Facteurs de changement proposés con't.

Facteur de changement n° 3 : Acceptation croissante, à l'échelle mondiale, du fait que les organisations des secteurs public et privé devraient avoir des "lignes" intégrées

Tel que mentionné dans la première section de cet article, en 2020, l'IIA a publié le modèle des trois lignes, une mise à jour de ses trois lignes de défense originales¹⁴. Le rôle de la direction, y compris des groupes de risque de deuxième niveau, est défini comme les actions (y compris la gestion des risques) visant à atteindre les objectifs de l'organisation. Le rôle de l'audit interne est défini comme la fourniture de "l'assurance et des conseils indépendants et objectifs (…) afin de contribuer à la réalisation des objectifs…".

Diagramme 3

Facteur de changement n° 4 : Acceptation croissante au niveau mondial de la nécessité d'un comité permanent du conseil d'administration ou de l'organe de gouvernance chargé de superviser la planification stratégique de l'entreprise et les cadres de gestion des risques.

Il existe deux sources d'information crédibles sur la manière dont les organisations gèrent un monde caractérisé par des taux de changement élevés et des bouleversements majeurs des modèles d'entreprise. La première est une enquête canadienne menée en 2019 par le Conference Board du Canada en collaboration avec les Comptables professionnels agréés du Canada et le Global Risk Institute¹⁵. Cette enquête porte sur les secteurs public et privé. Ses conclusions sont les suivantes :

Notre enquête démontre que l'intégration de la GRE à d'autres processus opérationnels reste un travail en cours. Seuls 39 % des répondants pensent que la GRE est intégrée dans une large mesure ou dans une très large mesure au processus de planification stratégique de leur organisation. (Notre traduction)

Bien que ces résultats démontrent qu'un nombre substantiel de répondants ont indiqué un niveau considérable d'intégration de la GRE dans leurs opérations, l'enquête a conclu qu'une majorité devait encore faire des progrès dans ce domaine.

L'autre enquête, menée chaque année (la dernière en 2023¹⁶) par la North Carolina State University et l'American Institute of Certified Public Accountants (AICPA) auprès d'organisations à but non lucratif, a abouti à des conclusions similaires, indiquant que 34 % des répondants ont déclaré avoir mis en place une GRE complète (une amélioration par rapport aux 9 % de 2009). L'étude conclut néanmoins que :

Si des progrès ont été accomplis dans la mise en œuvre d'une GRE complète au cours des quatorze années pendant lesquelles nous avons mené cette enquête, les progrès sont encore relativement lents pour continuer à évoluer vers une approche plus robuste et complète de la gestion des risques à l'échelle de l'entreprise. (Notre traduction)

La conclusion générale des deux enquêtes est que l'intégration de la planification stratégique et de la GRE n'a pas suffisamment progressé. Malheureusement, les deux enquêtes laissent entendre que la gestion des risques consiste à créer et à tenir à jour des registres ou des listes de risques, ce qui, ironiquement, est la principale raison pour laquelle l'intégration de la planification stratégique et de la gestion des risques n'a guère progressé. Tant que les organisations ne passeront pas d'une GRE centrée sur les risques ou les listes de risques, y compris la présentation de listes de risques et de cartes thermiques des risques aux conseils d'administration, à une GRE centrée sur les objectifs et liée aux performances, comme le préconise le COSO ERM, l'intégration de la planification stratégique, de la GRE et de la performance ne progressera guère.

Prochaines étapes pour le secteur public canadien

En réponse aux attentes croissantes en matière de surveillance des risques, un nombre grandissant de municipalités canadiennes, certaines provinces et certaines parties du gouvernement fédéral canadien ont mis en œuvre des formes de GRE centrées sur les risques ou basées sur le registre des risques. La GRE doit être conçue pour gérer l'incertitude quant à la réalisation des principaux objectifs stratégiques, de création et de préservation de la valeur, avec un niveau de risque et d'incertitude acceptable pour la direction générale et les organes de gouvernance. La GRE par liste de risques ne permet pas d'atteindre cet objectif.

On ne le dira jamais assez : la GRE axée sur le risque ou la GRE par liste de risques est, au mieux, sous-optimale et potentiellement dangereuse. Elle crée l'illusion que le risque est géré. Paradoxalement, la GRE axée sur la liste des risques constitue un risque majeur pour l'amélioration de la gouvernance dans le secteur public canadien. Cette approche ne gère pas l'effet de l'incertitude sur les objectifs, ce qui est pourtant la définition ISO du "risque".

Les spécialistes du risque, les auditeurs internes et les auditeurs législatifs devraient tous promouvoir activement la nécessité de passer d'une GRE traditionnelle axée sur le risque ou sur la liste des risques, et de méthodes d'audit interne ponctuelles fondées sur le risque, à une gestion du risque et de l'incertitude axée sur les objectifs.

Si les spécialistes du risque, les auditeurs internes et/ou les auditeurs législatifs ne prennent pas des mesures proactives pour encourager l’évolution vers des méthodes modernes d'ERM centrées sur les objectifs, les comités d'audit et les CCP de tout le Canada devraient pousser vigoureusement en faveur des changements nécessaires pour le bien de tous les Canadiens.

¹⁴ https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-french-canadian.pdf

¹⁵ https://www.conferenceboard.ca/product/the-state-of-erm-in-canada-a-benchmarking-study/

¹⁶ https://www.aicpa-cima.com/resources/download/2023-state-of-risk-oversight-report-14th-edition