Tendances en audit pour 2016 - KPMG | US · comité d’audit, puisque ce n’est pas toujours approprié de le faire et que ses membres sont moins susceptibles d’avoir les connaissances

Tendances en audit pour 2016De la technologie innovante à la réglementation complexe, en passant par les risques géopolitiques, une vague croissante de tendances perturbatrices entraîne la nécessité d’apporter des changements substantiels au rôle global des comités d'audit.

kpmg.ca/audit

La situation n’a jamais été aussi ardue pour les comités d’audit. Cybersécurité et perturbations technologiques en général, volatilité de l’économie, particulièrement dans le secteur pétrolier et gazier, accroissement des risques liés à la politique et à la réglementation : les conseils d’administration font face à une liste grandissante d’enjeux en matière de risque, et les comités d’audit sont de plus en plus appelés à accroître leur surveillance des risques, financiers ou autres.

Cette vague de changements sans précédent place les organisations dans un état de transition qui semble perpétuel, et les comités d’audit doivent composer avec un rôle en constante évolution qui exige plus de concentration, de temps et de réflexion que jamais. Comment les comités d’audit peuvent-ils exercer une surveillance efficace des risques dans ce genre de contexte?

Manifestement, il n’existe pas de réponse unique à cette question. Dans notre rapport Tendances en audit pour 2016 – Cibler la transformation, les perturbations sur plusieurs fronts mettent les comités d’audit sur un pied d’alerte. Nous y soutenons que la clé consiste à poser les bonnes questions – les questions difficiles que le contexte actuel du risque et de l’audit exige – et à les formuler de manière non seulement à susciter la réflexion, mais aussi à proposer des solutions. Par exemple, à partir d’un éventail de risques liés à la cybersécurité, le rapport se penche d’abord sur les principaux risques associés aux perturbations technologiques, pour ensuite aborder les conséquences néfastes que pourraient avoir les innovations des compétiteurs sur votre modèle d’affaires, et se termine en expliquant que les activités d’analyse de données peuvent involontairement exposer les données des clients de façon non autorisée.

Toujours sur le thème des perturbations, le rapport présente les façons dont la volatilité de l’économie, les risques liés aux marchés émergents et la géopolitique entraînent une gamme de risques politiques et économiques pouvant avoir une incidence sur la façon dont les sociétés mettent au point leur stratégie financière, et laisse entrevoir la nécessité de réévaluer les activités, particulièrement dans les pays plus à risque.

Le rapport examine ensuite les tendances internationales en matière de présentation de l’information, y compris les informations intégrées et stratégiques, les rapports d’audit élargis et les informations plus détaillées sur l’exploitation et la performance. Finalement, le rapport traite de la complexité accrue de la réglementation qui couvre les nouvelles normes et règles en évolution, leur incidence sur les comités d’audit canadiens et les conséquences de cet environnement en transformation sur la compréhension des comités d’audit quant à ce qui constitue un audit de qualité.

L’objectif du rapport est d’amener les gens à revoir leur raisonnement et à déterminer dans quelle mesure le mandat des comités d’audit pourrait devoir changer ou s’élargir. Bien que les comités d’audit doivent évidemment toujours demeurer indépendants par rapport à la direction, ils peuvent tout de même élargir leur rôle en posant les questions difficiles qui doivent être soulevées et en s’assurant que leurs attentes en matière de surveillance sont bien comprises. En effet, l’Institut des administrateurs de sociétés a étendu ses activités dans ce domaine, et il a travaillé en collaboration avec CPA Canada et le Conseil canadien sur la reddition de comptes afin de clarifier un certain nombre de questions visant les comités d’audit – par exemple, en soumettant des observations formulées par des administrateurs sur la question de savoir si les avantages de l’initiative européenne actuelle sur l’amélioration du rapport de l’auditeur l’emporteraient sur ses coûts, dans l’éventualité de son adoption au Canada.

Ce type de collaboration entre parties prenantes est une étape importante, alors que les comités d’audit cherchent activement à définir et à assumer leurs responsabilités. Nous espérons que ce rapport aidera les comités d’audit et les conseils d’administration à s’y retrouver dans ce contexte de risques et d’audit difficile et en constante évolution.

Les temps difficiles exigent des réflexions difficiles

Avant-proposTendances en audit pour 2016 | 1

Kristy Carscallen Associée directrice canadienne, Audit, KPMG au Canada

Stan Magidson Président et chef de la direction, Institut des administrateurs de sociétés

© 2016 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Tendances en audit pour 2016 | 2

Complexité de la réglementation

« L’incidence de la réglementation financière – qu’elle vise les valeurs mobilières, les institutions financières ou les auditeurs – est et restera considérable. Toutefois, à leurs propres risques, les comités d’audit ne tiennent pas compte des conséquences potentielles des nouvelles règles publiées par les autres autorités de réglementation. Par exemple, tous ceux qui œuvrent dans l’industrie du pétrole, des télécommunications, de la télévision ou du taxi pourraient vous confirmer que la quantité de règles auxquelles ils sont assujettis augmente de façon généralisée. De plus, la surveillance des risques liés à la conformité – quelle que soit l’autorité de réglementation dont ils découlent – revient souvent au comité d’audit. »

