Gérer efficacement les risques à l'ère de la transformation digitale

Acquérir de nouvelles compétences et recruter de nouveaux talents pour s’adapter aux évolutions de l’organisation

Les compétences recherchées en matière de gestion des risques sont en mutation. Vous avez besoin d’un expert financier doté de compétences en intelligence artificielle (« IA »), une combinaison rare mais facteur de réussite. Afin de répondre à la demande en compétences techniques telles que le développement de modèles analytiques et la robotisation des processus (« RPA »), les fonctions Dynamiques font appel à des centres de services partagés.

Répondre aux besoins d'expertise sur demande
À titre d’exemple, American Electric Power a créé Charge, une plate-forme digitale destinée à proposer, initier et mettre en œuvre la digitalisation et la robotisation des processus. « Dans ce contexte, nous disposons d’une gouvernance agile et rapide qui permet de se passer d’un comité », indique Stephan T. Haynes, vice-président senior Stratégie et innovation du Groupe. « Nous n’avons plus besoin d’attendre la prochaine réunion. Les questions relatives aux projets et groupes de travail sont traitées dans les 36 heures par l’intermédiaire d’une hiérarchie prédéfinie, si l’équipe concernée n’a pu trouver de solution. »

Développer des compétences par groupe de collaborateurs
Pour renforcer les compétences en IA, PwC a défini une stratégie de formation qui s’articule autour de trois catégories de collaborateurs : les utilisateurs , les développeurs et les spécialistes. Appliquée à une fonction Risques, cela signifie que l’ensemble des collaborateurs doit acquérir des compétences en matière d’analyse de données mais que seulement certains soient des experts de la gestion des données et de la modélisation.

Cultiver les talents de demain
D’après Melvin Flowers, vice-président de l’audit interne chez Microsoft Corp., les compétences de demain « seront beaucoup plus axées sur l’analyse de résultats et la hiérarchisation des décisions en fonction d’indicateurs et de leur importance. Les auditeurs devront ainsi en savoir davantage sur l’impact des technologies. Ce qui importe ce n’est pas la méthode de codage, mais le contenu du codage, la méthode appliquée aux décisions dans des processus automatisés ainsi que la façon de vérifier et de confirmer le codage ».

S’adapter aux technologies émergentes

Au moins un tiers des fonctions Dynamiques utilise des capteurs liés à l’Internet des objets pour évaluer et gérer les risques dans le cadre de processus stratégiques. Cette même proportion applique l’IA à des tests sur échantillons ou à la surveillance de contrôles et tire parti de la robotisation pour des tâches récurrentes telles que l’extraction de données. L’automatisation permet de renforcer la productivité, d’étendre sa couverture des risques et d’affecter les collaborateurs à des tâches créatrices de valeur telles que l’analyse.

Repenser les activités de gestion des risques
Vice-président et directeur de l’audit chez FedEx Corp., Robert King a créé Harry Botter, un nouvel employé-robot affecté à l’équipe en charge du reporting relatif aux indicateurs et à l’évaluation de la qualité. Au moment de sa création, il a été paramétré pour avoir fait de l’athlétisme lorsqu’il était au lycée. Robert a mis son équipe au défi de réfléchir aux tâches qu’Harry pouvait accomplir. Après en avoir réalisé des simples, il est, à ce jour, en passe d’en effectuer des plus complexes. Cette démarche créative et divertissante encourage le personnel à s’engager sur la voie de l’automatisation.

Automatiser la surveillance et l’audit des risques critiques (par exemple, liés à la protection des données personnelles)
Baylor Scott & White Health recourt, par exemple, à l’IA afin d’évaluer les niveaux d’accès aux données. « Au cours de notre audit, nous vérifions qui peut avoir accès aux dossiers médicaux à l’aide de l’IA. Aucun travail supplémentaire n’est nécessaire, car notre fournisseur met son logiciel à jour », explique Monica Frazer, vice-présidente de l’audit interne dans l’entreprise. 

Donner la priorité au digital pour une transformation plus rapide
Alors qu’Ameren opère une refonte digitale globale, depuis son réseau électrique jusqu’aux outils utilisés sur le terrain, l’automatisation de certaines tâches de gestion des risques lui permet d’accélérer sa transformation digitale, comme l’indique Bhavani Amirthalingam, directeur de la transformation digitale chez le fournisseur américain de gaz et d’électricité. « Bien que nous souhaitions parvenir à tout faire, nous sommes limités par le volume et la rapidité des initiatives digitales à mener. L’automatisation de travaux d’audit par le biais du RPA permet de simplifier et d’approfondir les travaux d’audit interne. »

Q. Lequel des énoncés suivants décrit le mieux votre utilisation de chacune de ces technologies ?

Permettre à l’organisation de réagir aux risques en temps réel

Les dirigeants engagés dans des initiatives digitales sont en quête d’informations en temps réel afin d’éclairer leurs décisions. Les fonctions Dynamiques  développent des services de gestion des risques tels que des tableaux de bord en temps réel. De tels services peuvent mettre en évidence des priorités cruciales sur la base d’évaluations qui tiennent compte de la probabilité, de l’impact et de la rapidité des risques, ou du délai.

