newsletter risk assurance & advisory services mai …...la stratégie et au business model de la...

Actualité Réglementaire SommaireEvènements & Publications Thématiques ContactsIntroduction

Newsletter Risk Assurance & Advisory Services – mai 2014

Cette Newsletter a vocation à apporter des éléments d’actualité aux filières de la gestion des risques, de la conformité, du contrôle interne et de l’audit interne.

Outre les nouveautés réglementaires, évènements et publications, le présent numéro porte en particulier sur les thématiques d’analyse de données, de protection des données, de cyber-sécurité, de culture et comportement et de risques RSE.

Nous vous en souhaitons bonne lecture en espérant que cette Newsletter contribuera utilement à vos réflexions.

Patrice Morot

Éditorial

Newsletter Risk Assurance & Advisory Services

Actualité Réglementaire

2 | Mai 2014

SommaireEvènements & Publications Thématiques ContactsIntroduction

Actualité Réglementaire Constats et recommandations de l’AMF sur les rapports du Président

Présentation du rapport de l’AMF sur la base des rapports des Présidents des entreprises cotées en France

L’AMF s’exprime sur l’état d’avancement des dispositifs RSE des entreprises

Présentation de la recommandation AMF n° 2013-18 sur l’évolution des attentes en matière de responsabilité sociale et environnementale

CNIL - Protection des données et confidentialitéModification de la Loi Informatique et Libertés promulguée le 17 mars 2014 et qui permet à la CNIL d’effectuer des contrôles en ligne : analyse et impact

Directive 2010/45/UE et factures probantesPrésentation des enjeux de l’application de la Directive en matière de processus et documentation de la facturation

Attentes accrues en matière de transparenceImpact des exigences de transparence professionnelles et légales sur les entreprises cotées et plus particulièrement dans certains secteurs

Autres sujets à suivreLa lutte contre la corruption et la protection contre les représailles

Actualités sectorielles

Publications et évènements Publications

- Étude sur la fraude en entreprise – La fraude est une vraie menace

Résultats de l’enquête 2014 de PwC sur la fraude en entreprise - Enquête 2014 sur la sécurité de l’information

Un aperçu des principales conclusions de notre enquête 2014 sur la sécurité de l’information - Enquête Audit Interne 2014

Principales conclusions de notre enquête 2014 sur la fonction d’Audit Interne

Évènements récents ou à venir - Présentation des résultats de la 16e étude sur la protection de l’information et la sécurité des systèmes d’information.

12 décembre 2013 à Paris ; 13 mars 2014 à Lille - Congrès Européen Ethique & Gouvernance.

17 au 18 mars 2014 à Paris - Comment les Big Data vont-ils transformer le métier des banques et assurances ?

20 mars à Paris - La fraude dans les entreprises : évolutions récentes et solutions.

2 avril 2014 à Paris - Présentation des Enquête Audit Interne 2014.

8 avril au Salon Hoche à Paris - SAP Insider GRC

21 au 23 mai à Nice - Réunion Mensuelle de l’Ifaci sur la mise en œuvre du COSO.

27 mai à Paris - Corporate Accountability Conference.

12 juin 2014 à Paris

Thématiques L’audit interne en 3D (Digital, Data, Devices)

Apports de l’analyse de données dans l’amélioration de la pertinence et de l’efficacité des travaux de l’Audit Interne

Cyber-sécurité : Ayez confiance en votre avenir numérique

Comment faire face aux menaces constantes et évolutives du cyber-crime et assurer la sécurité des systèmes d’information de demain

Protection des données : Une clé de succès pour la croissance des entreprises et la puissance de la marque

En veillant de manière constante et efficace à la protection des données client, fournisseur, employé, et toute autre partie prenante, l’entreprise démontre sa capacité à gérer l’information et se donne les moyens de mieux l’exploiter

Culture et comportements : Pour mieux anticiper et gérer les risques de demain

Réflexions sur la nécessité d’établir une culture et des comportements qui permettent d’appréhender efficacement les risques de demain, d’être réactif face aux enjeux nouveaux, et de s’inscrire dans une logique de « résilience »

Cartographie RSE : Du reporting statique au pilotage en continu

Comment aller au-delà d’un exercice annuel de mise à jour d’un rapport sur la Responsabilité Sociale de l’Entreprise, intégrant réellement les indicateurs clés dans le pilotage de l’entreprise



3 | Mai 2014


Constats et recommandations de l’AMF sur les rapports du Président

Dans l’étude annuelle de l’Autorité des Marchés Financiers (AMF) parue en novembre 2013 sur les rapports des Présidents sur les procédures de contrôle interne et de gestion des risques on constate :

Des rapports qui font davantage référence à la stratégie et au business model de la société (55 % en 2011).

Présentent les démarches de progrès et d’amélioration des procédures dans lesquelles la société s’est engagée (36 % en 2011).

Précisent l’horizon de temps des démarches de progrès (30 % en 2011).

Précisent la fréquence des revues périodiques des contrôles (9 % en 2011).

Les recommandations qui en découlent portent surles principaux points suivants :

1/ Indiquer les services affectés au contrôle interne et à la gestion des risques, en lien avec la stratégie et/ou le modèle économique de la société.

2/ Rendre compte des procédures de contrôle interne et de gestion des risques, allant au-delà du domaine comptable et financier.

3/ Décrire les démarches de progrès en matière d’amélioration des procédures de contrôle interne et de gestion des risques.

4/ Présenter le périmètre couvert par le dispositif et le suivi pour les sociétés à intégrer au périmètre.

5/ Indiquer le cadre de référence utilisé et le champ d’application retenu.

6/ Etablir le lien entre les risques et les procédures mises en place.

7/ Préciser les résultats de travaux d’évaluation et pistes d’amélioration identifiées.

8/ Publier simultanément toute information publiée sur les marchés étrangers où la société est cotée (par ex. pour les sociétés cotées aux États-Unis et soumises à la loi Sarbanes-Oxley).

Contacts : Françoise Bergé | 01 56 57 81 59 | [email protected] Jean-Pierre Hottin | 01 56 57 82 63 | [email protected] Harold Ceintrey | 01 56 57 58 42 | [email protected]

75 %

44 %

25 %

25 %

Quelques pistes de réflexion

- Votre dispositif de contrôle interne et de gestion des risques est-il bien connecté aux enjeux de la société/du marché ? - De quelle manière tirez-vous des enseignements d’analyses régulières et ad hoc qui peuvent être menées pour améliorer le dispositif en place ? - Vos procédures sont-elles revues et rationalisées régulièrement selon une approche par les risques ? - Comment vous positionnez-vous par rapport à vos pairs en matière de présentation de votre dispositif et du confort que cela apporte à vos actionnaires et autres parties prenantes ?

Pour en savoir plus

http://www.amf-france.org/Reglementation/Dossiers-thematiques/Societes-cotees-et-operations-financieres/Gouvernement-d-entreprise/L-AMF-publie-une-etude-relative-aux-rapports-des-presidents-sur-les-procedures-de-controle-interne-et-de-gestion-des-risques-pour-l-exercice-2012-.html



4 | Mai 2014


L’AMF s’exprime sur l’état d’avancement des dispositifs RSE des entreprises

L’AMF a publié en novembre 2013 les résultats de son analyse de l’information extra-financière publiée par les sociétés cotées dans leurs documents de référence, notamment avec l’entrée en vigueur de la loi dite « Grenelle II » du 12 juillet 2010 et de son décret d’application du 24 avril 2012 (ci-après décret « Grenelle II »).

Quelques constats :• Les rapports RSE font en moyenne 24 pages, variant

entre 2 et 87 pages.• Les indicateurs RSE utilisés sont davantage quantitatifs ;

cependant ils restent encore trop hétérogènes pour permettre la comparaison entre les entreprises.

• 14 % des sociétés indiquent expressément avoir mis en place de nouveaux indicateurs par rapport à l’exercice précédent.