Paul Weiss, administrateur


Ingénierie sociale« En plus de s’assurer que des politiques d’utilisation acceptable sont en place, il importe de rappeler sans cesse aux employés le risque constant lié à l’ingénierie sociale et les types d’attaques dont ils peuvent être victimes. Une vigilance constante est essentielle. Plus particulièrement, le service des Ressources humaines doit dire au personnel de protéger leurs mots de passe, d’ignorer les courriels d’inconnus et d’éviter d’ouvrir des fichiers qu’ils ne reconnaissent pas. Les comités d’audit, dans le cadre de leur surveillance des risques liés à l’ingénierie sociale, devraient d’abord se questionner sur la nature exacte de ces risques, puis se renseigner sur les codes de déontologie existants, les types de formations offertes aux employés et les stratégies qu’ils devraient mettre en œuvre pour régler le problème. »

John Clappison, administrateur

Cibler la transformation

Commentaires d’administrateurs

Table des matièresTendances en audit pour 2016 | 3


Complexité croissante du cadre réglementaire

6 Risque lié à la cybersécurité

Protection des données

Ingénierie sociale

Audit de tiers

7 Cyberassurance

Mesures correctives

7 Risque lié au modèle d’affaires

Risque lié à la confidentialité de l’analyse de données

Risque lié aux projets technologiques

12 Normes et questions réglementaires émergentes

IFRS 9, Instruments financiers

IFRS 15, Produits des activités ordinaires tirés de contrats conclus avec des clients

IFRS 16, Contrats de location

IFRS 4, Contrats d’assurance

Mesures visant à assurer l’adhésion des tiers aux mandats de réglementation

Lois contre le blanchiment d’argent

Loi relative à la protection des renseignements personnels

13 Rôle du comité d’audit dans l’amélioration de la qualité de l’audit

Incidence des règlements à l’échelle mondiale sur les comités d’audit canadiens

1

Risques politiques et économiques

Évolution de la présentation de l’information financière par les sociétés

14 Les perturbations entraînent des transformations – il est maintenant temps de les gérer

15 Que peuvent faire les comités d’audit pour relever les défis les plus pressants?

Conclusion

Tendances en audit

3

Risques technologiques

8 Volatilité de l’économie

Risques liés aux marchés émergents

Géopolitique

9 Pleins feux sur les secteurs d’activité en crise et les priorités des comités d’audit

2

10 Présentation d’informations intégrées et stratégiques

11 Rapports d’audit élargis

Présentation des indicateurs d’exploitation et d’autres indicateurs de performance

4

Risque lié au modèle d’affaires

« Quel que soit votre secteur d’activité, si vous ne vous adaptez pas, vous prendrez du retard. Vous devez comprendre les défis actuels en matière d’innovation et adapter votre modèle d’affaires en conséquence. Cependant, pour gérer les risques liés à un modèle d’affaires, vous devez savoir qui dirige : la direction, le conseil d’administration, le comité d’audit? C’est habituellement le conseil d’administration qui décide du contenu du modèle d’affaires, mais le comité d’audit, grâce à sa compréhension des facteurs financiers, devrait être en mesure de faire des suggestions et des demandes afin de veiller à ce que les bonnes questions soient posées. Ensemble, ils peuvent aider à s’assurer que le modèle d’affaires demeure pertinent et qu’il reflète les tendances liées au secteur d’activité et aux technologies. »

Harry Ort, administrateur



Cyberrisque« Toute la question du cyberrisque

et de la cybersécurité devient sans aucun doute une responsabilité du conseil d’administration pour tenter d’attirer l’expertise nécessaire. Toutefois, un défi se pose lorsqu’une trop grande partie de ce mandat est transféré au comité d’audit, puisque ce n’est pas toujours approprié de le faire et que ses membres sont moins susceptibles d’avoir les connaissances requises à cet égard. Le mandat du comité d’audit doit être clairement établi. Des questions telles que les perturbations, le numérique et l’analyse de données peuvent ne pas cadrer dans un comité déjà formé, auquel cas le conseil d’administration pourrait vouloir constituer un sous-comité approprié chargé des questions technologiques ou un comité consultatif sur la technologie. »

Deborah Rosati, administratrice



Les perturbations sur plusieurs fronts mettent les comités d’audit sur un pied d’alerteIl s’agit de l’un des sujets les plus couramment abordés à l’heure actuelle dans le monde des affaires.


Pratiquement aucune conversation stratégique n’a lieu sans qu’une personne ne fasse part de la nécessité d’être l’élément perturbateur ou de répondre rapidement aux tendances perturbatrices du marché et des secteurs d’activité. Ces tendances sont généralement liées à la technologie, d’une manière ou d’une autre. Toutefois, nous ne pensons pas habituellement au concept de perturbation lorsque nous discutons des comités d’audit, même lorsque nous abordons l’évolution de leur rôle et de leurs responsabilités.

Cependant, le concept de perturbation s’est élargi et n’est plus seulement associé à l’interaction entre la technologie, les affaires et les forces du marché. Il s’applique désormais à d’autres domaines et à d’autres tendances plus larges. Il est possible, par exemple, de parler de l’incidence perturbatrice des tendances démographiques plutôt que de mentionner uniquement les tendances liées à la technologie. Dans cette optique, un concept global de perturbation offre un excellent cadre pour les discussions sur les nombreux changements et défis auxquels font face les comités d’audit à l’heure actuelle. Il ne fait d’ailleurs aucun doute que de multiples tendances en audit ne peuvent être perçues que comme étant perturbatrices, compte tenu des changements substantiels qu’elles entraînent et de leur capacité à transformer la façon dont les comités d’audit assument leur rôle – et ce qu’ils sont de plus en plus appelés à faire.

