boussole avec des années dessus avec le cadran pointant vers 2022

Tendances de risque en 2022 et au-delà : ce que l’audit interne ne doit pas manquer

Tendances de risque en 2022 et au-delà : ce que l’audit interne ne doit pas manquer

Résumé
20 minutes de lecture

Les réflexions suivantes ont pour but d’explorer les possibilités qui s’offrent à nous dans le contexte de cette explosion de risques déclenchée par la pandémie, le progrès technologique, les changements de comportements, et par cette incertitude insidieuse face à l’avenir.

Bienvenue dans un monde de transitions, d’innovation et d’incertitude

Pandémie. Polarisation et instabilité politique. Changements climatiques extrêmes. Exigences de transparence, de responsabilisation et de solutions durables à l’échelle mondiale.

Sur une longue période, le risque de crise est inévitable. En revanche, quatre points de rupture marquant l’histoire en seulement 12 mois? Impensable.

Les événements de ces deux dernières années étaient imprévisibles, et personne ne sait ce qui nous attend au détour des suivantes. Les réflexions suivantes ont pour but d’explorer les possibilités qui s’offrent à nous dans le contexte de cette explosion de risques déclenchée par la pandémie, le progrès technologique, les changements de comportements, et par cette incertitude insidieuse face à l’avenir.

De nombreux dirigeants n’ont eu de cesse de le répéter cette année : il faut toujours apprendre d’une bonne crise. Il y a beaucoup à tirer des événements extrêmes. Des avertissements à prendre en note. Des erreurs à éviter. Des occasions à saisir pour faire mieux.

Que les tendances dont nous allons parler se réalisent ou pas, une chose est sûre : approcher les risques au cas par cas ne fonctionnera pas, d’autant plus que le monde se complexifie, se dynamise et devient de plus en plus instable. Il semblerait toutefois que l’audit interne puisse apporter de la valeur aux organisations en les aidant à naviguer les risques.

Contents

Une personne devant un ordinateur portable lors d'un appel vidéo

Les vaccins ont joué un rôle important, mais ils ne guérissent pas tous les maux

Censés terrasser le virus pour libérer le monde de son joug, ils ne sont pas encore parvenus à restaurer la confiance ni la stabilité.

Les premiers vaccins ont bravé les essais cliniques avec succès et sont efficaces à plus de 90 % contre la COVID-19, ce qui reste un incroyable tour de force pour la science. Cet exploit est aujourd’hui enseveli sous les problématiques sociales, politiques et logistiques qui ont suivi.

D’abord, il y a des inégalités flagrantes dans l’accès aux vaccins, héritage d’une longue histoire mondiale de privilèges en santé. Alors même que certains pays affichent une double vaccination à 60, 70, voire 80 pour cent, d’autres s’échinent à atteindre les 10 pour cent juste pour la première dose. Comme moins d’un tiers de la population mondiale est adéquatement protégé, la menace des variants toujours plus virulents et résistants inquiète sérieusement.

À côté, le schisme grandissant entre les défenseurs et les détracteurs de la vaccination représente une autre épreuve de taille. La pression monte pour les établissements d’enseignement, les détaillants, les propriétaires de salles, les employeurs et les gouvernements. Ils sont forcés d’établir des règles claires (ou non, selon les cas) concernant la vaccination et qui doit s’y soumettre.

Ce que les décideurs doivent garder à l’esprit

Quelles seront les conséquences à court et à long terme de ces prises de position sur les organisations et leur image? Certains établissements seront-ils pris dans les feux croisés entre les deux camps? Comment vont-ils gérer la question des preuves de vaccination et, le cas échéant, du passeport vaccinal? Selon son choix, une organisation pourrait perdre des employés et des clients, une perte dont les répercussions ne sont pas à négliger.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il évalué les risques à court et à long terme d’une perturbation des effectifs? L’impact du travail à distance? Du retour en présentiel? Vos experts en audit interne ont-ils intégré le risque que pose une prise de position officielle par rapport à la vaccination? Votre programme de gestion des risques prépare-t-il votre organisation à tous les scénarios?

Montrée des possibilités de fraude et de sa rationalisation dans le sillage de la COVID-19

L’Association des examinateurs certifiés de fraude martèle les trois sommets du triangle de la fraude : opportunité, pression et rationalisation. Si la définition du concept de fraude a évolué, cette théorie se vérifie toujours.

