Accueil / blog / Prévision des risques : l’anticipation des tempêtes par les auditeurs internes

Prévision des risques : l’anticipation des tempêtes par les auditeurs internes

Les auditeurs internes le savent bien, expliquer notre métier déboussole souvent les non-initiés. Ce fut donc une agréable surprise lorsqu’un docteur à qui j’ai récemment exposé les fondamentaux de l’audit interne a immédiatement saisi sa valeur pour une organisation. « Vous êtes comme le tonnerre avant l’orage », a-t-il observé. Une jolie tournure de phrase qui fait deviner de manière intelligente ce que font les auditeurs internes. Mais plus j’y pense, plus je suis convaincu que cette expression n’est qu’une entrée en matière. En effet, les constats d’audit interne qui mettent en lumière une gestion des risques inefficace, une conception ou une mise en œuvre défectueuses des dispositifs de contrôle ou tout autre problème qui amplifie les risques peuvent sonner comme un grondement de tonnerre pour les parties prenantes. Toutefois, les auditeurs internes modernes qui souhaitent fournir une analyse prospective doivent utiliser des outils plus sophistiqués et ne pas seulement se contenter de leurs yeux et de leurs oreilles. Pour poursuivre la métaphore, les auditeurs internes agissent souvent comme des météorologues professionnels. Auparavant, ces derniers étaient obligés d’avoir recours à des outils rudimentaires tels que des thermomètres, des baromètres ou encore des ballons-sondes. Ces instruments permettaient rarement de détecter l’arrivée de puissantes tempêtes de neige, ouragans ou tornades, ce qui entrainait des pertes importantes en vies humaines. Au 21ème siècle, les météorologues s’appuient désormais sur des technologies de pointe comme le radar Doppler ou les satellites afin d’anticiper les catastrophes climatiques très en amont de leur occurrence. Ils sont en mesure de surveiller l’approche d’un ouragan des jours, voire des semaines à l’avance ou d’alerter la population de la formation d’une tornade meurtrière assez tôt pour que toutes les personnes se trouvant sur son chemin puissent trouver un refuge. Les facteurs qui ont un impact sur le climat sont aussi complexes que ceux qui influencent les risques et le management des risques. Les comprendre et trouver des solutions pour les surveiller et les maîtriser sont des objectifs communs aux deux professions. Bien que les auditeurs internes ne possèdent pas de radar Doppler magique qui détecte le risque d’une fraude massive, d’une conformité ou de protocoles de cybersécurité inefficaces, nous avons à notre disposition des outils comme l’analyse de données, l’audit en continu et, de plus en plus, l’intelligence artificielle qui tirent profit de la technologie et qui, non seulement, sondent le présent mais alertent aussi sur les dangers qui guettent les organisations si les directions générales et les Conseils se complaisent dans l’autosatisfaction. Les progrès technologiques ont un rôle indéniable dans le développement de la profession. Ils ont permis l’élimination d’innombrables heures de revue fastidieuse de dossiers, la rationalisation des processus, l’amélioration de l’exactitude de nos travaux et ont libéré le temps et les ressources nécessaires pour étendre le périmètre des services que nous rendons aux organisations. Cependant, il faut aussi prendre conscience que la technologie n’est qu’un instrument et non pas une solution clé en main. Un rapport de la Maison-Blanche intitulé « Preparing for the Future of Artificial Intelligence » publié en 2016 indique que la meilleure manière d’utiliser l’intelligence artificielle est de la combiner avec l’intelligence humaine. Certains redoutent qu’une dépendance accrue à la technologie puisse nuire à la valeur de l’audit interne pour l’organisation. Je me suis déjà exprimé à ce sujet : je ne considère pas les technologies de pointe comme une menace fondamentale pour l’audit interne. Ce sont des outils qui peuvent nous aider à cibler les domaines à enjeux et à améliorer notre efficacité. Mais ces technologies n’auront jamais en soi la capacité de jugement ou d’intuition qu’ont les meilleurs auditeurs internes. En effet, les auditeurs ne se contentent pas d’indiquer s’il y a un problème ; ils doivent en déterminer l’origine (la cause première) et formuler des recommandations pour éviter qu’il ne se reproduise. La « prospective » se définit comme « la capacité à prévoir ou l’action de prévoir ce qu’il se passera ou sera nécessaire à l’avenir ». Comme pour la météo, peu importe ce qui s’est passé hier ou aujourd’hui ; nous devons aussi parler du futur. L’audit interne dispose-t-il d’outils qui pourraient s’apparenter à un satellite météorologique pour repérer les risques d’ouragans ou de typhons et les suivre précisément tandis qu’ils s’approchent de l’organisation ? Pas tout à fait. Néanmoins, nous avons un certain nombre de techniques et de bonnes pratiques en complément des outils technologiques pour élargir notre perspective et avoir une meilleure vision des risques encourus par l’organisation.
  • La gestion intégrée (integrated thinking) et le management des risques de l’entreprise sont des démarches au sein de l’organisation qui facilitent l’activité des auditeurs internes. Lorsqu’elles sont correctement mises en œuvre, ces pratiques cassent les silos qui ont tendance à masquer les risques ou à amoindrir leur maîtrise. L’audit interne peut jouer un rôle significatif en donnant une assurance quant à l’efficacité de ces démarches.
  • Une connaissance fine de l’organisation et de son environnement ainsi qu’une expertise dans le secteur d’activité améliorent la capacité des auditeurs internes à percevoir les impacts de deuxième et de troisième rang. Ces aptitudes améliorent également leur perspicacité et leur vision prospective.
  • Une collaboration effective avec les responsables de la maîtrise des risques, notamment les risk managers et les responsables de la sécurité des systèmes d’information, permettent aux auditeurs internes d’être au courant de leurs observations et d’identifier des lacunes potentielles.
Les parties prenantes se tournent de plus en plus vers l’audit interne pour être alertées de l’émergence de risques le plus en amont possible de leur matérialisation. De récentes études indiquent que la stratégie du management des risques sera le prochain domaine où il nous sera demandé de remettre en perspective ces lignes de fuite. Pour se faire, nous devons constamment chercher de nouveaux moyens innovants d’obtenir une image satellite des risques. Dans ma jeunesse, j’étais passionné par la météo et souhaitais devenir météorologue. Avec le temps, je suis devenu plus pragmatique quant à mes aspirations professionnelles. Toutefois, j’observe aujourd’hui des analogies fascinantes entre le métier de mes rêves et celui que j’exerce : les deux se focalisent sur l’avenir. Comme toujours, vos remarques sont les bienvenues.   Richard Chambers Information Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d'audit interne.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *