Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes 5 «C » que les administrateurs (et les auditeurs) devraient redouter

​Les 5 «C » que les administrateurs (et les auditeurs) devraient redouter

Au début du mois, je me suis rendu en Afrique du Sud, à Johannesburg, pour participer à une conférence organisée par l’Institute of Directors (IOD). J’ai non seulement eu la chance d’y rencontrer des administrateurs expérimentés de cet important pays, mais aussi d’en apprendre un peu plus sur la longue histoire de l’extraction de diamants en Afrique du sud.

Le diamant Eureka, premier diamant découvert en Afrique du Sud en 1867, a engendré une perturbation majeure dans le commerce du diamant. Sa découverte près de la rivière Orange — son poids impressionnant à l’état brut était de 21.25 carats — a révolutionné l’industrie diamantaire. Dix ans après, l’Afrique du Sud en est devenue l’acteur central et la production mondiale de diamants a été multipliée par dix.

L’histoire de l’exploitation de diamants en Afrique du Sud démontre parfaitement que la disruption a toujours fait et fait encore partie intégrante du monde des affaires. Aujourd’hui, la disruption est souvent associée aux technologies mais, en réalité, elle représente tout ce qui crée des changements profonds et rapides. Dans mon allocution à la conférence de l’IOD, j’ai souligné que la vitesse à laquelle la disruption peut apparaître, ce que j’appelle la vélocité du changement, constitue aujourd’hui un risque significatif pour toutes les organisations.

Une autre disruption qui a secoué l’industrie du diamant est la campagne menée par le Gemological Institute of America au début des années 1940, qui visait à standardiser le système d’évaluation de la qualité des diamants. Le système des 4C que l’on connaît bien — Cut (taille), Clarity (pureté), Color (couleur) et Carat (poids) — était simple mais révolutionnaire à l’époque de son introduction.

Lors de mon discours aux professionnels de la gouvernance sud-africains, j’ai admis que la question « où étaient les auditeurs internes ? » était celle que je redoutais le plus après un fiasco. J’ai également indiqué qu’elle allait de pair avec une autre question : « où était le conseil d’administration ? ». Voilà une autre origine de ce genre de débâcle qui devrait retenir toute notre attention.

Pour rester dans la logique du principe des 4C pour évaluer la qualité d’un diamant, j’ai proposé les 5C qui devraient inquiéter aussi bien les administrateurs que les auditeurs internes en ce milieu d’année 2019.

Vélocité du changement (Change Velocity). La vélocité du changement est un facteur direct de la vitesse du risque. Elle est influencée par beaucoup de choses, notamment la technologie, la géopolitique et les catastrophes naturelles. Tous les acteurs du processus de management des risques devraient être pleinement conscients de la vitesse avec laquelle une disruption importante peut survenir et impacter l’organisation. Ce risque dépend aussi bien de la capacité de l’organisation à faire face à l’inattendu que de la perturbation elle-même, ce qui m’amène au deuxième C de la liste, la gestion de crise.

Gestion de crise (Crisis Management). La façon dont une organisation survit à une crise découle directement du plan qu’elle a mis en place pour la gérer. Il est donc essentiel d’avoir une fonction d’audit interne vigilante et proactive en matière de gestion de crise. Cela implique, dans un premier temps, de fournir l’assurance que les plans de prévention des catastrophes sont bien en place et sont suffisamment flexibles pour faire face à des chocs soudains, mais aussi suffisamment robustes et détaillés pour donner des lignes directrices appropriées. Quand une crise survient, l’audit interne doit fournir une assurance concrète sur la manière dont les plans de gestion de crise sont exécutés.

Comme dans le cas de la vélocité du changement, les organisations doivent identifier les signes avant-coureurs de crise. Il est tout aussi important que l’audit interne fasse en sorte que l’organisation reste positive, en l’aidant à identifier les brefs moments durant lesquels une crise peut se transformer en opportunité.

Cybersécurité. En un peu moins d’une décennie, la cybersécurité, qui n’était alors qu’un obscur problème d’informatique, est devenue un enjeu majeur pour pratiquement toutes les organisations. Le risque d’atteintes financières, à la réputation et, de plus en plus, aux règlementations s’accroît chaque année de manière exponentielle. En effet, au cours de ces cinq dernières années seulement, le management des risques dans le domaine de la cybersécurité, qui consistait auparavant à prévenir les cyberattaques, couvre désormais la réponse aux inévitables incidents de cybersécurité, la protection des données ainsi que la conformité aux lois et réglementations de plus en plus strictes en matière de confidentialité des données. En parallèle, le risque d’atteinte à la réputation ne cesse d’augmenter à mesure que le public, qui était il y a encore peu de temps désemparé face au volume de violations de données, commence à demander des comptes.

Conformité. La conformité réglementaire figure parmi les cinq risques principaux cités dans quasiment toutes les enquêtes menées auprès d’administrateurs et de dirigeants d’entreprise. Suite à l’adoption de lois telles que le Règlement Général sur la Protection des Données en Europe et le California Consumer Privacy Act aux Etats-Unis, la cybersécurité a donné lieu à un risque de conformité d’un nouveau genre pour les organisations. Ce dernier promet d’apporter son lot de complexités et d’exigences au fur et à mesure que d’autres pays et territoires adoptent des lois visant à protéger les données des clients. J’ai écrit par le passé que l’amplitude du pendule réglementaire a tendance à augmenter en période de crise. Or, nous nous trouvons justement dans l’une de ces périodes.

Culture. S’il est vrai qu’elle attire moins l’attention, la culture n’en demeure pas moins un risque important en raison de son impact significatif sur beaucoup d’autres domaines de risque. La culture de l’organisation influence tous les aspects de la gestion des risques, depuis les efforts consentis pour stopper de simples attaques de phishing jusqu’à la capacité générale de l’organisation à recueillir, gérer, exploiter et protéger les données.

L’audit interne doit gagner en aisance ainsi qu’en compétence quand il s’agit d’auditer la culture, mais il doit aussi faire réaliser aux parties prenantes que la culture est omniprésente dans le portefeuille des risques.

Les 5C du risque que nous devrions tous redouter sont inévitablement interconnectés. La vélocité du changement impacte et dicte la gestion de crise tout comme la culture influence la cybersécurité et la conformité. Les conseils d’administration doivent rester en état d’alerte par rapport à ces risques et l’audit interne doit éduquer les parties prenantes sur cet entrelacs complexe de risques et être prêt à fournir une assurance et un éclairage pour aider l’organisation à les gérer.

Comme toujours, je me réjouis de lire vos commentaires.

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.