Le rôle de l’audit interne pour recoller les morceaux

J’ai consacré plusieurs articles à des échecs retentissants en matière de risques, de contrôle et de gouvernance ces dernières années, de Volkswagen à Wells Fargo en passant par Toshiba. Certains portaient sur les leçons qui en avaient été tirées, alors que d’autres exploraient le rôle ou l’absence de l’audit interne dans les déboires de ces sociétés.

Les critiques se repaissent des scandales publics, ils en ont même fait une industrie. Mais j’aimerais vous rappeler les pensées d’un des dirigeants les plus cités et les plus inspirants du XXe siècle, Winston Churchill. Le premier ministre britannique, célébré pour son audace, sa bravoure, sa fermeté et son acharnement pendant la Seconde Guerre mondiale, a aussi connu son lot d’échecs politiques et militaires.

Tout au long de son illustre carrière politique, il a appris que le succès et l’échec étaient étroitement imbriqués. La citation de Churchill qui exprime le mieux cela est : « Le succès n'est pas final, l'échec n'est pas fatal : c'est le courage de continuer qui compte. »

Avec cette idée en tête, explorons la manière dont l’audit interne peut aider une organisation à se remettre d’un terrible scandale ou d’une défaillance très médiatisée en matière de management des risques et de contrôle.

Uber, pionnier dans le domaine du covoiturage, a été secoué par de multiples scandales, allant des révoltes de chauffeurs aux révélations concernant l’utilisation de logiciels pour contourner les règles dans les villes où elle exerce ses activités sans oublier son présumé manque de réaction face au harcèlement sexuel et au manque de diversité en son sein. Les répercussions ont considérablement terni la réputation de l’organisation et ont conduit à l’éviction de son ambitieux directeur général, Travis Kalanick.

La méthode de son nouveau directeur général pour rétablir la réputation d’Uber se résume à une série de rencontres très médiatisées suivies de mesures décisives. Sous la direction de Dara Khosrowshahi, Uber réagit à des problèmes latents liés à sa culture d’entreprise qui sont à l’origine de nombre de ses difficultés. Des changements au niveau de l’application ont introduit la possibilité de donner un pourboire aux chauffeurs ainsi qu’un nouveau numéro d’urgence pour les passagers qui se sentent menacés. La nouvelle direction a aussi mis l’accent sur la diversité et l’intégration.

Facebook et Wells Fargo, dont les réputations ont été sérieusement entachées à cause d’une succession de scandales, ont adopté une approche différente. La réhabilitation aux yeux de l’opinion publique de ces deux entreprises, l’une relativement jeune et l’autre existant depuis plus de 150 ans, prend la forme de campagnes publicitaires multimédia coûteuses et sophistiquées. Mais elles ne s’en tiennent pas là.

La banque Wells Fargo, qui a écopé de plusieurs centaines de millions de dollars d’amende pour non-conformité réglementaire suite au scandale des comptes fictifs, a annoncé une refonte de son processus de management des risques et modifié son système de primes attribuées aux caissiers et aux autres employés de la banque en fonction de leur rendement. En outre, elle a récemment accepté de verser 142 millions de dollars de dédommagement à ses clients dans le cadre d’une action en nom collectif.

La faiblesse des dispositifs de contrôle chez Facebook a permis à Cambridge Analytica de recueillir illégalement des informations sur plus de 87 millions d’utilisateurs. Le scandale qui a éclaté quand des détails de l’opération ont été révélés a fait sortir Mark Zuckerberg, le fondateur de Facebook habituellement très discret, de son mutisme pour défendre publiquement le géant des réseaux sociaux lors d’auditions devant le Congrès américain.

Mark Zuckerberg a témoigné que l’organisation vérifiait toutes les applications sur son site ayant accès à de grandes quantités de données des utilisateurs et s’est engagé à ce que toutes celles qui utilisent ces données de manière inappropriée soient interdites et que les utilisateurs affectés en soient avisés.

