La pandémie de COVID-19 a engendré des perturbations à l'échelle mondiale qui mettent à l'épreuve la résilience financière, opérationnelle et commerciale des entreprises. Dans ce contexte, les organisations ont dû se mobiliser rapidement et se tourner vers un nouveau mode de fonctionnement en prenant des décisions pour protéger leurs biens et s'adapter à cet environnement en évolution, y allant de la planification de la continuité des activités à la protection des personnes, en passant par la gestion de trésorerie et des liquidités.

Bien que ces stratégies aient permis à certaines organisations d'accroître davantage leur résilience, il existe des implications structurelles et à long terme qui doivent être mieux comprises. Un défi unique auquel les entreprises doivent faire face consiste à passer des plans de continuité des activités et de gestion de crise, qui s'appliquent généralement à quelques jours ou à quelques semaines, à une gestion, voire à la réussite des activités tout au long d'une période d'incertitude prolongée.

Évolution de la gestion du risque d'entreprise (« GRE »)

Les entreprises travaillaient déjà d'arrache-pied pour demeurer pertinentes face aux transformations telles que l'innovation technologique incessante et les attentes des clients en constante évolution. La COVID-19 contribue sans contredit à l'accélération de ces tendances, où la numérisation, le télétravail, le resserrement des mesures de protection des renseignements et la rationalisation de la chaîne d'approvisionnement pourraient devenir « la nouvelle façon de faire ».

En plus de la pandémie, d'autres risques pourraient contribuer au succès ou à la faillite des organisations : les transformations géopolitiques (tensions commerciales, menaces à la sécurité), les changements climatiques et le développement durable (technologies plus vertes, changements météorologiques continus), les technologies perturbatrices (intelligence artificielle, Internet des objets) et les cybermenaces.

Il est probable que le trajet vers cette nouvelle réalité sera différent d'une organisation et d'un secteur à l'autre. Certains secteurs devront évoluer en adaptant leurs activités aux pratiques courantes, ou encore repartir à neuf (en raison des changements permanents du marché). D'autres, au contraire, pourraient tirer profit d'une croissance exponentielle puisque les nouveaux comportements des consommateurs jouent en leur faveur.

Dans ce contexte, les comités d'audit doivent s'assurer que la direction vérifie la résistance à la pression et le caractère évolutif de leur modèle d'entreprise pour être en mesure de gérer les risques existants et émergents – et de tirer parti des nouvelles occasions. Compte tenu des grandes incertitudes qui planent encore, ils doivent à nouveau jeter un œil aux cadres décisionnels en matière de gestion stratégique et de gestion des risques de plus en plus interdépendants qui assurent la cohésion.

Pourquoi la gestion des risques standard ne fonctionne-t-elle plus?

La maturité du processus de résilience d'une organisation peut vraiment concourir à sa réussite ou à son échec. La gestion des risques standard, qui s'effectue souvent en vase clos, de manière statique et centrée sur des évènements particuliers et à plusieurs niveaux hiérarchiques sous les principaux décideurs, n'est tout simplement pas suffisante.

La COVID-19 a exposé au grand jour à quel point notre monde est connecté : nous vivons dans de multiples réseaux interdépendants, tant physiques que numériques. Autrement dit, les éléments d'un réseau interagissent les uns avec les autres et tout changement dans un secteur du réseau influence le reste du réseau, comme dans le cas de la chaîne où une chaîne a la force de son maillon le plus faible.

Alors que la connectivité offre des occasions (les réseaux sociaux permettent d'établir des liens entre les gens et l'Internet permet de le faire entre les idées et les connaissances), elle présente également des risques. La COVID-19 a démontré les risques importants associés au fait de faire partie d'un réseau, alors qu'elle continue de toucher tous les aspects de notre vie, de la santé au bien-être en passant par l'économie, l'emploi et les marchés des capitaux. La Grande Dépression, la bulle technologique, le 11 septembre et la crise financière de 2008 sont tous des évènements perturbateurs qui ont créé des scénarios globalement défavorables et sans précédent.

La maturité du processus de résilience d'une organisation peut vraiment concourir à sa réussite ou à son échec. La gestion des risques standard, qui s'effectue souvent en vase clos, de manière statique et centrée sur des évènements particuliers, n'est tout simplement pas suffisante.

Édouard Bertin-Mourot, Associé
Services-conseils – Gestion des risques, KPMG au Canada

Établir des liens pour une véritable gestion des risques

Le risque se situe dans l'écart entre le monde hautement interconnecté dans lequel nous vivons et les programmes classiques de gestion des risques. Les comités d'audit doivent établir des liens et combler cet écart afin que leur gestion des risques génère une valeur, des idées et une précision accrues. Ils doivent développer de véritables capacités de gestion des risques stratégiques en les intégrant à l'élaboration des stratégies.

Imaginez un scénario de gestion des risques qui reconnaît une organisation non pas en tant qu'« entité » unique, mais plutôt en tant qu'un ou plusieurs réseaux complexes. Imaginez l'absence de gestion des risques de manière isolée : les risques sont analysés en fonction de leur regroupement et de l'influence qu'ils ont entre eux afin de déceler les principaux points épineux. Imaginez si la gestion des risques dépassait les « connaissances connues » pour repérer les scénarios extrêmes ou les évènements de stress qui posent un risque pour l'organisation.

La gestion des risques ne consiste pas à être immunisé contre tous les risques, mais plutôt à être préparé et résilient face aux évènements défavorables. S'il y a un bon côté à la COVID-19, c'est que les entreprises se penchent maintenant sur le processus de résilience dans son ensemble, les scénarios extrêmes et l'interconnectivité des risques. Il y a également un regain d'intérêt de la part du conseil d'administration et de la direction envers le renforcement des ressources et des capacités analytiques en vue de la gestion future des risques et du processus de résilience.

Quelles questions les comités d'audit devraient-ils se poser?

  • Quels sont nos principaux objectifs stratégiques et quel degré de risque l'entreprise consent-elle à prendre pour atteindre ces objectifs?
  • Quels sont les principaux réseaux dans lesquels évolue l'organisation? Quelles sont les interconnectivités ou les dépendances cruciales?
  • Quels facteurs pourraient causer un stress extrême à l'entreprise?
  • Dans quelle mesure l'organisation fait-elle preuve de résilience face à de tels évènements extrêmes, tout en demeurant ouverte aux possibilités, compte tenu des incertitudes et des circonstances changeantes?
  • Comment l'organisation parvient-elle à gérer les risques et accroître la résilience globale à l'aide de la fonction Gestion de risques, de la conformité, de la technologie et de la planification de la continuité des activités?