14 octobre 2021

pictogramme temps Lecture 5 mn

Risk in focus 2022 : l'analyse de Bertrand Pigeat, Président de l'IFACI

Quelles leçons tirez-vous du top 3 du Risk In Focus cette année ?

Bertrand Pigeat : Risk in Focus est une publication attendue chaque année à cette période, une étude large sur 13 pays Européens, basée sur plus de 700 réponses de nos pairs et 50 interviews approfondies. Au moment où nous construisons nos plans d’audits de l’année à venir, elle a un impact fort et permet de cerner si nous consacrons le bon niveau de ressource dans nos organisations aux sujets qui représentent un risque significatif. Que l’on soit auditeur interne, contrôleur interne ou risque manager, cette étude permet d’orienter l’effort, d’éviter de sous-estimer ou surestimer telle ou telle famille de risques.

Sous un angle plus interne à l’IFACI, cette étude permet également d’alimenter toute l’offre : avons-nous des formations qui traitent des risques principaux ? Prévoyons-nous d’aborder ces sujets dans les clubs DAI ou DCI, sur workplace, dans nos réunions mensuelles, lors de la conférence ? Notre modèle benchmark est-il à jour ? Notre communauté hyper qualifiée de 6 400 adhérents (record battu cette année !) représente une immense intelligence collective.

Sur le top 3, j’avoue ne pas être surpris. Cyber / les lois et règlements, avec la poussée inédite des sujets compliance et des lois à portée extraterritoriale qui sont un vrai challenge pour ceux d’entre nous opérant dans un cadre multi national / Digital et Intelligence Artificielle. Je m’attendais à ces niveaux de score.

Au-delà de ces 3 favoris, il me paraît intéressant de regarder le pied du podium, les risques qui arrivent juste après ce Top 3. Forte hausse des scores des risques Top 4 (Human capital) et Top 5 (Business Continuity et crisis management), et nette baisse sur le Top 6 (Finance, liquidités). Ces variations par rapport à 2020 reflètent bien le redémarrage économique post-crise.

 

La cyber sécurité est toujours le risque numéro 1. Qu’en pensez-vous ?

B.P. : C’est un fait avéré. Nous faisons face à un risque Cyber hyper présent, et la première défense consiste précisément à ne pas le sous-estimer, il est majeur. Nos organisations, publiques ou privées, sont attaquées par des robots à chaque seconde. Les tentatives de phishing dans nos boîtes mails personnelles ou professionnelles sont quotidiennes. Les attaques plus élaborées, qui demandent un meilleur ciblage ou des moyens plus importants, sont en forte hausse. Les schémas d’attaques évoluent vite. Nous faisons face à une industrie de l’attaque Cyber, avec une offre de service de plus en plus pointue. Certains de nos groupes ou certaines institutions font également l’objet d’attaques étatiques ou via des groupes de hackers sponsorisés par des états. La lecture de la newsletter quotidienne de l’ANSSI est très utile dans nos métiers. Cela permet de ne pas sous-estimer cette menace, de comprendre son intensité.

Ce risque est devenu multiforme. Je pense qu’il ne faut pas le maintenir dans nos cartographies de risque ou dans nos travaux d’audits de façon monolithique, sous forme d’un seul risque. Je préconise de le segmenter, d’avoir plusieurs scénarios et plusieurs niveaux de réponse. Une approche monolithique est obsolète je crois. La sophistication de la menace implique une sophistication de nos réponses.

Au-delà de ces risques bien identifiés, il faut impérativement, dans nos plans d’audits, dans nos approches des risques, réfléchir avec un coup d’avance et consacrer une part de nos ressources aux « risques émergents » à travers des signaux faibles, qui pourraient constituer des top risques demain. Nous avons ce devoir d’anticiper, et pour cela la publication du World Economic Forum* est une très bonne source d’information. Pas la seule, mais elle est d’une grande qualité.

 

Voici un extrait du communiqué de presse  de l’IIA UK envoyé aux journalistes à l’occasion de la sortie du RIF, êtes-vous d’accord avec ces propos ?

