Gérer efficacement les risques à l'ère de la transformation digitale

Etude Risk in Review 2019

Juin 2019

La nouvelle édition de l’étude « Risk in review 2019 » révèle six pratiques qui permettent de répartir les fonctions risques en trois catégories. Les fonctions « Dynamiques » aident leur organisation à prendre des risques de façon plus éclairée dans le cadre de la transformation digitale. Les fonctions « Actives » et « Débutantes » démontrent quant à elles des pratiques moins matures et doivent agir sans tarder. Loin de freiner les initiatives digitales, les trois pôles d’expertise que sont : la gestion des risques, l’audit interne et la conformité – collectivement appelés les fonctions Risques – permettent à leur organisation d’atteindre voire de dépasser ses objectifs de transformation. 

Quelles sont les caractéristiques des fonctions Dynamiques ?

Elles sont impliquées très tôt dans les programmes de transformation digitale et se structurent en plaçant le digital au cœur de leurs priorités. Elles se dotent des compétences humaines et des capacités techniques nécessaires à la gestion des données afin de fournir, avec leurs pairs, une vision partagée et plus agile des risques.

Cette vision permet aux dirigeants d’avoir une vision plus précise des risques liés aux initiatives digitales et ainsi de prendre des décisions plus éclairées.

L’exactitude et l’anticipation sont des qualités primordiales dans un monde riche en données, mais pauvre en informations. Seuls 22 % des dirigeants interrogés dans le cadre de la 22e édition de l’étude « CEO Survey » estiment que les données relatives à l’exposition aux risques qu’ils reçoivent sont suffisamment complètes pour qu'ils puissent prendre les bonnes décisions et cette tendance est la même depuis dix ans.

À ce titre, les fonctions Dynamiques déploient des actions essentielles pour la réussite des organisations en pleine transformation digitale. En 2019, les entreprises en quête d’une meilleure expérience client, de décisions plus averties et d’une croissance de leur chiffre d’affaires grâce à des investissements dans le digital, cherchent à s’appuyer sur des fonctions risques dotées de compétences digitales. Ce sont les avantages les plus souvent apportés par les fonctions Dynamiques.

« Lorsqu’elles sont centrées sur le digital, les fonctions risques sont capables d’être plus réactives, prédictives et engagées. Cela permet de comparer et de mettre en rapport des aspects qu’on ne pouvait pas connecter par le passé, de manière efficace et pertinente. Vous pouvez désormais y voir plus clair et identifier ce qui est important. »

John Merino, directeur de la comptabilité chez FedEx, concernant les avantages des fonctions Risques Dynamiques

Quelle est la valeur ajoutée des fonctions Dynamiques ?

Les atouts mis en avant par les fonctions Dynamiques vont d'une progression plus rapide tout au long de leur parcours digital à un retour sur investissement plus élevé que prévu de leurs investissements numériques dans des domaines comme l'amélioration de la prise de décision et de l'expérience client. Les Dynamiques sont également plus optimistes quant à la croissance du chiffre d’affaires de leur organisation.

Quelles sont les 6 pratiques essentielles des fonctions Dynamiques ?

1. Élaborer un plan

S’impliquer dans le programme de transformation digitale de l’organisation

Sans objectif précis, il n’est pas simple d’aller de l’avant. Les fonctions Dynamiques définissent clairement les résultats à atteindre à l’aide d’indicateurs de performance pour leur stratégie digitale, en ligne avec ceux de leur organisation. Les conseils stratégiques, les tests et les contrôles qu'elles fournissent dès la phase de conception aident les projets digitaux à rester sur la bonne voie ou à devancer le plan et le budget. La principale contribution de ces fonctions aux initiatives digitales consiste à participer à l’établissement de normes de gouvernance digitales, ainsi qu’à l’attribution des rôles et des responsabilités. « Ce qui me préoccupe, c’est la gouvernance. Qui doit approuver quoi ? Je crains qu’une entité ne mette en œuvre une initiative digitale qui aurait dû être approuvée ou supervisée », explique Vanessa C. L. Chang, membre du comité d’audit d’Edison International.

