De l’instance de contrôle au partenaire de confiance

Bruno Caviezel
Senior Manager, Digital Assurance, Financial Services, PwC Suisse

Article overview

Bruno Caviezel, en deux mots, que faites-vous avec votre équipe ? 
Notre travail d’audit consiste à évaluer les contrôles et les processus internes et à établir des rapports de contrôle spécifiques aux clients, conformément aux normes nationales et internationales. Nous fournissons ainsi un point de vue indépendant sur les contrôles, qu’ils soient liés ou non à l’information financière, et instaurons donc la confiance entre toutes les parties concernées.  

Comment cela se passe-t-il dans la pratique ? 
Dans les secteurs de la finance et des assurances, ainsi que dans de nombreuses autres industries, les entreprises externalisent certains services qui ne font pas partie de leur cœur de métier, telles que l’exploitation d’un système central, la comptabilité ou un système de gestion de la relation client (CRM). Mon équipe et moi-même vérifions si les prescriptions légales, contractuelles, réglementaires ou d’autorégulation sont respectées. Nous examinons également des questions plus exotiques, telles que l’égalité salariale au sein d’une entreprise ou le codage des forfaits par cas dans les hôpitaux. Nous consignons nos évaluations dans un rapport d’audit internationalement reconnu, conformément à la norme internationale sur les missions d’assurance ISAE (International Standard on Assurance Engagements). Les équivalents américains, publiés par l’American Institute of Certified Public Accountants AICPA, sont appelés rapports SOC.  

Audit, rapport d’audit – cela ressemble fort à une nouvelle obligation de conformité. Êtes-vous, avec votre équipe, les gardiens de la loi ? 
Non. Un audit selon les normes ISAE ou SOC n’est pas obligatoire. Mais dans les secteurs réglementés tels que la finance et les assurances, il constitue un critère clé pour l’autorégulation. Par exemple, ce type de certification est presque obligatoire pour un partenaire d’externalisation dans le domaine informatique qui veut héberger et exploiter des systèmes centraux pour des banques. Ne pas être en mesure de fournir un tel rapport constituerait un désavantage concurrentiel important.  

Comment êtes-vous perçus par vos clients ? 
La plupart des personnes concernées dans les entreprises que nous visitons pour la première fois nous considèrent comme une sorte d’instance de contrôle. Ce scepticisme précède quasiment toujours la prise de conscience du fait que notre avis est indépendant et donc très précieux quant à la qualité de leurs prestations. 

Dans quelle mesure votre point de vue est-il indépendant ? 
Dans le triangle formé par le partenaire d’externalisation et sa clientèle, notre rôle est celui d’un tiers neutre. En tant que tel, nous ne poursuivons aucun intérêt propre. Par exemple, nous n’examinons pas les questions que nous avons nous-mêmes soulevées ou mises en œuvre en tant que société de conseil, mais créons plutôt une situation gagnant-gagnant pour les parties concernées, indépendante de nous-mêmes, grâce à nos preuves. 

De quelle manière ? 
Notre rapport offre au prestataire de services une transparence sur la qualité de ses services et de ses processus internes. Cela lui permet d’identifier les points faibles, d’affiner certains processus ou d’optimiser de nouveaux services de manière optimale dès le départ. Il bénéficie en outre d’économies d’échelle, car il peut démontrer sa fiabilité à un plus grand nombre de clients avec un seul rapport. Notre vérification donne au bénéficiaire du service la sécurité et la confiance quant à la fiabilité avec laquelle son partenaire traitera les systèmes, les commandes et les données mis à sa disposition.  

Comment la portée de l’audit est-elle déterminée ? 
Elle est généralement flexible et peut être choisie en fonction de la mission. La portée doit couvrir de manière adéquate l’ensemble des services à auditer. Pour cela, les critères doivent être quantifiables et mesurables. Nous aidons bien sûr nos clients à définir la portée de l’audit et les critères correspondants. 

Qu’est-ce qui différencie votre rapport d’audit d’un certificat ISO ou d’un
label de qualité ? 
Les certificats ISO et les labels de qualité sont généralement plus faciles et plus rapides à obtenir qu’un rapport d’audit ISAE ou SOC. La norme ISO 27001 relative à la sécurité de l’information, par exemple, décrit les exigences relatives à un système de gestion de la sécurité de l’information. Il s’agit d’une analyse prospective à une date spécifique. Notre rapport d’audit, en revanche, contient une description rétrospective et complète de l’environnement et de la conception des contrôles, de la mise en œuvre des contrôles et, selon le type, de leur efficacité opérationnelle. Il contient, par exemple, des informations sur les droits d’accès, la sauvegarde des données, les autorisations, la documentation et bien plus encore. La principale différence réside donc dans l’assurance d’audit que nous offrons avec un tel rapport de contrôle. Les certificats ISO ou les labels de qualité n’offrent pas cette assurance. 

Qui vous commande un rapport d’audit et pourquoi ? 
Certains décideurs font appel à nous parce qu’ils ont externalisé un processus et veulent s’assurer que leur partenaire externe traite leurs données de manière appropriée et conforme aux réglementations en matière de protection des données. La plupart du temps, ce besoin découle d’un audit financier régulier. Dans d’autres cas, un prestataire prépare un nouveau service et veut s’assurer que celui-ci répond aux normes de qualité de l’industrie cible. Nos clients occupent divers postes de direction, du conseil d’administration à la direction générale ou au service juridique, en passant par l’informatique ou la comptabilité. 

Qu’est-ce qui est particulièrement important à vos yeux en matière de solutions de confiance et de transparence ? 
Chaque nouveau mandat marque le début d’une nouvelle relation. Parfois, nous entamons ce voyage dans une atmosphère froide, car les responsables nous collent l’étiquette de forces de l’ordre. Je peux très bien le comprendre, car personne n’aime être surveillé. Au fil du temps, la relation évolue et nous sommes de plus en plus perçus comme des partenaires de confiance ou des sparring-partners. Parvenir à instaurer cette relation de confiance est très important pour moi.