quelles sont les attentes de la cbfa en matière d'audit interne ? quelques points...
DESCRIPTION
Quelles sont les attentes de la CBFA en matière d'audit interne ? Quelques points d'attention. Caroline Vandevelde, Coordinatrice CBFA Christel Beaujean, Conseiller adjoint CBFA. Séminaire CBFA-ABIP 11 février 2010. Structure de la présentation 1 re partie. - PowerPoint PPT PresentationTRANSCRIPT
1
Quelles sont les attentes de la CBFA en matière d'audit interne ?
Quelques points d'attention
Caroline Vandevelde, Caroline Vandevelde, Coordinatrice CBFAChristel Beaujean, Christel Beaujean, Conseiller adjoint CBFA
Séminaire CBFA-ABIP
11 février 2010
2
Structure de la présentation1re partie
1. Circulaire CPP-2007-2-LIRP (art. 77 LIRP)
2. Place dans l'organisation
3. Exercice de la mission
4. Attentes de la CBFA
Principe n° 1 - Structure de gestionPrincipe n° 2 - Organes de l’IRPPrincipe n° 3 - Contrôle internePrincipe n° 4 - Fonction de compliancePrincipe n° 5 - Continuité des activitésPrincipe n° 6 - Audit internePrincipe n° 7 - Sous-traitancePrincipe n° 8 - Commissaire agréé ou société de révision agrééePrincipe n° 9 - Actuaire désignéPrincipe n° 10 - Circulation interne de l’informationPrincipe n° 11 - Informations externes
3
1. Circulaire CPP-2007-2-LIRP 1.1. Introduction : de la gouvernance
"L'organe opérationnel compétent (OO) prend les mesures nécessaires pour que l’IRP dispose d’une fonction d’audit interne adéquate et indépendante des activités auditées."
4
1. Circulaire CPP-2007-2-LIRP 1.2. Principe n°6 : audit interne
"L'OO compétent prend les mesures nécessaires pour que l’IRP dispose d’une fonction d’audit interne adéquate et indépendante des activités auditées."
OO compétent : souvent le CA Adéquate : proportionnalité Indépendante : impartialité et objectivité
Activités : toutes les activités de l'IRP
5
1. Circulaire CPP-2007-2-LIRP 1.2. Principe n°6 : audit interne
Fonction d'évaluation indépendante Examine et évalue le caractère adéquat, l’efficacité et
l’efficience du contrôle interne Assiste les organes opérationnels dans l’exercice effectif
de leurs responsabilités L'élaboration et la mise en place des mesures reste de la
responsabilité de l'OO compétent
6
1. Circulaire CPP-2007-2-LIRP 1.2. Principe n°6 : audit interne
Qui ? Personne interne ou externe à l'IRP
Membre du personnel de l'IRP Membre du personnel d'une entreprise d'affiliation Prestataire de services
Personne physique ou morale Par qui ?
OO compétent Durée de la mission ?
7
1. Circulaire CPP-2007-2-LIRP 1.3. Désignation
Incompatibilités ≠ membre d'un OO, commissaire, actuaire désigné,
compliance officer Conflits d'intérêts
Sous-traitance : autorisée si indépendance garantie Indépendance par rapport aux activités auditées
≠ organisation opérationnelle ≠ élaboration, mise en place ou exécution de mesures
d'organisation ou de contrôle interne
8
1. Circulaire CPP-2007-2-LIRP 1.4. Indépendance
Charte d’audit : établie par l’auditeur interne, approuvée par l’OO compétent, confirmée par le CA
Contenu de la charte : Objectif et portée de la fonction Place dans l'organisation Compétences et responsabilités
Droit d’initiative pour voir les collaborateurs et prendre connaissance de tous documents
Droit d’exprimer et de faire connaître librement ses constatations et appréciations
Droit d’informer le président du CA, le compliance officer, le commissaire agréé ou l’actuaire désigné
9
1. Circulaire CPP-2007-2-LIRP 1.4. Indépendance
Compétence professionnelle Compétence suffisante pour examiner
l’ensemble des domaines d'activité de l’IRP Peut faire appel à des experts externes et à la
sous-traitance mais reste responsable Qualité et quantité des contrôles Conformité aux exigences de contrôle de l’IRP
10
1. Circulaire CPP-2007-2-LIRP 1.5. Compétence
L'auditeur doit disposer de la compétence requise Convention écrite
Auditeur interne Missions et responsabilités Engagement : mettre en œuvre le plan d'audit et les moyens prévus
OO compétent Accord sur l’analyse des risques et sur le plan d'audit Suivi de l’activité d’audit Suivi des recommandations
OO compétent, commissaire agréé, actuaire désigné et CBFA Accès aux documents (programme et documents de travail)
Durée suffisamment longue (résiliation)
11
1. Circulaire CPP-2007-2-LIRP 1.6. Sous-traitance
12
Structure de la présentation1re partie
1. Circulaire CPP-2007-2-LIRP (art. 77 LIRP)
2. Place dans l'organisation
3. Exercice de la mission
4. Attentes de la CBFA
2. Place dans l'organisation2.1.Description générale
IRP
Compliance officerRôle de coordination et
d'initiative
Promotion et contrôle de l'application de la politique d'intégrité
Commissaire agrééContrôleur externe
•Contrôle et rapport sur les comptes annuels,•Contrôle de l'organisation interne
Auditeur interneRôle de contrôleur interne
Contrôle de l'efficience et de l’efficacité du contrôle interne
CA = organe responsable(OO compétent)
Actuaire désignéConseiller et rapporteur
• Avis au CA sur les méthodes technico-actuarielles, sur les provisions techniques, etc.
