Accueil / actualités / Jouer à se faire peur… les serious games sont-ils un test acceptable pour l’audit interne ?

Jouer à se faire peur… les serious games sont-ils un test acceptable pour l’audit interne ?

Jouer à se faire peur... les serious games sont-ils un test acceptable pour l'audit interne ?

À de rares exceptions près, l’audit interne intervient assez peu en situation de crise. L’audit est parfois attendu dans l’analyse, a posteriori d’un événement majeur. Établir un retour d’expérience par exemple permet de constater à froid, les éventuels dysfonctionnements observés et de proposer des recommandations adaptées, tant sur le plan matériel qu’organisationnel. Mais c’est bien dans le cadre de sa mission de contrôle a priori que l’audit est amené à connaître du dispositif global de la continuité et à en évaluer l’entièreté et l’efficacité. Parmi les points à examiner, il y a les exercices de crise réalisés. Combien ? Quel péri- mètre ? Quel suivi des recommandations ? Ces modalités nous amènent à poser la question suivante : les exercices de crise sont-ils conçus et animés de manière à répondre aux attentes de l’audit interne ? Des exercices de crise pour évaluer un dispositif De prime abord, la réponse semble positive. Du moins... on peut affirmer qu’il n’y a pas d’incompatibilité. L’audit s’assure que les objectifs assignés aux exercices ont bien été atteints, que ces objectifs démontrent un niveau d’exi- gence supérieur année après année et ce, conformément au programme de maintenance en conditions opération- nelles. L’audit vérifie à travers ces tests que les solutions de repli sont opérationnelles, que les utilisateurs sont en capacité de se connecter à leur environnement informatique, que les informations sont bien remontées à la cellule de crise... En cas d’écart, des recommandations sont établies et donnent lieu à des plans d’actions. Des crisis games pour susciter de l'adhésion  D’un autre côté, certains exercices de crise sont aussi le moyen de s’affranchir de la stricte évaluation d’un système. Ils permettent d’engager de la pédagogie sur les actions réflexes à mettre en œuvre en situation dégradée. Cette approche convient en général à des dispositifs jeunes (qui nécessitent une forte appropriation des acteurs de crise mobilisés) ou alors à des dispositifs plus matures (pour lesquels il importe de re-communiquer sur les grands principes fondateurs). Dans ces cas, ce n’est plus un dispositif de maîtrise du risque qui est évalué mais plutôt la capacité individuelle et collective à faire preuve de résilience. Aussi, au-delà des mises en situation « sur table », il est conseillé de mettre en œuvre des leviers différents. Plateformes digitales de jeu, Crisis game, Lego serious crisis... Autant de possibilités de traiter d’un événement majeur sous un mode à la fois ludique et stratégique.
La gamification repose sur la construction d’interactions multiples avec un ou plusieurs joueurs qui vont être projetés dans un univers fortement dégradé dans lequel est compromise la survie de l’organisation. Ces joueurs peuvent s’inscrire dans différents contextes : • La compétition avec une équipe adverse ou un adversaire isolé. Ces modalités fonctionnent très bien dans un environnement de lutte contre la malveillance. Dans le cadre d’un cyber-jeu par exemple, il est possible d’opposer une équipe de hackers externes versus une équipe de défenseurs, issus de l’entreprise... • La progression dans un parcours. Ici, l’objectif est de définir la meilleure stratégie pour arriver au point final. Différentes options sont proposées aux joueurs, charge à eux de prendre la bonne décision afin de pou- voir évoluer le plus loin et le plus longtemps possible. Un sinistre majeur s’inscrit dans plusieurs composantes dimensionnelles : juridique, opérationnelle, client, média, RH... Laquelle adresser de manière prioritaire ? • La recherche de « la » solution. Il s’agit de contraindre les participants en les enfermant dans une énigme à résoudre, ce qui nécessite de trouver des solutions ad-hoc pour s’en affranchir selon une logique Escape game. Dans le domaine de la gestion de crise, l’intérêt de la gamification est double. D’une part, pouvoir sensibiliser un large public, qui dépasse le cercle de la cellule décisionnelle avec ses membres titulaires et suppléants. Et favoriser d’autre part, l’émergence de nouveaux ambassadeurs plus jeunes, plus réactifs et plus digital native, qui auront l’opportunité de parler de leur expérience immersive de crise avec leurs collègues. Mais il existe d’autres avantages à ces jeux de crise qui militent en faveur de leur déploiement en parallèle des exercices classiques. D’abord, parce que déployés sur des supports numériques, ils peuvent être utilisés par- tout et à tout moment. Ensuite du fait qu’ils sont susceptibles de favoriser l’engagement de tout collaborateur grâce à l’incarnation de fonctions très improbables au regard de la réalité (« Je suis le Directeur général »). Ils permettent enfin de challenger des décisions et de se dépasser sans sentiment de contrainte ni de perte, voire en éprouvant des gratifications (« Aujourd’hui nous avons réussi à sauver tant de personnes... »). Intégrer l'audit interne dans les jeux de crise Ces enjeux ne sont pas fondamentalement éloignés de ce que peut observer l’audit interne dans le cadre de ses investigations. C’est pourquoi, il n’est pas non plus tout à fait inconcevable de faire participer l’audit à l’élaboration de tels jeux de crise pour s’assurer que ces formats, mêmes décalés, constituent des tests acceptables... Parce que « jouer à se faire peur » permet d’instrumentaliser les situations extrêmes pour apprendre collectivement, à la fois de ses échecs et de ses succès. Par Clotilde Marchetti, Associée Grant Thornton, Eric Caspers, IFACI Hauts de France et DFCG Hauts de France, Yves Levant, SKEMA.

A propos joanna

Avatar