Lorsque les fonctions Risques sont adaptées numériquement, elles façonnent les plans de gestion des risques avant que les projets digitaux ne soient lancés. Ce n'est pas la pratique actuelle. Par exemple, selon l'étude Digital Trust Insights de PwC, seulement 53 % des personnes interrogées affirment que la gestion des risques liés à la protection de la vie privée et à l'informatique est pleinement intégrée dès le début des projets de transformation. Lorsque les fonctions Risques sont impliquées très tôt, elles aident leur organisation à développer les innovations en gérant les risques critiques.

 

Q. Votre fonction mène-t-elle à ou planifie-t-elle la réalisation des activités suivantes liées à la construction et à la gestion d’une feuille de route numérique ?

View more

2. Acquérir de nouvelles compétences

Acquérir de nouvelles compétences et recruter de nouveaux talents pour s’adapter aux évolutions de l’organisation

Les compétences recherchées en matière de gestion des risques sont en mutation. Vous avez besoin d’un expert financier doté de compétences en intelligence artificielle (« IA »), une combinaison rare mais facteur de réussite. Afin de répondre à la demande en compétences techniques telles que le développement de modèles analytiques et la robotisation des processus (« RPA »), les fonctions Dynamiques font appel à des centres de services partagés.

Répondre aux besoins d'expertise sur demande
À titre d’exemple, American Electric Power a créé Charge, une plate-forme digitale destinée à proposer, initier et mettre en œuvre la digitalisation et la robotisation des processus. « Dans ce contexte, nous disposons d’une gouvernance agile et rapide qui permet de se passer d’un comité », indique Stephan T. Haynes, vice-président senior Stratégie et innovation du Groupe. « Nous n’avons plus besoin d’attendre la prochaine réunion. Les questions relatives aux projets et groupes de travail sont traitées dans les 36 heures par l’intermédiaire d’une hiérarchie prédéfinie, si l’équipe concernée n’a pu trouver de solution. »

Développer des compétences par groupe de collaborateurs
Pour renforcer les compétences en IA, PwC a défini une stratégie de formation qui s’articule autour de trois catégories de collaborateurs : les utilisateurs , les développeurs et les spécialistes. Appliquée à une fonction Risques, cela signifie que l’ensemble des collaborateurs doit acquérir des compétences en matière d’analyse de données mais que seulement certains soient des experts de la gestion des données et de la modélisation.

Cultiver les talents de demain
D’après Melvin Flowers, vice-président de l’audit interne chez Microsoft Corp., les compétences de demain « seront beaucoup plus axées sur l’analyse de résultats et la hiérarchisation des décisions en fonction d’indicateurs et de leur importance. Les auditeurs devront ainsi en savoir davantage sur l’impact des technologies. Ce qui importe ce n’est pas la méthode de codage, mais le contenu du codage, la méthode appliquée aux décisions dans des processus automatisés ainsi que la façon de vérifier et de confirmer le codage ».

View more

3. Adopter les technologies émergentes

S’adapter aux technologies émergentes

Au moins un tiers des fonctions Dynamiques utilise des capteurs liés à l’Internet des objets pour évaluer et gérer les risques dans le cadre de processus stratégiques. Cette même proportion applique l’IA à des tests sur échantillons ou à la surveillance de contrôles et tire parti de la robotisation pour des tâches récurrentes telles que l’extraction de données. L’automatisation permet de renforcer la productivité, d’étendre sa couverture des risques et d’affecter les collaborateurs à des tâches créatrices de valeur telles que l’analyse.

Repenser les activités de gestion des risques
Vice-président et directeur de l’audit chez FedEx Corp., Robert King a créé Harry Botter, un nouvel employé-robot affecté à l’équipe en charge du reporting relatif aux indicateurs et à l’évaluation de la qualité. Au moment de sa création, il a été paramétré pour avoir fait de l’athlétisme lorsqu’il était au lycée. Robert a mis son équipe au défi de réfléchir aux tâches qu’Harry pouvait accomplir. Après en avoir réalisé des simples, il est, à ce jour, en passe d’en effectuer des plus complexes. Cette démarche créative et divertissante encourage le personnel à s’engager sur la voie de l’automatisation.

