Audit interne et risques émergents : De l’observatoire au bureau

Les auditeurs internes ont établi une tradition durable et respectable en tant que pourvoyeurs d’analyses rétrospectives. Presque chacun d’entre nous est passé maître dans l’art d’examiner les données de l’année précédente et de dire aux dirigeants où les erreurs ont été commises. Bien que l’approche rétrospective soit indispensable à l’audit, avoir une excellente vue sur le passé n’est pas notre compétence la plus précieuse. Dans la plupart des cas, les clients ont déjà conscience des erreurs du passé.

Avec l’avènement de l’audit opérationnel et l’intégration des missions de conseil à notre portefeuille de services, nous sommes aussi devenus des pourvoyeurs de perspectives. Ce nouvel éclairage est souvent plus apprécié de nos parties prenantes, assaillies de toutes parts, mais il a aussi ses limites à une époque où les risques émergent à la vitesse de l’éclair. Ainsi, ce qui est de l’ordre de la mise en perspective aujourd’hui peut vite apparaître comme dépassé du jour au lendemain.

Ces deux activités auront toujours leur utilité, mais c’est la vision prospective qui représente la principale source de valeur. Les parties prenantes préfèrent se préparer pour le futur plutôt que de revisiter le passé ou s’appesantir sur le présent. Il est temps que les auditeurs internes tournent leurs télescopes vers l’avenir. Nous devons nous concentrer sur les risques de demain si nous voulons non seulement préserver la valeur de nos organisations mais aussi l’accroître.

Et pourtant les parties prenantes ne sont généralement pas convaincues de notre capacité à détecter les risques émergents. Selon une enquête réalisée en 2016 par KPMG, seulement 10% des directeurs financiers et des présidents de comités d’audit interrogés estimaient que leur fonction d’audit interne identifiait et prenait en compte de manière adéquate les risques émergents qui menacent leurs sociétés.

Au cours de l’année écoulée, j’ai souvent eu recours à la météorologie pour décrire les défis et les opportunités qui attendent l’audit interne. L’identification des risques est, à maints égards, comparable aux prévisions météorologiques. Quand nos parents et grands-parents étaient jeunes, il n’y avait pas de radar météorologique. S’ils étaient curieux ou soucieux de savoir si le temps allait changer, ils n’avaient pas d’autres options que de regarder par la fenêtre ou de gravir une colline et scruter l’horizon pour détecter d’éventuels orages. Leurs prévisions météorologiques étaient, bien sûr, souvent erronées. Certes, monter au sommet d’une colline offre une meilleure visibilité, mais les variations atmosphériques sont bien trop complexes pour savoir si les nuages sont portés ou non par des vents dangereux ou même s’ils se dirigent vers vous.

C’est pourquoi les météorologues modernes emploient des méthodes plus sophistiquées. Ils surveillent les tempêtes à l’aide de radars Doppler. Ils utilisent des images satellite pour enregistrer la formation de nuages autour de la terre, entrent les données dans des superordinateurs et utilisent des équations statistiques et des algorithmes avancés pour créer des modèles de prévision plus précis. Naturellement, nous savons tous que même les météorologues peuvent parfois se tromper mais leur fiabilité s’est considérablement accrue grâce à l’apparition de nouveaux outils et de nouvelles technologies.

Que nous soyons dans un observatoire ou au bureau, nous devons tous améliorer notre connaissance des risques. Or, les météorologues ont beaucoup à nous apprendre dans ce domaine. Il ne se contentent pas d’observer le temps et de deviner ce que l’avenir nous réserve. Ils utilisent toutes les ressources à leur disposition pour identifier les zones potentiellement touchées et les phénomènes climatiques avant que les tempêtes ne se forment ou ne causent des dégâts importants.

Les auditeurs internes et les météorologues ont beaucoup en commun, mais notre champ d’action est beaucoup plus étendu que le leur. Il comprend presque tous les types de risques, de l’impact des fluctuations des marchés aux problèmes d’ordre financier ou de conformité, en passant par les pandémies. Par conséquent notre vision doit aller bien au-delà du futur immédiat.

