Les principaux risques pour les organisations en 2021 et les incidences de la COVID-19
Publié le
En novembre 2020, l’Institute of Internal Auditors (IIA) a publié son deuxième rapport OnRisk intitulé OnRisk : A Guide to Understanding, Aligning, and Optimizing Risk 2021 (Copyright © 2020 The Institute of Internal Auditors, Inc. Tous droits réservés.). Ce rapport est le fruit d’entretiens avec 30 membres de conseils d’administration, 30 cadres dirigeants et 30 responsables de l’audit interne (RAI) de 90 organisations différentes ainsi que d’un sondage effectué auprès de RAI qui a permis de recueillir 348 réponses.
La combinaison des entretiens et du sondage a permis de récolter de solides données afin d’étudier les principaux risques auxquels sont confrontées les organisations et d’analyser simultanément des données objectives et les points de vue subjectifs de ces trois principales catégories d’acteurs de la gestion des risques.
En somme, le rapport établit les 11 risques les plus susceptibles d’affecter les organisations en 2021 et examine la convergence des points de vue du conseil d’administration, de la haute direction et l’audit interne sur la pertinence de ces risques, de leurs connaissances personnelles à ce sujet et de la capacité de l’organisation à les gérer.
Ces 11 principaux risques sont liés à :
- La cybersécurité
- Les tierces parties
- Les informations fournies au conseil
- Le développement durable
- L’innovation de rupture (ou innovation perturbatrice)
- La volatilité économique et politique
- La gouvernance organisationnelle
- La gouvernance des données
- La gestion des talents
- La culture
- La continuité des activités et la gestion de crise
Ces risques devraient s’appliquer à toutes les organisations. Cependant, ils ne couvrent pas tous les risques importants auxquels elles peuvent être confrontées. En effet, en fonction de leur contexte spécifique, les organisations peuvent être exposées à d’autres risques importants qui ne sont pas inclus dans le rapport.
La continuité des activités et la gestion de crise ainsi que la cybersécurité sont les deux risques les plus importants selon les répondants. Les défis sans précédent découlant de la pandémie de COVID-19 ainsi que la dépendance accrue aux technologies et aux données ont propulsé ces deux risques en tête de liste. Ils vont souvent de pair, car les cybermenaces se sont accentuées par le passage soudain d’employés au télétravail ainsi que par l’essor fulgurant du commerce électronique occasionnés par la pandémie.
La convergence des points de vue des trois principaux acteurs sur la pertinence des risques ainsi que sur la capacité de gestion de l’organisation et leurs connaissances relativement à ceux-ci est une étape importante vers une solide gestion des risques, qui vient en appui à une gouvernance efficace. À cet égard, les avis des répondants divergent lorsqu’il est question de la pertinence des risques. Les membres de conseils d’administration et les responsables de l’audit interne, ayant pratiquement la même perception de la pertinence des 11 risques, ont respectivement accordé les notes moyennes de 75 % et 74 %, alors que les cadres dirigeants estiment qu’ils ont une pertinence moindre, leur attribuant la note de 57 %. Par exemple, un des principaux risques, la continuité des activités et la gestion de crise, a été classé comme hautement ou extrêmement pertinent par 87 % des membres de conseils d’administration, par 93 % des RAI et seulement par 63 % des cadres dirigeants. Il y avait également un écart particulièrement important quant à leur perception des risques liés à la gouvernance organisationnelle et à la volatilité économique et politique.
Les points de vue étaient fort semblables en ce qui concerne la capacité organisationnelle à gérer des risques, avec des notes moyennes de 46 %, 41 % et 46 % accordées respectivement par le conseil d’administration, la direction et les RAI. Cette forte convergence s’explique en partie par la gestion de la pandémie de COVID-19, souvent axée sur le renouvellement des évaluations des risques, qui a permis aux acteurs de la gestion des risques de communiquer entre eux et de collaborer plus régulièrement.
Quant à la connaissance des risques, les opinions étaient tout aussi convergentes : des notes moyennes de 52 %, 47 % et 44 % ont respectivement été attribuées par les membres de conseils d’administration, les dirigeants et les RAI. Cependant, les répondants de conseils d’administration et des cadres dirigeants estiment avoir peu de connaissances personnelles en matière de cybersécurité, s’accordant tous deux 23 %. Les responsables de l’audit interne jugent avoir considérablement plus de connaissances sur le sujet, avec une note de 43 %. Les trois groupes de répondants n’étaient pas particulièrement convaincus de la capacité de leur organisation à gérer les cyber-risques. En moyenne, moins de la moitié des répondants (46 %) ont estimé que leur organisation en était très ou extrêmement capable.
Le rapport présente les résultats obtenus pour chacun des 11 risques et suggère des mesures correctives pour les trois parties concernées.
Incidence à long terme de la COVID-19
Le rapport indique que « au-delà des conséquences évidentes de la fermeture de l’économie mondiale pendant de longues périodes, la réponse à la pandémie a contribué à une meilleure convergence des points de vue des acteurs de la gestion des risques sur la continuité des activités, la gestion des risques et les communications. La pandémie a également révélé les forces et les faiblesses des organisations quant à la gestion des perturbations. Cependant, le plus important effet à long terme de la COVID-19 pourrait être l’accélération marquée des effets positifs et négatifs de la technologie sur la cybersécurité, la gestion des talents, la volatilité économique et politique et l’innovation perturbatrice. »
Utilisation suggérée du rapport
Les organisations devraient évaluer de quelle manière les 11 risques les affectent et utiliser les résultats pour évaluer l’adéquation de leur réponse aux risques. Dans cet exercice, elles devraient prêter attention à la convergence des points de vue de leur conseil d’administration, de leur direction et de l’audit interne sur la pertinence, la capacité de gestion et les connaissances des risques. Les organisations peuvent également évaluer les rôles de ces acteurs à l’aide du Modèle des trois lignes récemment publié par l’IIA pour s’assurer de leur adéquation pour parvenir à une gouvernance efficace et à une solide gestion des risques.
À propos de l’auteur
Dung Tien Can, FCPA, FCA, est vérificateur général à la STM. Il a dirigé la fonction d’audit interne de six organisations reconnues et la fonction de gestion des risques de l’une d’entre elles. En plus de sa participation à divers groupes de travail de l’Ordre des CPA du Québec, il a siégé au conseil d’administration de l’Institut des auditeurs internes de Montréal et au conseil consultatif du Strategic Risk Council du Conference Board du Canada. Détenteur d’un baccalauréat en administration des affaires de HEC Montréal et d’un MBA de l’Université McGill, Dung Tien Can est également Fellow de l’Ordre des CPA du Québec.
Bibliographie
- OnRisk : A Guide to Understanding, Aligning, and Optimizing Risk 2021, The Institute of Internal Auditors
- Modèle des Trois Lignes, version 2020 des Trois Lignes de Maîtrise, The Institute of Internal Auditors