Skip Ribbon Commands
Skip to main content
Global Institute of Internal AuditorsBreadcrumb SeparatorKnowledge and ResearchBreadcrumb SeparatorChambers Blog (French)Breadcrumb SeparatorNouveau rapport de l’IIA : des pistes précieuses pour appréhender les risques de 2021

​Nouveau rapport de l’IIA : des pistes précieuses pour appréhender les risques de 2021

Toute crise s’accompagne d’un certain degré d’introspection, qu’il soit d’ordre personnel, organisationnel ou sociétal. Celle du COVID-19 ne fait pas exception. Dans une tentative de rationaliser le plus grand défi planétaire de ce siècle, l’incidence de la pandémie sur les relations interpersonnelles, la culture, la politique, l’économie et les technologies a déjà fait couler beaucoup d’encre ; à commencer par ce blog, où j’ai moi-même fait part de nombreuses réflexions à ce sujet.

Cette semaine, l’IIA publie OnRisk 2021: A Guide to Understanding, Aligning, and Optimizing Risk (OnRisk 2021 – Un guide pour comprendre, aligner et optimiser les risques), un document éclairant sur la crise et sur ses conséquences pour les organisations. La vocation de ce rapport, dont la première édition remonte à l’an dernier, n’est pas de lister les effets du COVID-19 sur le management des risques et la gouvernance. Il se veut au contraire un guide des principaux points à prendre en considération pour faire converger les priorités du conseil d’administration, de la direction générale et de l’audit interne en matière de risques. Néanmoins, comment évoquer les risques auxquels nous faisons face aujourd’hui sans aborder le sujet qui nous préoccupe tous ?

Les résultats de l’étude OnRisk 2021 seront officiellement présentés à la Conférence internationale de l’IIA, rassemblement annuel des principaux responsables d’audit interne du monde, dont l’édition 2020 sera entièrement virtuelle – autre exemple de bouleversement causé par la crise sanitaire.

Ce rapport ne se contente pas d’observer les retombées manifestes des mesures de confinement, des incertitudes sur le plan économique et des perturbations de l’organisation du travail occasionnées par le coronavirus. Il étudie de quelle manière la pandémie a, dans la plupart des cas, renforcé l’alignement des acteurs du management des risques sur des sujets comme la continuité d’activité, la gestion des risques et la communication. Il s’intéresse à l’influence que le virus ne devrait pas manquer d’avoir à long terme sur l’accélération du virage technologique. Enfin, il explore de quelle façon l’adoption des nouvelles technologies affectera la cybersécurité, la gestion des talents et l’innovation de rupture, entre autres facteurs de risques.

Tout comme pour le premier numéro paru l’an dernier, l’intérêt de cette publication réside dans l’analyse comparée de la perception des risques par les principaux intéressés. Les observations et informations qui y figurent donnent également la possibilité à chaque organisation de mener sa propre analyse introspective du management des risques et de la gouvernance.

Le rapport OnRisk 2021 s’appuie sur une approche à la fois qualitative et quantitative, dont l’objectif est d’évaluer la perception, par le conseil d’administration, le management exécutif et l’audit interne, de 11 grands risques auxquels les organisations feront face dans l’année à venir. Pour ce faire, il a été demandé aux répondants d’évaluer la connaissance qu’ils estiment avoir de chacun de ces risques, la capacité de leur organisation à les gérer et le degré de pertinence que ces risques revêtent pour celle-ci. Si les résultats témoignent d’un alignement accru sur les deux premiers aspects, ils révèlent une dissonance potentiellement troublante sur le troisième point, à savoir la pertinence des risques.

