Allocution de la surintendante Julie Dickson – Conférence de l’Institut des Auditeurs Internes, section de Toronto, 31 mai 2013

Extrait

…les auditeurs internes, les comités d’audit et les cabinets d’audit devraient saluer l’attention accordée aux questions d’audit, puisque c’est une occasion pour eux de démontrer clairement leur (les auditeurs internes) contribution commune à la gestion des risques.

C’était avec plaisir que j’ai accepté votre invitation à prendre la parole aujourd’hui, car, de toute évidence, le rôle de l’audit, qu’il s’agisse d’audit interne, d’audit externe ou du comité d’audit du conseil d’administration, est à nouveau sous les feux de la rampe. L’audit avait tenu la vedette dans la foulée de la chute d’Enron en 2001, et aujourd’hui, quelque douze années après, il reprend du service.   

Aucun incident en particulier n’a suscité ce retour en scène qui est plutôt attribuable à divers facteurs. Les organismes de réglementation des cabinets d’audit, comme le Conseil canadien sur la reddition des comptes, le CCRC, et ses homologues partout dans le monde, qui ont surtout été établis en réaction à Enron, sont en place et fonctionnent. Et, comme cela se produit souvent quand quelqu’un surveille vos agissements, ces organismes constatent qu’il y a des problèmes dans les audits externes sur lesquels il faudrait se pencher, notamment l’esprit critique insuffisant dont font preuve les auditeurs externes.   

En 2008, la crise financière qui a ébranlé le monde entier nous a incités à examiner sérieusement tous les aspects de la réglementation des finances et de la stabilité financière. Tandis que toutes les banques et tous les organismes de réglementation ciblaient au départ les règles régissant les fonds propres et les liquidités ainsi que la fonction de la gestion des risques et le rôle de l’agent principal de gestion des risques et des administrateurs, c’est maintenant l’audit qui est en vedette.   

Les personnes qui participent aux audits internes, aux audits externes et aux comités d’audit doivent être conscientes de ce changement de perspective, dont l’ampleur se manifeste dans la foule de documents qui ont été publiés à ce sujet au cours des six derniers mois. Par exemple :

  • Le document du Conseil de stabilité financière intitulé Thematic Review on Risk Governance (une comparaison par les pairs des pratiques appliquées à l’échelle internationale spécialement en ce qui a trait aux banques d’importance systémique). Ce rapport paru en février 2013 portait sur l’audit interne et d’autres aspects de la gouvernance des risques. Note de bas de page 1
  • Le récent ouvrage conjoint du CCRC et de l’Institut Canadien des Comptables Agréés (ICCA) sur les comités d’audit et la manière dont ils peuvent contribuer à la qualité de l’audit externe. Note de bas de page 2
  • Le rapport public de l’International Forum of Independent Audit Regulators (IFIAR) au sujet des constatations issues de l’inspection des audits. Note de bas de page 3
  • Le document du Comité de Bâle sur le contrôle bancaire (CBCB) sur les audits externes à propos de la nécessité de resserrer les liens entre les organismes de contrôle des banques et les auditeurs externes et de renforcer les comités d’audit. Note de bas de page 4

Sans parler des nombreuses initiatives européennes dont certaines ont été mal accueillies au Canada comme l’idée qu’un cabinet d’audit externe doit être retiré d’un compte au moins tous les cinq ans.  

Je discuterai aujourd’hui de certains changements qui se sont déjà produits ou qui sont à l’étude et qui méritent qu’on s’y attarde.        

Tendances en matière d’audit interne

Je vais commencer par l’audit interne.   

Le document du CSF sur la gouvernance des risques que je viens tout juste de mentionner portait sur le cadre utilisé par le conseil d’administration et la direction des banques mondiales pour articuler la stratégie de l’entreprise, sur la façon dont les administrateurs et les cadres définissent la propension à prendre des risques et les seuils de risque et en contrôlent le respect et sur la manière dont ils cernent, mesurent et gèrent les risques. L’audit interne est un volet important du rapport.

Dans le document en question, il est indiqué que depuis le début de la crise, bien des banques mondiales ont apporté des modifications pour renforcer la fonction d’audit interne. Elles ont notamment augmenté tant l’effectif que les compétences de l’équipe de la fonction d’audit interne et en ont diversifié les responsabilités, y compris participer en tant qu’observateurs aux réunions du comité de gestion des risques et aux processus décisionnels. En outre, depuis la crise, de nombreux organismes de surveillance ont élevé leurs attentes à l’égard de la fonction d’audit interne pour ajouter des évaluations qualitatives des politiques, des procédures, des seuils de risque et des expositions au risque.   