• Rapport à la CBFA sur les provisions techniques
2. Place dans l'organisation 2.2. Auditeur interne et CA
Collaboration, communication, échange d'informations, contrôle
14
CA Organe responsable de la
bonne exécution des régimes de pension
•Vérifie régulièrement si l'IRP dispose d'un contrôle interne et d'une fonction d'audit interne adéquats
•Confirme la charte d'audit
•Met au moins une fois par an l'audit interne et le contrôle interne à l'ordre du jour de ses réunions
•Suivi
Auditeur interne Rôle de contrôleur interne
•Contrôle l'efficience et l’efficacité du contrôle interne (procédures et processus)
•Établit la charte et le plan d'audit
•Informe le président du CA
•Prend connaissance des procès-verbaux et de tous documents
Collaboration étroite
Contrôle de la fonction
2. Place dans l'organisation 2.2. Auditeur interne et OO compétent
Collaboration, communication, échange d'informations, contrôle
15
OO compétentPrend les mesures nécessaires
pour que l'IRP dispose d'une fonction d'audit adéquate et
indépendante
•Désignation auditeur interne •Approbation charte d'audit, planification, mise à disposition des moyens nécessaires•En cas de sous-traitance : accord et suivi•Droit de regard sur les documents de l'auditeur•Discussion, évaluation, suivi•Rapport annuel au CA
Auditeur interne Rôle de contrôleur interne
•Contrôle l'efficience et l’efficacité de l'ensemble du contrôle interne (procédures et processus)
•Établit la charte et le plan d'audit
•Rédige un rapport (annuel)
•Prend connaissance des procès-verbaux et de tous documents
Collaboration étroite
Contrôle de la fonction
2. Place dans l'organisation 2.3.Auditeur interne et compliance officer
Communication, échange d'informations, collaboration, contrôle
16
Auditeur interneRôle de contrôleur
interne(notamment audit de conformité)
•Contrôle les procédures et processus en matière d'intégrité
•Prend connaissance des procès-verbaux et de tous documents
•Informe le compliance officer
Compliance officer Rôle de coordination et
d'initiative
Examen et amélioration du respect des politiques et règles légales et internesContrôle du respect
des procédures
Collaboration
2. Place dans l'organisation 2.4. Auditeur interne et actuaire désigné
Communication, échange d'informations, collaboration
17
Auditeur interneAuditeur interne
Rôle de contrôleur interne
•Contrôle l'efficience et l’efficacité du contrôle interne (flux d'information)
•Informe l'actuaire
Actuaire désignéConseiller et rapporteur
•Avis sur les méthodes technico-actuarielles
•Rapport sur les provisions techniques
•Droit de regard sur les documents de l'auditeur
Contrôle du respect des processus
opérationnels
Collaboration
2. Place dans l'organisation 2.5.Auditeur interne et commissaire agréé
Communication, échange d'informations, collaboration, contrôle
18
Auditeur interneAuditeur interne Rôle de contrôleur
interne
•Contrôle l'efficience et l’efficacité du contrôle interne
•Informe le commissaire agréé
Commissaire agrééContrôleur externe
•Donne, dans son rapport, son appréciation de l'organisation administrative et comptable et du contrôle interne
•Droit de regard sur les documents de l'auditeur
Contrôle externe
Collaboration
Structure de la présentation3e partie
1. Circulaire CPP-2007-2-LIRP (art. 77 LIRP)
2. Place dans l'organisation
3. Exercice de la mission
4. Attentes de la CBFA
19
3. Exercice de la mission3.1. Portée de la mission
Examen et évaluation de toutes les activités Adéquation du contrôle interne, respect des
responsabilités assignées Respect des politiques, maîtrise des risques Fiabilité de l’information Continuité Fonctionnement des services administratifs Services sous-traités
Statut légal de contrôle
20
3. Exercice de la mission3.2. Planification, exécution
Établissement d’un plan d’audit documenté Analyse des risques Objectifs et portée Plan pluriannuel, cycle d'audit Moyens requis
