Le nouveau Risk In Focus vu par trois membres d'instituts européens affiliés à l'IIA

Gavin Hayes (IIA Royaume-Uni & Irlande), Peter Hartog (IIA Pays-Bas) et Charlotte Gabet (IFACI France), ont accepté de commenter pour nous la nouvelle édition de l’étude, qui a fait cette année appel à plus de 93 experts, Directeurs d’audit interne et administrateurs, en plus des 570 professionnels interrogés. Avec des résultats clairement marqués par la crise de la COVID.

Pouvez-vous nous en dire plus sur le projet Risk in Focus et ses objectifs ?

Gavin HAYES : Le rapport annuel Risk in Focus est devenu en cinq ans le projet phare de l’European Institutes Research Group (EIRG). Cette année, ce sont 10 instituts européens IIA qui y ont contribué. Cette étude porte sur les dix principaux risques encourus par les organisations selon les responsables d’audit interne. Elle fournit des éclairages utiles aux fonctions d’audit interne en pleine préparation de leur plan d’audit pour l’année à venir. Ces travaux s’appuient sur une enquête quantitative, qui a reçu cette année 579 réponses de responsables d’audit interne sur l’ensemble des pays participants, ainsi que sur des entretiens qualitatifs individuels. Pour la première fois, outre les responsables d’audit interne, nous nous sommes entretenus avec des présidents et présidentes de comité d’audit, pour comprendre où se situaient les principaux risques du point de vue du conseil d’administration. Nous avons également étayé nos travaux en interrogeant 51 experts suivant la méthode de Delphes2. Ce protocole de recherche rigoureux en trois volets promet une lecture plus enrichissante et plus intéressante.

D’autres cartographies des risques bien documentées et internationalement réputées sont produites chaque année... Qu’est-ce qui fait la spécificité du RiF ?

Peter HARTOG : Si le RiF est unique, c’est en raison de l’angle adopté. Il expose le point de vue de collègues, responsables ou directeurs/directrices de l’audit interne, qui sont tous dans la même situation. De plus, il permet de se renseigner non seulement sur l’évolution des risques, mais aussi plus spécifiquement sur leurs conséquences pour l’audit interne, et permet de se rendre compte si le temps dédié par la fonction est cohérent avec le degré de priorité des risques. Pour ne pas nous mettre d’œillères en sollicitant uniquement des auditeurs internes, nous avons vérifié la pertinence de nos résultats auprès de membres du Comité d’audit et avons pour la première fois, appliqué la méthode de Delphes et sollicité un vaste panel d’experts sur les différents sujets abordés.

Charlotte GABET : Je suis d’accord avec Peter, le RiF est unique en son genre. Surtout cette année, puisque le rapport qualitatif s’accompagne de recommandations pratiques. L’enquête et les entretiens apportent une analyse quantitative et qualitative des grandes tendances, mais pour cette édition nous allons encore plus loin en proposant à nos lecteurs 3 guides pratiques et synthétiques dans lesquels ils pourront puiser des bonnes pratiques, des conseils et des angles innovants pour maîtriser les risques et saisir les opportunités. Ils auront par ailleurs plus facilement accès aux documents de référence clés de plusieurs instituts (et pas uniquement de l’institut auquel ils sont rattachés). Cette année, l’accent est mis sur trois risques critiques : le cyber-risque (et le facteur humain), le risque macroéconomique (dans le contexte de la COVID), le risque climatique (et son impact sur la résilience de l’activité).

Gavin, en tant que responsable du projet, pouvez-vous nous résumer les conclusions de l’édition de cette année ? Vous surprennent-elles ? Sont-elles différentes de celles des années précédentes ?

GH : La crise de la COVID a eu pour conséquence d’exacerber un grand nombre de risques critiques pour les organisations. Le télétravail généralisé ayant aiguisé la conscience des risques en matière de sécurité informatique, on ne doit pas s’étonner de voir la cybersécurité figurer en tête des risques à 79 %. Toutefois, le rapport met également en lumière des préoccupations croissantes concernant la capacité des entreprises à préserver leur solvabilité dans le contexte de récession économique actuel. Les responsables d’audit interne qui placent le risque financier, de capitaux et de liquidité, parmi les cinq premiers risques à prendre en considération sont plus nombreux que l’an dernier: 42% contre 30%, soit + 40% sur un an ! Dans le même temps, la santé et la sécurité affichent une progression de 70 % sur un an : 17 % des participants déclarent qu’elles font partie des 5 principaux risques à surveiller, contre 10 % l’an passé. Pour moi, le risque essentiel pour l’année à venir réside dans le changement climatique et le développement durable. Il y a 2 ans, seuls 8 % des répondants mentionnaient le changement climatique parmi les 5 risques qui les préoccupaient le plus. L’an dernier, cette proportion a quasiment doublé (14 %) et cette année, elle a encore progressé pour atteindre 22 %. Elle atteint les 28 % lorsqu’ils se projettent sur les trois années à venir.

Le rapport RiF est-il particulièrement affecté par la crise récente ? Comment cette publication peut-elle aider les auditeurs internes à affronter l’avenir immédiat ?

PH : Le RiF 2021 est fortement marqué par la crise de la COVID. Tous les acteurs économiques sont touchés ou presque, et le seront toujours en 2021. Mais ce n’est pas la seule problématique abordée, car, d’autres évolutions suivent leur cours. On peut notamment citer les évolutions dans le champ politique et macroéconomique (montée du nationalisme), les sujets d’ordre RH (attraction de nouveaux talents) et, le changement climatique, qui ne cesse de gagner en importance.

CG : Le RiF propose cette année des recommandations pratiques pour épauler les auditeurs dans leur travail quotidien. Les 3 risques que nous nous proposons d’approfondir sont à la fois les plus critiques, et ceux pour lesquels il existe un véritable écart entre leur importance croissante pour l’organisation et le niveau de maturité d’une large part des professionnels. Ces guides doivent pouvoir être immédiatement utiles aux auditeurs internes.

(1) Retrouvez la version complète de Risk in Focus sur le site de l'IFACI

(2 )Méthode visant à organiser la consultation d’experts sur un sujet précis, basée notamment sur les travaux d’Harold Linstone et Murray Turoff en 1975.