Comment la pandémie contribue à remettre en cause certaines de nos certitudes d'auditeurs

Dans un article récent rédigé pour Internal Auditor, Mike Jacka, membre de l’IIA et co-fondateur de Flying Pig Audit, Consulting, and Training Services (FPACTS), revient sur les notions d’incertitude et de risque, à la lumière des événements récents liés à la Covid-19. Selon lui, tout auditeur devrait aujourd’hui se poser des questions sur comment lesdites notions sont traduites parfois à tort dans la façon dont nous dressons nos évaluations et établissons nos rapports.

Senior auditor de plus de 30 ans d’expérience et formateur pour l’IIA (Institute of internal auditors), Mike Jacka cite Austin Kleon, auteur américain, qui racontait l’anecdote suivante dans l’un de ses derniers articles pour le New York Times intitulé « Personne ne sait rien » : « Ce matin, je me promenais avec mon épouse lorsqu’elle a évoqué la différence entre le risque et l’incertitude dont parle Arthur Brooks dans son article expliquant “comment garder son calme durant la pandémie”. “L’incertitude”, écrit-il, “implique des résultats possibles mais inconnus et donc des probabilités inconnaissables. Le risque renvoie à des résultats possibles et connus, ainsi qu’à des probabilités que l’on peut estimer”. Selon Arthur Brooks, nous essayons de transformer l’incertitude en risque en nous noyant dans les informations – et c’est là où le bât blesse. »

Pour Mike Jacka, « les auditeurs internes sont enclins à se considérer comme des experts en matière de risque. Notre travail devrait essentiellement consister à discuter du risque, de l’incertitude et de la relation existant entre ces deux notions ». Or, selon lui, les auditeurs se tromperaient fréquemment sur le sens de termes basiques ou tout au moins n’en partageraient pas forcément la même définition.

Prenant un exemple de « risque basique », Jacka évoque une organisation s’étant fixée pour objectif légitime de "réaliser des bénéfices".

« Cette organisation, dans le cadre de ses recherches exhaustives sur les risques liés à cet objectif, » explique- t-il, « part de l’affirmation suivante : “Le principal risque est de ne réaliser aucun bénéfice.” Je précise (...) que la formulation laisse à désirer, mais vous voyez où je veux en venir ». Mike Jacka écrit que lorsqu’il a posé la question suivante dans divers séminaires ou présentations – « Combien d’entre vous pensent qu’il s’agit d’un risque ? » - 50% des personnes présentes « ont eu tort ». Pourquoi ? Parce que « ne réaliser aucun bénéfice ne constitue pas un risque ». « En effet, » écrit-il dans Internal Auditor, « un risque ne peut tout simplement pas être le contraire d’un objectif (...) Or, 50 % des professionnels de l’audit interne – qu’ils soient jeunes ou moins jeunes, débutants ou chevronnés, auditeurs juniors ou responsables d’audit interne – font fausse route à ce sujet. Nous nous considérons comme des experts, alors que nous ne maîtrisons pas les concepts les plus élémentaires. Nous sommes même incapables de définir correctement ce qu’est un risque ».

Une déclaration sans doute un peu provocatrice mais que l’auteur tente d’étayer en poursuivant son raisonnement : « Si le risque renvoie à la possibilité de survenance d’un événement qui impactera les objectifs, nous ne pouvons pas savoir s’il convient de se préoccuper d’un risque donné tant que nous ignorons s’il peut se produire. Tout ce qui ne peut être compris (et, idéalement, quantifié) relève de l’incertitude, laquelle implique des probabilités inconnaissables. Et lorsque l’incertitude est trop grande, nous n’avons au mieux qu’une vague compréhension du risque réel et sommes donc dans l’incapacité d’en déterminer l’impact sur les objectifs. Nous en sommes probablement tous conscients, mais n’avons-nous pas tendance à l’oublier dans le cadre de notre travail et de nos missions d’audit ? ».

En se rapportant à la rédaction des rapports d’audit, ceux-ci devraient donc inclure « l’impact et les conséquences de cette problématique (...) : perte financière, manque d’efficacité, détérioration de la marque et même l’éventail complet d’impacts susceptibles de figurer dans nos rapports ». Mike Jacka pose alors les questions suivantes : « À quel point avez-vous réfléchi au lien entre ces impacts et l’évaluation des risques sur laquelle repose la mission d’audit ? Prenez-vous le temps de vous assurer que le rapport de fin de mission correspond à ce que vous étiez censé déterminer au départ ? Qu’en serait-il si nous portions ce regard rétrospectif ? ». Pour lui, « si nous reconsidérions nos déclarations en matière d’impact à l’aune des risques identifiés au début de la mission d’audit, nous serions incapables de déterminer comment nous sommes réellement parvenus à nos conclusions ». Notre évaluation des risques est basée sur les informations disponibles. « Certaines nous semblent incomplètes, » poursuit-il, « mais nous les utilisons quand même. Il en résulte une part d’incertitude, que nous compensons à grand renfort d’informations supplémentaires, tout en nous fondant sur nos expériences passées et notre bonne vieille intuition. L’incertitude déjà ancrée dans cette évaluation commence à s’amplifier, car l’incertitude appelle l’incertitude. “Nous devons tester ce domaine”, “Il y a toujours un problème à ce niveau” ou encore “Ce point ne mérite pas que l’on s’y attarde” : autant de décisions prises sur un coup de tête et guidées par la confiance absolue (démesurée ?) en notre expérience ».

« Il se peut que je tire ici des conclusions hâtives – nombre d’entre vous ne sont peut-être pas concernés – ou même que je sous-estime l’ensemble de la profession (...) Je n’attends qu’une chose : que vous me prouviez que j’ai tort. (Je vous croirai même sur parole !) » conclut Mike Jacka. « Mais si vous n’avez pas regardé en arrière, si vous n’avez pas fait de comparaison, alors prenez le temps de vous assurer que votre rapport final ne repose pas sur des incertitudes ».

Lire la version intégrale de l’article de Mike Jacka :