Examen et évaluation de l’information disponible Documentation des travaux
21
3. Exercice de la mission3.2.Exécution : types d'audit
Audit financier : comptabilité et comptes annuels Audit de conformité/ compliance : procédures et
processus visant le respect de la législation et des politiques internes
Audit opérationnel : qualité et adéquation des systèmes et procédures, des structures d’organisation et des méthodes et moyens utilisés par rapport aux objectifs fixés
Audit de management : fonction de management
22
3. Exercice de la mission3.3. Rapport
Rapport écrit sur constatations et recommandations Pour chaque mission (audité et OO) Annuellement (OO compétent)
Contenu : Constatations et recommandations de l'auditeur avec
indication de leur importance relative Réaction de l'audité Points sur lesquels il existe un consensus
23
3. Exercice de la mission3.4. Suivi
OO compétent Désignation des personnes responsables du suivi des
recommandations Calendrier
Auditeur Vérifie régulièrement si ses recommandations ont été suivies Fait rapport à l'OO compétent
CA Dans le cadre de sa mission de surveillance
24
Structure de la présentation- partie 4
1. Quelles sont les attentes de la CBFA en matière d'audit interne auprès des IRP
2. Cas particulier de la sous-traitance3. Quelques références utiles
25
4.1. Attentes de la CBFA en matière d'audit interne
26
• Audit :"Processus méthodique indépendant documenté permettant d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits"
• Attention particulière pour:• Charte d'audit• Univers d'audit• Evaluation des risques• Plan d'audit
• Principe de proportionnalité
4.1. Attentes de la CBFA en matière d'audit interneQuelques exemples
27
Process RisquesDéfinition de la gouvernance et de la stratégie Stratégie inadéquate
Décalage entre la stratégie définie et sa mise en oeuvreNon respect par un fournisseur de son contrat de prestations
Caractéristiques des plans de pension Non respect des réglementationsCaractéristiques techniques impropres à la viabilité économique de l'IRP
Gestion des données (création / modification des donnéesrelatives aux plans de pension, aux participants, ...)
Introduction incorrecte des caratéristiques des plans de pension dans le systèmeMise à jour des informationsIncohérence des données
Gestion des demandes de transfertsAllocation des frais généraux Traçabilité des opérations
Existence de pièces justificativesGestion financière et administrative Introduction incorrecte des données
Présentation de données inexactesDysfonctionnement des interfaces entre plusieurs fonctionsProblème dans les flux d'informations
Reporting et communication Déficience de pilotageGestion des systèmes IT Intégrité des données n'est pas assurée
Gestion des droits d'accès inappropriéeAbsence de plan de continuitéGestion inadéquate de la sous-traitance IT
... ...
Calcul des cotisations Erreur de calcul
Ges
tion
fond
de
pens
ion
Gestion de l'iIRPCotisati
ons
4.1. Attentes de la CBFA en matière d'audit interneQuelques exemples
28
Process Risques
Définition et implémentation de la stratégie d'investissement (SIP) Stratégie d'investissement inappropriéeGestion des risques Non respect de la stratégie d'investissement dans les
décisions d'investissements et la gestion du portefeuilleManque de liquidités à court terme pour faire face aux obligationsInsuffisance d'actifs
Traitement des transactions Transactions non autoriséesGestion des frais de placementAllocation des résultats de placement
Valorisation
Non disponibilité des informations nécessaires à la gestion des actifsRisque de surestimation d'un élément d'actif pouvant entraîner une moins-value en cas de cession
... ...
Liquidation des prestations Calcul et enregistrement des réserves et prestations Provisions insuffisantes face aux prestations à réglerPaiement des prestations Erreur d'exécution des paiementsFiscalité... ...