Il va sans dire que la pandémie de COVID-19 a profondément aggravé les trois dimensions du triangle dans bien des organisations. L’opportunité peut se révéler lors de la transition vers le travail à distance, quand l’effectif s’amincit, ou lorsque les gestionnaires sont si préoccupés par la survie de leur organisation qu’ils perdent de vue ses activités. Les pertes de revenus causées par les licenciements et les congés peuvent pousser à la fraude, voire à la rationaliser.

On peut compter sur la plupart des employés et des fournisseurs pour ne pas être tentés de commettre une fraude, même sous la pression et quand les raisons paraissent bonnes. Mais l’histoire nous prouve que beaucoup le feront quand même. Ces exceptions peuvent à elles seules causer de lourds dégâts sur le plan des finances, de la conformité à la loi et de l’image. Surtout s’il s’agit d’incidents répétés qui passent inaperçus pendant longtemps.

Au fil de l’évolution de la pandémie, de l’économie et des environnements de travail, l’audit interne, les conseils d’administration et les dirigeants doivent absolument garder l’œil ouvert sur les risques de fraude. Même si d’autres tendances captivent toute l’attention, une évaluation annuelle des risques de fraude et une surveillance continue des transactions à haut risque demeurent prioritaires.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il vérifié si votre organisation s’expose à de nouvelles possibilités de fraude en raison des contraintes liées à la COVID-19, notamment le travail à distance? Quelles nouvelles pressions risquent d’inciter certaines personnes à enfreindre votre code de conduite ou à frauder? Existe-t-il des moyens à disposition de l’audit interne ou de votre organisation pour surveiller les risques de fraude grâce à des indicateurs ou à des analyses de données?

La COVID-19 a-t-elle définitivement transformé la culture d’entreprise?

La culture d’une entreprise joue un rôle de premier plan, de la productivité à la rentabilité, en passant par l’engagement des employés et la valeur de la marque. Elle est aussi très malléable. Les gens, les décideurs, les stratégies, la technologie et les mouvements sociaux sont autant de forces qui l’orientent et la font avancer. C’est encore plus manifeste depuis ces dernières années, où de nombreuses organisations ont pris l’initiative de construire une culture reflétant leurs valeurs et contribuant à leurs objectifs.

Dans de nombreuses organisations, cette culture a été mise à rude épreuve par la pandémie. Du point de vue de la logistique, tisser des liens à distance et créer un sentiment d’appartenance se sont révélés particulièrement compliqués. En effet, la visioconférence et la messagerie instantanée peinent à imiter la spontanéité des rencontres de couloir.

Pire encore, les employés qui peuvent travailler à distance sont séparés de ceux dont la présence est requise. En plus de l’amertume qui s’infiltre inévitablement dans leurs relations, leur culture risque de diverger, et avec ça leur vision de l’entreprise et de la place qu’ils y occupent.

Qui plus est, le retour au bureau réserve aux organisations d’autres mauvaises surprises. Certains employés sont ravis de revenir, mais d’autres hésitent, soit parce qu’ils ne se sentent pas en sécurité, soit parce qu’ils ont pris goût au travail à distance. Forcer ces derniers pourrait saper leur motivation et fragiliser leur fidélité. À l’inverse, une approche hybride mal exécutée risque de fragmenter la culture organisationnelle. Dans tous les cas, il faut s’attendre à ce que rien ne soit plus comme avant.

Les conseils d’administration et les dirigeants doivent toutefois se convaincre que cette évolution sera pour le mieux. Les équipes d’audit interne peuvent les accompagner dans l’évaluation des risques et des occasions à saisir pour faire en sorte que cette nouvelle culture continuera de répondre aux besoins de l’organisation, et ceux de ses employés, peu importe l’étendue de la transformation.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il analysé la culture de votre organisation par le passé? A-t-il relevé des points sur lesquels elle nage à contre-courant de votre stratégie? Depuis le début de la pandémie, a-t-il évalué la possibilité que cette culture change?