Les perturbations peuvent avoir des répercussions variées sur les comités d’audit. Dans certains domaines, notamment la cybersécurité, les comités d’audit doivent acquérir de nouvelles connaissances et accroître leur vigilance relativement à leurs activités de surveillance en raison de l’évolution rapide et constante de cet aspect. Dans d’autres domaines comme la surveillance de la présentation de l’information et la conformité, ce sont les méthodes et les processus propres aux comités d’audit qui changent, alors que les normes complexes haussent le niveau de la réglementation à l’échelle mondiale.

Comme à l’habitude, ce rapport se penche sur les tendances en audit ayant une incidence sur les responsabilités des comités d’audit en matière de gouvernance et de surveillance. Notre objectif consiste cette année à examiner certaines des tendances les plus perturbatrices, les changements importants qu’elles entraînent ou nécessitent, de même que la façon dont les comités d’audit y réagissent ou devraient y réagir.

Introduction


1. Risques technologiquesLes perturbations technologiques figurent toujours à l’ordre du jour des comités d’audit, et ces derniers doivent s’assurer qu’ils tiennent compte de tous les risques existants et émergents et que leurs membres possèdent les connaissances et l’expérience requises en matière de technologie.

Risque lié à la cybersécurité 1 Les cyberattaques perpétrées à l’égard des réseaux et des systèmes des sociétés étant de plus en plus sophistiquées, la cybersécurité demeure une source de préoccupation majeure pour les activités de surveillance des comités d’audit. Par le passé, les organisations du secteur des ventes au détail et des services financiers étaient les plus à risque en raison du traitement des données de cartes de crédit. De nos jours, les renseignements personnels sont davantage ciblés que les données de cartes de crédit, de sorte qu’un éventail beaucoup plus large d’organisations est à risque. Les défis en matière de cybersécurité se divisent en cinq catégories précises.

1. Protection des donnéesLa protection des données, bien qu’elle soit de toute évidence liée à la cybersécurité, se situe en fait dans une catégorie de sécurité d’entreprise plus vaste, car les pertes de données peuvent survenir de plusieurs façons. Lorsqu’ils se penchent sur la protection des données, les comités d’audit reçoivent souvent de la direction une liste des programmes de sécurité actuellement en place. Toutefois, ils

devraient en premier lieu s’assurer que les bonnes informations ont été identifiées et que les ensembles de données sont clairement définis. Cette étape peut représenter un défi, car ce qui est considéré comme pertinent change constamment. À l’heure actuelle, des données comme le nom des utilisateurs, les mots de passe, les profils de programmes de fidélisation et les comptes de médias sociaux sont ciblées. Étant donné que cette liste est en constante évolution, les comités d’audit devraient régulièrement vérifier que la définition et la protection d’ensembles de données alternatifs – au-delà des renseignements relatifs aux cartes de crédit – sont prises en considération. Afin d’augmenter la quantité de renseignements dont ils disposent, les comités d’audit peuvent également demander directement aux TI de leur fournir des données pertinentes comme des résultats de tests, des examens de données clés et des rapports de piratage.

2. Ingénierie socialeL’ingénierie sociale est un terme général qui vise tous les types de tromperie ou d’exploitation psychologiques du « facteur humain » en vue d’avoir accès à des renseignements. L’hameçonnage

par courriel en est un exemple, mais les attaques peuvent être beaucoup plus complexes et être perpétrées au moyen d’appels téléphoniques, d’usurpation d’identité en personne ou de scénarios qui exploitent notamment les sentiments de compassion, de peur et de cupidité de la victime. Une surveillance adéquate devrait notamment être exercée à l’aide de politiques d’utilisation acceptable des médias sociaux et de flux des travaux organisationnels précisant en quoi consiste une utilisation appropriée des comptes.

3. Audit de tiersDe nombreuses organisations s’appuient de plus en plus sur des tiers dans le cadre de leur modèle d’affaires. Les comités d’audit devraient s’assurer que la direction a évalué et déterminé si des contrôles appropriés sont en place afin d’empêcher toute utilisation inappropriée de l’information confidentielle du consommateur qui a été recueillie par des fournisseurs tiers. Il est de plus en plus courant d’exécuter des audits de tiers dans le but de s’assurer que l’organisation ne crée pas de responsabilités supplémentaires.

1 Pour une analyse approfondie à ce sujet et sur d’autres questions d’actualité en matière de cybersécurité, consultez la publication de KPMG intitulée Rapport de cyberveille – Savoir résister aux attaques – La cyberrésilience, à l’adresse https://home.kpmg.com/content/dam/kpmg/pdf/2016/03/cyber-watch-report-fr.pdf.



« Il est essentiel de s’assurer qu’un cadre de gestion des risques reconnu par le secteur est établi pour évaluer la conception et l’efficacité des contrôles de sécurité. Ainsi, il sera possible d’identifier, de retracer et de gérer les cyberrisques, tout en les intégrant au cadre élargi de gestion des risques de votre organisation. »

Kevvie Fowler, leader national, Réponse aux cybermenaces



4. CyberassuranceLa cyberassurance concerne la responsabilité d’une organisation confrontée à des cyberrisques, comme une atteinte à la protection des données ou une destruction des données entraînant une perte d’informations sensibles. Les organisations ont commencé à acheter ce type de polices, mais une incertitude demeure quant à ce qu’elles couvrent et ce qu’elles ne couvrent pas. Les comités d’audit devraient rencontrer les assureurs et se pencher sur ces polices afin de confirmer qu’elles couvrent bien les risques financiers importants de l’organisation.

5. Mesures correctivesTrop souvent, les comités d’audit examinent une cyberviolation, s’assurent qu’un processus bien établi est suivi, puis passent à autre chose. Cependant, nous remarquons que les comités d’audit participent de plus en plus à des examens rétrospectifs allant même parfois au-delà du rôle standard de surveillance, afin de comprendre ce qui s’est mal passé, de veiller à ce que des mesures correctives soient appliquées et d’examiner s’il existe d’autres domaines vulnérables, afin d’aider à lutter contre de futures attaques.