Placements
Prestations
Structure de la présentation- partie 4
1. Quelles sont les attentes de la CBFA en matière d'audit interne auprès des IRP
2. Cas particulier de la sous-traitance
3. Quelques références utiles
29
4.2. Sous-traitance
CPP-2007-2:
"La sous-traitance peut porter notamment sur des fonctions administratives et financières (comptabilité, gestion actif-passif, gestion des placements, ...) ou spécialisées (audit interne, compliance, ...)"
"La sous-traitance ne diminue en aucune façon la responsabilité des organes de l'IRP, que ce soit envers les affiliés et bénéficiaires, envers l'entreprise d'affiliation ou envers les autorités de contrôle."
30
4.2. Sous-traitance
Référence au principe n°7 + Audit du process de l'activité sous-traitée, comme si elle était effectuée en interne
Par exemple:
Politique d'outsourcing Existe-t-il une politique relative à la sous-traitance? Cette politique est-elle approuvée par le conseil d'administration? Cette politique définit-elle clairement les critères d'application pour décider de
recourir à la sous-traitance?
Contrôle et évaluation des activités sous-traitées ou confiées à des tiers L'IRP procède-t-elle régulièrement à l'évaluation et au contrôle de la qualité des
activités sous-traitées ?
31
4.2. Sous-traitance
Décision de sous-traiter Comment la décision de sous-traiter ou de recourir à tiers pour la fourniture de
services est-elle prise? La décision de sous-traiter repose-t-elle sur une analyse approfondie?
description des services ou activités à sous-traiter effets attendus de la sous-traitance estimation des coûts et bénéfices évaluation des risques du projet (financiers, opérationnels, légaux et
réputation) Suivi et gestion des risques par l'IRP
32
4.2. Sous-traitance
Choix du sous-traitant ou prestataire de services Eléments examinés ( taille, réputation, coût, ...)? Le choix est-il opéré avec prudence? Continuité de la prestation ? Clauses d'adaptation et de résiliation suffisamment souples pour pouvoir
élaborer des solutions de rechange si nécessaire?
Convention écrite la convention fournit-elle une description claire des responsabilités des deux
parties ? Comment les aspects de continuité y sont-ils abordés ? Caractère révocable de la sous-traitance? Intégrité du contrôle interne et externe
33
4.2. Sous-traitance
Protection Quels sont les dispositifs de protection qui permettent de préserver à tout
moment et de manière efficace la confidentialité et l’intégrité des données relatives aux affiliés et aux bénéficiaires, y compris pendant les échanges avec le commettant et/ou lors des communications externes?
Comment les risques de sécurité, de confidentialité et de réputation sont-ils couverts par le fournisseur de service externe?
34
4.2. Sous-traitance - SAS70 (ou autres certifications)
Dans le chef de l'IRP fournit de l'information pour évaluer
l'environnement de contrôle général de l'IRP
permet d'obtenir une assurance sur la sensibilité du sous-traitant et de ses prestations quant aux notions de contrôle
maîtrise des frais d'audit permet de répondre partiellement aux
préoccupations des 11 principes de la circulaire CPP-2007-2
35
Dans le chef du sous-traitantEliminer ou réduire les audits répétéspermet de bâtir la confiance du sous-traitantpermet au sous-traitant d'avoir ses politiques et procédures de contrôle évaluées et testées par une partie indépendanteAmélioration des processusOutil marketing auprès de certains clients
Structure de la présentation- partie 4
1. Quelles sont les attentes de la CBFA en matière d'audit interne auprès des IRP
2. Cas particulier de la sous-traitance3. Quelques références utiles
36
4. Quelques références utiles
COSO Cobit ERM ...
http://www.theiia.org/ http://www.iiabel.be/ http://www.ifaci.com/ ...
37
4. Quelques références utiles
Attribute Standards - quelques exemples : 1000 – Purpose, Authority, and Responsibility 1100 – Independence and Objectivity 1200 – Proficiency and Due Professional Care 1300 – Quality Assurance and Improvement Program
Performance Standards - quelques exemples : 2000 – Managing the Internal Audit Activity 2100 – Nature of Work 2200 – Engagement Planning 2300 – Performing the Engagement 2400 – Communicating Results 2500 – Monitoring Progress 2600 – Management’s Acceptance of Risks
38
4. Quelques références utiles
Sample Practice Advisories - quelques exemples : Practice Advisory 2100-2: Information Security Practice Advisory 2130-1: Role of the Internal Audit Activity and Internal Auditor
in the Ethical Culture of an Organization Practice Advisory 2120.A4-1: Control Criteria Practice Advisory 2310-1: Identifying Information Practice Advisory 2320-1: Analysis and Evaluation Practice Advisory 2330-1: Recording Information
39