La chasse aux talents – pensez aux besoins futurs

Les organisations sont en recherche permanente de ressources compétentes et de jeunes diplômés. Malheureusement, ces derniers manquent parfois de formation, et ceux qui n’en manquent pas sont déjà pris. Historiquement, l’audit interne s’est toujours concentré sur le recrutement de personnes montrant un potentiel pour le leadership, une excellente habileté à communiquer et une expertise pertinente (p. ex., comptabilité, gestion d’entreprise, cybersécurité, etc.). Ces aptitudes ne suffiront toutefois pas à prédire quels risques et quelles avenues découleront de la pandémie, et l’audit interne n’est pas seul face à cette difficulté.

Les organisations ont dû miser gros sur la transformation numérique pour survivre et s’adapter à ce nouveau climat. Faire marche arrière est impossible. D’ailleurs, il leur faudra probablement accélérer dans cette voie, car elle se montre de plus en plus prometteuse. La demande pour des employés formés, à l’aise avec les nouvelles technologies et préparés pour l’avenir dépasse l’offre, et de loin. 

Et ce phénomène pourrait durer. Même les universités, véritables bastions d’innovation, ont du mal à suivre la cadence en ce qui concerne l’automatisation, la numérisation, l’intelligence artificielle et l’apprentissage machine. Même si cela changeait, il faudrait attendre des années avant de voir des cohortes de nouveaux diplômés répondant aux plus hautes exigences du marché. Les experts de l’audit interne, eux, continueront de se perfectionner à l’aide d’un grand nombre de ressources et partenariats externes offrant de la formation.

Il reviendra aux organisations d’accompagner leurs employés dans l’acquisition de nouvelles compétences au fur et à mesure que les occasions se présentent. Certaines grandes organisations tentent déjà d’offrir à leurs employés la formation continue et la structure nécessaires à leur perfectionnement en mettant sur pied leur propre mini-université.

Au-delà des coûts considérables engagés, cette approche soulève tout de même des questions concernant l’équilibre entre formation et productivité. De plus, les organisations doivent prendre en compte le risque qu’un employé, après avoir été formé, parte chez la concurrence ou change radicalement de trajectoire pour échapper à une vie de formation constante.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il mesuré le temps moyen investi par votre organisation pour pourvoir les postes les plus importants? Certains de ces postes sont-ils de plus en plus difficiles à pourvoir? Si oui, quels risques cela implique-t-il? Sur quelles compétences votre équipe d’audit interne doit-elle se pencher pour en évaluer les risques associés dans les années à venir? Ces compétences sont-elles en forte demande? D’ailleurs, est-ce qu’il y a de l’offre? Comment comptez-vous recruter, perfectionner et retenir ces talents face à la concurrence?

La grande démission des millénariaux et le départ à la retraite des baby-boomers

Alors que les Canadiens retournent au bureau, de nombreux experts du travail anticipent la plus grande vague de démissions jamais vue. Les craintes engendrées par la pandémie, les mois de travail à distance et la véritable métamorphose des descriptions de poste au cours des derniers mois ont donné beaucoup à penser aux employés. De nombreuses personnes dans la vingtaine ou la trentaine y voient une occasion de prendre un nouveau départ et de changer d’employeur, de secteur, voire de profession.

Un changement de cette ampleur n’aurait pas pu tomber plus mal. En effet, les entreprises canadiennes souffraient déjà d’une rotation de personnel sans précédent en raison des départs à la retraite des baby-boomers, une tendance qui pourrait d’ailleurs s’accélérer. Les plus jeunes d’entre eux ont environ 55 ans, un âge à partir duquel les problèmes liés à la COVID-19 augmentent significativement. Les employés âgés qui ont tiré leur épingle du jeu se demandent s’il en vaut la chandelle : faut-il sacrifier le temps passé avec la famille et la poursuite de rêves trop longtemps laissés de côté, tout ça pour faire du neuf à cinq? Beaucoup répondront « non ». 

Comme les plus susceptibles de partir sont les millénariaux et les baby-boomers, les organisations font face à un casse-tête : les premiers possèdent les compétences et la compréhension nécessaires pour naviguer dans la transition technologique, tandis que les autres occupent des postes de direction et siègent aux conseils d’administration, forts de décennies d’expérience. Si elle se réalise, cette fuite de cerveaux pourrait drainer de précieuses ressources humaines, augmenter les coûts de recrutement, d’intégration et de fidélisation, et déstabiliser des cultures qui ne se sont pas construites en un jour.

