Faire passer la GRE au niveau supérieur Faire passer la GRE au niveau supérieur Faire passer la GRE au niveau supérieur

​Alors que les sociétés s'efforcent de comprendre la nouvelle normalité et qu'elles sont confrontées aux effets persistants de la pandémie, la gestion des risques d'entreprise (« GRE ») est devenue une question prioritaire pour les comités d'audit. La GRE est essentielle pour aider les organisations à mieux comprendre les considérations relatives aux risques et aux occasions, et à les intégrer de manière proactive dans tout ce qu'elles font. Afin d'y parvenir, les organisations doivent repenser le mandat et les attributs de la fonction GRE, et c'est là que le comité d'audit a un rôle crucial à jouer.

La pandémie n'a pas touché l'ensemble des organisations et des secteurs de la même façon. Certains secteurs ont dû adapter leurs modèles d'affaires ou repartir à neuf en raison des changements permanents ou durables sur le marché. D'autres ont su tirer parti des nouveaux comportements des consommateurs et ont connu une croissance exponentielle. Les risques et l'incertitude sont des facteurs avec lesquels il faut composer lorsqu'on fait des affaires. La COVID-19 a accéléré certaines tendances émergentes et en a créé de nouvelles, et elle aura certainement été l'un des principaux catalyseurs des temps modernes au chapitre des changements opérationnels. Les organisations ne sont pas nécessairement confrontées à de nouveaux risques; il s'agit plutôt de multiples risques qui se présentent simultanément et nombre d'organisations ne sont pas préparées adéquatement à y répondre.

En ce qui concerne les comités d'audit, voici certains des risques systémiques courants qui devraient figurer à leur ordre du jour en 2022.

Personnel, santé mentale et bien-être : La plus grande menace qui guette les organisations relativement à la gestion des employés concerne l'attraction et la rétention des talents. Dans tous les secteurs, les niveaux d'attrition ont atteint un sommet alors que les employés démissionnent en masse pour des raisons aussi diverses que l'épuisement professionnel, une « révélation pandémique », ou le désir de continuer le télétravail. La popularité grandissante d'un « effectif numérique » a également accentué l'isolement des employés et une culture de disponibilité en tout temps. Les organisations devront élaborer de nouvelles stratégies pour soutenir la santé mentale des employés et entretenir une culture d'entreprise forte dans un environnement virtuel et hybride.

Facteurs environnementaux, sociaux et de gouvernance (« ESG ») : Le développement durable n'est plus qu'une simple obligation d'information. Il est essentiel de comprendre et d'intégrer les facteurs ESG dans les processus internes, les protocoles et la gouvernance d'une organisation pour atténuer les risques organisationnels et d'atteinte à la réputation. Les facteurs ESG doivent faire partie intégrante de l'ADN de l'organisation.

Chaîne d'approvisionnement : Les perturbations à l'échelle mondiale des chaînes d'approvisionnement ont des répercussions sur l'économie, et un effet d'entraînement sur les différents secteurs. S'appuyer sur un fournisseur unique peut rendre votre organisation vulnérable. La prochaine génération de chaînes d'approvisionnement devra s'adapter, et les organisations devront s'assurer que leurs réseaux sont davantage résilients face aux perturbations futures.

Perturbations : Les technologies perturbatrices, comme l'intelligence artificielle, la cryptomonnaie, le métavers et autres innovations numériques, constituent la nouvelle norme, et les organisations qui ne sauront pas s'adapter ou évoluer échoueront.

Cybersécurité et confidentialité des données : Les inquiétudes concernant la cybersécurité et la confidentialité des données n'ont jamais été aussi vives. Bien que certains employés retournent progressivement au bureau, il est probable que nombre d'entre eux continueront à travailler à domicile ou selon un modèle de travail hybride. Les comités d'audit devraient s'assurer que la direction a remédié à toutes les lacunes en matière de sécurité des données, surtout en ce qui concerne les procédures de travail hybride / à distance.

Dans ce contexte, les organisations ne peuvent pas se permettre d'être uniquement en mode réaction et improvisation. La gestion des risques est une composante essentielle de l'écosystème de toute organisation. Le programme de GRE d'une organisation devrait être constitué de composantes interreliées qui fonctionnent ensemble afin d'assurer des pratiques appropriées de gestion et de surveillance, notamment ce qui a trait aux aspects qui suivent.