Automatiser la surveillance et l’audit des risques critiques (par exemple, liés à la protection des données personnelles)
Baylor Scott & White Health recourt, par exemple, à l’IA afin d’évaluer les niveaux d’accès aux données. « Au cours de notre audit, nous vérifions qui peut avoir accès aux dossiers médicaux à l’aide de l’IA. Aucun travail supplémentaire n’est nécessaire, car notre fournisseur met son logiciel à jour », explique Monica Frazer, vice-présidente de l’audit interne dans l’entreprise. 

Donner la priorité au digital pour une transformation plus rapide
Alors qu’Ameren opère une refonte digitale globale, depuis son réseau électrique jusqu’aux outils utilisés sur le terrain, l’automatisation de certaines tâches de gestion des risques lui permet d’accélérer sa transformation digitale, comme l’indique Bhavani Amirthalingam, directeur de la transformation digitale chez le fournisseur américain de gaz et d’électricité. « Bien que nous souhaitions parvenir à tout faire, nous sommes limités par le volume et la rapidité des initiatives digitales à mener. L’automatisation de travaux d’audit par le biais du RPA permet de simplifier et d’approfondir les travaux d’audit interne. »

 

Q. Lequel des énoncés suivants décrit le mieux votre utilisation de chacune de ces technologies ?

View more

4. Agir en temps réel

Permettre à l’organisation de réagir aux risques en temps réel

Les dirigeants engagés dans des initiatives digitales sont en quête d’informations en temps réel afin d’éclairer leurs décisions. Les fonctions Dynamiques  développent des services de gestion des risques tels que des tableaux de bord en temps réel. De tels services peuvent mettre en évidence des priorités cruciales sur la base d’évaluations qui tiennent compte de la probabilité, de l’impact et de la rapidité des risques, ou du délai.

Les fonctions Dynamiques priorisent également les risques grâce à l’IA. Elles exploitent des « data lakes » (lacs de données) pour identifier, surveiller et tester en temps réel les risques de fraude, par exemple. Lorsqu’elles y associent l’IA, elles obtiennent des informations sur les risques et les opérations sans égal. Les lacs de données permettent également d’intégrer la sécurité au niveau de chaque donnée.

Participer activement à la gouvernance des données
La confiance est l’oxygène de la quatrième révolution industrielle, avec une frontière établie, par la qualité des données et de la protection de la vie privée, entre les organisations pouvant monétiser leurs données en toute sécurité et les autres. Traditionnellement moins impliquées dans la gestion des données, les fonctions Risques doivent désormais passer à l’action. La qualité des analyses produites par le biais de processus fondés sur des technologies émergentes dépend exclusivement de la qualité des données utilisées. Des données erronées peuvent entraîner une prise de décision inappropriée.

« Dans le cadre de notre utilisation des technologies émergentes, nous plaçons la gouvernance au cœur des contrôles et de la gestion des risques », explique Greg Jordan, vice-président senior et directeur de l’audit, chez Nationwide Mutual Insurance Co. « Qui contrôle les données ? Qui supervise la structure de gouvernance ? Qui s’assure que les collaborateurs ou les sous-traitants qui pilotent des drones ont leur permis ? Qui gère la conformité et la protection de la vie privée quand sont utilisés des chatbots et des solutions d’analyse vocale ? » se demande-t-il. « Nous mettons en œuvre un modèle structuré et établissons des principes de gouvernance et des lignes directrices applicables dans l’entreprise. Nous veillons à rester cohérents dans la conception, l’application et la documentation. »

Q. Votre fonction mène-t-elle ou prévoit-elle de mener les activités suivantes en fonction de la disponibilité des technologies numériques ?