• 62 % des sociétés (dont 93 % des GE et 27 % des PME-ETI) ont demandé à un ou plusieurs organismes tiers indépendants de réaliser une vérification de l’ensemble ou d’une sélection d’indicateurs extra-financiers.

Recommandations AMF en matière de RSE :1/Appliquer ou expliquer.2/ Préciser les sources de l’information utilisée dans une

table de concordance ou un index.3/ Présenter la politique RSE de la société et les moyens mis

en œuvre.4/Préciser le référentiel utilisé.5/ Présenter les définitions et modalités de calcul retenues

pour les indicateurs de suivi.6/Communiquer sur les objectifs RSE.7/ Mettre en place une démarche d’identification, d’analyse

et de traitement des risques, y compris les risques extra-financiers.

8/ Démontrer le lien entre les risques extra-financiers et les éléments provisionnés dans les comptes.

9/ Présenter les principaux éléments ayant donné lieu à la notation extra-financière.

10/ Indiquer les indicateurs ayant fait l’objet de rapport d’organisme tiers indépendant.

11/ Présenter l’information RSE au sein des comités (à préciser) ou du conseil.

12/ Mentionner les principes de détermination de la rémunération des mandataires sociaux.


- La cartographie des risques RSE est-elle assise sur un dispositif de contrôle interne qui permet de donner de l’assurance quant à la fiabilité de la maîtrise des risques RSE ? - Disposez-vous d’un tableau de bord d’indicateurs RSE adaptés à la société ? - Comment pouvez-vous renforcer l’intégration des indicateurs de pilotage extra-financiers au pilotage du contrôle interne et de la gestion des risques ?

Contacts : Thierry Raes | 01 56 57 82 37 | [email protected] Paul-Mathieu de la Foata | 01 56 57 50 03 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Pour en savoir plus

http://www.amf-france.org/Actualites/Communiques-de-presse/AMF/annee_2013.html?docId=workspace%3A%2F%2FSpacesStore%2F328ad101-39ff-41b9-abd8-4280557fcf97



5 | Mai 2014


CNIL – Protection des données et confidentialité

L’investigation de la bonne protectiondes données et de la confidentialitéAu titre de ses missions, la CNIL doit contrôler les conditions dans lesquelles les fichiers sont créés et utilisés. En 2013, elle a ainsi effectué 414 missions de vérification. Jusqu’à présent, en fonction du contexte et de la nature des vérifications à mener, la loi Informatique et Libertés donnait à la CNIL le pouvoir de procéder à :• Des contrôles sur place, au cours desquels la délégation

de la CNIL a accès aux matériels (serveurs, ordinateurs, applications…) où sont stockés les fichiers. Ce type de contrôle représente actuellement la grande majorité des vérifications réalisées.

• Des contrôles sur pièce, permettant d’obtenir la communication de documents ou de fichiers sur demande écrite.

• Des contrôles sur audition, consistant à convoquer dans les locaux de la CNIL les personnes mettant en œuvre un fichier ou leurs représentants aux fins d’obtention de tous renseignements utiles.

Modification de la Loi Informatiqueet Libertés permettant à la CNIL d’effectuerdes contrôles en ligne – Un pouvoir d’investigation renforcé de la CNILLa loi n°2014-344 du 17 mars 2014 (dite « loi Hamon ») modifie la loi Informatique et Libertés et donne à la CNIL de nouvelles possibilités d’investigation, en lui donnant la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations seront relevées dans un procès-verbal adressé aux contrevenants concernés et leur seront opposables.

Cette modification crée les conditions juridiques qui permettent d’adapter le pouvoir d’investigation de la CNIL au développement numérique. Elle lui offre l’opportunité d’être plus efficace et réactive dans un univers en constante évolution.

La Commission pourra ainsi rapidement constater et agir en cas de failles de sécurité sur internet. Elle pourra aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.

Ce nouveau pouvoir s’appliquera aux « données librement accessibles ou rendues accessibles » en ligne ; ceci étant, il ne donnera pas la possibilité à la CNIL de forcer les mesures de sécurité mises en place pour pénétrer dans un système d’information.


- Maîtrisez-vous l’information à laquelle aura désormais accès la CNIL ? - Comment vous assurez-vous que les règles et procédures établies en matière de protection des données et de confidentialité répondent aux attentes de la CNIL et d’autres autorités réglementaires applicables ? - Comment vérifiez-vous la bonne application de ces règles et de ces procédures dans tous les systèmes d’information ? - Disposez-vous de processus d’alerte et d’auto-évaluation du dispositif de protection des données adéquats pour vous permettre d’identifier et de répondre à des défaillances éventuelles ?

Contacts : Sophie Delahaie-Roth | 03 90 40 26 10 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Pour en savoir plus

http://www.cnil.fr/linstitution/actualite/article/article/un-pouvoir-dinvestigation-renforce-grace-aux-controles-en-ligne/



6 | Mai 2014


Directive 2010/45/UE et factures probantes

Egalité de traitement des factures et simplificationTels sont les objectifs de la Directive 2010/45/UE du 13 juillet 2010, transposée par l’article 62 de la 3e LFR 2012 à compter du 1er janvier 2013. En effet, tous les modes de facturation sont possibles dès lors que le processus utilisé est sécurisé (Articles 289 VII 1°, 2° ou 3° du CGI).

Une facture revêt un caractère probant en cas de contrôle si elle remplit 3 critères :• Authenticité (de l’origine)• Intégrité (du contenu)• Lisibilité (de la facture)à compter du moment de leur émission et jusqu’à la fin de leur période de conservation.

Enjeu pour les entreprisesPour satisfaire à cette Directive, il s’agit d’intégrer l’ensemble de ces changements dans leurs procédures de facturation sous peine de lourdes sanctions. Le non-respect des nouvelles règles - notamment la documentation des contrôles internes et de la « piste d’audit TVA » voie 1 : article 289 VII 1° du CGI – applicable aux factures « papier » et électroniques (autres qu’EDI fiscal/signature qualifiée) - peut entraîner en cas de contrôle, le rejet des factures d’achat et du droit à déduction

de la TVA y attaché, l’application de pénalités, etc. En pratique, les entreprises doivent donc :• Sécuriser le formalisme des factures : Intégrer les

nouvelles règles de territorialité en matière de factures et paramétrer les nouvelles mentions

• Analyser les systèmes de facturation en place (papier, électronique, scan) : Identifier l’ensemble des processus de facturation existant au sein de l’entreprise afin d’évaluer leur conformité au regard des nouvelles règles

• Mettre en conformité les processus de facturation (achat/vente) et les contrôles internes au regard de la TVA (piste d’audit) : Identifier l’ensemble des besoins/« gaps » à couvrir pour répondre à la nouvelle réglementation

• Revoir la piste d’audit : Créer une procédure de documentation et de justification permanente de la « piste d’audit ».

Cette démarche de cartographie et de diagnosticdes procédures de facturation se doit de couvrir l’ensemble des données/informations organisationnelles, systèmes et TVA de l’entreprise.Elle est complémentaire aux autres obligations imposées aux entreprises en matière de comptabilité informatique[« Fichier des Ecritures Comptables » (FEC)et « Contrôle Fiscal des Comptabilités Informatisées » (CFCI)].


- Comment vous assurez-vous de l'exactitude des données présentes sur les factures (mentions, informations TVA) ou de type financières, transactionnelles, etc. ? - Disposez-vous d’une vision de bout-en-bout du fonctionnement des systèmes de facturation (achat/vente) et des risques associés ? - Comment vérifiez-vous l’efficacité des contrôles autour du processus de facturation et de l’archivage des données ? - Existe-t-il systématiquement une piste d’audit TVA des factures et une documentation associée ?

