Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorDifficile pour les auditeurs internes de « suivre les risques » lorsque personne n’est d’accord

​Difficile pour les auditeurs internes de « suivre les risques » lorsque personne n’est d’accord

L’un des défis les plus récurrents auxquels font face les auditeurs internes réside dans l’alignement des perceptions des parties prenantes sur les risques les plus menaçants pour leur organisation. De nombreuses années durant, j’ai écrit sur l’importance d’établir des relations avec ceux que nous servons et avec qui nous collaborons afin d’alimenter une communication qui profite à cet alignement. En effet, les conseils les plus simples que j’ai donnés aux responsables d’audit interne au fil des années sont « connaissez les inquiétudes qui troublent le sommeil de vos parties prenantes » et « suivez les risques ».

Un rapport récemment publié par Protiviti et l’« ERM Initiative » de l’université d’état de Caroline du Nord (North Carolina State University, NCSU) contribue à faire la lumière sur cet alignement (ou ce décalage, le cas échéant). Perspectives de l’exécutif sur les risques majeurs : les enjeux clés pour les administrateurs et dirigeants examine les risques auxquels sont confrontées les organisations en 2021 – et sur le plus long terme – tels qu’ils sont perçus par un large échantillon de répondants comprenant des administrateurs et tous types de profils au sein d’équipes dirigeantes, y compris des responsables d’audit interne.

Les deux principales conclusions du rapport nous mettent face à une situation de « bonne et mauvaise nouvelles » La bonne nouvelle d’abord : il y a une encourageante homogénéité au sein des répondants quant au principal risque auquel sont confrontées les organisations en 2021 : les répercussions des politiques et des réglementations liées au COVID-19 sur les performances des organisations. La moins bonne nouvelle ? C’est là que le consensus s’arrête. Bien que cette situation ne soit pas idéale du point de vue de la gestion des risques d’entreprise (ERM), elle est utile pour améliorer la sensibilisation à la nécessité d’un alignement sur la perception de ces derniers.

Par exemple, le risque classé second par les responsables d’audit interne – la gestion des risques cyber – n’apparaît nulle part parmi les cinq risques principaux choisis par les directeurs généraux, les directeurs financiers ou les directeurs des risques. Pour autant, cela ne veut pas dire que les risques cyber ne sont plus une priorité. Ces derniers se classent sixièmes. Est révélateur toutefois le fait que parmi les répondants des équipes dirigeantes, seuls les responsables d’audit interne considèrent qu’ils font partie du top 5 en 2021.

Le rapport à paraître « North American Pulse of Internal Audit » met également en lumière l’attachement des responsables d’audit interne à la cybersécurité. En effet, les répondants de ce rapport l’ont placé parmi les risques les plus importants de 2016 à 2020. Il est important de noter que l’enquête sur laquelle se base le rapport cette année a été menée en octobre/novembre, ce qui reflète l’influence de la pandémie sur l’évaluation des risques des responsables d’audit interne dans leur ensemble. Pourtant, les données du rapport Pulse of Internal Audit montrent qu’en matière d’affectation relative du plan d’audit, la cybersécurité reste moins prioritaire, avec des affectations allant de 6 % à 8 % durant la même période de 5 ans.

Dans ce cas, quels risques sont plus importants dans l’esprit de nos parties prenantes ? Selon le rapport de Protiviti et de la NCSU, deux autres risques s’inscrivent dans le top 5 des conseils d’administration, directeurs généraux et directeurs financiers : l’impact significatif possible de la conjoncture économique sur les marchés et la restriction des opportunités de croissance, et les conditions de marchés imposées par la crise sanitaire qui pourraient avoir une incidence sur la demande des clients en matière de biens et services.

Je devrais souligner que l’enquête a regroupé les 36 risques évalués par les sondés en trois grandes catégories : macroéconomiques, opérationnels et stratégiques. Cette catégorisation fournit également un éclairage sur la façon dont chaque groupe de répondants perçoit le risque. Par exemple, les directeurs généraux et les directeurs financiers ont placé trois risques macroéconomiques dans leur top 5, tandis que pour les responsables d’audit interne, trois risques parmi les cinq principaux sont opérationnels. En outre, directeurs généraux et financiers ont inclus un risque stratégique – relevant de l’impact de la pandémie sur la demande des consommateurs en biens et services. De leur côté, les responsables d’audit interne n’ont inclus aucun risque stratégique dans leur top 5.