La publication de ce rapport tombe à point nommé pour de nombreuses fonctions d’audit interne, qui pourront ainsi en exploiter les conclusions pour alimenter leurs plans d’audit et leurs évaluations annuelles des risques pour 2021. Cette étude formule cinq grands constats qui balayent un large éventail de défis et d’axes d’amélioration :

  • Continuité d’activité et gestion de crise d’une part et cybersécurité d’autre part sont les principaux risques mis en avant pour 2021. Les défis inédits découlant de la crise sanitaire ainsi que la dépendance croissante aux technologies et aux données ont propulsé ces deux sphères de risque tout en haut du classement. Si les deux sont souvent citées de pair, c’est parce que certaines menaces cyber sont accentuées par le basculement en télétravail soudain des collaborateurs, dont le domicile constitue un environnement moins sécurisé, mais aussi en raison du formidable essor du commerce électronique, corollaire des mesures prises pour endiguer l’épidémie.
  • Deux des risques font émerger des priorités d’amélioration pour les organisations. Toutes les catégories de répondants citent l’innovation de rupture et la gestion des talents parmi les risques qu’ils jugent les plus pertinents. Et pourtant, lorsqu’on les interroge sur leur connaissance individuelle de ces risques et la capacité de leur organisation à les gérer, les dirigeants se situent sur la partie basse du spectre de réponses.
  • Il n’est pas rare que le degré de pertinence des risques diffère selon qu’il est perçu par la direction générale ou par le conseil d’administration et l’audit interne. Les administrateurs et les responsables d’audit interne se rejoignent en grande partie sur leur évaluation de la pertinence des risques étudiés dans le rapport OnRisk 2021, alors que les dirigeants, eux, accordent à ces risques une considération globalement inférieure, avec un écart particulièrement marqué s’agissant de la gouvernance et de la volatilité économique et politique. En effet, ces derniers jugent plus pertinents les risques opérationnels tels que la gestion des talents, la culture d’entreprise et la continuité d’activité.
  • Sur la capacité à gérer les risques, les points de vue sont davantage alignés. Cette année, les réponses concernant les capacités de l’organisation à gérer les risques sont plus ramassées. L’excès de confiance manifesté par le conseil d’administration dans le rapport de l’an dernier semble s’être atténué. La gestion de la crise, en partie axée sur le renouvellement des évaluations des risques et sur une concertation plus étroite des différents acteurs du management des risques, a probablement contribué à la convergence des points de vue quant aux forces et aux faiblesses de l’organisation.
  • La gouvernance de l’organisation est un risque moins pertinent pour la direction générale que pour le conseil d’administration et l’audit interne. L’écart de perception de la gouvernance de l’organisation comme un risque pertinent est aussi éloquent que significatif. Le fait que la direction générale estime que ce risque ait une pertinence moindre, associé à un niveau de considération élevé sur les deux autres axes (connaissance individuelle et capacité de gestion par l’organisation), témoigne d’un excès de confiance dans ce domaine et d’une déconnexion par rapport à la position du conseil d’administration et de l’audit interne.

Enfin, le rapport propose une analyse détaillée des 11 risques clés étudiés et formule des recommandations pour chacun des trois types d’acteurs du management des risques.

Je conclurai en reprenant les premières lignes du rapport, dont je trouve le point de vue particulièrement profitable :

Le risque fait partie intégrante de la théorie économique moderne. En effet, depuis que l’humanité fait société ou presque, sa volonté d’identifier, d’exploiter et de gérer les aléas l’a conduite à se dépasser. Du fait de la complexification, de la mondialisation et de l’enchevêtrement toujours plus dense des structures sociales, économiques et institutionnelles, il est plus que jamais nécessaire – et difficile – de maîtriser l’art et la science du management des risques.

En tant qu’auditeurs internes, « l’art et la science du management des risques » sont des choses que nous devons sans cesse nous efforcer de « maîtriser ». Des rapports comme le OnRisk nous fournissent des pistes précieuses pour y parvenir. S’il ne fallait en retenir qu’une chose, il s’agirait sans doute de l’hypothèse qui constitue son fondement même, à savoir que les chances de réussite de l’organisation sont nettement plus élevées lorsque son conseil d’administration, sa direction générale et sa fonction d’audit interne sont sur la même longueur d’onde.

Comme toujours, je me réjouis de lire vos réactions.

Richard F. Chambers, Président et CEO du Global Institute of Internal Auditors, écrit un article hebdomadaire pour InternalAuditor.org sur les questions et tendances relatives à la profession de l’audit interne.