Contacts : Jose Moreno | 01 56 57 43 81 | [email protected] Laurent Poigt | 01 56 57 07 54 | [email protected] Pierre Olivier Duranton | 01 56 57 73 53 | [email protected]

Pour en savoir plus

FEC “Fichier des écritures comptables”Ce fichier informatique regroupe la totalité des écritures comptabilisées qui doivent être conformes aux règles comptables françaises, et notamment répondre aux caractéristiques d’enregistrement prévus aux articles 420-1 et suivants du PCG. Cette mesure est obligatoire depuis le 1er janvier et s’applique pour chaque période vérifiée.

http://www.landwell.fr/nouvelles-obligations-de-facturation-au-1er-janvier-2013-le-nouveau-bofip-est-publie-a-vous-de-jouer.html



7 | Mai 2014


Attentes accrues en matière de transparence

Face aux exigences professionnelles et légales de plus en plus fortes en matière de transparence, on observe des enjeux d’alignement ou de refonte pour améliorer la capacité à produire l’information requise, de manière intégrée, dans les entreprises cotées et plus particulièrement dans certains secteurs. Quelques exemples :

La modification de la Directive Européennesur la transparenceVotée en octobre 2013, elle exige des sociétés cotées la déclaration explicite d’instruments financiers qu’elles détiennent qui pourraient être employés pour acquérir un intérêt économique. Elle exige également des entreprises dans les secteurs forestiers ou l’extraction de minerais de rendre compte à partir de 2015 de ses paiements effectués à des organismes d’états ou des agents du gouvernements. En revanche, les obligations de rendre compte passent de trimestrielle à annuelle.

Due diligence attendues sur les minerais originaires de zones de conflitEn mars 2014, la Commission Européenne a proposé un projet de règlement instaurant un mécanisme d’auto-certification pour les importateurs d’étain, de tantale, de tungstène et d’or qui choisissent d’en importer dans l’Union Européenne de manière responsable. Ce régime impose aux entreprises européennes qui importent ces métaux et leurs minerais d’exercer un « devoir de diligence » en supervisant et en administrant leurs achats et leurs ventes conformément aux cinq étapes définies par l’OCDE dans son guide sur le devoir de diligence.

Dans différents secteurs, on constate un accroissement particulièrement accru des attentes de reportingcf. Actualité sectorielle

Dans ce contexte d’évolutions constantes en matière de transparence, il s’agit de développer une approche intelligente et efficace de transparence qui intègre les attentes des différentes règles et législations, leurs points communs et leurs divergences, pour maîtriser au mieux l’impact sur l’entreprise.


- Vos outils de reporting produisent-ils la nature et le niveau d’information requis pour répondre aux attentes de transparence de vos régulateurs, actionnaires et autres parties prenantes ? - Comment cartographiez-vous et maîtrisez-vous les risques qui pourraient affecter l’information produite ?

Contacts : Françoise Bergé | 01 56 57 81 59 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Organisation de la Gouvernance

Autres considérations opérationnelles (délocalisation, projets, stratégie IT, etc.)

Evaluation de la capacité à rendre compte

Gestion des talents

Système sourcecapture des données

et remédiation

Gestion des

référentiels de

données

Reporting

Facteurs clés de succès pour un dispositif global de transparence

Pour en savoir plus

http://europa.eu/rapid/press-release_IP-14-218_en.htm



8 | Mai 2014


Autres sujets à suivre…

La lutte contre la corruption se poursuitLe Corruption Perceptions Index publié annuellement par Transparency International, avec sa dernière édition parue en décembre 2013, révèle que les pays de l’Union Européenne continuent à s’améliorer, avec un score moyen de 66 sur 100, contre une moyenne mondiale de 43. Seuls 23 % des pays de l’Union Européenne tombent en dessous de 50. Le Danemark remporte la première place en Europe et dans le monde, exæquo avec la Nouvelle Zélande, avec un score de 91.

Les leaders en Europe à ce stade après le Danemark sont la Finlande, la Suède, la Norvège, la Suisse et les Pays-Bas dans les top 10 mondiaux. La France est en position 22 avec un score de 71/100.

Des lois et stratégies favorisant la transparence et la lutte contre la corruption ont vu le jour dans un certain nombre de pays à date, notamment en Espagne et Grèce l’année dernière.

Les protections contre les représaillessont encore insuffisantesLe rapport Whistleblowing in Europe, paru en novembre 2013, met en avant que seuls 4 pays sur les 27 de l’Union Européenne disposent de régimes législatifs adéquats pour assurer la protection de lanceurs d’alertes (« whistleblowers »), à savoir le Royaume Uni, le Luxembourg, la Roumanie, et la Slovénie.

Le Watchdog Group de Transparency International félicite cependant plusieurs autres pays dont la France pour les efforts en cours afin de renforcer les protections. En effet, les risques de représailles persistent encore trop fortement pour permettre les « Speak-Up Cultures » auxquelles on peut aspirer.


- Votre dispositif de conformité est-il adapté aux risques de corruption liés à votre business model, implantations géographiques, et autres spécificités ? - Disposez-vous d’une cartographie des risques de corruption ? - Comment obtenez-vous le confort nécessaire quant au fonctionnement des mécanismes de remontée de soupçons ou de cas avérés de corruption (par le biais de la ligne hiérarchique, les fonctions conformité, juridiques, ressources humaines, audit interne, whistleblowing, et autre) ? - Comment communiquez-vous en interne sur les enjeux de maîtrise des risques de corruption ?

Contacts : Jean-Louis Di Giovanni | 01 56 57 12 57 | [email protected] Dominique Perrier | 01 56 57 80 17 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Pour en savoir plus

http://www.transparency.org/news/feature/whistleblowing_in_europe



9 | Mai 2014


Actualité sectorielle

Les Banques

Directive européenne sur les marchés d’instruments financiers (MiFID2)La révision de la directive a été adoptée au niveau européen le 15 avril 2014. Elle comprend :• Le règlement MIFIR sur la transparence et la

concurrence des activités de trading. Il limite le recours aux exemptions concernant les informations à publier, garantit l’accès aux lieux d’exécution et aux chambres de compensation pour tous les instruments financiers et incite les intervenants à exécuter les dérivés sur des lieux d’exécution organisés.

• La directive MIFID2 vient renforcer les règles en matière d’autorisation et d’organisation pour les prestataires de services d’investissement ainsi que les règles de protection des investisseurs.

Règlement délégué relatif à la directive CRD4L’adoption le 4 mars 2014 par la Commission européenne du règlement délégué définit les critères de recensement

Contacts : Rami Feghali | 01 56 57 71 27 | [email protected] - Financial Services Nicolas Montillot | 01 56 57 77 95 | [email protected] - Financial Services - Banque Jimmy Zou | 01 56 57 72 13 | [email protected] - Financial Services - Assurance

des catégories de personnel dont les activités professionnelles ont une incidence significative sur le profil de risque d'un établissement et auxquels s'appliqueront les règles en matière de limitations des rémunérations.

Evolution des conditions d’agrément et de gouvernanceDans le prolongement de la directive CRD4, l’ACPR a publié le 29 janvier 2014 plusieurs positions sur la gouvernance des établissements de crédit. Elle apporte en particulier des précisions sur les conséquences de la directive quant au cumul des fonctions de Président du conseil d’administration et de directeur général ; et aux fonctions de « dirigeants responsables » qui ne peuvent plus être exercées par le président du conseil d’administration. Ainsi, un certain nombre d’établissements vont devoir adapter leur modèle de gouvernance à ces positions.Pour aller plus loin, consulter notre Newsletter Regulatory Banque.

L’Assurance

Directive européenne Solvabilité IILe conseil européen a approuvé les nouvelles règles applicables au secteur de l'assurance le 14 avril 2014. L'adoption de cette directive fait suite à un accord dégagé en première lecture avec le Parlement européen le 13 novembre et approuvé au nom du Conseil par le Comité des représentants permanents le 27 novembre. Les États membres ont jusqu'au 1er janvier 2016 pour transposer les dispositions de la directive dans leur droit national.

Pour en savoir plus

http://www.pwc.fr/banques_et_marches_de_capitaux.html



10 | Mai 2014


Actualité sectorielle

Les Industries de Santé

Code de l'EFPIA (European Federation of Pharmaceutical Industries and Associations)Le « Disclosure Code » de l’EFPIA exige de toute société membre qu’elle rende public tous les paiements et transferts de valeur réalisés envers les professionnels et établissements de santé pour toutes les transactions effectuées en 2015. La transparence attendue porte tant sur les données (par ex. essais cliniques) que sur les relations avec les professionnels de santé (par ex. promotion de médicament). Il s’agit ainsi d’un enjeu multiple pour les sociétés : la traçabilité et l’intégrité des données, la capacité à extraire l’information et à produire les reportings requis, et cela d’un point de vue ressources, processus et outillage.

Contact : Anne-Christine Marie | 01 56 57 13 42 | [email protected]

Pour en savoir plus

Accroissement des investigations en matière de corruption, particulièrement en ChineAlors que les lois et réglementations en matière de lutte contre la corruption sont en place depuis des années, les investigations et poursuites judiciaires engagées par les régulateurs augmentent d’une année à l’autre. Notamment on observe au cours des derniers mois une attention particulière de la part du régulateur chinois aux pratiques en matière d’éthique et de transparence dans les relations avec les professionnels de santé et dans le marketing de produits pharmaceutiques.

http://www.pwc.com/us/aggregatespend



11 | Mai 2014


Étude sur la fraude en entreprise – La fraude est une vraie menace

PwC effectue tous les deux ans une étude sur la fraude en entreprise (Global Economic Crime Survey®). L’étude 2014 est parue le 19 février dernier.

La fraude continue de progresser partoutdans le monde ; pour ce qui concerne la France, quelques chiffres :

des entreprises françaises ont été victimes d’une fraude au cours des 24 derniers mois

des fraudes reportées par les entreprises françaises ont été détectées grâce à l’analyse informatique des données

des entreprises françaises craignent à l’avenir un acte de cyber-crimalité

Cette progression trouve son origine dans le fait que les entreprises françaises détectent mieux les fraudes, particulièrement grâce à une meilleure analyse de données qui permet d’identifier les transactions inhabituelles.

Les tendances

La fraude évolue…Notre étude révèle que le détournement d’actifs reste la fraude la plus répandue (61 % des cas) devant, et c’est une première, la cyber-criminalité (28 %) qui vient détrôner la fraude comptable (22 %), suivie de la fraude aux achats (21 %).On note aussi une spécificité bien française qui est la fraude « au Président » et qui représente 10 % des cas de fraude reportés. De manière prospective, la fraude la plus crainte par les entreprises françaises est la cyber-criminalité : 44 % des entreprises ayant répondu à notre étude pensent en être victimes dans les 24 prochains mois ; elles sont également fortement préoccupées par les risques liés à la corruption lorsqu’elles s’implantent dans des pays sensibles.

Qui sont les fraudeurs ?Les entreprises ayant déclaré au moins une fraude dans le cadre de notre étude sont le plus souvent touchées par la fraude interne (56 %) que par la fraude externe (40 %) qui sévit particulièrement dans le secteur financier (59 %).Dans le cas de la fraude interne en France, le profil du fraudeur le rend difficile à identifier : il s’agit typiquement d’un homme, cadre, qui dispose d’une ancienneté lui permettant de connaître les systèmes et procédures et donc de pouvoir contourner les contrôles.

Les dommages causés par la fraude ne sont pas que financiers :En termes strictement financiers, il ressort que pour près d’une entreprise sur deux dans le monde, le montant cumulé des fraudes subies au cours des 24 derniers mois a une incidence supérieure à 100 000 dollars. Cependant, la fraude peut également avoir des incidences non financières considérables, ainsi que l’illustre le graphique ci-après issu de notre étude.

55 %

43 %

44 %

Suite



12 | Mai 2014



- Effectuez-vous régulièrement une analyse des risques de fraude propre à votre entreprise ? - Quels sont les moyens que vous utilisez pour identifier les transactions inhabituelles ? Quelle analyse en est faite ? - Comment communiquez-vous sur les risques de fraude (par exemple pour sensibiliser aux cas de fraudes « au Président ») ?

Contacts : Jean-Louis Di Giovanni | 01 56 57 12 57 | [email protected] Dominique Perrier | 01 56 57 80 17 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

6 %

16 %

23 %

19 %

32 %

2 %

15 %

19 %

19 %

28 %

3 %

15 %

17 %

17 %

31 %

0 10 20 30 40

Valeur des actions

Relations avec les régulateurs

Relations commerciales

Réputation de l'entreprise ou de la marque

Moral des employés

en % des fraudes reportées2014 2011 2009

Dommages collatéraux de la fraude en entreprise

Pour en savoir plus

Étude sur la fraude en entreprise – La fraude est une vraie menace

http://www.pwc.fr/enquete-fraude-2014.html



13 | Mai 2014


Enquête 2014 sur la sécurité de l’information

PwC réalisé régulièrement l’enquête Global State of Information Security®. La dernière édition est parue en janvier 2014 et présente les constats suivants.

Les stratégies de sécurité historiques sont souvent inefficaces aujourd’huiLes organisations ont fait d’importants progrès en matière de gestion de la sécurité de l’information, maisne font pas toujours face aux menaces de plus en plus sophistiquées. En effet, elles comptent encore souventsur des stratégies de sécurité d'hier et constatent ainsi une insuffisance en matière d’anticipation et de réactivité.

La proportion de données partagées de façon numérique augmente et les pertes de données prolifèrentSuivant les résultats de notre étude, 24 % des répondantsfont état des pertes de données suite à des incidentsde sécurité, une augmentation de 16 % par rapport à2012. L’analyse des réponses révèle que les données les plus touchées sont respectivement les dossiers employés (35 %) et clients (31 %). Ainsi, l’érosion de confiance de la part des parties prenantes impacte directement l’image de l’entreprise, qui doit par la suite entreprendre des actions correctrices souvent bien coûteuses.

Employee recordscompromised

Customer recordscompromised orunavailable

Loss or damage ofinternal records

Identity theft (clientor employee datestolen)

23%

35%31%

29%

Impact des incidents de sécurité

28 %

Les pertes financières dues aux incidents de sécurité se sont accrues en 2013, comparativement à 2012.

Suite



14 | Mai 2014


Enquête 2014 sur la sécurité de l’information

Le coût financier des incidents est en hausseLogiquement, avec l’augmentation du nombre d’incidents de sécurité, l’on note également celle des pertes financières associées aux incidents de sécurité informatique.

Manque de préparation contre les menaces internes, pourtant plus significativesBien que très médiatisées, les intrusions et autres attaques sophistiquées restent des incidents relativement rares ; la réalité est beaucoup plus prosaïque. On constate que les incidents de sécurité sont souvent le fait d’initiés, tels que les employés actuels (31 %) ou passés (27 %) de l’entreprise. De nombreuses organisations manquent de préparation suffisante.


- Votre stratégie de sécurité est-elle purement IT ou davantage intégrée à votre business model et en lien avec les menaces qui pèsent sur votre organisation, la connaissance de vos vulnérabilités et le contrôle des risques correspondants ? - Comment pouvez-vous aider l’entreprise à passer de la sensibilisation à l’action en matière de sécurité de l’information ? - Quels sont les mécanismes d’alertes et les signaux faibles qui font l’objet de suivi pour aider à mieux maîtriser les risques liés à la sécurité de l’information ?Current employees

Former employees

Current service providers/consultants/contractors

Former service providers/consultants/contractors

Suppliers/business partners

Information brokers

Hackers

Competitors

Organized crime

Activist/activist groups/hacktivists

Terrorists

Foreing entities/organizations

Foreign nation-states

Insiders-Employees

Insiders-Trusted advisors

Outsiders

31%

27%

16%

13%

12%

10%

32%

14%

12%

10%

8%

6%

4%

Estimation des sources d’incidents les plus probables

Contacts : Fabrice Garnier de Labareyre | 01 56 57 13 42 | [email protected] Pierre-Olivier Duranton | 01 56 57 73 53 | [email protected]

Pour en savoir plus

http://www.pwc.fr/defending-yesterday-key-findings-from-the-global-state-of-information-security-survey-2014



15 | Mai 2014


Enquête Audit Interne 2014

Depuis dix ans PwC mène une enquête annuelle sur la profession d’auditeur interne. Cette année, 1 920 personnes ont contribué, représentant 24 secteurs d’activité et 37 pays. Près de 40 entreprises ont répondu pour la France. Quels sont les principaux messages ?