Quelles questions se poser? Comment se positionner?

Votre organisation a-t-elle évalué les risques associés aux démissions, aux retraites et plus généralement à la rotation de personnel? En quoi les sondages sur l’engagement et la satisfaction des employés effectués pendant la pandémie ont-ils alimenté ces analyses? Comment votre organisation se prépare-t-elle?

Une personne tenant une tablette devant une machine

Créer un environnement dans lequel l’humain et la machine cohabitent

L’histoire nous inculque deux leçons sur la technologie : d’une part, le potentiel technologique s’accroît de manière exponentielle, et d’autre part, les technologies se démocratisent et les obstacles à son accès diminuent au même rythme. Un avenir de l’entreprise dans lequel intelligence artificielle, robotique et apprentissage machine sont la norme n’est peut-être pas si fantaisiste.

Imaginez les employés travaillant de concert avec un robot plutôt qu’assis devant un ordinateur. Quelles seraient les implications?

Les partisans de ce futur peut-être pas si lointain voient toutes sortes d’avantages à une main-d’œuvre robotisée. Déjà, contrairement aux humains, les machines ne tombent pas malades et n’ont pas l’esprit vagabond. Elles sont plus rapides, plus précises et travaillent jour et nuit. Nous pourrions leur déléguer les tâches ingrates et répétitives, préservant ainsi le temps des employés pour le travail qui les intéresse, et peut-être même améliorer leur équilibre travail-vie personnelle et favoriser leur engagement par la même occasion.

Le revers de la médaille, évidemment, c’est l’éternelle peur que les machines mettent tout le monde au chômage. Depuis l’introduction du robot Unimate dans les usines d’assemblage de General Motors en 1961, les inquiétudes se multiplient vis-à-vis du remplacement des humains par les machines. Aujourd’hui, des programmes d’intelligence artificielle se substituent aux agents de centres d’appels, l’ombre des voitures autonomes plane sur l’industrie des taxis, et des articles rédigés automatiquement grignotent le terrain des journalistes.

Même si les experts sont divisés sur la fatalité de ce processus, ce dernier soulève des questions d’éthique et d’image que les organisations auront intérêt à prendre en considération. Comment les gens s’adapteront-ils au fait d’avoir une machine comme collègue? Et, plus perturbant encore, comme directeur?

Il faut aussi se demander comment les machines exécuteront les tâches qui leur sont attribuées par la direction ou par leurs collègues. Leur programmation les cantonnera-t-elle à l’algorithme le plus intéressant pour l’organisation, ou leur permettra-t-elle de suivre les instructions sans doute plus risquées, mais peut-être plus intuitives, de leur gestionnaire? Si elles doivent suivre les instructions à la lettre en sachant qu’elles ne sont pas optimales, seront-elles aussi précises et infaillibles qu’espérées?

Quelles questions se poser? Comment se positionner?

L’audit interne de votre organisation s’est-il penché sur la question des robots? Leur inaptitude à s’adapter aux changements et aux erreurs humaines (données ou instructions incorrectes) entraînera-t-elle des risques? Les activités de votre organisation comportent-elles des processus hautement répétitifs qu’un robot pourrait gérer plus efficacement, sans risque d’erreur humaine?

Des technologies numériques qui se perfectionnent : risques et avantages

La transformation numérique se poursuit depuis des dizaines d’années, de l’apparition des premiers ordinateurs de bureau, d’Internet et des courriels aux outils sophistiqués d’aujourd’hui comme les procédures analytiques, le nuage informatique et l’apprentissage machine. De nombreuses organisations s’y sont naturellement adaptées au fur et à mesure. Par contre, tout le monde n’a pas été si diligent pour mettre à jour les cadres, politiques et programmes de formation par rapport aux compétences exigées aujourd’hui et aux nouveaux risques.

Les nouvelles technologies ne font pas que rendre le travail plus facile et efficient. Elles redéfinissent carrément la nature de certains emplois. Des rôles qui n’existaient pas il y a 10 ans contribuent maintenant de manière essentielle au succès de nombreuses organisations. De nouveaux postes ont été créés, mais beaucoup de nouvelles responsabilités ont aussi été assignées à des postes existants sans considération pour la nature unique et complexe des besoins auxquels elles répondent, ni des risques qui vont avec.