View more

5. Échanger avec les responsables

Échanger activement avec les responsables des principales initiatives digitales

Les fonctions Dynamiques interagissent en permanence avec les parties prenantes. Elles travaillent en étroite collaboration avec les équipes de transformation digitale en vue d’élaborer une stratégie de gestion des risques. Elles échangent également avec la direction sur les risques liés à la transformation digitale, et fournissent régulièrement au conseil d’administration un aperçu des risques via des méthodes de visualisation des données. Ces interactions et activités permettent aux fonctions Dynamiques d’avoir une vision claire des risques et d’être entendues.

Partager des informations de manière visuelle
Les fonctions les plus avancées en matière digitale fournissent des informations sur la gestion des risques de meilleure qualité à la demande des conseils d’administration. À titre d’exemple, l’univers d’audit de l’équipe d’audit interne de S&P Global est présenté sur Tableau. « En quelques clics, le Comité d’audit peut notamment avoir accès aux résultats des audits de l’ensemble des entités à haut risque s’il le souhaite », indique Nancy J. Luquette, vice-présidente senior et directrice de l’audit et de la gestion des risques chez S&P Global Inc. Les conseils d’administration s’interrogent également sur les thèmes essentiels qui font l’objet d’observations. « En catégorisant les constats d’audit, nous pouvons identifier les thèmes transverses à l’organisation. Nous pouvons utiliser nos outils digitaux pour obtenir des informations sur ces grands thèmes, en fonction de la manière dont nous avons établi et catégorisé nos constats. Nous mettons ceci en avant afin que le conseil d’administration en soit informé et puisse prendre des décisions éclairées », ajoute-t-elle.

Penser aux indicateurs de risques clés
En matière de risques, ces indicateurs permettent d’avoir un langage commun qui assure la cohérence et la pertinence des informations. L’étude PwC Digital Trust Insights révèle que seulement 27 % des répondants trouvent pertinents les indicateurs relatifs à la gestion des risques cyber et à ceux liés à la protection de la vie privée dans les rapports transmis au conseil d’administration.

 

Q. Etes-vous d'accord avec les affirmations suivantes ?

View more

6. Collaborer

Collaborer et s’aligner pour offrir une vision complète et partagée des risques

Des indicateurs de risques différents peuvent donner un aperçu erroné des risques. Les fonctions Dynamiques utilisent un référentiel et des indicateurs de gestion des risques communs à l’ensemble de l’organisation afin d’avoir une vision partagée des risques.

Exploiter une infrastructure commune afin de devenir prédictif
« L’intégration d’une infrastructure par le biais d’un lac de données peut créer des avantages qui vont nettement au-delà des contrôles, comme le fait de pouvoir anticiper, par exemple », déclare John Newstead, responsable des services partagés monde et Directeur des risques chez DXC Technology. « Des informations plus complètes recueillies aussi bien en interne qu’à l’externe permettent une évaluation des risques et un plan d’audit plus pertinents, et renforcent le leadership et la confiance du conseil d’administration. Les bénéfices sont multiples. »

Le temps est venu pour les fonctions Risques de collaborer ensemble. En travaillant à partir d’une source de données unique sur une plateforme partagée avec une même technologie, les fonctions Risques peuvent fournir à leurs dirigeants une vision complète des risques. Les administrateurs, les dirigeants et les parties prenantes misent sur cette transformation pour prendre plus rapidement des décisions éclairées.

 

Q. Votre fonction est-elle actuellement intégrée ou envisage-t-elle de s'intégrer à d'autres lignes de défense dans les domaines suivants ?

View more

Votre fonction est-elle en mesure d’accompagner la stratégie digitale de l’entreprise ?

Dans un contexte de transformation digitale, votre fonction accompagne-t-elle votre organisation de la meilleure façon face aux risques ? Comparez en quelques questions vos pratiques avec celles des fonctions les plus performantes.

Répondez au quiz

Temps estimé : 2 minutes. Questions en anglais.

Contactez-nous

Françoise Bergé

Associée Risques, Contrôle Interne et Conformité, PwC France

Tel : +33 1 56 57 81 59

Julien Muller

Directeur, PwC France

Tel : +33 1 56 57 47 19

Suivez-nous !