L'impact de la pandémie du coronavirus sur la gestion des contrôles internes

La pandémie du coronavirus COVID-19 a perturbé la plupart des domaines et des fonctions des
entreprises, dont la gestion des contrôles internes. Toutefois, savoir adopter le bon dosage en
termes de gestion des risques, de définition du champ d'application, de tests et de technologie
peut aider les équipes d'audit à faire face à ces perturbations.

La crise liée au coronavirus COVID-19 a bouleversé de larges pans de la vie quotidienne et du

monde économique, notamment la manière dont les organisations évaluent et testent les
contrôles internes.
Étant donné que les processus métier ont dû être modifiés en réponse à la pandémie du
coronavirus COVID-19 et que des secteurs d'activité auparavant stables connaissent désormais
une certaine volatilité, les évaluations des risques doivent maintenant être plus étendues. Dans
le même temps, les auditeurs peuvent rencontrer des difficultés pour effectuer des évaluations
et des tests en raison du télétravail, des problèmes technologiques et des réductions budgétaires
rapides et inattendues.
Voilà un grand nombre de questions auxquelles il faut apporter des réponses alors que les
équipes d'audit vont de l'avant avec l'évaluation, la documentation et les tests des contrôles
internes. Comment relever ces défis ?

Un périmètre de l'évaluation des risques radicalement différent

L'impact de la pandémie de coronavirus COVID-19 sur l'économie implique que de nombreux
risques ou opérations commerciales qui, auparavant, n'exigeaient pas d'attention particulière
doivent désormais être regardés de près Cette année, le périmètre des évaluations du risque sera
radicalement différent.
Par exemple, les commerçants pourraient voir une avalanche d'ajustements apportés à leurs
baux de location. Les éditeurs pourraient voir plonger leurs ventes en librairies physiques alors
que les ventes directes en ligne s'envolent. Les entreprises en contact direct avec le client
peuvent être amenées - peut-être pour la première fois - à déprécier des actifs incorporels ou
leur goodwill.
Crédit-bail, constatation du chiffre d'affaires, baisse de valeur : ces problématiques ont toujours
été prioritaires dans le cadre des tests de contrôle interne et des mesures correctives. La
pandémie du coronavirus COVID-19 modifie cependant les contrôles internes qui deviennent
plus importants pour ces questions. L'importance des domaines d'activité habituellement calmes
peut soudainement prendre de l'ampleur ; les petites transactions rares peuvent devenir plus
importantes et plus urgentes.
Solution : une communication accrue
Avant que la pandémie ne vienne perturber la vie dans le monde entier, les équipes d'audit ont
envoyé des questionnaires d'évaluation des risques à différents secteurs de l'entreprise selon
l'historique des risques organisationnels des années précédentes. Avec autant d'incertitude,
cette stratégie ne fonctionnera plus forcément aujourd'hui.
Les équipes d'audit doivent se concerter avec les responsables dans davantage de domaines dans
l'entreprise, poser des questions et entendre les préoccupations des collaborateurs. La
communication est essentielle. Par exemple, concernant les risques opérationnels, les équipes
d'audit doivent s'entretenir avec le conseil d'administration et la direction au sujet des objectifs
commerciaux les plus urgents. Ensuite, elles peuvent procéder à une nouvelle évaluation des
risques qui lie ces objectifs à la réalité du terrain du reste de l'entreprise.
En matière d'information financière, les équipes d'audit peuvent s'inspirer des autorités de
régulation des marchés des valeurs mobilières ou de l'audit ayant publié des listes des sujets de
préoccupation prioritaires pour l'information financière, qu'elles vont recouper avec la business
unit concernée pour s'assurer qu'elles sont bien alignées.
« Quelqu'un doit « s'approprier » le programme de lutte contre la fraude. Cela pourrait impliquer
la création d'un nouveau rôle ou l'attribution de responsabilités aux business units existantes. »

