Loading Results

Sondage mondial sur la gestion des risques de PwC : Réponse de la fonction d’audit interne au nouveau multivers des risques

À propos de l’enquête mondiale de PwC sur la gestion des risques

Le sondage mondial sur la gestion des risques 2022 de PwC s’est penché sur la prise de risques dans un contexte de perturbations. Elle a mis en lumière la nécessité pour les dirigeants d’adapter leurs stratégies et leurs modèles d’exploitation et de transformer leurs capacités de gestion des risques afin d’éviter les turbulences et de saisir de nouvelles opportunités. Le sondage a donné lieu à la recommandation de cinq mesures clés que toutes les organisations devraient envisager pour accroître leurs capacités en matière de gestion des risques.

Le sondage mondial sur la gestion des risques 2022 a été mené du 4 février au 31 mars 2022 auprès de 3 584 dirigeants d’entreprises et de responsables de la gestion du risque, de l’audit et de la conformité. Les dirigeants d’entreprises représentent 49 % des répondants, les 51 % restant étant constitué de responsables de l’audit (16 %), de la gestion des risques (24 %) et de la conformité (11 %).

Ce sondage a été mené par PwC Research, le centre d’excellence mondial de PwC en matière d’étude et d’analyse de marché.

Nous allons voir plus loin ce que cela signifie pour la fonction d’audit interne.

Comprendre le nouveau multivers des risques 

Le monde est interconnecté. L’incidence des événements géopolitiques ou pandémiques, de la volatilité sur les marchés des capitaux, des ruptures d’approvisionnement et d’autres événements se répercute dans l’ensemble des pays, des secteurs et des organisations, peu importe leur taille. Et tout comme le monde est interconnecté, les risques le sont aussi. Dans ce multivers des risques en rapide évolution, un seul événement de risque, comme une cyberattaque, peut faire des ravages sur le plan des activités d’exploitation, de la technologie, des finances, des clients, des fournisseurs, de la conformité réglementaire et de la réputation de l’entreprise.

Si les risques sont souvent considérés comme des menaces qu’il faut gérer, la prise de risques peut être un élément déterminant dans le processus décisionnel. Les décisions stratégiques comme le lancement de nouveaux produits, l’entrée dans des marchés contigus, les acquisitions, la transformation numérique ou les relations avec des tiers sont des exemples de prise de risque raisonnée en vue d’assurer la réussite de l’organisation.

Ce que cela signifie pour la fonction d’audit interne

La raison d’être de la fonction d’audit interne, son objectivité et l’influence qu’elle a au sein d’une organisation la place dans une position idéale pour comprendre le multivers des risques et aider les sociétés à mieux gérer ceux-ci. Cela signifie que la fonction d’audit interne peut remplir son mandat qui consiste à préserver la valeur et à en créer, réalisant ainsi son potentiel en tant que conseiller de confiance ayant la capacité d’inspirer la confiance aux différentes parties prenantes dans le panorama complet des risques.

Message relatif au sondage sur la gestion des risques 

Ce que cela signifie pour la fonction d’audit

S’engager tôt et disposer d’informations adéquates sur les risques au moment de prendre des décisions

Redéfinir le rôle de la fonction d’audit interne dans un modèle de gouvernance unifiée et comprendre l’importance d’avoir une « place à la table de discussion » et de s’investir dès le départ dans les initiatives de transformation.

Adopter une vision panoramique des risques

Mettre à profit la technologie et les données tout au long du cycle de vie de la fonction d’audit, et pas seulement pour les tests, afin fournir un éclairage différent ou de mettre en évidence de nouveaux secteurs de risque.

Définir un niveau de tolérance au risque et tirer parti des avantages liés à un risque

Collaborer avec les fonctions de première et de deuxième ligne afin de mieux harmoniser les priorités et s’entendre sur un vocabulaire commun en matière de risques.