Il serait bien utile de disposer de technologies comme le radar Doppler pour identifier les risques émergents. De tels outils pourraient exister un jour mais pour l’heure nous devons créer notre propre radar virtuel pour détecter et surveiller les risques émergents ou imminents. D’où la nécessité d’adopter une approche plus analytique.

Comme le partenaire de KPMG, Michael Hill, l’a fait remarquer « les risques émergents peuvent avoir diverses origines comme des mutations économiques ou démographiques, des changements dans la concurrence, des progrès techniques ou des préférences clients ». Il y a donc beaucoup de choses à surveiller dans ce domaine. L’horizon est tellement vaste que la tâche est simplement trop ardue pour un seul responsable de l’audit. Il faudrait mobiliser toute la « communauté » des auditeurs internes pour assurer le suivi des risques émergents d’une organisation donnée. De la même façon que l’ensemble des ressources de la fonction sont engagées au moment de l’élaboration des plans annuels d’audit interne, tous les experts disponibles devraient être déployés pour identifier et surveiller les risques émergents. Par exemple, les collaborateurs les plus compétents dans le domaine des SI devraient être affectés à la surveillance des risques technologiques.

Fred Stuckel, vice-président du management des risques d’entreprise (Enterprise Risk Management – ERM) et de l’audit chez Express Scripts, a partagé le processus utilisé dans son entreprise pour identifier les risques émergents dans une vidéo récente postée par la North Carolina State Poole College of Management’s Risk Management Initiative. Il explique que son équipe et lui-même « passent énormément de temps sur Internet et les médias sociaux. » Ils « lisent des journaux internationaux traduits en anglais pour obtenir des perspectives différentes sur l’impact que des changements, quelle que soit leur nature, pourraient avoir sur les États-Unis ou sur les marchés mondiaux ».

Il n’y a pas de solution miracle pour identifier les risques émergents. Comme pour toute évaluation de risques, c’est un savant mélange d’art et de technique. Toutefois, si l’audit interne ne regarde pas dans la bonne direction, la probabilité de les manquer est accrue. Tout comme les tempêtes de l’hémisphère nord arrivent souvent de l’ouest, les risques auxquels votre organisation peut être confrontée ont souvent les mêmes origines, parmi lesquelles :

• les prévisions économiques (macro-économiques et spécifiques à votre secteur) ;
• les risques stratégiques connus auxquels votre société doit faire face ;
• les nouvelles initiatives prévues par la société ;
• les perspectives législatives et réglementaires concernant votre secteur d’activité ;
• les évolutions géopolitiques et les risques politiques dans les parties du monde où votre société exerce ses activités ;
• les menaces et opportunités disruptives propres à votre secteur d’activité ;
• la performance de vos principaux concurrents ;
• les risques émergents qui font les gros titres dans les médias traditionnels ou sociaux.

L’identification des risques émergents devrait donner lieu à une collaboration avec les dirigeants. Après tout, il est possible que les dirigeants aient déjà identifié bon nombre des risques émergents qui menacent l’organisation. Nous devrions nous positionner comme des partenaires, et non comme des concurrents qui essayeraient de supplanter l’expertise du management dans ce domaine. Après avoir approuvé notre inventaire des risques émergents, nous devrions être prêts à partager nos perspectives avec le comité d’audit. Notre communication doit inclure nos propres plans en matière de surveillance et de traitement de ces risques en tant qu’auditeurs internes de l’organisation.

Nous sommes entrés dans une ère où les crises n’ont plus rien d’exceptionnel, et après chacune d’elle, la même question est posée : « Pourquoi ne l’avons-nous pas vue venir ? », « Où étaient les auditeurs internes ? ». Les meilleures fonctions d’audit interne du monde sont bien préparées pour répondre à ces questions et ce, en partie parce qu’elles se concentrent sur le futur, restent agiles, identifient et traitent de manière proactive les risques émergents.

L’analyse rétrospective est l’une de nos compétences les moins essentielles. Il est temps de braquer nos télescopes dans l’autre direction.