Quelles sont les attentes de la CBFA en matière d'audit interne Quelles sont les attentes de la CBFA en matière d'audit interne ? Quelques points d'attention Caroline Vandevelde, Coordinatrice CBFA Christel Beaujean, Conseiller adjoint CBFA Séminaire CBFA-ABIP 11 février 2010
Structure de la présentation 1re partie Circulaire CPP-2007-2-LIRP (art. 77 LIRP) Place dans l'organisation Exercice de la mission Attentes de la CBFA
1. Circulaire CPP-2007-2-LIRP 1.1. Introduction : de la gouvernance Principe n° 1 - Structure de gestion Principe n° 2 - Organes de l’IRP Principe n° 3 - Contrôle interne Principe n° 4 - Fonction de compliance Principe n° 5 - Continuité des activités Principe n° 6 - Audit interne Principe n° 7 - Sous-traitance Principe n° 8 - Commissaire agréé ou société de révision agréée Principe n° 9 - Actuaire désigné Principe n° 10 - Circulation interne de l’information Principe n° 11 - Informations externes
1. Circulaire CPP-2007-2-LIRP 1.2. Principe n°6 : audit interne "L'organe opérationnel compétent (OO) prend les mesures nécessaires pour que l’IRP dispose d’une fonction d’audit interne adéquate et indépendante des activités auditées."
1. Circulaire CPP-2007-2-LIRP 1.2. Principe n°6 : audit interne "L'OO compétent prend les mesures nécessaires pour que l’IRP dispose d’une fonction d’audit interne adéquate et indépendante des activités auditées." OO compétent : souvent le CA Adéquate : proportionnalité Indépendante : impartialité et objectivité Activités : toutes les activités de l'IRP
1. Circulaire CPP-2007-2-LIRP 1.2. Principe n°6 : audit interne Fonction d'évaluation indépendante Examine et évalue le caractère adéquat, l’efficacité et l’efficience du contrôle interne Assiste les organes opérationnels dans l’exercice effectif de leurs responsabilités L'élaboration et la mise en place des mesures reste de la responsabilité de l'OO compétent
1. Circulaire CPP-2007-2-LIRP 1.3. Désignation Qui ? Personne interne ou externe à l'IRP Membre du personnel de l'IRP Membre du personnel d'une entreprise d'affiliation Prestataire de services Personne physique ou morale Par qui ? OO compétent Durée de la mission ?
1. Circulaire CPP-2007-2-LIRP 1.4. Indépendance Incompatibilités ≠ membre d'un OO, commissaire, actuaire désigné, compliance officer Conflits d'intérêts Sous-traitance : autorisée si indépendance garantie Indépendance par rapport aux activités auditées ≠ organisation opérationnelle ≠ élaboration, mise en place ou exécution de mesures d'organisation ou de contrôle interne
1. Circulaire CPP-2007-2-LIRP 1.4. Indépendance Charte d’audit : établie par l’auditeur interne, approuvée par l’OO compétent, confirmée par le CA Contenu de la charte : Objectif et portée de la fonction Place dans l'organisation Compétences et responsabilités Droit d’initiative pour voir les collaborateurs et prendre connaissance de tous documents Droit d’exprimer et de faire connaître librement ses constatations et appréciations Droit d’informer le président du CA, le compliance officer, le commissaire agréé ou l’actuaire désigné
1. Circulaire CPP-2007-2-LIRP 1.5. Compétence Compétence professionnelle Compétence suffisante pour examiner l’ensemble des domaines d'activité de l’IRP Peut faire appel à des experts externes et à la sous-traitance mais reste responsable Qualité et quantité des contrôles Conformité aux exigences de contrôle de l’IRP
1. Circulaire CPP-2007-2-LIRP 1.6. Sous-traitance L'auditeur doit disposer de la compétence requise Convention écrite Auditeur interne Missions et responsabilités Engagement : mettre en œuvre le plan d'audit et les moyens prévus OO compétent Accord sur l’analyse des risques et sur le plan d'audit Suivi de l’activité d’audit Suivi des recommandations OO compétent, commissaire agréé, actuaire désigné et CBFA Accès aux documents (programme et documents de travail) Durée suffisamment longue (résiliation)
Structure de la présentation 1re partie Circulaire CPP-2007-2-LIRP (art. 77 LIRP) Place dans l'organisation Exercice de la mission Attentes de la CBFA
2. Place dans l'organisation 2.1. Description générale CBFA Actuaire désigné Conseiller et rapporteur Avis au CA sur les méthodes technico-actuarielles, sur les provisions techniques, etc. Rapport à la CBFA sur les provisions techniques IRP CA = organe responsable (OO compétent) Compliance officer Rôle de coordination et d'initiative Promotion et contrôle de l'application de la politique d'intégrité Auditeur interne Rôle de contrôleur interne Contrôle de l'efficience et de l’efficacité du contrôle interne Commissaire agréé Contrôleur externe Contrôle et rapport sur les comptes annuels, Contrôle de l'organisation interne
2. Place dans l'organisation 2.2. Auditeur interne et CA Collaboration, communication, échange d'informations, contrôle CA Organe responsable de la bonne exécution des régimes de pension Vérifie régulièrement si l'IRP dispose d'un contrôle interne et d'une fonction d'audit interne adéquats Confirme la charte d'audit Met au moins une fois par an l'audit interne et le contrôle interne à l'ordre du jour de ses réunions Suivi Auditeur interne Rôle de contrôleur interne Contrôle l'efficience et l’efficacité du contrôle interne (procédures et processus) Établit la charte et le plan d'audit Informe le président du CA Prend connaissance des procès-verbaux et de tous documents Collaboration étroite Contrôle de la fonction