Risque lié au modèle d’affairesUne des principales conséquences de l’implantation effective, par une organisation, d’une innovation technologique révolutionnant son secteur d’activité est la perturbation du modèle d’affaires de concurrents de l’organisation – possiblement un modèle d’affaires qui est la norme dans le secteur. Pensez aux conséquences du covoiturage sur la façon dont l’industrie du taxi exerçait ses activités depuis des décennies, ou à la manière dont les services de diffusion en continu sur Internet ont transformé le modèle d’achat et de consommation des services télévisuels. Désormais, les comités d’audit devront prendre soin de déterminer quelles sont les technologies perturbatrices, et dans quelle mesure celles-ci pourraient compromettre le modèle d’affaires de l’organisation.

Risque lié à la confidentialité de l’analyse de donnéesL’analyse de données transforme le milieu des affaires de manière considérable, et les organisations qui en tirent le meilleur parti obtiennent d’excellents résultats. À l’instar de toutes les autres technologies perturbatrices, toutefois, l’analyse de données donne lieu à des risques connexes, notamment à un risque accru d’entrave à la vie privée. Les clients et les autres parties prenantes confient leurs informations à des organisations à des fins précises, mais ces dernières peuvent exploiter les informations d’autres façons au moyen de l’analyse de données. Cette situation entraîne d’importants défis en matière de surveillance de la protection de la vie privée que les comités d’audit doivent connaître et gérer.

Risque lié aux projets technologiquesMalgré l’incidence de la situation économique actuelle sur certains secteurs d’activité, les organisations continuent d’entreprendre des projets de TI et de transformation stratégique. Bien que nombre de ces organisations disposent de comités des finances, de risques et d’audit, rares sont celles qui ont créé un comité de TI. Cette situation est source de préoccupations, car on observe un manque d’expertise adéquate en TI au sein de certains conseils d’administration. Par conséquent, les organisations dépensent des sommes considérables pour de grands projets de transformation sans avoir la gouvernance adéquate pour protéger ou maximiser les investissements. Parallèlement, des autorités de réglementation, telles que le Bureau du surintendant des institutions financières (« BSIF »), placent la barre plus haut dans le domaine des risques et des contrôles liés aux TI. Il est donc temps pour les comités d’audit d’intégrer cet aspect à la gamme de risques qu’ils prennent en considération.

Les risques politiques et économiques se retrouvent de plus en plus à l’ordre du jour des comités d’audit, et les grandes entreprises mettent en place des modèles perfectionnés pour les analyser.

« Compte tenu de la chute des prix du pétrole, de la faiblesse du dollar et de l’incertitude politique généralisée dans le monde (pensons par exemple aux conflits au Moyen-Orient, à la crise des réfugiés en Europe, au ralentissement économique de la Chine et à la possibilité que le Royaume-Uni quitte l’Union européenne), la surveillance accrue des risques politiques et économiques doit devenir une priorité pour les comités d’audit canadiens. »

Kristy Carscallen,associée directrice canadienne, Audit

Volatilité de l’économieLe contexte économique mondial est devenu extrêmement complexe, tout comme ses effets sur les entreprises canadiennes. Bien qu’il y ait des occasions distinctes à saisir en ce qui concerne les fusions, les consolidations, la création de synergies et la réduction des coûts, le cours du dollar et le prix des produits de base demeurent difficiles à prédire. Les secteurs de l’exportation et du tourisme peuvent y gagner, mais celles des industries minière et énergétique en souffrent. Parmi ces tendances contradictoires et ces données économiques prêtant à confusion – alors que les risques peuvent rapidement augmenter ou diminuer selon le secteur – les comités d’audit doivent être au fait de l’incidence de la volatilité de l’économie à l’échelle mondiale sur la stratégie financière de leur organisation.

Risques liés aux marchés émergentsLes sociétés canadiennes cherchent à pénétrer les marchés émergents, mais l’essentiel est de savoir comment s’y prendre et quels sont les risques connexes. Il est important d’équilibrer votre exposition aux risques dans les bons comme dans les mauvais moments, et compte tenu des enjeux posés par le contexte économique actuel, les comités d’audit pourraient avoir intérêt à examiner plus attentivement les plans de leur organisation pour l’accès à de nouveaux

marchés. Comment la direction compte-t-elle atténuer les nouveaux risques? Les comprend-elle bien? À quel point les contrôles existants sont-ils efficaces? De nouveaux contrôles seront-ils nécessaires? Si la société fait déjà affaire dans des marchés volatils, un examen de la gestion des risques dans ces pays devrait-il être effectué?

GéopolitiqueRéfugiés syriens, conflits au Moyen-Orient, morosité du climat économique de la Chine : les questions complexes abondent. Bien que certains de ces enjeux mondiaux entraînent davantage de risques géopolitiques traditionnels, des événements tels que la mutation démographique considérable engendrée par la crise des réfugiés syriens – de même que les nombreuses tensions qui en découlent en Europe – sont différents et doivent être examinés. Malgré le fait que la croissance économique de la Chine soit plus rapide qu’ailleurs dans le monde, les marchés boursiers internationaux se sont pratiquement immobilisés lors de la chute des marchés chinois, métamorphosant grandement la dynamique du commerce mondial. À ces enjeux s’ajoute l’incertitude considérable liée aux élections américaines, aux conséquences potentielles du résultat de celles-ci et à l’instabilité géopolitique manifeste de ce pays, qui doit rester au centre des préoccupations des comités d’audit.

