Accueil / blog / Un premier coup d’œil aux priorités de l’audit interne en 2019

Un premier coup d’œil aux priorités de l’audit interne en 2019

La fin de l’année 2018 approche à une vitesse aussi rapide que celle du risque. Ce qui signifie que beaucoup d’entre vous sont en train de peaufiner leur plan annuel d’audit interne pour 2019. Je suis sûr que vous n’avez rien laissé au hasard et que le plan que vous allez présenter à votre comité d’audit reflète les priorités, fondées sur les risques, propres à votre organisation. Néanmoins, avant que l’encre ne sèche, j’ai pensé qu’un coup d’œil aux priorités que vos pairs se sont fixées pour l’année prochaine pourrait vous intéresser.

Les risques définissent le monde de l’auditeur interne. En fin de compte, ce sont eux qui façonnent nos plans d’audit, orientent nos parties prenantes et déterminent nos succès ou nos échecs. C’est pourquoi nous consacrons autant de temps et d’énergie à aider nos organisations à identifier, comprendre, atténuer et exploiter les risques. Pour pouvoir apporter une valeur ajoutée, il est essentiel que l’audit interne comprenne la combinaison unique de risques auxquels l’organisation est confrontée ainsi que l’appétence pour le risque des parties prenantes.

Certaines organisations produisent des rapports annuels dans lesquels elles tentent de scruter l’horizon pour distinguer les risques de l’année suivante. Il est parfois facile de les prédire car certains des risques les plus importants sont des risques à long terme, voire même perpétuels. La difficulté est d’identifier ou d’anticiper les risques inattendus, émergents ou atypiques qui peuvent apparaître dans les semaines ou les mois à venir, et ce dans l’espoir d’être prêt à y faire face ou à les utiliser au profit de l’organisation.

Deux rapports récemment publiés, l’un par Gartner Inc. et l’autre par l’ECIIA (European Confederation of Institutes of Internal Auditing), placent un ennemi bien connu en tête du classement des principaux risques de 2019 : la cybersécurité. Au fil des années, cet enjeu pour les organisations ne cesse de s’élever dans la hiérarchie des risques recensés dans les rapports annuels. Il nous a également fait découvrir d’autres catégories de risques, à mesure que notre compréhension du cyber-risque devient plus sophistiquée et que nos approches quant à sa gestion mûrissent.

La focalisation sur la cybersécurité nous a, en effet, permis de réaliser que la technologie et les données sont indissociables et nous a sensibilisé aux risques liés à la gouvernance et à la protection des données. En outre, elle nous a amené à reconnaître les risques que représentent les relations avec les tiers, la gouvernance des SI et la culture de l’organisation.

Par exemple, il semblerait que quatre des cinq principaux risques du rapport Gartner découlent de l’attention que nous portons à la cybersécurité, à savoir, la préparation à la cybersécurité, la protection des données, la gouvernance des données, et les risques liés aux tiers. Le rapport Risk in Focus 2019 , élaboré et publié par l’ECIIA, regroupe la cybersécurité, la gouvernance des SI, et les risques liés aux tiers dans une seule et même catégorie, tandis que la protection des données et les stratégies post-RGPD en constituent une autre.

Les données et les technologies sont également au centre des discussions sur la digitalisation, l’automatisation et l’intelligence artificielle. Ces discussions démontrent clairement la difficulté d’équilibrer les risques et les opportunités. Comme le fait remarquer le rapport de l’ECIIA :

« Les avantages en termes de coûts et d’efficience de l’automatisation et d’autres processus numériques peuvent être source de transformation s’ils sont exploités à leur plein potentiel. Toutefois, les organisations doivent également prendre en compte les risques associés à de tels changements. »

Les données recueillies depuis 2016 par l’IIA dans ses enquêtes « Pulse of Internal Audit » reflètent cette priorisation du cyber-risque. Le pourcentage de responsables de l’audit interne nord-américains considérant la cybersécurité comme un risque majeur pour leur organisation est passé de 60 % à 68 % entre 2016 et 2018. Concernant le risque SI, il est monté de 39% à 53% et une légère hausse a également été observée pour le risque lié aux relations avec les tiers.

Selon le rapport Gartner, qui s’appuie sur une enquête menée auprès de 144 responsables de l’audit interne, deux tiers des répondants ont déclaré avoir déjà connu une perturbation due à un tiers au cours des deux dernières années, ou n’avoir pas eu les connaissances suffisantes sur les activités avec les tiers pour identifier ce type de perturbation.

Ce que l’on sait, c’est que les risques liés aux tiers deviennent de plus en plus complexes dans un contexte où la digitalisation, le partage des données et la faiblesse de la supervision des relations avec les tiers menacent la réputation des organisations.

Il est facile d’être obnubilé par les risques axés sur les données et les technologies, mais il en existe d’autres, comme le confirment les deux rapports. Le rapport Gartner identifie l’éthique et l’intégrité comme des risques indépendants des risques d’ordre culturel mentionnés dans son rapport de 2018. De même, le rapport de l’ECIIA reconnaît également la culture organisationnelle comme un risque.

En 2018, le mouvement #MeToo a redéfini la manière dont les organisations perçoivent les risques associés au harcèlement sexuel et aux inégalités sur le lieu de travail. Ces deux catégories de risques étaient déjà connues mais le déferlement d’accusations sérieuses à l’encontre de pontes de l’industrie du divertissement ainsi que les atteintes portées à la réputation de leurs organisations ont considérablement accru le niveau de ce risque. L’importance du rôle joué par les médias sociaux ne saurait être sous-estimée. Ici encore, la technologie influence notre perception des risques.

Le scandale de Cambridge Analytica est un autre exemple. Facebook et son fondateur emblématique, Mark Zuckerberg, ont subi des dommages réputationnels significatifs pour avoir permis à l’entreprise britannique de collecter les données personnelles de millions d’utilisateurs. Cette affaire a également suscité une prise de conscience sur les responsabilités éthiques associées à la protection des données et au respect de la vie privée, désormais considérés comme des risques majeurs aussi bien par Gartner que par l’ECIIA.

A l’approche de 2019, le panorama des risques devrait intégrer la cybersécurité, la gouvernance et la protection des données, les relations avec les tiers ainsi que les dangers, en évolution constante, associés à l’impact des technologies sur l’éthique, la culture et l’intégrité de l’organisation.

Et en ce qui concerne la préparation de vos plans d’audit interne pour l’année prochaine, assurez-vous de prendre en compte tous les risques auxquels votre organisation est confrontée et d’en discuter avec le comité d’audit et la direction générale de l’organisation. La liste n’est en aucun cas exhaustive ou nécessairement applicable à toutes les organisations. Toutefois, elle fournit un repère utile pour anticiper ce que 2019 pourrait vous réserver.

Comme toujours, je me réjouis de lire vos commentaires.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.