2. Place dans l'organisation 2.2. Auditeur interne et OO compétent Collaboration, communication, échange d'informations, contrôle OO compétent Prend les mesures nécessaires pour que l'IRP dispose d'une fonction d'audit adéquate et indépendante Désignation auditeur interne Approbation charte d'audit, planification, mise à disposition des moyens nécessaires En cas de sous-traitance : accord et suivi Droit de regard sur les documents de l'auditeur Discussion, évaluation, suivi Rapport annuel au CA Auditeur interne Rôle de contrôleur interne Contrôle l'efficience et l’efficacité de l'ensemble du contrôle interne (procédures et processus) Établit la charte et le plan d'audit Rédige un rapport (annuel) Prend connaissance des procès-verbaux et de tous documents Collaboration étroite Contrôle de la fonction
Communication, échange d'informations, collaboration, contrôle 2. Place dans l'organisation 2.3. Auditeur interne et compliance officer Communication, échange d'informations, collaboration, contrôle Auditeur interne Rôle de contrôleur interne (notamment audit de conformité) Contrôle les procédures et processus en matière d'intégrité Prend connaissance des procès-verbaux et de tous documents Informe le compliance officer Compliance officer Rôle de coordination et d'initiative Examen et amélioration du respect des politiques et règles légales et internes Collaboration Contrôle du respect des procédures
2. Place dans l'organisation 2.4. Auditeur interne et actuaire désigné Communication, échange d'informations, collaboration Auditeur interne Rôle de contrôleur interne Contrôle l'efficience et l’efficacité du contrôle interne (flux d'information) Informe l'actuaire Actuaire désigné Conseiller et rapporteur Avis sur les méthodes technico-actuarielles Rapport sur les provisions techniques Droit de regard sur les documents de l'auditeur Auditeur interne Collaboration Contrôle du respect des processus opérationnels
Communication, échange d'informations, collaboration, contrôle 2. Place dans l'organisation 2.5. Auditeur interne et commissaire agréé Communication, échange d'informations, collaboration, contrôle Commissaire agréé Contrôleur externe Donne, dans son rapport, son appréciation de l'organisation administrative et comptable et du contrôle interne Droit de regard sur les documents de l'auditeur Auditeur interne Rôle de contrôleur interne Contrôle l'efficience et l’efficacité du contrôle interne Informe le commissaire agréé Auditeur interne Collaboration Contrôle externe
Structure de la présentation 3e partie Circulaire CPP-2007-2-LIRP (art. 77 LIRP) Place dans l'organisation Exercice de la mission Attentes de la CBFA
3. Exercice de la mission 3.1. Portée de la mission Examen et évaluation de toutes les activités Adéquation du contrôle interne, respect des responsabilités assignées Respect des politiques, maîtrise des risques Fiabilité de l’information Continuité Fonctionnement des services administratifs Services sous-traités Statut légal de contrôle
3. Exercice de la mission 3.2. Planification, exécution Établissement d’un plan d’audit documenté Analyse des risques Objectifs et portée Plan pluriannuel, cycle d'audit Moyens requis Examen et évaluation de l’information disponible Documentation des travaux
3. Exercice de la mission 3.2. Exécution : types d'audit Audit financier : comptabilité et comptes annuels Audit de conformité/ compliance : procédures et processus visant le respect de la législation et des politiques internes Audit opérationnel : qualité et adéquation des systèmes et procédures, des structures d’organisation et des méthodes et moyens utilisés par rapport aux objectifs fixés Audit de management : fonction de management
3. Exercice de la mission 3.3. Rapport Rapport écrit sur constatations et recommandations Pour chaque mission (audité et OO) Annuellement (OO compétent) Contenu : Constatations et recommandations de l'auditeur avec indication de leur importance relative Réaction de l'audité Points sur lesquels il existe un consensus
3. Exercice de la mission 3.4. Suivi OO compétent Désignation des personnes responsables du suivi des recommandations Calendrier Auditeur Vérifie régulièrement si ses recommandations ont été suivies Fait rapport à l'OO compétent CA Dans le cadre de sa mission de surveillance
Structure de la présentation - partie 4 Quelles sont les attentes de la CBFA en matière d'audit interne auprès des IRP Cas particulier de la sous-traitance Quelques références utiles
4.1. Attentes de la CBFA en matière d'audit interne "Processus méthodique indépendant documenté permettant d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits" Attention particulière pour: Charte d'audit Univers d'audit Evaluation des risques Plan d'audit Principe de proportionnalité Compréhension de l'environnement Evaluation des risques et détermination du plan d'audit Réalisation des travaux d'audit Rapport et suivi
4.1. Attentes de la CBFA en matière d'audit interne Quelques exemples
4.1. Attentes de la CBFA en matière d'audit interne Quelques exemples
Structure de la présentation - partie 4 Quelles sont les attentes de la CBFA en matière d'audit interne auprès des IRP Cas particulier de la sous-traitance Quelques références utiles
4.2. Sous-traitance CPP-2007-2: "La sous-traitance peut porter notamment sur des fonctions administratives et financières (comptabilité, gestion actif-passif, gestion des placements, ...) ou spécialisées (audit interne, compliance, ...)" "La sous-traitance ne diminue en aucune façon la responsabilité des organes de l'IRP, que ce soit envers les affiliés et bénéficiaires, envers l'entreprise d'affiliation ou envers les autorités de contrôle."
4.2. Sous-traitance Référence au principe n°7 + Audit du process de l'activité sous-traitée, comme si elle était effectuée en interne Par exemple: Politique d'outsourcing Existe-t-il une politique relative à la sous-traitance? Cette politique est-elle approuvée par le conseil d'administration? Cette politique définit-elle clairement les critères d'application pour décider de recourir à la sous-traitance? Contrôle et évaluation des activités sous-traitées ou confiées à des tiers L'IRP procède-t-elle régulièrement à l'évaluation et au contrôle de la qualité des activités sous-traitées ?
4.2. Sous-traitance Décision de sous-traiter Comment la décision de sous-traiter ou de recourir à tiers pour la fourniture de services est-elle prise? La décision de sous-traiter repose-t-elle sur une analyse approfondie? description des services ou activités à sous-traiter effets attendus de la sous-traitance estimation des coûts et bénéfices évaluation des risques du projet (financiers, opérationnels, légaux et réputation) Suivi et gestion des risques par l'IRP
4.2. Sous-traitance Choix du sous-traitant ou prestataire de services Eléments examinés ( taille, réputation, coût, ...)? Le choix est-il opéré avec prudence? Continuité de la prestation ? Clauses d'adaptation et de résiliation suffisamment souples pour pouvoir élaborer des solutions de rechange si nécessaire? Convention écrite la convention fournit-elle une description claire des responsabilités des deux parties ? Comment les aspects de continuité y sont-ils abordés ? Caractère révocable de la sous-traitance? Intégrité du contrôle interne et externe
4.2. Sous-traitance Protection Quels sont les dispositifs de protection qui permettent de préserver à tout moment et de manière efficace la confidentialité et l’intégrité des données relatives aux affiliés et aux bénéficiaires, y compris pendant les échanges avec le commettant et/ou lors des communications externes? Comment les risques de sécurité, de confidentialité et de réputation sont-ils couverts par le fournisseur de service externe?
4.2. Sous-traitance - SAS70 (ou autres certifications) Dans le chef du sous-traitant Eliminer ou réduire les audits répétés permet de bâtir la confiance du sous-traitant permet au sous-traitant d'avoir ses politiques et procédures de contrôle évaluées et testées par une partie indépendante Amélioration des processus Outil marketing auprès de certains clients Dans le chef de l'IRP fournit de l'information pour évaluer l'environnement de contrôle général de l'IRP permet d'obtenir une assurance sur la sensibilité du sous-traitant et de ses prestations quant aux notions de contrôle maîtrise des frais d'audit permet de répondre partiellement aux préoccupations des 11 principes de la circulaire CPP-2007-2
Structure de la présentation - partie 4 Quelles sont les attentes de la CBFA en matière d'audit interne auprès des IRP Cas particulier de la sous-traitance Quelques références utiles
4. Quelques références utiles COSO Cobit ERM ... http://www.theiia.org/ http://www.iiabel.be/ http://www.ifaci.com/
4. Quelques références utiles Attribute Standards - quelques exemples : 1000 – Purpose, Authority, and Responsibility 1100 – Independence and Objectivity 1200 – Proficiency and Due Professional Care 1300 – Quality Assurance and Improvement Program Performance Standards - quelques exemples : 2000 – Managing the Internal Audit Activity 2100 – Nature of Work 2200 – Engagement Planning 2300 – Performing the Engagement 2400 – Communicating Results 2500 – Monitoring Progress 2600 – Management’s Acceptance of Risks
4. Quelques références utiles Sample Practice Advisories - quelques exemples : Practice Advisory 2100-2: Information Security Practice Advisory 2130-1: Role of the Internal Audit Activity and Internal Auditor in the Ethical Culture of an Organization Practice Advisory 2120.A4-1: Control Criteria Practice Advisory 2310-1: Identifying Information Practice Advisory 2320-1: Analysis and Evaluation Practice Advisory 2330-1: Recording Information