Le rapport signale un aspect qui pourrait être amélioré, soit l’accès des dirigeants principaux de l’audit aux administrateurs autres que ceux siégeant au comité d’audit. Cela est conforme aux préoccupations soulevées par les auditeurs externes au sujet de l’impossibilité d’accéder au comité de gestion des risques et aux processus décisionnels en dehors du comité d’audit. Le BSIF en convient, les auditeurs internes et les auditeurs externes devraient être autorisés au-delà des limites du comité d’audit.

Dans son rapport sur la gouvernance des risques, le CSF a formulé de grandes recommandations, notamment de présenter périodiquement au conseil d’administration une évaluation indépendante de la conception et de l’efficacité du cadre de gouvernance des risques. Même si la fonction d’audit interne ou des tiers peuvent rendre compte de cet aspect, dans l’ensemble, en ce moment, la fonction d’audit ne donne habituellement pas une opinion globale au sujet du cadre de gouvernance des risques (et les tiers non plus).

Les nouvelles attentes à l’égard de la fonction d’audit interne se manifestent également dans les consignes émises par les organismes mondiaux de réglementation du secteur bancaire. Si on compare les consignes diffusées par le Comité de Bâle sur le contrôle bancaire (CBCB) en 2012 et celles émises en 2001, on peut constater un net changement. En 2001, pour le CBCB, la fonction d’audit interne avait pour rôle d’évaluer la mesure dans laquelle la banque se conformait aux politiques et aux contrôles des risques, et en 2012, il lui attribuait la responsabilité d’effectuer une évaluation indépendante des systèmes de gouvernance et de gestion des risques sous l’angle des risques courants et des risques futurs potentiels.  

Dans les consignes de 2012, la fonction d’audit interne devait notamment (dans sa portée) évaluer la propension à prendre des risques, les décisions prises par l’équipe de la gestion des risques et la pertinence des systèmes de gestion des risques pour ce qui est de cerner, de mesurer, d’évaluer et de contrôler tous les risques découlant des activités de la banque et d’y réagir et d’en rendre compte. En outre, si une fonction de gestion des risques n’a pas avisé le conseil d’administration qu’il y a une divergence d’opinion importante entre la haute direction et la fonction de gestion des risques en question au sujet du niveau d’un risque qui pèse sur la banque, c’est le chef de l’audit interne qui devrait le faire.

Le document mentionne également que de nombreux cadres de gestion de la propension à prendre des risques en étant aux premières étapes de leur évolution,  le rôle et les responsabilités de la fonction d’audit interne en ce qui concerne ce cadre ne sont pas encore complètement définis et en place. Il semble toutefois que, dans l’ensemble, certaines équipes d’audit interne donnent leur opinion au sujet de la pertinence notamment des seuils établis dans le cadre de gestion de la propension à prendre des risques.  

Il va sans dire que la tendance consiste à obliger la fonction d’audit interne à en faire plus qu’avant (sans toutefois aller jusqu’à lui demander de concevoir les contrôles et de les mettre en œuvre) – et, selon moi, cette tendance est la bonne.   

Même si le rôle de la fonction d’audit interne évolue et devient plus exigeant, en mettant l’accent sur les processus, on aidera les auditeurs internes à s’acquitter de leurs tâches. À cet égard, il y a beaucoup de discussions pour renforcer les comités d’audit et cibler les organismes de surveillance. Nous avons constaté la même chose quand l’accent était mis sur la fonction de gestion des risques.   

Avant la crise de 2008, le rôle et le statut des agents principaux de gestion des risques (APGR) n’étaient pas un grand sujet de conversation des administrateurs et des présidents et chefs de la direction. Or, c’est le cas maintenant et cela a eu un effet très positif sur le rôle de l’APGR. En effet, en règle générale, les APGR relèvent maintenant, au plan administratif, du président et chef de la direction et ont directement accès au comité de gestion des risques du conseil d’administration. Des comités de gestion des risques distincts (contrairement à des comités combinant gestion des risques et audit) sont maintenant la norme (et en fait, c’est aujourd’hui obligatoire dans les banques et les sociétés d’assurances complexes au Canada).    