Dans ces trois exemples, les échecs notoires, et les atteintes à la réputation qui s’en sont ensuivies, ont été alimentés, au moins en partie, par des risques non anticipés liés à des tentatives visant à gonfler le chiffre d'affaires. L’empressement de la direction à confirmer de nouvelles activités, à supplanter un concurrent ou à atteindre des objectifs de ventes irréalistes crée des risques qui peuvent se retourner contre elle. Ces derniers peuvent rendre l’organisation plus vulnérable aux risques identifiés et l’exposer à des risques jusqu’alors inconnus ou qui n’avaient pas été anticipés.

Les auditeurs internes peuvent avoir un rôle à jouer pour prévenir le Conseil et le comité d'audit quand le management ne gère pas les risques efficacement ou s’écarte de l’appétence pour le risque préalablement convenue avec le Conseil. Dans des articles précédents, j’ai décrit la définition de l’appétence pour le risque comme des lignes que le Conseil peindrait sur des axes routiers. En gros, le Conseil dit à la direction « Voici les voies en dehors desquelles nous ne voulons pas nous aventurer. Restez sur ces voies. » C’est le rôle de l’audit interne d’alerter le Conseil quand la direction sort de ces voies.

Mais quel est le rôle de l’audit interne quand l’organisation paie les pots cassés après une défaillance importante relative au management des risques ? Ce sont les circonstances de chaque débâcle qui le dictent, mais voici quelques rôles préventifs ou réactifs qui méritent réflexion.

• Nous avons essayé de vous mettre en garde. Cet échec aurait-il pu être évité si la direction et le Conseil avaient suivi les recommandations de l’audit interne ? La récente cyber-attaque dont a été victime la ville d’Atlanta illustre bien ce scénario. Cet incident aurait probablement pu être évité si l’exécutif de la ville avait écouté les exhortations de l’audit interne à traiter les cyber-vulnérabilités identifiées des mois auparavant. Dans de tels cas, l’audit interne doit insister sans relâche pour que ses recommandations initiales soient mises en œuvre.
• Où est le plan de crise ? L’audit interne doit donner une assurance sur la communication de crise et sur les plans de continuité d'activité qui indiquent la marche à suivre en cas de scandale. Après la crise, l’audit interne peut examiner l’efficacité avec laquelle ces plans ont été réalisés.
• Nouveautés et améliorations. Wells Fargo et Facebook investissent tous deux dans des campagnes publicitaires pour redorer leur image. Alors que certains pourraient critiquer de telles actions en les qualifiant de superficielles ou cosmétiques, l’audit interne peut jouer un rôle en donnant une assurance sur les messages et les promesses diffusés dans de telles campagnes. Après tout, les clients, les autorités de régulation et d’autres seront encore moins enclins à pardonner une deuxième catastrophe.
• Changements au niveau du management des risques. Wells Fargo, Facebook et Uber se sont tous engagés à changer certains aspects de leurs processus de management des risques. Dans le cas de Wells Fargo, il s’agissait même d’un réajustement de l’ensemble des processus de management des risques. L’audit interne peut offrir un point de vue intéressant à l’échelle de l’organisation sur de telles refontes et une assurance sur les nouveaux processus à venir.
• C’est une question de culture. Les dirigeants d’Uber et Wells Fargo ont commenté publiquement la mesure dans laquelle la culture d’entreprise a contribué à leurs problèmes. Dara Khosrowshahi a notamment décrit la manière dont le succès d’Uber a masqué les difficultés d’ordre culturel de la société. « Le succès justifie les mauvais comportements », a-t-il déclaré à Andew Ross Sorkin du New York Times en 2017. Plus l’audit interne est capable d’incorporer un examen de la culture d’entreprise dans ses travaux, plus il est probable qu’il pourra avertir le Conseil et la direction de problèmes potentiels.

Ce sont simplement quelques exemples du rôle de l’audit interne au lendemain d’un scandale.