Les fonctions Dynamiques priorisent également les risques grâce à l’IA. Elles exploitent des « data lakes » (lacs de données) pour identifier, surveiller et tester en temps réel les risques de fraude, par exemple. Lorsqu’elles y associent l’IA, elles obtiennent des informations sur les risques et les opérations sans égal. Les lacs de données permettent également d’intégrer la sécurité au niveau de chaque donnée.

Participer activement à la gouvernance des données
La confiance est l’oxygène de la quatrième révolution industrielle, avec une frontière établie, par la qualité des données et de la protection de la vie privée, entre les organisations pouvant monétiser leurs données en toute sécurité et les autres. Traditionnellement moins impliquées dans la gestion des données, les fonctions Risques doivent désormais passer à l’action. La qualité des analyses produites par le biais de processus fondés sur des technologies émergentes dépend exclusivement de la qualité des données utilisées. Des données erronées peuvent entraîner une prise de décision inappropriée.

« Dans le cadre de notre utilisation des technologies émergentes, nous plaçons la gouvernance au cœur des contrôles et de la gestion des risques », explique Greg Jordan, vice-président senior et directeur de l’audit, chez Nationwide Mutual Insurance Co. « Qui contrôle les données ? Qui supervise la structure de gouvernance ? Qui s’assure que les collaborateurs ou les sous-traitants qui pilotent des drones ont leur permis ? Qui gère la conformité et la protection de la vie privée quand sont utilisés des chatbots et des solutions d’analyse vocale ? » se demande-t-il. « Nous mettons en œuvre un modèle structuré et établissons des principes de gouvernance et des lignes directrices applicables dans l’entreprise. Nous veillons à rester cohérents dans la conception, l’application et la documentation. »

Q. Votre fonction mène-t-elle ou prévoit-elle de mener les activités suivantes en fonction de la disponibilité des technologies numériques ?

Échanger activement avec les responsables des principales initiatives digitales

Les fonctions Dynamiques interagissent en permanence avec les parties prenantes. Elles travaillent en étroite collaboration avec les équipes de transformation digitale en vue d’élaborer une stratégie de gestion des risques. Elles échangent également avec la direction sur les risques liés à la transformation digitale, et fournissent régulièrement au conseil d’administration un aperçu des risques via des méthodes de visualisation des données. Ces interactions et activités permettent aux fonctions Dynamiques d’avoir une vision claire des risques et d’être entendues.

Partager des informations de manière visuelle
Les fonctions les plus avancées en matière digitale fournissent des informations sur la gestion des risques de meilleure qualité à la demande des conseils d’administration. À titre d’exemple, l’univers d’audit de l’équipe d’audit interne de S&P Global est présenté sur Tableau. « En quelques clics, le Comité d’audit peut notamment avoir accès aux résultats des audits de l’ensemble des entités à haut risque s’il le souhaite », indique Nancy J. Luquette, vice-présidente senior et directrice de l’audit et de la gestion des risques chez S&P Global Inc. Les conseils d’administration s’interrogent également sur les thèmes essentiels qui font l’objet d’observations. « En catégorisant les constats d’audit, nous pouvons identifier les thèmes transverses à l’organisation. Nous pouvons utiliser nos outils digitaux pour obtenir des informations sur ces grands thèmes, en fonction de la manière dont nous avons établi et catégorisé nos constats. Nous mettons ceci en avant afin que le conseil d’administration en soit informé et puisse prendre des décisions éclairées », ajoute-t-elle.

Penser aux indicateurs de risques clés
En matière de risques, ces indicateurs permettent d’avoir un langage commun qui assure la cohérence et la pertinence des informations. L’étude PwC Digital Trust Insights révèle que seulement 27 % des répondants trouvent pertinents les indicateurs relatifs à la gestion des risques cyber et à ceux liés à la protection de la vie privée dans les rapports transmis au conseil d’administration.

Q. Etes-vous d'accord avec les affirmations suivantes ?

Collaborer et s’aligner pour offrir une vision complète et partagée des risques

Des indicateurs de risques différents peuvent donner un aperçu erroné des risques. Les fonctions Dynamiques utilisent un référentiel et des indicateurs de gestion des risques communs à l’ensemble de l’organisation afin d’avoir une vision partagée des risques.

Exploiter une infrastructure commune afin de devenir prédictif
« L’intégration d’une infrastructure par le biais d’un lac de données peut créer des avantages qui vont nettement au-delà des contrôles, comme le fait de pouvoir anticiper, par exemple », déclare John Newstead, responsable des services partagés monde et Directeur des risques chez DXC Technology. « Des informations plus complètes recueillies aussi bien en interne qu’à l’externe permettent une évaluation des risques et un plan d’audit plus pertinents, et renforcent le leadership et la confiance du conseil d’administration. Les bénéfices sont multiples. »

Le temps est venu pour les fonctions Risques de collaborer ensemble. En travaillant à partir d’une source de données unique sur une plateforme partagée avec une même technologie, les fonctions Risques peuvent fournir à leurs dirigeants une vision complète des risques. Les administrateurs, les dirigeants et les parties prenantes misent sur cette transformation pour prendre plus rapidement des décisions éclairées.

Q. Votre fonction est-elle actuellement intégrée ou envisage-t-elle de s'intégrer à d'autres lignes de défense dans les domaines suivants ?