Dans un monde de changements technologiques, l’audit interne doit prendre du recul et réévaluer entièrement la structure organisationnelle avec ses rôles, ses politiques, ses procédures et ses systèmes de vérification, comme s’il fallait tout créer à partir de rien avec l’optimisation stratégique en tête.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il évalué le risque qu’entraîne sur les objectifs de l’organisation le manque de compétences ou de formation des employés concernant les nouvelles technologies numériques? A-t-il évalué la gestion des changements apportés par la transformation numérique? A-t-il évalué l’ensemble des politiques, des procédures, des documents de vérification et des formations qui pourraient être obsolètes face à cette transformation (par exemple, en matière de planification des ressources)?

Mains tapant sur un ordinateur portable avec des icônes de sécurité flottant au-dessus

Cette sortie de pandémie pourrait bien faire les affaires des pirates informatiques, qu’ils se cachent dans votre organisation ou non

Les pirates informatiques prospèrent dans les situations et les changements extrêmes : les gens sont distraits, prennent des décisions basées sur des craintes et font d’autant plus d’erreurs. Les dirigeants, eux, drainent souvent des ressources assignées à des fonctions vitales, comme la sécurité et la surveillance, pour combattre des problèmes qui affectent leur organisation. Cette approche peut rapidement faire surgir des failles dans une posture de cybersécurité autrement très efficace.

Les premiers mois de la pandémie ont démontré à quelle vitesse ces failles peuvent apparaître et avec quelle facilité les pirates peuvent redoubler d’agressivité. Leurs tentatives d’hameçonnage visant à infecter ou à paralyser des systèmes se sont révélées d’une redoutable efficacité. Les plateformes de collaboration en ligne adoptées à la hâte leur ont ouvert grand la porte. Certaines données suggèrent que les menaces internes ont aussi augmenté, la grogne de certains employés les poussant à mettre la main sur des fichiers confidentiels et à les partager.

Alors qu’une nouvelle phase de la pandémie s’annonce, il est important de comprendre que nous ne faisons que passer d’une période d’intenses changements à une autre. La situation restera très déstabilisante et dynamique, et risque, à bien des égards, d’être encore plus chaotique et difficile à naviguer.

Lors du retour au bureau, les organisations doivent partir du principe que les habitudes de sécurité concernant le verrouillage des appareils, la protection des mots de passe, l’impression de documents et le fait de discuter de sujets confidentiels sont parfois des souvenirs lointains pour les employés. Le travail hybride ou la poursuite du télétravail posera aussi des problèmes de ressources. En plus d’encadrer des procédures de sécurité plus complexes, les plans doivent prendre en compte les employés qui perdent leur motivation ou qui nourrissent de la rancune à cause des aménagements dont certains bénéficient. Ces phénomènes peuvent faire de la cybersécurité et de la confidentialité les plus grandes sources de risque.

Quelles questions se poser? Comment se positionner?

L’audit interne et votre organisation ont-ils réévalué les risques de cybersécurité associés au retour en présentiel? Quelles autres ressources seront nécessaires aux équipes de sécurité pour s’adapter à la charge de travail supplémentaire apportée par un mode de travail hybride? Votre organisation a-t-elle mis à jour ses politiques et ses formations pour que ces équipes soient mieux préparées aux nouveaux risques?

Identité numérique et risque grandissant pour la confidentialité des données

Depuis quelques mois, on parle de plus en plus des risques et des avantages du passeport vaccinal. De nombreuses organisations publiques et privées pensent que ce passeport est nécessaire pour protéger la communauté et relancer l’économie une fois pour toutes. Le débat a du mérite, et soulève d’ailleurs de sérieuses questions sur le plan juridique et logistique concernant les droits de la personne, la confidentialité des données et la sécurité. Elles sont d’autant plus pertinentes que le passeport vaccinal est hébergé en ligne.