2. Risques politiques et économiques



« Les comités d’audit commencent à se pencher davantage sur les résultats d’inspections de l’audit des autorités de réglementation et sur la manière dont ils peuvent améliorer la qualité de l’audit. Pour leur part, les autorités de réglementation (plus particulièrement, les autorités en valeurs mobilières) tentent de déterminer si les comités d’audit sont à même d’atteindre cet objectif. La transformation de cette dynamique en améliorations tangibles de la qualité devrait assurément être à l’ordre du jour des comités d’audit. »

John Gordon,associé directeur canadien,Gestion des risques et de la qualité

Pour certains secteurs d’activité, la question intrinsèque des perturbations et des risques a dû être mise en veilleuse. Les comités d’audit et les conseils d’administration de sociétés pétrolières, gazières et minières doivent déjà composer avec des perturbations considérables relativement aux modèles économiques et financiers sur lesquels ils s’appuient. Bien que des questions comme la cybersécurité et les TI demeurent importantes, les questions de l’exploitation et de la survie dans le contexte économique actuel sont prioritaires pour ces organisations. De nombreux comités d’audit ont dû limiter leurs discussions aux questions de continuité de l’exploitation et considérer des mesures de stratégie et d’économie de coûts pouvant les aider à faire face à la tourmente économique qu’ils traversent.

Ces organisations se penchent sur des questions comme la dette bancaire, la gestion du capital, le financement, la vente d’actifs, la gestion des talents, les pertes de valeur et les mesures d’économie de coûts. Toutefois, les économies de coûts et la réduction des effectifs peuvent parfois avoir d’importantes répercussions que les sociétés ne voient pas toujours venir. Les contrôles internes, par exemple, peuvent être touchés en raison d’une réaffectation ou du départ du personnel responsable de leur exécution. Les comités d’audit devraient s’assurer de comprendre ces répercussions potentielles et veiller à ce que des mesures correctives soient en place.

En outre, compte tenu de la possibilité que des pertes de valeur soient subies, les organisations œuvrant dans des secteurs d’activité en mode survie devraient mettre l’accent sur les programmes et les scénarios de simulation de crises, et les comités d’audit devraient s’assurer de surveiller ce processus. L’économie est sans doute dans un meilleur état qu’au moment de la crise financière mondiale, mais elle reste aussi volatile qu’avant. Les organisations doivent effectuer des simulations de crise avec diligence afin de déterminer où elles se situent exactement et quelles mesures elles devraient prendre à l’avenir. Les sociétés du secteur des produits de base, par exemple, pourraient notamment simuler des scénarios où les prix du pétrole seraient à 20 ou 30 dollars, ceux de l’or à 1 200 dollars et ceux du cuivre à 2 dollars, et les comités d’audit devraient être constamment au fait de ces questions.

Pleins feux sur les secteurs d’activité en crise et les priorités des comités d’audit



2 Pour en savoir plus sur l’état de la présentation de l’information non financière dans le monde, consultez la publication Currents of change – The KPMG Survey of Corporate Responsibility Reporting 2015, à l’adresse http://www.kpmg.com/CN/en/IssuesAndInsights/ArticlesPublications/Documents/kpmg-survey-of-corporate-responsibility-reporting-2015-O-201511.pdf.

3 Visitez le site http://corporatereportingdialogue.com/.4 Pour de plus amples renseignements sur la présentation d’informations intégrées, visitez le site https://home.kpmg.com/xx/en/home/insights/2013/04/integrated-reporting.html.

3. Évolution de la présentation de l’information financière par les sociétésOn a accordé une grande importance à l’évolution récente de la présentation de l’information financière par les sociétés, et il continuera d’en être ainsi alors que les changements sont en cours. Le fait est que les attentes sont grandes à l’égard de la présentation de l’information, tant de la part des autorités de réglementation et des actionnaires que des sociétés elles-mêmes.

L’éventail complet des risques est-il présenté et abordé adéquatement, y compris les risques qui ne sont habituellement pas visés par les rapports financiers ou les rapports de gestion traditionnels? Les bonnes personnes sont-elles désignées pour assurer la qualité de l’information présentée? À quel point l’information recueillie et présentée est-elle fiable, et dans quelle mesure les investisseurs s’y appuient-ils ou peuvent-ils s’y appuyer? Existe-t-il une certaine cohérence entre la manière dont les rapports sont préparés, rédigés et révisés, afin d’assurer qu’ils ajoutent une valeur réelle? Afin d’aider à répondre à ces questions, nous avons relevé trois tendances auxquelles les comités d’audit devraient porter une attention particulière.

1. Présentation d’informations intégrées et stratégiquesOn reconnaît de plus en plus que la gamme de questions et d’occasions ayant une incidence à long terme sur la valeur de l’entreprise est beaucoup plus vaste que ce qui peut être reflété dans une série de mesures financières de l’exercice en cours. Les rapports des sociétés doivent refléter cette réalité pour pouvoir étayer efficacement les décisions des investisseurs quant à la répartition des capitaux. Des mesures comme la présentation d’informations intégrées visent à traiter cette

question en recentrant la présentation des informations autour du modèle d’affaires et des priorités stratégiques de l’organisation. L’objectif consiste à refléter les occasions et les défis cruciaux qui ont une incidence sur l’entreprise – soit les mêmes questions que celles auxquelles fait face la direction quotidiennement au sein de l’organisation.