Cependant, nous devrions nous réjouir que les trois risques non stratégiques du top 5 des conseils d’administration correspondent bien (certes dans le désordre) à ceux des responsables d’audit interne.

Le rapport de Protiviti/NCSU contient une multitude de données et fournit des analyses volumineuses. Outre la comparaison des différentes perceptions des risques en 2021, les sondés devaient également répondre sur leurs perceptions quant aux risques à plus long terme (2030). Le rapport fournit aussi le détail de l’analyse par taille d’organisation, secteur, localisation géographique et selon qu’elle est cotée ou non. J’invite l’ensemble de mes lecteurs et lectrices à télécharger gratuitement ce rapport et à se plonger plus en détail dans sa lecture.

L’une des principales conclusions de celui-ci offre un éclairage important que l’ensemble des acteurs de la gestion des risques devrait comprendre et prendre à cœur.

« Les résultats révèlent comment différents rôles évaluent les risques différemment dans différents environnements et durant différentes périodes économiques. Ils mettent en évidence l’importance critique de multiplier les points de vue des parties prenantes dans les discussions sur les risques. Il est absolument capital que le conseil d’administration et l’équipe de direction dialoguent activement sur les risques critiques pour l’organisation, étant donné les différentes perspectives que chacune apporte dans la conversation et la possibilité d’une absence de consensus. Sans une vision claire, l’équipe de direction peut être en décalage avec le conseil d’administration quant aux principaux risques. Pire encore, ils peuvent manquer d’adresser de façon appropriée les risques les plus importants pour l’organisation, laissant ainsi potentiellement l’organisation vulnérable face à certains événements. »

La pandémie qui fait toujours rage à travers le monde nous fait tirer deux leçons importantes quant à la gestion des risques : elle a alerté la plupart des organisations sur des faiblesses des dispositifs de contrôles et de planification de gestion de crise, et a accru la sensibilité collective sur l’importance d’un alignement des perceptions en matière de risques. Les responsables d’audit interne seraient bien avisés d’aller examiner les points de vue des parties prenantes mis en lumière par le rapport de Protiviti et de la NCSU et d’en tirer parti pour améliorer l’alignement sur les risques de leurs propres organisations.

Bien que toutes ces données fournissent un éclairage précieux sur l’état de l’alignement des perceptions de l’audit interne et de ses parties prenantes sur les risques, elles ne font rien pour aider les auditeurs internes face à l’un des défis majeurs auxquels ils sont confrontés : comment sommes-nous supposés traquer les risques si tout le monde s’éparpille ? Je pense que la clé est triple : communiquer, communiquer, communiquer. Lorsque les auditeurs internes observent des disparités dans la façon dont les risques sont évalués par les parties prenantes de leur fonction, il est de notre devoir de prendre la parole et de parler fort. Nous devons nous montrer suffisamment courageux pour alerter les membres du conseil d’administration et de l’équipe de direction lorsque leurs perspectives sur les risques auxquels l’organisation est confrontée divergent.

Nous avons le droit de ne pas détenir toutes les réponses, mais notre positionnement est idéal pour poser les bonnes questions. C’est une pente dangereuse que de procéder aveuglément à notre propre évaluation des risques et de définir nos propres plans d’audit interne sans remettre en question pourquoi nous voyons des risques là où d’autres ne voient rien. Nous devons être la voix dont nos organisations ont besoin.

Une fois les différences de perception mises en évidence, nous devrions proposer un plan d’audit qui aborde les risques les plus critiques pour nos organisations. Certains d’entre eux seront probablement différents de ceux que le conseil d’administration ou la direction avaient en tête. Toutefois, ces points d’attention devraient être clairement compris et ne devraient pas être le fruit de silences ou d’une mauvaise communication.

Comme toujours, je me réjouis de lire vos réactions.

Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, écrit un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l’audit interne.