Le BSIF a même exigé que la fonction de gestion des risques soit dissociée de la gestion opérationnelle, en particulier dans les institutions financières qui sont grandes et complexes. Autrement dit, dans une grande banque complexe, la fonction de gestion des risques jouit presque d’un degré élevé d’indépendance et d’objectivité qui se rapproche beaucoup de celui de la fonction d’audit interne. Nous demandons également que des analyses comparatives périodiques sur la mesure dans laquelle les institutions s’en tirent par rapport aux pratiques exemplaires leur soient remises. Dans les grandes institutions complexes, de plus en plus, la norme, ce sont les couches de protection et ce genre d’analyse comparative peut s’avérer utile pour garantir que ces couches sont efficientes et efficaces.  

Même si les auditeurs internes ont été nettement associés pendant longtemps au comité d’audit, je dirais que le BSIF et le président et chef de la direction et les administrateurs discutent moins du statut du chef de l’audit interne que de celui de l’agent principal de la gestion des risques. Au fur et à mesure que les feux de la rampe se tourneront vers les questions d’audit, je pense qu’il y aura un revirement de situation. Tel qu’indiqué dans les consignes du CBCB de 2012, les auditeurs internes ont été en mesure d’exercer un impact au plus haut niveau de l’organisation. Puisque les attentes à l’égard de l’audit interne augmentent, le calibre du chef de l’audit interne doit suivre, surtout dans les institutions les plus grandes et les plus complexes. La ligne directrice du BSIF intitulée Gouvernance d’entreprise Note de bas de page 5 insiste aussi sur l’interface entre le conseil d’administration et toutes les fonctions de supervision, dont celle de l’audit interne. Il convient de souligner que le BSIF consacre dans sa ligne directrice plus de pages à l’APGR qu’au chef de l’audit interne, mais qu’il ne faudrait pas associer cela au fait qu’il accordera moins d’importance au chef de l’audit interne dans l’avenir.

Tendances en matière de comité d’audit  

Passons maintenant au comité d’audit.   

Les comités d’audit jouent un rôle clé pour garantir que l’équipe de l’audit interne est efficace et contribuer à la qualité de l’audit externe. Dernièrement, le CCRC et l’ICCA ont publié conjointement un document de travail intitulé « Enhancing Audit Quality: the Role of the Audit Committee in External Auditor Oversight ». Le document donne aux comités d’audit des précisions pour les aider à s’acquitter des responsabilités qui leur incombent et des consignes au sujet des activités qui rehaussent la qualité des audits.

Mes collègues du BSIF et moi-même apprécions beaucoup le document de travail qui présente une liste de signes pouvant indiquer que la culture d’intégrité de l’entreprise auditée pourrait poser problème. Mentionnons notamment les cas où les communications avec le comité d’audit sont formelles et scénarisées avec soin, où la direction adopte une attitude indûment défensive à l’égard des points soulevés par les auditeurs et où la direction tente de contrôler la relation avec les auditeurs externes. Il y a également une liste des facteurs dont le comité d’audit devrait tenir compte au moment d’entreprendre l’évaluation annuelle des auditeurs externes, par exemple, la qualité des propos et observations faits par les auditeurs au sujet des états financiers et des contrôles internes. Il y est aussi question de déterminer si les auditeurs ont fait preuve d’esprit critique, par exemple, la façon dont les désaccords entre les auditeurs et les cadres ont été réglés.  

Tendances en matière d’audit externe  

L’audit externe n’est pas un aspect que le BSIF supervise. Toutefois, nous rencontrons périodiquement le CCRC pour discuter des problèmes et nous accordons également une grande importance aux communications entre l’organisme de surveillance et les auditeurs externes. Ainsi, le BSIF a participé à la préparation d’un récent document du CBCB intitulé « External Audits of Banks », que les intervenants ont l’occasion de commenter jusqu’au 21 juin 2013. Ce document porte sur le rôle du comité d’audit compte tenu de l’influence qu’il exerce sur la qualité de l’audit externe. Diverses questions y sont abordées, notamment la nécessité pour les auditeurs externes de faire preuve d’esprit critique (une lacune que le CCRC a relevée dans de nombreux rapports d’inspection). Il y est aussi question de la nécessité pour le comité d’audit d’aider les auditeurs externes à assister aux réunions des autres comités qu’ils jugent pertinentes pour leur travail. Bien entendu, le lien entre les organismes de surveillance des institutions financières et les auditeurs externes et les organismes de réglementation des audits est abordé, puisqu’une communication fructueuse est garante de la qualité de l’audit et de l’efficacité de la surveillance des banques.