Mike Ashley, Chair of the Audit Committee at Barclays, said : “Climate change is extremely high on the government’s agenda, particularly with COP26 coming up, and business has a critical part to play.  At a minimum, companies should record and publish their activities related to climate risk and sustainability, using internationally recognised standards such as TCFD, and internal auditors have an important role to play in providing assurance on these performance metrics and that they are embedded in how the business actually operates. Fundamentally, we need to ensure that high level sustainability announcements by businesses are actually lived up to, so I think there is work that internal audit can do in that space to ensure that we do walk the talk.”

B.P. : Quelles que soient nos positions personnelles sur ce thème du climat, ce qui suscite parfois des débats animés, le fait que ceci soit devenu un sujet majeur de nos métiers est une évidence pour moi. Nos parties prenantes nous le demandent, nos clients nous le demandent, nos salariés nous le demandent, les citoyens nous le demandent, et parfois la loi ou la réglementation nous le demandent. Nos métiers doivent avoir sur ce sujet le même niveau de professionnalisme que nous avons sur la composante financière de nos organisations. L’extra-financier et le financier traités avec le même niveau de rigueur et d’impartialité dans l’approche. La question à résoudre n’est pas : faut-il y aller ? - Vous l’avez compris, la réponse est : oui, bien entendu - mais plutôt, comment y aller, avec quelle méthodologie, quelles compétences dans nos équipes pour être indépendants, pertinents et factuels ?

Il y a donc actuellement, pour ceux d’entre nous qui se sont déjà lancés, un petit côté exploratoire. Quelles échelles pour mesurer les risques sur nos externalités ? Quelles méthodologies d’audit ? Quels contrôles mettre en place ? Nous allons vite progresser. Nos entreprises font actuellement face à des agences de notation extra-financière dont les méthodologies sont inégales, dans certains cas très immatures. Nous devons apporter à nos dirigeants une vue interne fiable, leur donner des éléments tangibles. Ils sont amenés à prendre des positions publiques fortes, emblématiques. À nous de leur dire dans quelle mesure ces prises de positions sont à risque ou pas, si nos organisations sont en mouvement pour tenir ces engagements pris, ou pas encore.

« Learning by doing »: il faut se lancer, accepter au départ que nous sommes sur un terrain foisonnant, peu balisé, mais qui devrait vite converger sur des indicateurs et méthodologies fiables.

 

Les Anglais ont choisi d’axer essentiellement leur communication sur le risque climat. Plus globalement, que pensez-vous de la progression du risque climat et du risque facteur humain ? Et plus globalement du traitement des risques liés à l’ESG dans le RIF ? Les auditeurs en ont-ils ressenti l'urgence ?

B.P. : Je comprends nos collègues anglais, qui ont un événement en tête, la COP26. Au-delà de cet événement particulier, c’est structurellement une immense opportunité pour les auditeurs et les métiers du risque en général. Nous avons un champ ouvert, dans lequel les acteurs fiables et sans arrière-pensée militante, sans agenda plus ou moins cachés sont peu nombreux. Nous avons évidemment notre place, la chaîne de confiance dont nous faisons partie est indispensable. Les greenwashing, socialwashing ou ESGwashing en tous genres ne tiendront pas longtemps, les fissures sont déjà visibles. Place à la fiabilité des engagements pris, aux engagements tenus.

 

Que fait l’IFACI à ce sujet ?

B.P. : L’IFACI se positionne de longue date sur ces thématiques. Regardez par exemple l’agenda de notre conférence 2020, ou le titre de certaines de nos réunions mensuelles récentes, qui montrent la place importante accordée à l’ESG dans nos échanges avec les adhérents.

Au-delà, et c’est peut-être moins visible, nous sommes engagés au sein de la chaire Audencia, aux côtés de la CNCC, de Danone et de L’Oréal, pour avoir accès aux travaux les plus pointus dans ce domaine et à des acteurs universitaires de haut rang. C’est un peu notre laboratoire sur le sujet.

Je ne pense pas qu’il faille attendre de l’IIA ou de l’IFACI des documents normatifs, des réponses toutes faites. Notre rôle sur ce sujet est avant tout celui d’animation de notre communauté, de faciliter les échanges entre adhérents motivés, de promouvoir le partage d’expérience, de faciliter la création de contenus collaboratifs, en réunissant des experts et des auditeurs ou risk managers avec des problématiques pratiques à traiter. Avec une communauté très qualifiée comme la nôtre, les réponses seront co-construites, pas toutes faites.

 

* https://www.weforum.org/