Des progrès sur la performance mais une valeur perçue toujours en retraitCette année encore moins de la moitié des dirigeants concernés estime que l’audit interne apporte une valeur significative. Côté administrateurs, ils sont maintenant un peu plus de 2/3 contre 79 % en 2013 à porter le même jugement. Les administrateurs, qui sont par nature moins au contact de l’entreprise et de ses enjeux opérationnels que les dirigeants, retirent sans aucun doute plus de valeur des rapports et présentations. Il n’en reste pas moins que la perception globale doit faire réagir les fonctions audit interne.La valeur perçue reste étroitement corrélée à la performance des fonctions sur les 8 attributs identifiés lors de nos précédentes enquêtes :

L’enquête et les entretiens mettent en exergue la nécessité d’obtenir un consensus des parties prenantes sur les attentes en matière de performance et de valeur attendue. L’objectif est ici de s’interroger sur le rôle que ces parties prenantes veulent voir jouer à la fonction, d’une mission traditionnelle d’assurance à un positionnement plus « conseil stratégique » comme indiqué ci-dessous :

Certaines organisations choisiront de positionner la fonction audit interne sur des missions d’assurance classique – dans ce cas l’objectif sera de délivrer un meilleur niveau de performance et d’efficacité, en cherchant progressivement à remonter dans la chaine de valeur. Ce positionnement ne doit pas être pris par défaut et l’enquête montre, sans surprise, que les fonctions ayant

un rôle plus « conseil stratégique » sont deux fois mieux perçues que les fonctions ayant une mission d’assurance.

Aligner les capacités avec les attentes et les risques Les compétences de l’équipe audit interne sont l’un des matériaux essentiels à la construction d’une fonction à haute valeur ajoutée.Les enjeux principaux cités par les répondants pour les 18 prochains mois sont, en externe, l’impact des progrès technologiques et des risques informatiques, la complexification des réglementations ainsi que l’évolution des comportements et besoins des clients ou utilisateurs.Les organisations, en réaction à ces enjeux externes, peuvent être amenées à se transformer radicalement, ce qui est l’une des principales sources de risque d’un point de vue interne.Pour faire face à ces enjeux, l’audit interne doit compléter ses compétences, avec, pour certaines, un recours de plus en plus privilégié à des partenaires de cotraitance, comme sur les aspects sécurité informatique, expertise spécifique sur des plateformes informatiques ou réglementation.Sur certains domaines, il ne faudra pas sous-estimer la nécessité d’aller chercher réellement les bonnes compétences, comme sur les aspects données, avec les enjeux du Big Data, et les aspects Fraude.

Conseil stratégique

Valeur latente

Assurance Assurance AssuranceAssurance

Apport d'idées

Apporter une valeur ajoutée et des conseils stratégiques proactifs qui dépassent largement

Jouer un rôle proactif accru en proposant des

assurance dans le domaine des risques

Analyser et mettre en perspective les causes à

opérationnelles à prendre des mesures correctives

des contrôles internes d'une organisation.

Résolution de problèmes

Aligner les attentes

Développer les

capacités

Fournir la qualité

Accroître la valeur



Apport d'idées

Réalisation de la valeur latente

Audit interne

Alignement sur les enjeux

Protéger

Créer de la valeur

Focalisation sur les risques

Gestion des talents

Gestion des parties prenantes

Ef�cience en termesde coût

Technologie

Culture du service

Qualité et innovation

Les huit attributs fondamentaux de l’audit interne

Suite



16 | Mai 2014


Enquête Audit Interne 2014

Une priorité, aligner les 3 lignes de défense

Les fonctions jouant un rôle de conseil stratégique sont celles qui semblent le mieux articuler les 3 lignes de défense, appliquant plus de deux fois plus les bonnes pratiques en la matière que celles ayant une mission d’assurance plus traditionnelle. La cartographie des activités d’assurance est à notre sens une approche incontournable pour réaliser au mieux cette articulation.L’un des leviers importants pour améliorer l’efficacité d’ensemble des lignes de défense est la capacité pour l’audit interne à vraiment

Pourcentage de participants qui utilisent régulièrement cette tactique

Assurance Conseil stratégique

0%10 %0%0% 30 % 50 % 70 %

%72 %

33 %%52 %

23 %%38 %3

21 %37 %3

18 %134 %%

42 %20 %

27 %744 %%

Réunir régulièrement l'audit interne et les autres acteurs de la gestion des risques pour s'aligner sur les principaux risques

Affecter des ressources appropriées en

Créer une vue intégrée du risque dans l'ensemble de l'organisation, pour une couverture du risque adaptée

Interagir en continu entre deuxième et troisième lignes de défense pour discuter des risques de l'entreprise et de leur gestion

Contractualiser les responsabilités de l'audit interne et celles des autres acteurs de la gestion des risques

Exploiter les résultats des tests effectués par chaque ligne de défense

s’appuyer sur les tests et résultats de la seconde ligne – et dans ce domaine des progrès restent à réaliser.

Pour conclureSe donner les capacités de répondre à des attentes alignées des parties prenantes n’est pas suffisant.L’audit interne doit également progresser sur les modes de communication mis en œuvre, pour intégrer des métriques mettant plus en avant la valeur apportée à l’organisation.

Le succès sera au rendez-vous lorsque tous les répondants considéreront que les bénéfices de l’audit interne dépassent largement les coûts.

• Implication et valeur ajoutée apportées sur les initiatives clés de l’organisation, les nouveaux enjeux, incluant la mise en place de nouveaux systèmes, les acquisitions, cessions, les nouveaux produits, les nouvelles réglementations, etc.

• Capacité de l’audit interne à donner un point de vue global/transversal sur les problématiques clés et les domaines de risque critiques pour l’organisation

• Capacité de l’audit interne à être un « agent du changement » au sein de l’organisation et à exercer une influence qui se traduit au fil des ans par une amélioration de l’environnement de contrôle global

• Enquête annuelle de satisfaction des clients• Capacité de l’audit interne à répondre aux questions des administrateurs et du

management• Valeur des recommandations formulées• Réduction des coûts et amélioration des revenus grâce aux constats et aux

recommandations de l’audit interne

0 0,1 0,2 0,3 0,4 0,5 0,6

Les coûts de l'audit interne dépassent marginalement les béné�ces associés

Les coûts de l'audit interne dépassentlargement les béné�ces associés

Non répondu

Ne sait pas

Les coûts et béné�ces s'équilibrent

Les béné�ces de l'audit interne dépassent marginalement les coûts associés

Les béné�ces de l'audit interne dépassent largement les coûts associés

Global France

Contacts : Jean-Pierre Hottin | 01 56 57 82 63 | [email protected] Paul Le Nail | 01 56 57 78 88 | [email protected]

Pour en savoir plus

Tactiques utilisées pour aligner l’audit interne avec les autres lignes de défense

Comment l’audit interne communique sa valeur ajoutée

Perception du rapport entre les bénéfices et les coûts dans la fonction d'audit interne

http://www.pwc.fr/enquete-2014-sur-letat-de-la-profession-audit-interne1.html



17 | Mai 2014


Récapitulatif des évènements récents, aperçu des évènements à venir

Présentation de la 16e étude PwC sur la protection de l’information et la sécurité des systèmes d’informationLe 12 décembre 2013 à Paris - Le 13 mars 2014 à LillePrésentation des résultats de la 16e édition de l’étude mondiale sur la protection de l’information et la sécurité des systèmes d’information, avec un focus spécifique sur la France.