Cette tendance vers l’intégration de diverses formes d’informations obligatoires et volontaires à fournir par les sociétés – par exemple, en ce qui a trait à des domaines tels que la création de valeur à long terme et la responsabilité sociale des sociétés2 – fait en sorte qu’il devient difficile de continuer à rédiger des rapports annuels concis et gérables. Un groupe de dialogue sur la présentation d’informations par les sociétés (Corporate Reporting Dialogue) a été constitué afin d’aider à relever ce défi et à mettre en place la présentation d’informations intégrées et d’autres cadres émergents dans ce domaine3.

Par-dessous tout, cette tendance vers une présentation d’informations non financières allant au-delà du rapport annuel traditionnel se taille une place prépondérante dans le mandat des comités d’audit pour la surveillance de la présentation d’informations4.



2. Rapports d’audit élargisLes comités d’audit seront touchés par la tendance vers un étoffement des rapports d’audit. Dans une optique d’amélioration de la qualité et de la transparence de l’audit, les auditeurs seront tenus de décrire les principales questions d’audit qu’ils ont relevées, notamment les travaux d’audit ayant été mis en œuvre relativement à ces aspects. Les rapports d’audit élargis permettront également d’accroître la transparence quant aux responsabilités de l’auditeur et de la direction relativement aux états financiers. L’objectif consiste à présenter un rapport adapté aux circonstances propres à chaque société, particulièrement en ce qui concerne le profil de risque ainsi que la compréhension des risques par l’auditeur et les mesures qu’il prend pour y répondre. Les comités d’audit devraient continuer de suivre les développements

concernant les rapports d’audit élargis, notamment les expériences vécues dans d’autres pays et les processus d’établissement de normes au Canada et aux États-Unis.

3. Présentation des indicateurs d’exploitation et d’autres indicateurs de performanceLes sociétés fournissent de plus en plus de données d’exploitation relatives aux volumes, à la capacité, à la croissance ou à d’autres indicateurs de performance qui présentent un intérêt pour le marché. Ces informations sont souvent fournies sur une base trimestrielle ou même mensuelle. Les comités d’audit devraient comprendre la nature des informations fournies, de même que les processus sous-jacents, afin de s’assurer que ces informations sont exactes, exhaustives et préparées de manière uniforme.

« On assiste à l’émergence d’une tendance vers ce qu’on appelle la "présentation d’informations stratégiques". Tandis que les rapports obligatoires se concentrent traditionnellement sur les informations financières historiques, nombre de gouvernements et d’autorités de réglementation de partout dans le monde exigent désormais une certaine forme de présentation d’informations stratégiques5. Dans ces rapports, il incombe au conseil d’administration de discuter des principales tendances et des principaux facteurs qui sont susceptibles d’avoir une incidence sur l’exploitation, le rendement et l’état futurs des activités de la société. Les indicateurs clés de la performance non financière sont souvent présentés afin de mettre en évidence ces tendances et facteurs. »

Bill Murphy, leader, Services-conseils en matière de risques et de gouvernance



5 Consultez, par exemple, la publication suivante :https://home.kpmg.com/content/dam/kpmg/pdf/2014/09/practical-guide-strategic-report.pdf.

4. Complexité croissante du cadre réglementaireIl ne fait aucun doute que l’augmentation continue de la complexité de la réglementation à l’échelle mondiale a eu un effet perturbateur sur les sociétés canadiennes et leur comité d’audit. C’était d’ailleurs le résultat escompté : prévenir une nouvelle crise financière mondiale semblable à celle de la dernière décennie.

Normes et questions réglementaires émergentesVoici certaines questions et normes réglementaires émergentes que les comités d’audit devraient suivre dès maintenant :

IFRS 9, Instruments financiers – La publication de l’IFRS 9 vient achever un projet lancé en 2008 par l’International Accounting Standards Board (« IASB »), en réponse à la crise financière. La nouvelle norme comprend des directives révisées sur le classement et l’évaluation des actifs financiers, y compris un nouveau modèle fondé sur les pertes de crédit attendues pour le calcul de la dépréciation, et prévoit, en matière de comptabilité de couverture, une méthode fondée davantage sur des principes et harmonisée avec la gestion des risques. La date d’application obligatoire de la norme est le 1er janvier 2018, et son adoption anticipée est permise.

IFRS 15, Produits des activités ordinaires tirés de contrats conclus avec des clients – Reconnaissant la nécessité d’accroître l’uniformité à l’égard de la comptabilisation des produits, l’IASB et le FASB ont publié une nouvelle norme harmonisée qui entrera en vigueur en 2018. Cette norme remplacera une grande partie des directives existantes des IFRS et des PCGR américains.

IFRS 16, Contrats de location – Cette norme modifiera en profondeur le traitement comptable des contrats de location, en établissant un modèle unique de comptabilisation au bilan qui sera similaire à la comptabilisation actuelle des contrats de location-financement. En vertu de cette norme, les sociétés seront tenues de comptabiliser la plupart des contrats de location au bilan à partir de 2019.m 2019.

IFRS 4, Contrats d’assurance – L’IASB procède actuellement à la finalisation d’une modification à l’IFRS 4, qui permettrait aux entités admissibles de reporter temporairement l’adoption de l’IFRS 9 (sous réserve de la présentation d’informations

supplémentaires) ou d’appliquer en parallèle un ajustement visant le reclassement d’une part de la volatilité du résultat net vers les autres éléments du résultat global.

Mesures visant à assurer l’adhésion des tiers aux mandats de réglementation – L’adhésion des tiers à ces mandats est de plus en plus importante, étant donné que les organisations externalisent de plus en plus les processus d’audit, plus particulièrement d’audit interne.