Gouvernance : Une fonction GRE efficace peut aider une organisation à mieux gérer les risques, que ce soit en contribuant à s'assurer que des politiques et procédures adéquates de gestion des risques soient en place pour toutes les principales catégories de risques, ou à harmoniser les méthodologies et les pratiques d'évaluation des menaces et des risques. Les énoncés et les données relatifs à la propension au risque devraient être revus souvent, afin de passer d'un exercice théorique à l'établissement et à l'application d'une stratégie véritablement éclairée.

Examen indépendant et remise en question : La fonction GRE procure une confiance accrue quant au fait que les risques sont gérés adéquatement dans l'ensemble de l'organisation. Elle devrait être intégrée de façon proactive dans les activités, plutôt qu'en aval ou après que les décisions ont été prises. Cela peut se faire en travaillant en collaboration avec l'entreprise ou en remettant objectivement en question les évaluations des risques effectuées par cette dernière. La planification stratégique, la gestion des changements et la gestion des risques liés aux fournisseurs sont quelques-unes des possibilités d'intégration courantes, et certaines autres sont propres au secteur, comme la validation du modèle, la gestion du risque de placement ou l'approbation des nouveaux produits.

Services-conseils : La fonction GRE joue un véritable rôle de conseiller en gestion des risques en partageant son expertise dans le cadre des discussions sur l'optimisation de l'équilibre risque-rendement, en fournissant un cadre fondé sur le risque pour appuyer la prise de décisions, en évaluant la résilience de l'organisation face à des évènements de grand stress, et en fournissant aux parties prenantes des indications supplémentaires sur les risques, par exemple des analyses transversales des risques et des pratiques exemplaires en matière de risque et de contrôle. Lorsqu'elle est exploitée à son plein potentiel, la fonction GRE peut procurer une valeur substantielle aux organisations et ainsi les aider à atteindre leurs objectifs.

Les risques ne se produisent pas en vase clos. Ils font plutôt partie d'un réseau hautement interconnecté, ce qui signifie qu'ils devraient être gérés sur une base collective grâce à une convergence accrue entre les différents programmes liés aux risques (GRE, ESG ou gestion des risques liés aux fournisseurs, entre autres). L'intégration et la convergence contribuent à réduire les cloisons et le potentiel manque de concordance entre les programmes existants. Pour y parvenir, il faut regrouper certaines de ces fonctions (par exemple, GRE et ESG sous la responsabilité du chef de la gestion des risques) ou, mieux encore, faire le pont entre ces fonctions distinctes.

Au fur et à mesure que les organisations gagnent en croissance et en maturité, le défi consiste pour elles à trouver un certain équilibre entre les trois lignes de défense. Ceux qui sont en première ligne sont susceptibles de percevoir ces activités comme contraignantes ou lourdes, sentiment qui pourrait être exacerbé si les demandes et les processus entre les deuxième et troisième lignes de défense sont considérés comme étant redondants ou se recoupant. Par conséquent, les organisations devraient rechercher de nouvelles façons pour que les deuxième et troisième lignes de défense agissent ensemble pour planifier, rationaliser et simplifier les efforts selon le seuil de signification et pour réduire au minimum les chevauchements.

Pour réussir, la fonction GRE devrait avoir un mandat clair et approuvé, et avoir les coudées franches pour orienter le programme de gestion des risques : il ne s'agit pas d'une activité de second plan, mais bel et bien une fonction vouée à prendre de l'importance, à ajouter de la valeur et à fournir des renseignements aux parties prenantes, dont le comité d'audit.

• Quel est le mandat de la GRE, et en quoi soutient-il nos objectifs stratégiques?
• Dans quelle mesure le comité d'audit laisse-t-il le champ libre à la fonction GRE en ce qui a trait à l'orientation du programme de gestion des risques?
• À quel point notre organisation fait-elle preuve de coordination dans la gestion des différentes catégories de risques?
• En quoi la gestion des risques contribue-t-elle à éclairer la prise de décisions?

Inscrivez-vous afin de recevoir des informations et des points de vue soigneusement choisis par KPMG au Canada sur les principales questions touchant la direction, les conseils et les comités d’audit.