Management des risques : les oubliés de l’audit

Toute entreprise est soumise au risque. La crise sanitaire que nous traversons actuellement en est un bel exemple. En découle une nécessité : toute personne soucieuse de la bonne marche de son entreprise, à commencer par son / sa dirigent.e, doit anticiper ce risque, afin d’en minimiser les conséquences. 

Problème : ce risque est protéiforme, et la tâche est tellement vaste qu’une priorisation est nécessaire. Comment mettre en place un management des risques ? Quels sont les risques qui pèsent le plus sur mon organisation ? Sur quels sujets dois-je concentrer mes ressources et mes audits internes ? 

Dans cet article on vous propose : 

Découvrez les tendances et pratiques des professionnels de la Qualité
  • Le TOP 5 des principaux risques actuels 
  • Exemples de risques considérés, mais peu traités
  • Focus sur les difficultés dans la mise en place du management des risques

 Le TOP 5 des risques les plus craints en entreprise

Identifier les risques et les conséquences potentielles sur son organisation doit vous permettre d’établir vos priorités en matière de management des risques et d’audit interne. C’est d’ailleurs ce qu’on fait les 579 personnes, dirigeant.e.s d’entreprise, qualiticiens, auditeurs internes, qui ont répondu au questionnaire envoyé par l’IFACI et qui a permis la rédaction de l’étude “Risk in focus” sur laquelle s’appuie cet article.

 Si on se réfère à ce document, quel est le top 5 des risques les plus craints en entreprise ?

  1. La cybersécurité et la protection de données (citées par près de 80% des sondés)
  2. Les modifications réglementaires et la conformité (environ 60%)
  3. La digitalisation, l’intelligence artificielle et les nouvelles technologies (50%)
  4. Les risques financiers, dont la trésorerie (42%)
  5. Le capital humain et le management des talents (35% des personnes interrogées)

 PYX4 : Management des risques : le top 5 des risques auxquelles votre organisation fait face - source issue de l'étude Ifaci "Risk in Focus"
PYX4 : Management des risques : le top 5 des risques auxquelles votre organisation fait face – source issue de l’étude Ifaci « Risk in Focus »

Notez que les deux risques qui suivent dans cette liste sont les catastrophes et les crises (comme à laquelle nous sommes confrontés aujourd’hui) et les risques géopolitiques et macroéconomiques.

Voilà les risques les plus redoutés par les professionnels du risque (qualiticien, HQSE…) comme les dirigeant.e.s d’entreprises. Les identifier permet, pour les premiers, de définir les actions adéquates (préventives et correctives) pour assurer la pérennité de leurs organisations. 

On s’attend donc à ce qu’à la question “Quels sont les risques qui occupent le plus votre temps en matière d’audit interne ?”, les réponses des personnes sondées tournent autour de ce top 5. Et bien pas vraiment.

Exemples de risques considérés, mais peu traités

C’est la conclusion qui ressort de ce second graphique, qui met en rapport les risques redoutés et le temps passé en audit interne sur ces sujets.

PYX4 : Management des risques : temps d’audit passé vs temps d’audit prévu - source issue de l'étude Ifaci "Risk in Focus"
PYX4 : Management des risques : temps d’audit passé vs temps d’audit prévu – source issue de l’étude Ifaci « Risk in Focus »

Il en ressort que si la digitalisation compte parmi les risques les plus craints (3e position), elle n’est que 7e dans le classement de ceux qui bénéficient le plus de temps et d’effort en audit interne. Un vrai décalage entre les intentions et la réalité.

 Le constat est le même pour :

  • La digitalisation et les nouvelles technologies
  • Le capital humain et la gestion des talents
  • Les catastrophes et crises
  • Les problématiques géopolitiques et macroéconomiques
  • Le changement climatique
  • la cybersécurité, dans une moindre mesure

Ces deux derniers sujets étant ceux pour lesquels le fossé est le plus large entre perceptions du risque et traitement dans les faits.

Comment expliquer ce phénomène ? Par une évidence : là où l’entreprise passe du temps, elle n’en passe pas ailleurs. Question de priorité. Mais alors pourquoi ces priorités ne sont pas établies par la simple évaluation du risque ? Deux réponses :

2.1 Le contexte réglementaire contraint l’audit

Certains risques, bien que peu redoutés par les personnes interrogées, font pour autant l’objet d’un contexte réglementaire qui contraint les entreprises à passer plus de temps sur ces sujets qu’elles n’aimeraient le faire. C’est le cas par exemple des risques financiers, et c’est très significatif pour les thématiques corruptions, fraudes et crimes financiers.