Lois contre le blanchiment d’argent – Ces lois sont en évolution tant au Canada qu’à l’échelle internationale, et les dommages financiers et les atteintes à la réputation qui découlent d’une infraction sont considérables. Puisque les autorités de réglementation exigent de plus en plus des institutions financières qu’elles « connaissent leurs clients », les comités d’audit devraient prêter une attention particulière à cette question.

Loi relative à la protection des renseignements personnels – Le Royaume-Uni a récemment adopté une loi relative à la protection des renseignements personnels en vertu de laquelle une organisation exerçant des activités au Royaume-Uni qui se retrouve en situation de violation de la vie privée ou de non-respect d’un accord de consentement s’expose à une amende pouvant atteindre 2% de son chiffre d’affaires mondial. Les comités d’audit d’organisations qui exercent des activités au Royaume-Uni devraient comprendre cette règle et prioriser la surveillance afin d’assurer la conformité, tout en étant à l’affût des nouvelles lois relatives à la protection des renseignements personnels partout dans le monde.



« Même les projets de réglementation qui n’ont pas encore été mis en œuvre au Canada sont importants, car nos autorités de réglementation en suivent l’évolution mondiale de près et ne veulent pas accuser de retard sur ces mesures clés; il devrait en être de même pour les comités d’audit. »

Naveen Kalia,associé, Audit

Rôle du comité d’audit dans l’amélioration de la qualité de l’auditDiscussions sur les indicateurs de la qualité de l’audit, rapports d’audit élargis, évaluation, esprit critique : les comités d’audit tentent par différents moyens de mieux comprendre les facteurs d’un audit de grande qualité. Ils prêtent attention aux résultats d’inspections de l’auditeur du Conseil canadien sur la reddition de comptes (« CCRC ») et du Public Company Accounting Oversight Board (« PCAOB ») et ils tiennent compte de façon plus constante des commentaires des autorités de réglementation.

Cependant, les comités d’audit ont encore de la difficulté à comprendre comment évaluer la qualité de leurs audits. À l’avenir, les organisations, les autorités de réglementation et les auditeurs auront une excellente occasion de travailler en collaboration sur ces questions et de créer un lien plus direct entre la rétroaction en matière de réglementation et les mesures que les organisations peuvent prendre pour s’assurer que les recommandations sont mises en application.

Incidence des règlements à l’échelle mondiale sur les comités d’audit canadiensLes paragraphes précédents démontrent clairement que les comités d’audit doivent rester attentifs à l’évolution des règlements à l’échelle mondiale, non seulement ceux adoptés au Canada, mais également ceux qui, forts d’un appui considérable aux États-Unis ou en Europe, pourraient être ou seront probablement adoptés au Canada à un certain moment. La rotation des cabinets d’audit en est un bon exemple : bien qu’elle s’appliquera dans l’Union européenne en juin 2016, on ne s’attend pas à ce qu’elle devienne obligatoire en Amérique du Nord dans un avenir rapproché. Néanmoins, il serait sans doute judicieux de comprendre pleinement les ramifications potentielles de la rotation des cabinets d’audit, ainsi que celles d’autres changements imminents à l’échelle mondiale, surtout si vous êtes une société mère ou une filiale de l'Union européenne.



Dans la majorité des cas, les perturbations sont étroitement – presque inextricablement – liées à la notion d’innovation technologique et à ses diverses conséquences sur les modèles d’affaires et les entreprises elles-mêmes. Pour les marchés, une perturbation est généralement associée à une innovation technologique sans précédent qui transforme si considérablement un modèle existant (ventes, service à la clientèle, production, etc.) que tous se voient obligés de revoir leur façon de faire pour s’assurer de suivre le rythme.

Est-ce que cela diffère vraiment de ce qui se passe avec le rôle des comités d’audit? Les questions que nous avons abordées sont réelles, et elles ont actuellement cours ou auront cours dans un avenir rapproché – les changements s’accentuent –, et les membres de comités d’audit constatent effectivement une transformation de leur mandat. D’une certaine façon, les comités d’audit doivent « suivre le rythme » de ces forces perturbatrices.

Dorénavant, la gestion des changements inévitables sera à la fois une priorité et un défi pour les comités d’audit, et toutes les parties prenantes – les hauts dirigeants, la direction, les auditeurs, les autorités de réglementation, les actionnaires et même le public – auront intérêt à épauler les comités d’audit à cet égard.

Les perturbations entraînent des transformations –il est maintenant temps de les gérer



Conclusion

Discuter sans tarder de l’incidence des tendances en matière de réglementation. De nombreux règlements sont adoptés aux États-Unis et en Europe bien avant de l’être au Canada. Surveillez leur évolution en tenant compte de leur incidence potentielle.

Revoir plus souvent la propension aux risques et les cadres de gestion des risques à la lumière des coefficients de rendements éprouvés.

Faire appel à des spécialistes externes. Pour mieux comprendre certains sujets complexes comme la cybersécurité, la fiscalité ou l’évaluation, faites appel à des spécialistes externes dans le cadre de réunions et de processus du comité d’audit. Le mandat des comités d’audit est de plus en plus complexe; il peut donc être extrêmement bénéfique d’élargir votre perspective.

Veiller à ce que les membres du comité d’audit aient les compétences recherchées relativement aux connaissances requises.

Effectuer des simulations de crises et élaborer des scénarios afin de déterminer les conséquences – tant positives que négatives – que des situations telles que les cyberattaques ou la volatilité de l’économie pourraient avoir sur votre organisation.

