Les auditeurs internes face au coronavirus : porter un masque ne sera pas suffisant

En l’espace de quelques jours, la crise sanitaire du coronavirus (COVID-19) s’est doublée d’une crise macroéconomique. Tout pays ou toute organisation, quels qu’ils soient, seraient bien imprudents d’ignorer ce virus ou ses effets sur l’activité mondiale. Il progresse rapidement, et même s’il n’existe aucune certitude sur son impact ultime, les conséquences potentielles du virus à elles seules ont semé la panique sur les marchés financiers, alors qu’il se répandait en dehors des frontières chinoises.

Ce virus est un exemple saisissant des risques émergents sur lesquels je me suis abondamment penché ces dernières années, tant dans mes articles qu’à l’occasion de mes interventions. Certains sont quasiment imprévisibles et il est très difficile d’en estimer l’impact à terme. Il n’en reste pas moins que le COVID-19 représente clairement et incontestablement un danger, non seulement pour la santé et le bien-être de la population mondiale, mais également pour les entreprises aux quatre coins de la planète.
Ces types de risques méritent une attention particulière. Dans ce contexte, les compétences et le positionnement uniques de l’audit interne peuvent constituer de précieux atouts. Les auditeurs internes devraient dès à présent engager des actions prioritaires afin de soutenir leurs organisations respectives.

     1. Comprendre et évaluer l’ensemble des risques immédiats

Le management des risques incombe à la direction. À ce titre, ses membres devraient déjà avoir renforcé les efforts déployés pour identifier tous les risques possibles, évaluer leur impact potentiel et réfléchir à des réponses adéquates.

Traiter objectivement les risques, voilà un art dans lequel l’audit interne excelle. Les discussions avec le management et la participation à diverses activités permettent à l’audit interne d’évaluer plusieurs points : le management a-t-il identifié l’ensemble des risques, directs et indirects ? A-t-il envisagé toutes les actions pour en gérer les impacts potentiels, notamment en prévision du pire des scénarios ?

Le management a sans doute commencé à discuter des risques liés aux voyages d’affaires, à évaluer la capacité des collaborateurs à travailler à distance pour des périodes potentiellement longues, à déterminer si les activités opérationnelles critiques peuvent être transférées sur d’autres sites, à envisager des ruptures dans les chaînes d’approvisionnement et à assurer une communication bilatérale efficace avec les collaborateurs. Toutefois, il ne s’agit-là que d’un petit échantillon d’impacts potentiels. L’audit interne peut en outre évaluer si le management considère d’éventuelles interruptions des services de stockage de données hors site, l’impact potentiel d’une épidémie sur le comportement d’achat des clients ou la possibilité d’une interruption des services techniques fournis à la clientèle par l’organisation.

     2. Évaluer les plans de gestion de crise et de continuité d’activité existants de l’organisation


De telles situations renforcent la nécessité d’une planification sophistiquée et éprouvée. Les plans de gestion de crise et de continuité d’activité devraient préciser clairement les rôles assignés, les plans de communication et de coordination, les protocoles de prise de décision et les plans d’urgence. Le management devrait passer en revue ces plans afin d’éliminer toute lacune éventuelle. L’audit interne peut surveiller ces efforts et fournir des conseils en cas de déficiences. Il ne s’agit pas simplement de signaler un problème, mais de contribuer à assurer la pertinence des plans.

Il est également crucial de déterminer la meilleure façon de tenir les parties prenantes informées des activités de l’organisation et de sensibiliser les collaborateurs, ainsi que les membres de la direction générale et du conseil d’administration, sur les protocoles à appliquer en cas d’épidémie locale.

     3. Conseillez à votre organisation de ne pas limiter sa réflexion aux seuls risques immédiats

Certains risques associés au COVID-19 devraient être dans le radar des organisations, notamment les menaces cyber et celles visant la réputation. Le communiqué de l’IIA sur le COVID-19, publié en février, indique que même si les organisations ne font que commencer à déterminer les impacts potentiels du coronavirus sur leurs activités, un risque accessoire est bel et bien en train d’émerger : l’ingénierie sociale en temps de crise. Le communiqué évoque ensuite des tentatives de phishing déguisées en conseils à suivre concernant le virus.