Risque de fraude nouveau et accru

La pandémie de COVID-19 a amplifié certains risques de fraude et en a introduit de nouveaux.
Par exemple, les escroqueries par courrier électronique demandant aux employés de transférer
de l'argent à l'étranger ne datent pas d'aujourd'hui, mais comme tout le monde travaille depuis
chez soi, les fraudeurs ont plus de possibilités d'imaginer des courriers électroniques provenant
de la direction.
Ce qui complique encore davantage la situation, c'est que les employés ont moins de contact
avec les cadres supérieurs pour vérifier les demandes de virement. Ainsi, les politiques et les
contrôles destinés à confirmer les virements électroniques deviendront plus importants.
Ou bien prenez l'exemple d'un fabricant qui décide de commencer à fabriquer des équipements
de protection individuelle (EPI) pour les vendre au gouvernement. L'EPI ayant désormais une
grande valeur, l'entreprise aurait besoin de meilleurs contrôles des stocks pour s'assurer que
l'EPI n'est pas détourné de l'arrière du camion de livraison. En outre, en tant que sous-traitant du
gouvernement, l'entreprise serait désormais également soumise à des lois anti-fraude telles que
la False Claims Act (Loi Lincoln), les risques de conformité réglementaire sont donc en
augmentation.
Solution : revenir en arrière et tout réévaluer
L'audit interne doit repenser son évaluation des risques de fraude. Tous les processus
susceptibles d'être exposés à la fraude (même à un faible risque) doivent être examinés. Posez-
vous la question suivante : « Comment ce processus a-t-il changé à cause de la crise du
coronavirus ? Le risque est-il plus grand parce que le contrôle de la fraude est plus faible ou
absent ? Y a-t-il un nouveau risque parce que nous fournissons un nouveau produit ou service ? »
En fonction des résultats de cette évaluation, l'équipe d'audit devra faire pression pour que de
nouveaux contrôles soient mis en place pour faire face aux nouveaux risques. Par exemple, des
limites plus strictes pour les virements électroniques ou des vérifications de la traçabilité pour
l'inventaire physique. L'équipe d'audit doit également consulter les cadres de lutte contre la
fraude et les bibliothèques des contrôles pour voir ce qui est raisonnable au regard des risques
encourus par l'organisation.
Avant tout, quelqu'un doit « s'approprier » le programme de lutte contre la fraude. Cela pourrait
impliquer la création d'un nouveau rôle ou l'attribution de responsabilités aux business units
existantes.

L'évolution vers une plus grande collaboration avec les entreprises et davantage d'innovation
technologique a pris du temps.

Des procédures de test souples

Au bas de chaque test de contrôle interne ou de chaque mesure corrective, une personne réelle
doit être présente, soit pour faire le travail, soit pour s'assurer que la technologie permet de faire
le travail. Or, si des employés sont mis à pied, licenciés ou malades, leurs absences pourraient
faire capoter vos tests et vos mesures correctives à des moments critiques. Il est donc essentiel
de pouvoir suivre les changements de personnel et de modifier les plans de remédiation si
nécessaire.
Solution : s'appuyer sur la technologie
La meilleure réponse à cette question est que l'équipe d'audit utilise une technologie qui attribue
la responsabilité des tests ou de la gestion des contrôles à des personnes spécifiques.
Cela dit, cette idée fonctionne mieux lorsque ce système de contrôle interne est également lié à
la fonction RH. Ainsi, si le propriétaire d'un contrôle n'est plus présent, l'équipe d'audit en est
rapidement avertie et peut modifier les procédures de test ou de remédiation.
 Sans ce niveau d'intégration, les équipes d'audit auraient plutôt besoin d'une fonction d'alerte
pour savoir quand les tests ou les mesures correctives ne sont pas entrepris dans les délais
prévus afin que l'équipe puisse en demander les causes. Ensuite, comme mentionné plus haut,
vous auriez encore besoin de flexibilité dans la planification pour développer de nouvelles
procédures et les transmettre à de nouveaux propriétaires de contrôle.

Changer pour mieux

L'ironie ici est que malgré tous les bouleversements que la crise du coronavirus apporte à votre
programme de contrôles internes, la voie à suivre est susceptible d'accélérer deux tendances que
les équipes d'audit connaissent depuis un certain temps déjà.
1. Collaboration accrue avec les autres domaines d'activité
Les équipes d'audit collaboreront encore plus avec le reste de l'organisation. Ce sont elles qui
improvisent de nouveaux processus métier sur place ou qui sont témoins des tendances
économiques plus larges qui affecteront l'entreprise. Que les questions portent sur la génération
des rapports financiers, sur la stabilité de la supply chain ou même simplement sur la manière de
réaménager les bureaux pour qu'ils soient conformes aux protocoles sanitaires, l'urgence d'une
communication claire, rapide et efficace avec les équipes de la première ou de la deuxième ligne
de défense est montée en flèche.
2. Plus grande utilisation de la technologie
Les équipes d'audit adopteront l'innovation et la technologie dans leurs évaluations, tests et
mesures de remédiation des contrôles internes. La crise du coronavirus COVID-19 oblige ces
équipes à improviser, comme tout le monde. La communication avec les autres, la collecte de
preuves et la documentation des mesures correctives nécessiteront une réflexion nouvelle et de
solides capacités technologiques. (Mon idée préférée : le contrôle de l'inventaire physique par un
drone. Côté pratique : le recours accru à l'automatisation des processus robotisés pour
automatiser les tests ou la surveillance, ce qui peut s'avérer inestimable en période de mise à
pied ou de licenciement.)
Avant tout, les responsables de l'audit devront saisir les opportunités qui se présentent.
L'évolution vers une plus grande collaboration avec les entreprises et davantage d'innovation
technologique a pris du temps. Aujourd'hui, la crise sanitaire oblige les organisations à se
pencher sur plusieurs de ces questions en même temps :
 Comment l'audit peut-il nous aider ?

 Qui devrait repenser nos processus ?

 Comment assurer l'évaluation des risques ?

la route sera cahoteuse et personne n'a une idée précise de ce que l'avenir nous réserve, mais
d'un autre côté, plus que jamais, l'audit interne pourrait finir par prouver sa valeur à
l'organisation.