2.2 Des choix et des habitudes à considérer

D’autres risques, craints par une proportion moindre des sondés, constituent cependant une priorité (par choix ou parfois par habitude) pour les dirigeant.e.s, qui priorisent ainsi les audits sur ces sujets (c’est le cas de la gouvernance d’entreprise et le reporting).

Focus sur les difficultés dans la mise en place du management des risques

3.1 Exemples : comment les entreprises s’adaptent aux risques

Comme incitait à le faire Jean-Marie Pivard en 2017, il faut « voir au-delà de la compliance ». On constate en effet que les entreprises sondées comptent passer plus de temps sur certains des sujets dans les trois ans à venir : 

  • la  digitalisation, bien évidemment
  • le climat (même si on peut se poser la question de l’évaluation du risque) 
  • la cybersécurité, dans une moindre mesure.

D’autres, au contraire, restent les parents pauvres de l’audit : capital humain, notamment, mais aussi et surtout la géopolitique. Et parfois, quand ces deux risquent se télescopent, le risque peut devenir très important. Souvenez-vous de l’enlèvement de 4 salariés d’Areva au Niger en 2008.

PYX4 : Management des risques : evaluation top 5 des audits actuels vs top 5 risques audit futurs - source issue de l'étude Ifaci "Risk in Focus"
PYX4 : Management des risques : evaluation top 5 des audits actuels vs top 5 risques audit futurs – source issue de l’étude Ifaci « Risk in Focus »

3.2 Les risques qui posent des difficultés : la géopolitique et le capital humain

Pourquoi sur ces deux sujets, les entreprises ne parviennent pas à proportionner correctement l’audit interne sur le risque ressenti ? Sur le capital humain, plusieurs explications :

  • Les moyens précis et automatiques de mise en œuvre n’existent pas ou sont rares :
  • Les critères de réussite valables restent difficiles à trouver ;
  • L’engagement des dirigeants n’est pas toujours à la hauteur.

Le sujet est vaste, et il existe sans doute bien d’autres freins qui créent cet écart entre évaluation du risque et temps passé en audit interne.

Sur les problématiques de géopolitiques, nous vous invitons à consulter cet excellent rapport réalisé par The Institute of Internal Auditors intitulé “Risques géopolitiques : comment y faire face ?”.

Quoi qu’il en soit, ces deux problématiques nécessitent pour les dirigeant.e.s et les spécialistes du risque une prise d’information pour mener des réflexions solides, pertinentes, à même de les aiguiller quant à la bonne marche à suivre pour répondre aux risques en question.

 Où en êtes-vous dans votre management des risques ?

Vous l’aurez compris, l’évaluation et la priorisation, et donc le management des risques pour votre organisation demande méthode, information, considération du contexte réglementaire, et parfois négociation avec la direction, dans le cas des professionnels du risque qui n’auraient pas tout à fait la même vision que leurs dirigeant.e.s. 

Quelle que soit votre situation, il existe des outils à même de vous guider dans ce travail d’importance : vous pouvez par exemple réaliser un diagnostic de vos risques grâce à la suite logicielle spécialisée de Pyx4.

Photo of author

Amanda Wanderley

Consultante Senior BPM & Risques
Amanda est consultante, spécialisée dans la cartographie des processus et des risques, la mise en œuvre d’outil BPM et d’audit. Elle accompagne les organisations dans le suivi de leurs projets, le déploiement des solutions PYX4 et la formation de leurs équipes.

À lire aussi...

PYX4 - Détectabilité des risques
La détectabilité des risques
La gestion des risques est devenue un élément indispensable pour assurer la pérennité d’une organisation. La possibilité d’analyser leur détectabilité entre en jeu dans cette ...
PYX4 - Gestion des risques : 3 articles à lire absolument
Gestion des risques : 3 articles à lire absolument
En 2023, nous avons publié beaucoup de contenus sur la gestion des risques. Si vous ne savez pas par lesquels commencer, voici les 3 articles ...
PYX4 - Qu'est-ce que la gestion des risques ?
Qu’est-ce que la gestion des risques ?
Les risques sont inhérents à toute activité. Ils représentent la part d’éventualité et d’incertitude susceptible d’avoir un impact – négatif (menace) ou positif (opportunité) – ...