Alors que le gouvernement du Canada collabore toujours avec les provinces sur le passeport vaccinal pour réglementer les voyages internationaux, les organisations qui veulent l’intégrer ont tout intérêt à réfléchir à leur approche. La collecte d’information et la confidentialité étant devenus des sujets de plus en plus sensibles ces derniers temps, obliger les employés à fournir des renseignements personnels, surtout des données biométriques et de santé, risque de créer du dissentiment et des problèmes d’ordre juridique. Sans même compter les personnes non vaccinées, de nombreux groupes s’inquiètent des abus et des failles de sécurité qu’une telle plateforme pourrait impliquer. D’autres craignent qu’elle soit discriminatoire envers ceux qui ne peuvent se faire vacciner ou qu’elle marginalise ceux qui décident de ne pas y prendre part.

Les organisations souhaitant créer leur propre passeport vaccinal s’engagent dans une bataille encore plus compliquée. Comment créer une plateforme robuste qui recueillera toutes les données permettant de vérifier les statuts de vaccination des employés et des sous-traitants sans enregistrer plus d’information que nécessaire? Les dispositifs de reconnaissance faciale, rétinale et digitale peuvent sans doute rassurer sur la fiabilité du système, mais en cas de brèche de sécurité, ils ouvrent la porte à une myriade de risques juridiques et d’atteinte à la réputation. Un système sûr coûte cher à produire et à opérer, et en bâcler le déploiement ou l’intégration pourrait irrémédiablement fracturer une culture d’organisation déjà malmenée.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il évalué les risques associés à la confidentialité et à la sécurité des données des employés, surtout considérant l’émergence des passeports vaccinaux et des données de vaccination? Les brèches de sécurité, qu’elles soient intentionnelles ou non, sont extrêmement coûteuses, sur le plan des finances comme de la réputation.

Gérer la dépendance envers les tiers et les risques associés

Pas plus tard qu’il y a 10 ans, la plupart des entreprises, sinon toutes, hébergeaient elles-mêmes leurs logiciels et stockaient leur matériel informatique localement. Elles achetaient des licences pour leur système d’exploitation, leur base de données client, leur logiciel de gestion des ressources humaines, etc. Leur fournisseur offrait peut-être des mises à jour et des correctifs téléchargeables, mais sans plus.

Ce fonctionnement présente deux grands désavantages : d’une part, l’organisation est obligée d’acheter les dernières versions des logiciels pour bénéficier des meilleures fonctionnalités, et d’autre part, elle est entièrement responsable des mises à jour et de la cybersécurité.

L’avènement de l’infonuagique et du logiciel-service a révolutionné le paysage technologique. Les organisations de toutes tailles peuvent maintenant profiter de logiciels toujours à niveau, répartir leurs coûts sur l’année et y accéder de partout. Les économies d’échelle permettent aussi aux distributeurs de logiciels en ligne d’offrir une cybersécurité plus fiable. Cette tranquillité d’esprit n’est toutefois pas gratuite.

Lorsqu’elles hébergeaient leurs logiciels sur place, les organisations étaient vulnérables aux attaques sur leur réseau. De fait, des procédures de sécurité insuffisantes ou un pirate habile pouvaient entraîner l’effondrement du système. Avec l’essor des services infonuagiques et des logiciels-services, les organisations sont maintenant vulnérables aux attaques ciblant n’importe lequel de leurs fournisseurs. La moindre de ces intrusions pourrait impliquer la même procédure de signalement, la même perte de données confidentielles ou de propriété intellectuelle, et les mêmes répercussions sur le plan juridique et de la réputation que si l’organisation elle-même s’était fait pirater. Le pirate pourrait aussi exploiter une faille d’un fournisseur pour accéder à n’importe lequel de ses clients.

La pandémie a déclenché une avalanche de transformations numériques au fur et à mesure que les organisations ont adapté leur modèle d’affaires, notamment à la nouvelle réalité du travail à distance. Compte tenu de la précipitation dans laquelle ces changements se sont déroulés, il est probable que de nombreux fournisseurs de logiciels-services n’aient pas adéquatement évalué les risques de préjudice aux tiers ni inclus dans leur contrat de clause de responsabilité en cas d’atteinte. L’audit interne et les dirigeants principaux de l’information doivent dorénavant en faire une priorité.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il bien évalué le risque associé aux tierces parties? Il doit constamment adapter ses méthodes en la matière. Les approches ne sont pas les mêmes selon que votre organisation achète un produit de manière ponctuelle ou souscrit à un service à long terme pour atteindre ses objectifs. Dans les deux situations, l’analyse de données permet d’évaluer les risques, et la conclusion de contrats béton permet de les atténuer. Toutefois, plus votre organisation est dépendante du fournisseur ou de ses produits, plus l’évaluation des risques doit être approfondie.