De la même manière, la réaction des organisations face à cette situation de crise peut écorner leur réputation. Une université prestigieuse a récemment été sous le feu des critiques après avoir qualifié dans une publication sur Instagram « la xénophobie ou les préjugés à l’encontre de personnes étrangères » de réactions « normales » face à la crainte croissante de propagation du COVID-19.

     4. Conseillez à votre organisation d’envisager les répercussions à long terme

L’impact du COVID-19 sur les activités et l’économie en général pourrait se faire sentir sur plusieurs mois, voire plusieurs années. Les organisations devraient étudier à la loupe les effets potentiels de perturbations prolongées, notamment sur les chaînes d’approvisionnement, la productivité, les projections de croissance des activités, les cash-flows et les perspectives de bénéfices.

Il conviendrait en outre de réfléchir à la gestion de certains scénarios post-épidémie, par exemple l’accélération de la production pour répondre à la forte demande sous-jacente. C’est un fait : les premières organisations à être opérationnelles après une catastrophe naturelle tirent souvent leur épingle du jeu sur le long terme.

     5. Restez en état de veille et réactualisez sans cesse votre réflexion

Les risques émergents sont par nature imprévisibles. Le management et l’audit interne doivent surveiller en continu les nouvelles évolutions tant au sein de l’organisation qu’en dehors, et faire preuve le cas échéant d’agilité dans la mise en œuvre de changements et d’ajustements. En s’employant à exécuter des plans d’action conçus pour des scénarios précis qu’il pense correspondre aux événements en train de se produire, le management peut passer à côté des paramètres qui ont changé et qui nécessitent d’ajuster ces mêmes plans d’action. L’audit interne est bien placé pour aider le management à faire ce lien.
Les points abordés ci-dessus proviennent tous d’un concept central expliqué simplement et de façon éloquente par Norman Marks, responsable d’audit interne chevronné et auteur d’un blog sur l’audit interne. Dans son article sur le COVID-19 publié la semaine dernière, il écrit que la contribution la plus importante que peut apporter l’audit internet est de demander simplement au management : « Comment pouvons-nous vous aider ? » Cette aide peut prendre plusieurs formes, mais quelles qu’elles soient, l’audit interne apporte une objectivité, une perspective, un processus et un positionnement uniques au sein d’une organisation.
Je souhaiterais partager avec vous quelques réflexions supplémentaires :

  • Pour être un partenaire de confiance et faire preuve d’efficacité, les auditeurs internes doivent acquérir une compréhension suffisamment fine des activités de leur organisation afin de connaître, d’appréhender et d’anticiper les risques. Il est essentiel de disposer de solides connaissances de la stratégie et des opérations de l’organisation pour embrasser pleinement le panorama des risques.
  • Une épidémie telle que le COVID-19 est résolument une question de management des risques. Les responsables d’audit interne ne devraient pas hésiter à jouer un rôle actif de premier ordre dans les plans et les actions de leur organisation.
  • Les conseils d’administration s’inquiètent de la capacité de leur organisation à identifier les risques émergents et atypiques. Cette inquiétude a clairement été perçue lors d’une récente réunion de la National Association of Corporate Directors, Houston Chapter, à laquelle était conviée l’IIA pour présenter son rapport OnRisk 2020. Pour les conseils d’administration, il s’agit également d’avoir l’assurance que la culture de leur organisation y favorise la collaboration transversale afin de concevoir des plans d’activité adaptés aux perturbations affectant les marchés, telles que l’épidémie de COVID-19. Et l’audit interne devrait apporter cette assurance.

Pour certains, l’effondrement des marchés, le battage médiatique et l’embrasement des réseaux sociaux autour du COVID-19 relèvent de la surréaction. Toutefois, même si l’épidémie venait à être endiguée et que ses impacts sur l’économie restaient temporaires et modérés, elle nous aura permis d’examiner nos capacités, de renforcer nos plans de gestion de crises majeures et de positionner l’audit interne en partenaire et conseiller de confiance.

Newsletter

Abonnez-vous au bulletin d'information de l'ACIAM

Compteur de visite

Aujourd'hui 2

Ce mois 343

Total 961

Kubik-Rubik Joomla! Extensions

Top