Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorLes tremblements de terre en Californie et la vague de chaleur en Europe : Les nouveaux « cygnes gris »

Les tremblements de terre en Californie et la vague de chaleur en Europe : Les nouveaux « cygnes gris ».

La semaine passée je suis arrivé en Californie un peu en avance pour préparer la Conférence Internationale de l’IIA de 2019. Le 4 juillet, j’étais en train de me relaxer à l’extérieur de mon hôtel quand j’ai été secoué par un tremblement de terre de magnitude 6.4 dont l’épicentre était à plus de 1,6 km. Quand la terre a cessé de trembler, je me suis demandé « Pourquoi n’ai-je pas pensé à un tremblement de terre lorsque j’ai envisagé tous les risques liés à notre conférence ? »

Le lendemain soir un tremblement de terre encore plus violent, de magnitude 7.1 cette fois, a frappé la région pendant que je dinais avec ma famille près du site de la conférence. Alors que nous nous remettions de nos émotions après la secousse, un des employés du restaurant nous a confié que, par le passé, le restaurant organisait des exercices de simulation de séismes, mais qu’il n’y en avait plus eu depuis des années.

Même avant les tremblements de terre de Californie, les médias avaient couvert la vague de chaleur qui sévissait en Europe. Au cours du mois de juin, les températures ont battu des records dans la plupart des pays du sud-ouest et du centre du continent, y compris en France, à Gallargues-le-Montueux où une température record de 45.9° C (114.6° F) a été observée.

Les températures extrêmes ont causé la mort de plus d’une douzaine de personnes dans des zones où les températures estivales atteignent rarement les 38° C (100° F). Il semble que la plupart des régions touchées aient été surprises par cette vague de chaleur, et mal préparées à y faire face.

Les séismes en Californie et la vague de chaleur en Europe nous rappellent que les phénomènes météorologiques et géologiques extrêmes peuvent être exprimés en termes de risques. Avant la semaine passée, il n’y avait plus eu de tremblements de terre majeurs en Californie depuis 20 ans. Et pourtant, les géologues nous mettent en garde depuis longtemps contre ce risque imminent. En Europe, les responsables de la santé publique sont pleinement conscients de l’importance et de l’intérêt d’être préparés à des phénomènes météorologiques dangereux. D’ailleurs, l’histoire récente suggère que les changements climatiques accroissent leur probabilité. En Europe, les étés les plus chauds de ces 500 dernières années ont tous eu lieu au cours des 17 dernières années. A l’échelle mondiale, 16 des 17 années les plus chaudes ont été enregistrées depuis 2000.  

J’ai souvent recours à la météorologie pour expliquer la valeur que l’audit interne apporte aux organisations. Les praticiens peuvent prévoir les risques et aider leurs organisations à y faire face. Les variables qui influencent le temps sont aussi complexes que celles qui influencent les risques et la gestion des risques. Comprendre ces variables et trouver des moyens de les surveiller et de les maîtriser sont des objectifs communs à l’audit interne et à la météorologie.

Les récents tremblements de terre et vagues de chaleur nous font penser à une autre analogie, celle du cygne noir. Le concept du cygne noir en gestion des risques a été proposé pour la première fois par l’essayiste et professeur Nassim Taleb dans son livre de 2007, « The Black Swan : The Impact of the Highly Improbable. »

Nassim Taleb a décrit les cygnes noirs comme des évènements réunissant trois caractéristiques : Ils sont rares, ils ont un impact extrême, et ils sont prévisibles de manière rétroactive (c’est-à-dire qu’ils seront probablement, avec le recul, considérés comme prévisibles). Depuis lors, d’autres ont suggéré que l’audit interne devrait se concentrer sur les “ cygnes gris” – des évènements « qui peuvent être, dans une certaine mesure, anticipés mais dont l’occurrence est considérée comme improbable et susceptibles d’avoir un impact important » selon Investopedia. Je pense que les séismes en Californie et les vagues de chaleurs en Europe tombent dans cette catégorie.  

Les tremblements de terre et le changement climatique ne datent pas d’hier ; les problèmes que la vague de chaleur a entraîné pour les gouvernements et les entreprises auraient probablement dû être prévus. En effet, le changement climatique est à l’origine d’un grand nombre de risques importants auxquels les organisations sont confrontées dans le monde. Selon le World Economic Forum de 2019, les phénomènes météorologiques extrêmes, les catastrophes naturelles, et l’absence de réaction et d’adaptation aux changements climatiques sont les trois risques majeurs en termes de probabilité et d’impact. En 2018 et 2019 ces derniers figuraient, au même titre que les cyberattaques et la falsification ou le vol de données, dans le top 5 des risques mondiaux les plus importants en termes de probabilité établi par le WEF.

Il existe d’autres cygnes gris potentiels, tels qu’un « hard Brexit », les retombées économiques des guerres tarifaires, les incertitudes géopolitiques, et les tensions entre les Etats-Unis et l’Iran qui pourraient dégénérer en conflit ouvert. Cela étant, comment l’audit interne peut-il préparer une organisation à ces cygnes gris ?

Il existe deux approches pour gérer l’incertitude. La première s’appuie sur une démarche que les auditeurs internes connaissent bien : évaluer l’impact et la probabilité d’un risque particulier. Les plans d’audit s’appuient sur ces deux caractéristiques depuis des décennies, mais celles-ci conviennent surtout aux risques inhérents et résiduels, à savoir les risques qui sont connus, compris, et pour lesquels il existe des dispositifs de contrôle pouvant être suivis et audités.

La deuxième vise à doter l’organisation de la flexibilité requise pour faire face à des risques inattendus en mettant en place des barrières de sécurité (pensez à la cybersécurité), des contrôles de qualité mais aussi en acceptant les licenciements, la maintenance et les tests. Ces mesures créent une résilience qui aide l’organisation à s’adapter aux changements, à gérer les disruptions, et à éviter les surprises.

Ce renforcement de la résilience de l’entreprise peut inclure des processus de test, des pratiques et le recours à des « équipes rouges ». Ces groupes indépendants jouent le rôle d’adversaires qui, pour prouver la résilience de l’organisation, testent au hasard l’efficacité de ses processus et pratiques.

Pour l’audit interne, la meilleure approche pour gérer les « cygnes gris » peut consister à adopter les meilleurs éléments de chaque approche. Les tremblements de terre et le changement climatique sont manifestement des risques connus et la planification de différents scenarios peut être intégrée dans la gestion des risques d’une organisation. Les audits des plans de gestion de crises, les tests de pénétration, et les « équipes rouges » ont aussi leur place.

Il est vrai que, compte tenu des contraintes en termes de temps, de ressources et de personnel, il est impossible d’avoir un plan pour toutes les éventualités. Mais ce n’est pas une raison pour ne pas soutenir tous les efforts visant à éliminer des risques qui devraient être prévisibles.

Comme toujours, je me réjouis de lire vos commentaires.

Richard Chambers

Pour information

Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.