Utiliser la technologie pour favoriser la prise de décision en fonction des risques 

La fonction d’audit interne doit comprendre comment la direction utilise la technologie pour intégrer le risque à son processus décisionnel, et être disposée à partager les données, outils et techniques pour faciliter cette intégration.

Aux fins du sondage de PwC, on a demandé aux répondants qui, selon eux, était responsable de la gestion des risques. Les réponses obtenues étaient très variables quant à la personne considérée comme ayant cette responsabilité, ce qui suggère qu’il y a encore beaucoup de travail à faire pour créer une approche unifiée et efficace de la gestion des risques. En revanche, cela représente aussi pour la fonction d’audit interne une occasion de faire preuve d’agilité et de proactivité et de faire figure de précurseur en contribuant à la mise en place de cette approche.

Fonctions perçues comme étant responsables de la gestion des risques

Risques

Financer

Stratégique 

Opérationnel

Numérique 

Informations

Conformité

Réputationnel 

Chef de la gestion des risques

9 %

16 %

14 %

12 %

21 %

17 %

18 %

Chef des finances

58 %

8 %

 8%

7 %

20 %

9 %

8 %

Chef de la direction

10 %

29 %

15 %

10 %

13 %

13 %

25 %

Chef de l’exploitation

5 %

12 %

39 %

6 %

7 %

8 %

9 %

Chef de la sécurité de l’information

3 %

7 %

4 %

18 %

7 %

6 %

5 %

Chef de l’information

3 %

5 %

4 %

16 %

9 %

5 %

6 %

Chef de la technologie

2 %

5 %

4 %

22 %

4 %

4 %

4 %

Chef de l’audit

3 %

3 %

2 %

2%

6%

4%

4%

Chef de la conformité

1 %

2 %

1 %

2 %

3 %

24 %

5 %

Directeur des affaires juridique

1 %

2 %

1 %

1 %

3 %

4 %

4 %

Conseil d’administration

2 %

8 %

3 %

2 %

3 %

3 %

7 %

Pas de responsable unique

1 %

2 %

3 %

2 %

3 %

2 %

5 %

Je ne sais pas

0 %

0 %

0 %

0 %

1 %

0 %

1 %

*Source : Sondage mondial sur la gestion des risques 2022 de PwC

S’engager tôt et disposer d’informations adéquates sur les risques au moment de prendre des décisions

La fonction d’audit interne doit cimenter sa « place à la table de discussion » et s’investir dès le départ dans les initiatives de transformation, plutôt que rétrospectivement. 

Notre sondage mondial sur la gestion des risques a révélé ce qui suit :

  • 79 % des répondants considèrent que suivre le rythme de la transformation numérique et des autres transformations représente un défi important pour la gestion des risques
  • 39 % des dirigeants d’entreprise ont indiqué qu’ils prenaient de meilleures décisions et obtenaient des résultats durables lorsqu’ils consultaient rapidement des professionnels du risque
  • 70 % des répondants priorisent la diversité au sein de leurs équipes de gestion des risques

Il s’agit pour la fonction d’audit interne d’une excellente occasion de s’investir activement pour accroître sa valeur et offrir des conseils en temps utile sur les risques nouveaux ou émergents. Nous constatons que des fonctions d’audit interne très performantes sont appelées à évaluer l’état de la situation avant la mise en œuvre d’initiatives de transformation et de déploiement de technologie. Cela permet de cerner les risques avant qu’ils ne se matérialisent en problèmes après la mise en œuvre, lesquels sont plus perturbateurs et plus coûteux à régler.

La participation de la fonction d’audit interne dans les projets, par exemple, peut donner aux comités de direction un point de vue plus diversifié et indépendant sur les risques, et les aider à savoir tout de suite si le projet est en voie de réaliser les avantages attendus. 

