA, les clauses de droit d'audit et les rapports concernant l'environnement de contrôle du partenaire ;
• Conseiller la Direction générale dans l’évaluation des risques liés à la gestion de la continuité d’activité, ou évaluer l’exactitude de l’auto évaluation des risques effectués par celle-ci ;
• Effectuer des missions d'assurance liées au PCA et / ou au PGC, dans le cadre du plan d'audit annuel. Les missions d'assurance peuvent inclure l'évaluation des composantes du plan, des protocoles de communication et des aspects opérationnels du plan ;
• Si cela n'est pas établi par la charte de l'audit interne ou les directives du conseil d'administration,

clarifier les rôles de l'audit interne et du directeur de l'audit interne dans la gestion de la continuité d’activité

Activités d'audit interne pendant et après une crise

Pendant la crise

Les activités que peuvent effectuer l’audit interne pendant la crise sont les suivantes :

• Surveiller et évaluer la réponse de l’organisation à un événement et participer activement à l’équipe de gestion de crise ;
• Surveiller les détails des incidents pour les audits ultérieurs ;
• Faire partie d'un comité de gestion de crise pour s'assurer que les risques associés à une crise sont bien compris et fournir des recommandations sur des plans d'action alternatifs le cas échéant ;
• Participer au processus plus large de gestion de crise et de rétablissement pour l'organisation, si c’est convenu et autorisé au préalable ;

Les normes permettent ces types de participation à condition que les détails de toute atteinte potentielle à l'indépendance de l'audit interne soient divulgués aux parties concernées (par exemple, le comité d'audit et le responsable de la GCA). La participation à l'audit interne peut être plus importante pendant les phases initiales d'une crise lorsque les ressources disponibles de l'organisation sont très demandées.

Après la crise

Après la crise, l’audit interne peut intervenir sur les points suivants :

• Évaluer et rendre compte de l'efficacité des efforts de redressement de l'organisation ;
• Continuer à évaluer les risques, fournir des conseils et aider à développer les efforts d'amélioration des processus ;
• Effectuer des revues post-crise pour identifier les opportunités pour les activités de GCA et, en particulier, pour l'évolution du PGC ou PCA ;
• Effectuer des missions d'assurance pour évaluer si le comité de gestion de la continuitéa effectué et pris en compte de manière appropriée, les résultats de l'analyse des causalités de la crise, dans le but de mettre à jour si nécessaire le PCA et le PGC ;
• Participer au processus de reprise à l'échelle de l'organisation, si cela est prévu et autorisé dans le PCA et le PGC.

Conduite des audits du processus de reprise et de l’effectivité du plan

Le plan de reprise d’activité, en tant que composante de la GCA, peut inclure des exigences concernantl’audit du processus de reprise. Si tel est le cas, ces travaux supplémentaires devront être inclus dans le projet de plan initial et pourraient conduire à des modifications des priorités de celui-ci.

De plus, lorsqu'un tel rôle n'a pas été spécifiquement attribué, le directeur de l'audit interne devrait déterminerà la suite d'une évaluation fondée sur les risques, s’il doit recommander à l'équipe de direction du PCA que des aspects particuliers de la récupération des données et / ou du PGC soient audités. Les types de travaux d'audit qui pourraient être entrepris comprennent :

• Un examen de bout en bout du processus de reprise (c.-à-d. S'il s'est conforme au processus prévu et si le plan s'est avéré suffisamment détaillé pour régler les problèmes qui sont apparus) ;
• Un audit de l'efficacité du processus de reprise, les performances par rapport aux paramètres prédéfinis dans le plan,ainsi qu'une communication efficace et opportune des parties prenantes et partenaires internes et externes ;
• Un examen des contrôles et des processus spéciaux introduits en dehors du cadre de contrôle normal et l'impact potentiel de ceux-ci sur les risques opérationnels ou financiers del’entreprise ;
• Un audit des processus de récupération des données, qui peut comprendre l'examen des rapprochements de données clés effectués par l’équipe de reprise pour garantir l'exhaustivité et l'exactitude des données ;
• Un examen des variations réelles du PCA et du PGC après l'activation des plans, y compris des recommandations qui permettront une évolution efficace de ceux-ci. Cela devrait également s’appliquer aux propres plans d’audit interne.

Dans certains cas extrêmes, Les auditeurs internes peuvent être invités par la direction de l'organisation à apporter un soutien supplémentaire au personnel opérationnel. Ce soutient peut concerner : des travaux sur le processus de reprise, des travaux sur la révision des procédures.

Il serait important que le directeur de l'audit interne examine les demandes autorisées par le comité d'audit avant de déterminer le rôle de l'audit interne dans le PCA/PGC. De plus, lorsque le personnel d'audit interne est libéré pour aider avec la GC ou les efforts de reprise d’activité, les tâches qui leur sont assignées doivent être exécutées sous la supervision de la direction opérationnelle à laquelle ils apportent leur assistance.

Pour protéger l'objectivité des auditeurs, le directeur de l'audit interne devrait prendre en considération les tâches opérationnelles confiées aux auditeurs internes et éviter de les affecter à de futures missions d'assurance dans le même domaine.