Contacts : Fabrice Garnier de Labareyre | 01 56 57 13 42 | [email protected] Pierre-Olivier Duranton | 01 56 57 73 53 | [email protected]

Congrès Européen Ethique & GouvernanceLes 17-18 mars 2014 à ParisPwC a participé a ce congrès organisé par la Chaire Droit & Ethique des Affaires, en coopération avec l’OCDE, avec le soutien d’Alstom, et réunissant des directeurs de la conformité et de l’éthique de divers secteurs, juriste, académiciens, et autres experts autour des évolutions récentes et problématiques actuelles en matière de gouvernance, d’éthique et de conformité.

Contact : Catherine Jourdan | 01 56 57 19 23 | [email protected]

Comment les Big Data vont-ils transformer le métier des banques et assurances ?Le 20 mars 2014 à ParisL’exploitation des Big Data ouvre des perspectives très prometteuses pour tous les secteurs d’activité, en particulier

pour les banques et assurances, dont l’activité repose notamment sur la fiabilité des modèles qu’elles conçoivent pour leur permettre d’améliorer leur connaissance clients, leurs offres, ou pour lutter contre la fraude.

Contacts : Antoine de La Bretesche | 01 56 57 82 92 | [email protected] Jean Barrère | 01 56 57 56 75 | [email protected]

La fraude dans les entreprises : évolutions récentes et solutionsLe 2 avril 2014 à ParisPrésentation de l’étude mondiale 2014 de PwC sur la fraude en entreprise ; débat et discussion autour des nouveaux enjeux.

Contacts : Dominique Perrier | 01 56 57 80 17 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Présentation PwC de l’Enquête Audit InterneLe 8 avril à ParisPrésentation des résultats de la 10e édition de l’enquête annuelle State of the Profession of Internal Audit et discussion des enjeux.

Contacts : Jean-Pierre Hottin | 01 56 57 82 63 | [email protected] Paul Le Nail | 01 56 57 78 88 | [email protected]

À l’horizon

- SAP Insider GRC Du 21 au 23 mai à Nice Contact : Pierre-Olivier Duranton 01 56 57 73 53 | [email protected] - Réunion Mensuelle de l’Ifaci sur la mise en œuvre du COSO Le 27 mai à Paris Contacts : Françoise Bergé 01 56 57 81 59 | [email protected] Catherine Jourdan 01 56 57 19 23 | [email protected] - Corporate Accountability Conference Le 12 juin à Paris Contacts : Fabienne Borde 01 56 57 45 34 | [email protected] Catherine Jourdan 01 56 57 19 23 | [email protected]



18 | Mai 2014


L’audit interne en 3D (Digital, Data, Devices)

Les technologies nouvelles redéfinissent l’environnement dans lequel évolue l'audit interne

Digital - Les modèles économiques traditionnels ont évolué pour laisser place à l'entreprise digitale, générant des risques de nature plus complexe. Data - 90 % des données disponibles ont été créées dans les deux dernières années. Comment l’auditeur interne peut-il exploiter cette masse de données ? Devices - Les téléphones portables et les tablettes prennent le pas sur les ordinateurs. Comment l’audit interne doit-il s’adapter et comment en tirer profit ?

Adapter les thèmes d’audit pour adresser un nouvel univers de risque

Au-delà du thème continuité des opérations, dont l’importance est amplifiée par la révolution digitale, l’audit interne peut intégrer dans le plan d’audit des sujets nouveaux pour aider à maîtriser la complexité des risques générés par cette même révolution.Par exemple, la gouvernance des réseaux sociaux devient en soi un thème d’audit qui permet de répondre à un ensemble de questions, autour de la stratégie, de la conformité aux réglementations, de la confidentialité, de la gestion de crise…Les questions auxquelles il faut répondre sont multiples, par exemple :• Ai-je la capacité à faire adopter assez rapidement ce

nouveau média en accord avec mes ambitions stratégiques ?

• Comment puis-je être certain que mes employés savent ce qui est autorisé ou pas ?

• Comment puis-je m’assurer que la confidentialité des informations critiques sera maintenue ?

• Quel est mon degré de vulnérabilité à des cyber- attaques ?

• Quelles sont les réglementations applicables et comment les respecte-t-on ?

• Comme u ne présentation efficace des conclusions de l'audit interne est essentielle pour l'impact de cette fonction.

Toutes ces questions nécessitent des approches spécifiques des compétences pointues en réglementations et en sécurité informatique, et sans doute des outils ad hoc pour mesurer l’impact effectif de ces réseaux sociaux.

Suite



19 | Mai 2014


L’audit interne en 3D (Digital, Data, Devices)

Exploiter les donnéesUne présentation efficace des conclusions de l'audit interne est essentielle pour l'impact de cette fonction. Au-delà des techniques d’analyse de données utilisées pour exécuter les travaux d’audit, les techniques de visualisation des données permettent de susciter davantage l'intérêt des parties prenantes et de renforcer son impact au sein de l'organisation.L’objectif est de favoriser la compréhension en exploitant quelques principes simples, qui permettent de gérer la charge cognitive, d’optimiser la perception et de faciliter la mémorisation.

S’adapter aux nouveaux outilsL’audit interne doit s’interroger sur sa capacité à intégrer les nouvelles technologies et les nouveaux modes d’utilisation d’internet dans ses activités.Des actions pratiques peuvent être initiées :• Adapter le format des rapports, en permettant des

navigations aisées dans le document, que ce soit sur ordinateur classique, en utilisant des documents interactifs, ou sur tablette.

• S’appuyer sur les outils nomades pour faciliter la réalisation d’audits répétitifs et standardisés, en mettant en œuvre des plateformes web dédiées, qui permettront par exemple aux auditeurs de travailler sur tablette. La documentation, la supervision, et la synthèse de ces audits en sera facilitée, en ayant des outils adaptés à chaque nature d’audit.

Contact : Jean-Pierre Hottin | 01 56 57 82 63 | [email protected] Philippe Mannent | 0 156 577 244 | [email protected]

Pour en savoir plus

PwC Internal Audit Issue Date: March 31, 201X

Report 13-00: Review of Travel Expenses Rating:

Conclusion:

Our assessment found that the Company has established effective policies and procedures to support the travel expense reimbursement process. The results of our detailed testing of expense reports identified immaterial instances of departures from the Corporate Travel Policy. To further strengthen the controls around expense reimbursement, additional follow-up on questionable expenses should occur and awareness around the use of corporate credit cards for personal expenses and the use of incorrect expense GL codes should be increased.

Key findings:

Expenses requiring follow-up were reimbursed without proper investigation Corporate credit cards are utilized for personal expenses Disbursements are charged to incorrect expense GL codes

Satisfactory

Findings

Use of Report

Appendix

Background

Objective

Scope and Approach

Audit Overview

2

Audit Overview

Background During the period January 1 to December 31, 201X, employees submitted expenses for reimbursement by the Company in the amount of $2,309,354. Of this, approximately 90% was charged using a Company issued American Express corporate card.

The monitoring of compliance with the Corporate Travel Policy is conducted primarily by the Accounts Payable Department. As part of these monitoring activities, Accounts Payable performs audits of expense reports to identify potential policy exceptions and unusual expense activity prior to reimbursement. In comparison to the prior year, the amount of expense report audits completed by Accounts Payable has increased significantly (1,256 vs. 3,410). Accordingly, we initiated an internal audit of this area consistent with our Audit Plan.

Objective 1. Evaluate the processes in place to monitor and

enforce compliance with the Company’s expense reimbursement policies.