Les responsables de fonction d’audit interne peuvent prendre les mesures suivantes :

  • Accroître la compréhension des initiatives prévues de transformation numérique ou d’autres transformations liées aux dépenses d’investissement, pour permettre à la fonction d’audit interne d’exprimer ses points de vue dans les forums sur le budget et la gouvernance (comme les comités de direction).
  • Explorer les façons dont la fonction d’audit interne peut fournir des commentaires en temps réel lorsqu’elle participe aux initiatives de transformation; par exemple, utiliser un document de travail, un énoncé de position sur le risque ou un rapport de surveillance d’indicateur clé de risque au lieu du rapport d’audit interne traditionnel.
  • Présenter aux parties prenantes des études de cas passés qui démontrent les avantages liés à la participation précoce de la fonction d’audit interne, notamment la réalisation d’économies ou l’évitement de coûts sur les projets en raison de meilleures décisions.

Adopter une vision panoramique des risques

La fonction d’audit interne doit continuer à mettre à profit la technologie et les données sur l’ensemble du cycle de vie de l’audit, et pas seulement pour les tests, afin d’obtenir un éclairage différent ou de mettre en évidence de nouveaux secteurs de risque.

Notre sondage mondial sur la gestion des risques a révélé ce qui suit :

  • 65 % des entreprises augmentent leurs dépenses totales en technologie de gestion des risques 
  • 75 % des répondants prévoient augmenter leurs dépenses en analyse de données, en automatisation des processus (74 %) et en technologie pour favoriser la détection et la surveillance des risques (72 %)
  • 38 % des répondants disent que leur fonction de gestion des risques ne recherche pas activement à obtenir des informations externes pour évaluer et surveiller les risques

Ces conclusions démontrent que les entreprises sont avides d’informations fondées sur les données. La fonction d’audit interne peut faire figure de précurseur à cet égard, en utilisant son expérience d’extraction et d’analyse de données pour dégager des informations utiles et exploitables. Il s’agit notamment d’aider l’entreprise à identifier et à quantifier les risques et de diriger l’attention vers les questions qui présentent une plus grande occasion ou dont la portée est plus importante.

Nous constatons, par exemple, que les fonctions d’audit interne les plus appréciées sont celles qui font preuve de compétences numériques, non seulement en exploitant les données, mais aussi en les présentant d’une façon qui met en évidence les occasions de créer de la valeur ou de la préserver. Il s’agit notamment d’utiliser l’analyse de données à l’étape de l’évaluation des risques pour concentrer les efforts, puis de déployer des outils de visualisation, comme PowerBI, Tableau, ou Qlikview pour offrir une perspective différente sur les risques. L’adage selon lequel une image vaut mille mots se vérifie lorsqu’il est question de présentation d’informations par la fonction d’audit interne. 

Les responsables de fonction d’audit interne peuvent prendre les mesures suivantes :

  • Investir pour se procurer ou améliorer les capacités et les technologies numériques afin de compléter l’expertise existante en matière de gestion des risques, de contrôles et de processus. La fonction d’audit interne peut décupler sa valeur lorsqu’elle combine ses « super pouvoirs » humains à la technologie.
  • Fournir des informations, des indicateurs et des analyses quantifiables et visuelles de façon à exposer la puissance des données pour détecter et surveiller les risques avant qu’ils ne se matérialisent sous forme de problème ou d’occasion ratée.
  • Expérimenter différents styles de présentation d’information pour trouver celui qui a le meilleur effet sur l’auditoire. Envisager des rapports incluant des représentations visuelles et des mesures et analyses axées sur les données afin de brosser un portrait de la situation.

Définir un niveau de tolérance au risque et tirer parti des avantages liés à un risque

La fonction d’audit interne peut accroître son utilité pour les fonctions de première et de deuxième ligne en aidant à harmoniser les priorités et à s’entendre sur un vocabulaire commun en matière de risques.