Environnement social et gouvernance

Le risque de ne rien faire ou d’en faire trop

Pour beaucoup de dirigeants, l’intérêt porté aux critères environnementaux, sociaux et de gouvernance (ESG) semble être apparu du jour au lendemain. Tout à coup, tout le monde cherche à rattraper le retard dans les stratégies, les initiatives et la reddition de comptes. Sous la pression des organismes de réglementation, des investisseurs, des consommateurs et des employés pour faire des critères ESG une priorité, deux pièges sont à éviter.

Tout d’abord, il faut éviter de rechercher l’excellence en matière d’ESG dès le début, et de manquer de loin des objectifs qu’on a fixés trop haut. Chaque organisation mettra en place des indicateurs ESG qui lui seront propres, reposeront sur des données fiables, permettront une bonne reddition de comptes et constitueront des gains éclair. Ces paramètres sont les plus profitables au début et serviront de base à d’autres initiatives, plus mûres, en matière d’ESG.

Les critères ESG n’appellent pas à la perfection, mais à reconnaître les faiblesses de l’organisation sur les plans de la transparence et de la responsabilité envers certaines parties prenantes. Ils évolueront au fur et à mesure que l’organisation gagne en croissance, adopte de nouveaux modèles, méthodes et plans stratégiques, et conquiert de nouveaux marchés. L’audit interne peut jouer un rôle central en guidant les dirigeants et les conseils d’administration à travers les risques et les circonstances opportunes associés aux critères ESG et à leur évolution.

L’autre piège, c’est le fameux écoblanchiment, soit l’exagération, voire la fraude, dans la reddition de comptes en matière d’ESG. Qu’il soit fait de bonne foi, par excès de confiance ou par malice, de ce phénomène émergent de plus en plus d’inquiétudes. Ce n’est pas non plus qu’une simple question d’image. Les organismes de réglementation scrutent les critères ESG d’aussi près que les documents de certification et les audits financiers. Les conséquences potentielles d’un mensonge aux investisseurs résultant de l’écoblanchiment pourraient égaler celles du scandale Enron, à cause duquel les procédures de transparence financière sont si strictes aujourd’hui. C’est pourquoi l’audit interne doit être proactif pour protéger les organisations contre ce risque.

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il évalué les risques associés aux critères ESG et à la manière dont votre organisation les rapporte? Les risques et possibilités associés aux critères ESG sont-ils bien pris en compte au sein de votre organisation? L’audit interne peut jouer un rôle proactif dans la formation de votre organisation sur le sujet (p. ex., mandats de conseil). Votre organisation est-elle au fait de sa position à ce propos par rapport à la concurrence?

Un groupe de professionnels discutant de papiers masqués

2022 et au-delà : nouvelles réalités mondiales

Surutilisé pendant la pandémie, le cliché de la « nouvelle normalité » devient lassant. Au début, c’était une déclaration d’optimisme : « Nous sommes dans le creux de la vague, mais nous saisirons cette occasion pour n’emporter que ce que nous avons de meilleur dans cette nouvelle décennie », disaient-ils.

Cette idée semblait d’ailleurs réalisable au début, mais cet optimisme s’est dissipé au fil de la crise. Tout le monde a commencé à réaliser que nous ne reviendrions jamais à la normale, ni même proche de celle-ci pendant un bon moment.

Centralisation du capital et du pouvoir

Ces 20 derniers mois, ce sont surtout les petites et moyennes entreprises qui ont essuyé le pire de la tempête. Au fur et à mesure des confinements, beaucoup d’entre elles ont rapporté des pertes conséquentes ou ont vu leur périple se terminer définitivement. Plus la relance de l’économie prend du temps, plus les richesses se concentrent dans les mains des grandes entreprises nationales et multinationales. En conséquence, la concurrence se durcit pour les propriétaires exploitants, ce qui semble à l’avantage des grandes entreprises, au moins à court terme.