De même, les organismes mondiaux de réglementation des entreprises d’audit externe (le CCRC au Canada et ses homologues dans les autres pays) et l’IFIAR, le porte-parole de tous les organismes mondiaux de réglementation des audits, ont diffusé leur premier sondage mondial au sujet des constatations issues de l’inspection des audits à la fin de 2012. Il porte sur les constatations communes entre les diverses instances et surtout sur les constatations relatives aux six plus grands réseaux internationaux d’audit. L’inspection des audits des grandes institutions financières mondiales a révélé que les constatations communes étaient plus nombreuses au chapitre de l’essai des contrôles internes, de l’évaluation des investissements et des valeurs mobilières et de l’audit des provisions pour pertes sur prêts et prêts douteux.   

L’IFIAR a aussi indiqué que les constatations à propos de quatre aspects, soit l’esprit critique, les audits collectifs, la comptabilisation des produits et le rôle de l’examinateur du contrôle de la qualité des missions, ont fait l’objet d’une discussion détaillée avec les six plus grands cabinets internationaux d’audit. Pour de nombreux répondants du sondage, le manque d’esprit critique des auditeurs à l’égard des missions d’audit constituait un problème de rendement significatif.  

Étant donné que le BSIF a recours aux états financiers audités des institutions financières et que la rigueur des audits est également importante pour garantir la stabilité financière, les travaux de l’IFIAR et les cabinets d’audit étudiant les constatations des organismes de réglementation des audits suscitent grandement l’intérêt du BSIF et, dans ce dossier, du Conseil de stabilité financière. Les auditeurs internes voudront peut-être aussi se pencher sur les genres de lacunes cernées par l’IFIAR, dans la mesure où des équipes d’audit interne pourraient aussi présenter certaines de ces lacunes.  

Conclusion

Pour résumer, les auditeurs internes, les comités d’audit et les cabinets d’audit devraient saluer l’attention accordée aux questions d’audit, puisque c’est une occasion pour eux de démontrer clairement leur contribution commune à la gestion des risques.

En fait, je pense que les fonctions de gestion des risques des banques ont bien profité de l’importance qui leur a été accordée après la crise et qu’il peut en être de même ici. Il en résultera une plus grande résilience et une plus grande stabilité financières.  

Je vous remercie de m’avoir invitée à prendre la parole devant vous aujourd’hui.

Notes de bas de page

Note de bas de page 1

« Thematic Review on Risk Governance Peer Review Report », (CSF, Bâle), février 2013. Le rapport est affiché au lien suivant : http://www.financialstabilityboard.org/publications/r_130212.pdf

Retour à la référence de la note de bas de page 1 referrer

Note de bas de page 2

« Enhancing Audit Quality: The Role of the Audit Committee in External Auditor Oversight » (CCRC et ICCA), janvier 2013. Ce document de travail est affiché au lien suivant : http://www.cica.ca/enhancing-audit-quality-canadian-perspective/item71922.pdf

Retour à la référence de la note de bas de page 2 referrer

Note de bas de page 3

International Forum of Independent Audit Regulators, « 2012 Summary Report of Inspection Findings », décembre 2012. Le rapport est affiché au lien suivant : https://www.ifiar.org/IFIAR/media/Documents/General/IFIAR-2012-Summary-Report-of-Members-Inspection-Findings-18-Dec-12-(2).pdf

Retour à la référence de la note de bas de page 3 referrer

Note de bas de page 4

« External audits of banks - consultative document », (CBCB, Bâle), mars 2013. Le document de consultation se trouve au lien que voici : http://www.bis.org/publ/bcbs244.htm

Retour à la référence de la note de bas de page 4 referrer

Note de bas de page 5

Ligne directrice du BSIF, « Gouvernance d’entreprise », janvier 2013. La ligne directrice est affichée au lien suivant : http://www.osfi-bsif.gc.ca/app/DocRepository/1/fra/directrices/saines/directrices/CG_Guideline_f.pdf

Retour à la référence de la note de bas de page 5 referrer