Notre sondage mondial sur la gestion des risques a révélé ce qui suit :

  • 33 % des répondants tirent des avantages de la définition ou de la redéfinition de leur tolérance au risque et des seuils de risque 
  • 56 % des répondants investissent dans leur culture du risque et tiennent compte du risque comportemental en 2022
  • 47 % des répondants ont une grande confiance dans la capacité de leur fonction de gestion des risques d’implanter une culture de sensibilisation au risque

La fonction d’audit interne joue donc un rôle important en contribuant à renforcer la confiance qu’ont les parties prenantes dans la façon dont l’organisation considère et gère le risque. Nous voyons des conseils d’administration et des comités d’audit faire de plus en plus appel à la fonction d’audit interne pour obtenir des perspectives fondées sur les données relatives au panorama grandissant de risques, notamment en ce qui a trait aux questions environnementales, sociales et de gouvernance (ESG), à la cybersécurité, aux changements réglementaires, aux fusions et acquisitions, à la gestion des tiers et à la réforme des modes de travail.

La fonction d’audit interne comprend l’incidence et la probabilité des risques à l’échelle de l’organisation et peut aider à faire des liens entre les différentes fonctions, zones géographiques et processus afin d’obtenir une vue d’ensemble de la culture de risque et des nouvelles menaces.

La fonction d’audit interne ne peut toutefois pas faire cela toute seule. Il est donc important que l’organisation adopte une approche unifiée au sein des différentes fonctions. Cela concerne aussi le vocabulaire utilisé pour parler des risques, l’approche et les outils servant à les évaluer et les efforts déployés pour les atténuer ou assumer les risques. En l’absence d’une telle approche unifiée, la complexité et la nature interconnectée du multivers des risques font en sorte que les entreprises peuvent rapidement s’égarer ou être dépassées, ce qui peut ébranler la culture globale de risque. En tant qu’ultime ligne de défense, la fonction d’audit interne peut aider à éviter cela.

Les responsables de fonction d’audit interne peuvent prendre les mesures suivantes :

  • Rester à jour en ce qui a trait à la tolérance au risque de l’entreprise et être au fait des points de vue potentiellement diversifiés parmi les différents groupes de parties prenantes (comme le conseil d’administration, le comité d’audit et de gestion des risques et les dirigeants).
  • Présenter les informations et les recommandations de la fonction d’audit interne en ce qui a trait à la tolérance au risque et aux seuils de risque de l’entreprise afin d’aider à définir ce qui est important maintenant et ce qui pourrait être important plus tard selon l’évolution des risques.
  • Travailler avec les fonctions de première et de deuxième ligne afin de relever les différences dans le vocabulaire, l’approche et les priorités en matière de risque dans l’ensemble de l’organisation, en s’assurant aussi de souligner et de saluer les bonnes pratiques lorsque des fonctions ou des personnes ont fait preuve d’innovation ou ont fait des progrès importants en ce qui a trait à la gestion des risques.

Utiliser la technologie pour favoriser la prise de décision en fonction des risques

La fonction d’audit interne doit comprendre comment la direction utilise la technologie pour intégrer le risque à son processus décisionnel, et être disposée à partager les données, outils et techniques pour faciliter cette intégration.

Notre sondage mondial sur la gestion des risques a révélé ce qui suit :

  • 74 % des entreprises augmentent leurs dépenses afin d’ajouter des capacités technologiques et numériques à la fonction de gestion des risques
  • 54 % des répondants complètent leurs investissements en technologie de gestion des risques en effectuant des changements au sein de leur personnel et de leur processus
  • 75 % des répondants estiment que de disposer de systèmes technologiques qui ne fonctionnement pas ensemble constitue un problème important en matière de gestion des risques

Il est important que la fonction d’audit interne puisse non seulement utiliser efficacement la technologie pour effectuer son propre travail, mais qu’elle comprenne comment la technologie est intégrée dans le processus décisionnel à tous les niveaux de l’organisation. Le rythme de l’évolution technologique et de son adoption par les organisations en fait un impératif stratégique pour la fonction d’audit interne.