Envisager de mettre sur pied des formations à l’intention des administrateurs en faisant appel tant à des professionnels de l’organisation qu’à des professionnels externes, afin de veiller à ce que les membres du comité d’audit soient au fait des risques majeurs.

S’appuyer davantage sur les fonctions de surveillance de risques, par exemple en constituant un comité distinct chargé de la gestion des risques qui mettrait à profit les connaissances de spécialistes internes en gestion des risques.

Élargir la vue d’ensemble sur les talents et le capital humain. Les comités d’audit s’intéressent évidemment aux compétences et aux capacités du personnel chargé des finances de l’organisation. Toutefois, compte tenu des interdépendances entre les finances et les activités, l’examen attentif des talents qui se trouvent dans d’autres services essentiels à l’environnement de contrôle constitue une bonne façon d’améliorer la présentation de l’information financière.

Revoir les contrôles internes visant la prévention et la détection de la fraude. Dans un contexte économique difficile, les personnes faisant face à des circonstances personnelles difficiles peuvent agir de manière inhabituelle. Assurez-vous que les contrôles en place ne présentent aucune lacune, afin d’éviter que cette situation se produise.


Que peuvent faire les comités d’audit pour relever les défis les plus pressants?


Pratiques exemplaires

Présentation d’informations intégrées

« Je m’attends à ce que la présentation d’informations intégrées ait l’incidence la plus marquée sur le rôle du comité d’audit, car elle augmenterait considérablement la création de valeur à long terme. À l’heure actuelle, les comités d’audit sont si occupés à s’assurer que les exigences en matière de présentation de l’information sont respectées que l’état global de la société est souvent perdu de vue. L’ajout de renseignements clairs et concis quant à l’état de la société serait grandement utile aux investisseurs et aux actionnaires et permettrait de créer de la valeur. »

Wendy Kei, administratrice

Commentaires d’administrateursTendances en audit pour 2016 | 16



Risque lié aux projets technologiques

« Nous croyons que les risques technologiques seront dorénavant d’une importance cruciale, compte tenu de leur incidence sur la protection de la vie privée et des données du secteur des soins de santé, particulièrement à l’égard des grands projets de TI. Par exemple, plusieurs hôpitaux ont éprouvé des difficultés lors de leur passage aux dossiers de santé informatisés. Il s’agit d’un grand projet de transformation qui doit être réalisé, mais puisque les comités d’audit ne participent pas toujours à la surveillance de la gestion du projet, ils sont loin d’être en mesure de comprendre les risques technologiques particuliers qui se posent, tels que ceux associés à la confidentialité. Alors, à titre de comité d’audit, comment pouvez-vous gérer au mieux ces risques tout en tentant de vous assurer que le projet atteint ses objectifs? Cette tâche peut s’avérer très difficile selon la disponibilité des ressources adéquates du comité d’audit. »

Harry Ort, administrateur


Tendances en audit pour 2016


Pratiques exemplaires« De nos jours, il est absolument

crucial pour les comités d’audit d’avoir l’expertise appropriée – et de savoir quand le moment est venu de l’obtenir. Vous avez souvent besoin d’une expertise autre que financière, ce qui peut toutefois poser problème étant donné que le comité demeure axé sur les questions financières. Le fait de chercher à attirer des personnes provenant de secteurs d’activité spécialisés qui possèdent des compétences en finance – comme un chef des finances du secteur des technologies – peut aider à accroître l’expertise tout en conservant un certain niveau général de connaissances financières. »

Deborah Rosati, administratrice


ForbesProject / KPMG / 2016

kpmg.ca/audit

L’information publiée dans le présent document est de nature générale. Elle ne vise pas à tenir compte des circonstances de quelque personne ou entité particulière. Bien que nous fassions tous les efforts nécessaires pour assurer l’exactitude de cette information et pour vous la communiquer rapidement, rien ne garantit qu’elle sera exacte à la date à laquelle vous la recevrez ni qu’elle continuera d’être exacte à l’avenir. Vous ne devriez pas y donner suite à moins d’avoir d’abord obtenu un avis professionnel se fondant sur un examen approfondi des faits et de leur contexte.

© 2016 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés. 12919

KPMG et le logo de KPMG sont des marques déposées ou des marques de commerce de KPMG International.

Collaborateurs

Canada

Todd M. BuchananLeader national des Services-conseils en comptabilité[email protected]

Kristy CarscallenAssociée directrice canadienne, [email protected]

John A. DesjardinsAssocié, [email protected]

Reinhard DotzlawAssocié, Service de la pratique [email protected]

Kevvie FowlerLeader national, Réponse aux [email protected]

John GordonAssocié directeur canadien,Gestion des risques et de la qualité[email protected]

Philippe GrubertAssocié, [email protected]

Naveen KaliaAssocié, [email protected]

Luzita N. KennedyAssociée, Services-conseils en comptabilité[email protected]

Doug A. KingLeader national, Analyse de données au sein de l’[email protected]

Jeff G. KingAssocié, Services-conseils en comptabilité[email protected]

Sukesh KumarAssocié, [email protected]

Brendan G. MaherAssocié, [email protected]

Mary Lou MaherAssociée, [email protected]

Silvia MontefioreAssociée, [email protected]

Bill J. MurphyServices-conseils en matière de risques et de [email protected]

Doug W. ReidAssocié, [email protected]

John StelterAssocié, [email protected]

Murray P. SueyAssocié, [email protected]

Doron TelemLeader national, Gestion des risques, [email protected]

Royaume-Uni

Jimmy DabooAssocié, [email protected] 20 73118350

États-Unis

Dennis T. WhalenAssocié, [email protected]

Tendances en audit pour 2016