Scope and Approach To achieve our audit objective, we performed the following procedures:

Interviewed appropriate personnel and inspected relevant documentation to gain an understanding of the policies and procedures related to expense reporting, auditing and reimbursement;

On a sample basis, tested expense reports submitted from January 1 to December 31, 201X for compliance with Company policy. Our procedures included, but were not limited to:

o Evaluating the timeliness of expense report submission and reimbursement;

o Determining whether expenses were adequately supported with documentation, when required; and

o Reviewing expense types for proper classification.

Utilized computer assisted auditing techniques (CAAT's) to assess 100% of the population for compliance with specific expense policies; and

Identified potential process improvements and leading practices, where appropriate.

Our review covered the period from January 1 to December 31, 201X.

Home Audit Overview Findings Use of Report Appendix

http://www.pwc.fr/social-media-governance-managing-social-media-risk.html



20 | Mai 2014


Cyber-sécurité : Ayez confiance en votre avenir numérique

Comment s’orienter par rapport à son futur digital ?Être conscient des cyber-risques, évaluer les menaces qui pourraient affecter vos objectifs et avoir l’agilité nécessaire pour traiter celles qui apparaissent. Considérer la sécurité informatique, les risques et les opportunités qui en résultent. Ne pas se laisser être dépassé par d’anciens modèles de sécurité. Tels sont quelques uns des enjeux d’une stratégie de gestion des risques car, en effet, les avancées technologiques entrainent de nouvelles vulnérabilités au quotidien mais aussi des opportunités indéniables.


- Avez-vous été victime de tentatives ou de cas avérés de cyber-criminalité ? - Disposez-vous d’une cartographie des risques de cyber-sécurité ? - Comment s’effectue l’évaluation des contrôles préventifs et détectifs relatifs à la cyber-sécurité dans votre entreprise ? - Ces actions s’insèrent-elles dans une stratégie globale de cyber-sécurité propre à l’entreprise ?

Les bonnes compétences : Face à l’évolution des risques liés à la cyber-sécurité, vos équipes de sécurité doivent continuellement actualiser leurs connaissances des menaces qui pèsent sur votre entreprise pour les anticiper et y répondre efficacement.Un environnement fiable : Vos opérations et votre environnement doivent inspirer confiance à vos parties prenantes (clients, employés, autres) pour créer des opportunités et protéger ce qui compte le plus pour vous.L’appétence pour le risque clairement définie : La cyber-sécurité doit être considérée comme un risque à part entière, pour lequel vous avez développé une appétence adaptée à votre organisation et défini un plan d’action.La visibilité sur les risques : A tout moment, vous devez avoir l’assurance que vos risques sont sous contrôle.

93% 87%

Six axes interconnectés à prendre en compte

Pour en savoir plus

Technology People

Crisis Connections

Confidence in

your digital future

Connections

Priorities Risk

Technology People

Crisis

Confidence in

your digital future

Connections

Priorities Risk

Technology People

Crisis

1. Évaluation des capacités actuelles

de l’entreprise à répondre aux risques

de cyber-sécurité

2. Identification de pistes d’amélioration

3. Priorisation des actions et investissement

4. Élaboration d’une stratégie de

cyber-sécurité

Vous ne pouvez pas tout sécuriserNous vous aidons à définir vos priorités

Défense intelligenteNous vous aidons à construire une défenseIntelligente, basée sur la détection rapide et la maîtrise efficace des menaces

Saisissez l’opportunité Nous vous aidons à saisir vos opportunités digitales avec assurance

Leurs risques sont aussi les vôtres Nous vous aidons à comprendre et à gérer les risques dans votre écosystème

93 % des grandes entreprises et

87 % des petites entreprises ont

subi une attaque de sécurité en 2012

93% 87%

Contacts : Fabrice Garnier de Labareyre | 01 56 57 13 42 | [email protected] Anne-Christine Marie | 01 56 57 13 42 | [email protected] Pierre-Olivier Duranton | 01 56 57 73 53 | [email protected]

http://www.pwc.com/gx/en/audit-services/risk-assurance-services/assets/pwc-cyber-security-brochure.pdf



21 | Mai 2014



Un sujet d’inquiétudeAu vu des failles de sécurité qui ont pu faire la une des journaux ces derniers temps, on s’inquiète de plus en plus quant à la protection et l’utilisation appropriée de nos données personnelles. En effet, comment sont gérées les données conférées à l’entreprise ?

Pour l’entreprise utilisatrice de ces données, une simple violation de protection des données isolée est financièrement très coûteuse, sans compter les coûts de réputation en terme de perte de revenue : on constate qu’une faille médiatisée augmente le taux de désabonnement d’environ 4 % (Ponemon Institute, 2013 Cost of Data Breach Study.)

Au cœur de la stratégie d’entrepriseAlors qu’autrefois considérée comme relevant du domaine juridique, des fonctions de conformité, ou informatiques, la confidentialité des données est désormais une priorité urgente pour les dirigeants d’entreprise. En effet, la réglementation (notamment la directive européenne sur la protection des données), le chiffre d’affaires et l’image sont indissociables dans la gestion des risques et la création de valeur.

Pour gagner la confiance des clients et autres tiers, la gestion des risques seule ne suffit plus, mais doit être couplée à une stratégie de protection des données. Ce dernier facteur est devenu une clé de succès pour la croissance des entreprises et la puissance des marques. Les entreprises doivent réévaluer leur approche et identifier les nouvelles menaces – mais aussi les opportunités découlant notamment du monde numérique.

Deg

ree

of c

hang

e Customerexpectations

Regulators

Customer expectationschange rapidly and are becoming more in�uential

Laws Standards

Regulator activityis accelerating inindustries thatlack privacy laws

Laws andstandards arecurrently the strongestin�uencers

Facteurs externes influant sur la stratégie de protection des données

Suite



22 | Mai 2014



Une opportunité de différentiationDiverses études montrent que 4 personnes sur 5 sont disposées à partager leurs données personnelles à condition d’être clairement informées en amont de l’usage qui en sera fait. On en déduit les vecteurs de confiance suivants :

Donner le contrôle au clientLes consommateurs veulent être en mesure de contrôler le volume d’information partagé. Des mécanismes tels que le « Do Not Track », un projet de norme qui permet aux internautes de choisir d’être suivi ou non par les entreprises. Permettre aux clients de décider sur la manière d’utiliser leurs données pourraient changer la façon dont vous traitez avec des données personnelles. Génération d’une économie potentielle d’environ 10 milliards d’heures par an (World Economic Forum, 2013, Unlocking the value of personal data).

Respecter ses engagements Renforcer les pratiques et les contrôles de confidentialité dans les processus métiers qui collectent, utilisent ou divulguent des données, de sorte que ces engagements deviennent une partie intégrante du mode de fonctionnement de l’entreprise. Toute entreprise se doit de traiter toute donnée sensible avec la même attention que celle donnée à ses actifs financiers et physiques. Il est primordial de comprendre quelles sont les données dont vous disposez, quelle est leur valeur, et qui y a accès. Ce point reste négligé aujourd’hui car notre enquête fait ressortir que 42 % des entreprises ne disposent pas d’un inventaire des données clients et employés et la manière dont elles sont collectées, transmises et sauvegardées (PwC, CIO and CSO magazines, Global State of Information Security Survey 2014).


- Disposez-vous d’un inventaire des données sensibles, leur utilisation et les accès ? - Quels sont les processus de suivi et de revue régulière qui vous permettent de garantir que les contrôles en place opèrent efficacement et dans la durée ? - Quel type d’assurance obtenez-vous (ISAE3000 ?) quant à l’adéquation et l’efficacité des contrôles en place chez le prestataire permettent de couvrir convenablement les risques de sécurité et de confidentialité des données ?