En raison de son expérience en matière de compréhension et d’évaluation de flux d’informations complexes, d’intégrité des données, de configuration des systèmes et de présentation d’information, la fonction d’audit interne est bien placée pour donner des conseils. Elle peut aider l’entreprise à identifier les étapes déterminantes du processus décisionnel, comprendre les facteurs de risques en jeu et obtenir une assurance relativement aux systèmes sous-jacents et aux données sur lesquels elle s’appuie. L’intégration de ces éléments dans une approche intégrée d’assurance avec les fonctions de deuxième ligne peut aussi réduire le chevauchement des activités d’assurance.

Par ailleurs, la fonction d’audit interne doit se préparer à partager ses outils et techniques ainsi que les données qu’elle collecte, afin de soutenir l’évolution des capacités de la première et de la deuxième ligne, au besoin. Dans certains cas, il peut être utile d’élaborer conjointement des approches afin d’assurer que le processus décisionnel et les contrôles fondés sur les risques sont intégrés aux processus en aval. Il peut s’agir par exemple de scénarios d’analyse pour dégager les tendances ou les valeurs aberrantes dans un ensemble de données, d’automatisation robotisée de processus (ARP) pour compiler et analyser les rapports ou d’outils de visualisation pour faciliter l’examen et la présentation de l’information.

Les responsables de fonction d’audit interne peuvent prendre les mesures suivantes :

  • Définir les outils, techniques et données dont peut disposer la fonction d’audit interne et qui pourraient être utiles aux fonctions de première et de deuxième ligne pour développer leurs capacités en matière de prise de décision fondée sur les risques.
  • Actualiser la méthodologie de la fonction d’audit interne et fournir de la formation afin d’aider les auditeurs internes à planifier, à rechercher et à évaluer les étapes déterminantes du processus décisionnel de la direction, les risques connexes et les systèmes et les données sous-jacents en jeu.
  • Examiner la stratégie et le plan de l’organisation relativement aux TI et les comparer à la stratégie technologique de la fonction d’audit interne afin de déterminer les aspects qui présentent des occasions d’investissement commun, d’élaboration conjointe ou de partage des connaissances.

Conclusion

Les risques auxquels font face les entreprises et le monde n’ont jamais été aussi complexes et interconnectés. De même, les occasions pour la fonction d’audit interne d’aider les autres à naviguer dans ce nouvel univers des risques n’ont jamais été aussi grandes ni importantes.

La fonction d’audit interne possède plusieurs des capacités de base nécessaires pour relever ce défi, mais elle doit les combiner avec les autres capacités, actifs et ressources de première et de deuxième ligne, ou planifier l’élaboration de ces capacités si elles n’existent pas encore. Cet « effet décuplant » constituera le seul moyen efficace d’aborder le panorama des risques, surtout en ce qui concerne les questions ESG, la cybersécurité et la réglementation.

À terme, le succès de la fonction d’audit interne et son utilité dépendront de sa capacité à réfléchir autrement aux risques, et à aider l’entreprise à faire de même. 

© PwC 2023. Tous droits réservés. PwC désigne le réseau PwC et/ou une ou plusieurs de ses sociétés membres. Chaque société est une entité distincte sur le plan juridique. Pour de plus amples renseignements, visitez notre site Web à l’adresse : www.pwc.com/structure. Le présent contenu n'est fourni qu'à titre d'information et ne saurait remplacer le recours à un conseiller professionnel.

Services d’audit interne de PwC

Renforcez les capacités de votre fonction d’audit interne pour vous permettre d’aborder les risques autrement et d’avoir la confiance requise pour évoluer rapidement dans un monde en plein changement.

En savoir plus 

{{filterContent.facetedTitle}}

Suivre PwC Canada

© 2018 - 2026 PwC. Tous droits réservés. PwC s’entend du réseau PwC et/ou d’une ou de plusieurs sociétés membres, chacune étant une entité distincte sur le plan juridique. Pour de plus amples renseignements, visitez notre site Web à l’adresse : www.pwc.com/structure. (en anglais seulement)