Rien n’est toutefois encore joué. Ce qui est sûr, c’est que le paysage des risques et des avenues à exploiter s’en trouve définitivement changé. Les fusions vont-elles se faire plus communes? Le commerce de proximité sera-t-il relégué au passé? Le travail manuel va-t-il disparaître au profit de l’automatisation?

Des économies et des communautés qui changent

L’industrie du tourisme a été lourdement frappée par les interdictions de voyages. Il est difficile de prédire à quel moment les gens se sentiront de nouveau à l’aise de prendre l’avion, le bateau ou tout simplement de voyager loin, si tant est que cela arrive. Plus la situation persiste, plus il sera difficile pour certains endroits de retenir suffisamment de personnes et de commerces pour maintenir leur communauté.

Pour la première fois depuis les années 1950, le Canada et les États-Unis se réapproprient la production et la logistique. Cette relocalisation vise principalement à répondre aux perturbations des chaînes d’approvisionnement qui ont caractérisé le début de la pandémie, et aux inquiétudes concernant la difficulté grandissante à importer. Alors que certaines communautés se battent pour survivre, d’autres réfléchissent aux moyens d’agrandir pour accueillir cette demande qui se profile. Les entreprises internationales devront réfléchir à leurs priorités d’un côté et de l’autre de la frontière, voire évaluer leur capacité à maintenir leur présence mondiale.

Enfin, il est important de prendre en compte les besoins des gens qui travaillent à distance. Vont-ils rester dans les centres-villes ou proches des transports en commun s’ils n’en ont plus besoin? Ce possible exode vers les banlieues ou la campagne sera-t-il bénéfique ou défavorable pour les économies locales? S’agit-il d’une tendance éphémère ou permanente? Quels en seront les impacts sur la manière dont les organisations structurent et renforcent leur présence dans les communautés émergentes?

Quelles questions se poser? Comment se positionner?

L’audit interne a-t-il évalué la planification stratégique de votre organisation pour comprendre les paramètres et les choix qu’envisagent ses dirigeants pour naviguer dans ces communautés et ces économies changeantes? Votre organisation est-elle préparée à répondre en temps réel aux changements de son environnement? Nous connaissons une incertitude et un besoin de changement (matériel) sans précédent, avec leur lot d’occasions à saisir et de risques. L’audit interne doit impérativement s’assurer que votre organisation évalue et surveille activement les changements perpétuels de son environnement et qu’elle y répond adéquatement.

En conclusion, les risques que l’audit interne doit évaluer sont maintenant si omniprésents et incertains que cette évaluation constante est plus importante que jamais. Personne ne sait de quoi sera fait le futur, mais il sera sans doute marqué d’innovation soutenue, de dépendance à la technologie, d’un intérêt grandissant pour les critères ESG, d’une importance plus forte des partenariats (cosourçage) et d’un intarissable besoin de formation. L’incertitude est maintenant la norme, et la gestion du risque devient un facteur de réussite plus déterminant que jamais. Les équipes d’audit interne doivent saisir cette occasion pour prendre les devants et dépasser leur rôle de conseil : elles doivent évaluer les risques de manière proactive et apporter des éclairages sur l’avenir qui contribueront à celui de votre organisation.

Points de vue

  • Confiance

    Le parlement adopte le projet de loi S-211 : êtes-vous prêt à répondre à ses exigences?

    Le parlement canadien a adopté le projet de loi S-211, Loi édictant la Loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d’approvisionnement, qui a pour but de réduire le risque de recours au travail forcé ou au travail des enfants au sein des chaînes d’approvisionnement utilisées par les entités canadiennes. Découvrez l’incidence de cette loi pour votre entreprise.

  • Confiance

    30 septembre 2024

    Cybersécurité 101 : se relever après avoir été victime d’une cyberattaque

    Les cyberattaques peuvent avoir des effets dévastateurs sur les petites entreprises, savoir comment s’en remettre peut tout changer.

  • Performance

    24 septembre 2024

    Transformez les activités de votre concession grâce aux services informatiques gérés

    Qu’ils soient courants ou inattendus, vos besoins en TI ne devraient pas vous empêcher de conclure une affaire.