Contacts : Anne-Christine Marie | 01 56 57 13 42 | [email protected] Pierre-Olivier Duranton | 01 56 57 73 53 | [email protected]

Pour en savoir plus

http://www.pwc.com/us/en/10minutes/data-privacy.jhtml



23 | Mai 2014


Culture et comportements : Pour mieux anticiper et gérer les risques de demain

Comprendre et mieux appréhender le risque culturel et comportementalIl est au cœur de l’actualité, et affecte tous les secteurs comme en témoignent les divers récents scandales dans les secteurs financier, pharmaceutique ou encore de l’alimentation, et avec des conséquences mondiales, à l’heure où l’information n’a jamais aussi bien circulé.Alors qu’on peut être conscient des problèmes de comportements, on peine souvent à en identifier les causes profondes et par suite, à prendre des mesures tangibles pour y remédier. Cela devient un véritable défi pour les entreprises qui doivent faire face à l’expansion mondiale, aux joint-ventures, aux relations avec leurs parties prenantes, ou encore à des changements générationnels significatifs. La résilience et la performance dépendent des comportements de l’organisation : La création et la maîtrise des risques dépendent en grande partie des comportements. En conséquence, la culture et les comportements dans l’entreprise ont un impact significatif pour l’atteinte des objectifs en matière de :

1 Gouvernance efficace

2 Excellente performance

3 Bonne réputation

La « bonne » culture et les comportements adéquats ne sont pas le fruit du hasard : Ils sont créés, façonnés et modifiés par des processus, structures et modèles bâtis au sein de l’organisation. Ceux-ci doivent donc être définis de façon à soutenir l’objectif, la vision et les valeurs de l’organisation, et régulièrement mesurés et revus.

Bien que les comportements soient intangibles, il est possible de les mesurer de façon quantitative et qualitative : Cela passe par l’identification des moments clés, c’est-à dire les points de votre cycle économique où les comportements auraient un effet disproportionné sur le résultat. Par exemple, la décision d’accepter un nouveau client, la négociation des conclusions d’un rapport d’audit interne ou une décision de récompense.

Les comportements sont souvent oubliés dans la conception du contrôle interneL’efficacité de la plupart des contrôles et processus internes dépend du comportement des personnes qui les appliquent. Or souvent ce critère n’est pas pris en compte dans la conception des modes opératoires et des contrôles, limitant de fait leur efficacité.


- Par quels moyens mesurez-vous l’évolution de la culture de votre entreprise ? - Quels sont les indicateurs clés pour vous en matière de culture et comportements ? - Cette dimension est-elle intégrée dans les programmes de travail et le plan d’audit interne ? - En cas d’incident, effectuez-vous une analyse des causes originelles et voyez-vous des actions concrètes et adaptées en découler ? - Vos projets de transformation intègrent-ils les actions nécessaires en matière de gestion de la culture et des comportements ?

Contacts : Françoise Bergé | 01 56 57 81 59 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Pour en savoir plus

Culture et compor-tementsadéquats

Processus et systèmesnécessaires

Structure de risque

fiable

Objectifs, vision et valeursvalides

Fondamentaux d’un contrôle interne efficace

http://www.pwc.com/gx/en/audit-services/risk-assurance-services/assets/pwc-culture-and-behaviours-brochure.pdf



24 | Mai 2014


Cartographie RSE : Du reporting statique au pilotage en continu

Une obligation de rendre compte de la maîtrise des risques sociaux et environnementauxDepuis 2009, la publication des risques sociaux et environnementaux fait partie du cadre réglementaire au travers de la recommandation AMF n°2009-16. Cette obligation se voit renforcée par la recommandation AMF n°2013-18 qui encourage les sociétés côtées à mettre en place « une démarche d’identification, d’analyse et de traitement des risques extra-financiers », à savoir notamment des risques sociaux et environnementaux. La réglementation invite les entreprises cotées également « à établir un lien (…) entre les risques extra-financiers auxquels la société doit faire face et les éléments provisionnés dans ses comptes ».On constate ainsi une attention accrue portée à la stratégie de gestion des risques extra-financiers et de politique en matière de Responsabilité Sociale et Environnementale (RSE). Axes prioritaires pour un pilotage RSE en continu1/Stratégie et Communication

En premier lieu, il est important de formaliser une stratégie de développement durable, en lien avec le code de conduite, le programme sociétal et d’autres fondamentaux. Par rapport à cette stratégie et à une évaluation des risques associée, l'enjeu ensuite est de pouvoir communiquer de manière cohérente sur les actions menées et résultats produits en matière de RSE.

2/Cartographie des risques RSE Afin de permettre à l’entreprise de prioriser ses enjeux en matière de RSE, elle se doit de formaliser à l’aide d’une méthodologie rigoureuse sa cartographie des risques RSE et d’y mettre en face les dispositifs de maîtrise existants ou, le cas échéant, les pistes d’amélioration nécessaires. Pour ce faire, elle s’appuiera notamment sur l’analyse de cycle de vie de l’entreprise et relations avec les fournisseurs.

3/Systèmes de gestion Au quotidien, la gestion des risques RSE (par ex. gestion des déchets) s’effectue par des systèmes informatisés de développement durable compatibles avec les ERP des entreprises, ainsi que des efforts continus de conduite du changement. Elle s’appuiera sur ces systèmes notamment pour l’écoconception de ses produits ou services.

4/Tableau de bord et pilotage Partant des indicateurs utilisés par les opérationnels et d’une analyse d’écart par rapport à la cartographie RSE, il s’agit d’élaborer des indicateurs de mesure précis et adaptés en fonction des sites géographiques et des activités. Ce portefeuille d’indicateurs doit s’inscrire non seulement dans les besoins de reporting RSE (par exemple, écobilan, bilan de substances, etc) mais aussi dans un effort de pilotage global, en lien avec l’analyse des résultats et le provisionnement des comptes.

5/Audit par un tiers indépendant Qu’il s’agisse de l’audit RSE attendu des sociétés cotées ou de tout autre validation externe (par exemple pour le classement par les agences de notations), il est important de pouvoir produire les éléments nécessaires pour pouvoir être reconnu pour ses efforts et résultats en matière de RSE.


- Disposez-vous d’une cartographie de risques RSE ? - Quels sont les indicateurs de suivi RSE les plus importants pour l’entreprise ? - Par quels processus et quels outils est produite l’information sur les problématiques de RSE ? - Comment s’articule votre reporting RSE avec le pilotage de la gestion des risques globale de l’entreprise, et notamment le provisionnement des comptes ?

Contacts : Thierry Raes | 01 56 57 82 7 | [email protected] Paul-Mathieu de la Foata | 01 56 57 50 03 | [email protected] Catherine Jourdan | 01 56 57 19 23 | [email protected]

Pour en savoir plus

http://www.pwc.fr/accompagner_votre_demarche_de_responsabilite_sociale_rse.html


Actualité Réglementaire SommaireEvènements & Publications Thématiques ContactsIntroduction

Contacts

Nos AssociésRisk Assurance &Advisory Services

Patrice MorotRisk Assurance & Advisory Services Leader01 56 57 81 [email protected]

Jean-Pierre Hottin01 56 57 82 [email protected]

Anne-Christine Marie01 56 57 13 [email protected]

Françoise Bergé01 56 57 81 [email protected]

RédactriceCatherine Jourdan01 56 57 19 [email protected]

Liens vers les sites utilesPwC en Francewww.pwc.fr

Risk Assurance & Advisory Services - Francewww.pwc.fr/risk-assurance-and-advisory-services-raas.html

Et égalementwww.pwc.com/us/en/cfodirect/index.jhtml

Les informations contenues dans le présent document ont un objet exclusivement général et ne peuvent en aucun cas être utilisées comme un substitut à une consultation rendue par un professionnel. En tout état de cause, en aucun cas la responsabilité de PricewaterhouseCoopers France et/ou de l’une quelconque des entités membres du réseau PwC ne pourra être engagée du fait ou à la suite d’une décision prise sur la base des informations contenues dans le présent document. © 2014 PricewaterhouseCoopers France. Tous droits réservés.

http://www.pwc.com/us/en/cfodirect/index.jhtml

newsletter risk assurance & advisory services mai …...la stratégie et au business model de la...

Documents