Risques, Contrôle et Audit : Les entreprises en pleine transformation ?

Bernard Drui est Managing Director et dirige les activités de Protiviti en France. Protiviti est un groupe global de consulting sur les sujets de gestion des risques, gouvernance, conformité, transformation des organisations et audit interne, qui existe depuis 2002. Le groupe opère dans une trentaine de pays avec 85 bureaux et plus de 7000 professionnels, pour 2 milliards de chiffre d'affaires en 2021. Bernard Drui intervient sur des sujets de risk management auprès des étudiants en dernière année de l'EDHEC.

" Aujourd'hui, la réalité du monde dans lequel opèrent les organisations impose de la robustesse et de l'agilité en matière de GRC. On est bien au-delà du " nice to have " d'il y a quelques années ! "

Pouvez-vous nous dire quelques mots sur la vague de fond de transformation qui s'opère sur le marché de la GRC en France ?

La Gouvernance Risque Conformité n'est pas un concept nouveau, elle est la résultante de plusieurs vagues de fonds, qui, depuis près d'une trentaine d'années, ont conduit progressivement les organisations à formaliser les activités qu'elles avaient dans ce domaine. 

Aujourd'hui, la vitesse et l'interconnexion de l'économie, auxquelles s'ajoutent depuis peu le contexte de la guerre en Ukraine, accentuent la réalité directe à laquelle sont confrontées les entreprises en matière de GRC. Certains risques qui étaient plus ou moins identifiés et théorisés jusqu'ici, sont désormais bien réels. La question de la résilience se pose immédiatement dans les organisations, et même plus globalement, dans les sociétés. La question de la conformité se pose encore plus fortement aussi, avec les sanctions associées. Et cette liste de nouveaux thèmes n'est pas exhaustive. 

Dans ce contexte, il est alors absolument nécessaire pour toute organisation d'avoir une gouvernance saine, un pilotage avec des rôles et responsabilités bien définis, d'avoir une vision claire de ses risques, de savoir maitriser ses processus et ses contrôles pour être performant et pouvoir répondre au besoin de conformité.

Aujourd'hui, la réalité du monde dans lequel opèrent les organisations impose quelque chose de robuste en matière de GRC. On est bien au-delà d'un " nice to have ", assorti de quelques améliorations ! Les risques et enjeux clés doivent être absolument sous contrôle. C'est fondamental : il s'agira probablement de la nouvelle donne post Ukraine.

Comment les mentalités sont-elles en train d'évoluer ?

Il y a un sentiment d'impérieuse nécessité réglementaire qui se met en place, par domaines : par exemple, avant la pandémie et la guerre, le sujet de la RGPD a été très sérieusement pris en considération, sur des aspects réglementaires (et donc, avec des amendes à la clé) mais aussi, en termes d'attentes sociales.

La cybersécurité et les risques IT ont quant à eux été accélérés par la crise. Les entreprises doivent mettre en place un dispositif de gestion du risque IT, s'assurer que tout fonctionne et soit bien maitrisé.

Aujourd'hui, la pandémie, puis la guerre, nous montrent que les questions de résilience opérationnelle des organisations doivent être une priorité. Des réglementations à l'instigation de la banque d'Angleterre se mettent en place, sur la résilience des établissements financiers. L'ensemble des entreprises s'est rendu compte que pour pouvoir continuer à opérer, il faut repenser son organisation, ses alternatives en termes de sourcing, de production. Cela va prendre de plus en plus d'ampleur, en lien direct avec les problématiques ESG - et notamment environnementales - qui apparaissent aujourd'hui incontournables.

Cette nécessité de conformité au service d'un intérêt général ou commun est donc une tendance de fond. Les réglementations foisonnent, mais les pays ne sont pas encore tous en accord. 

Si l'on regarde en arrière, il y a 20 ans, les scandales financiers ont souligné la nécessité du risk management et du contrôle interne. Aujourd'hui, la façon dont on fait du business (digitalisé, interconnecté) et les événements massifs, géopolitiques, sanitaires et globaux, imposent ce new deal de la compliance. On a voulu tirer parti de la mondialisation, mais en oubliant parfois que cela crée des dépendances ou de nouveaux risques qu'il faut désormais systématiquement gérer si l'on veut pérenniser un semblant d'économie globale qui fonctionne.

Processus, personnes, technologie : comment les organisations doivent-elles se préparer aux changements en cours et à venir ?

Être manager est beaucoup plus complexe qu'avant : cela nécessite un vrai engagement intellectuel, davantage d'efforts à faire et de questions à se poser. On ne peut pas être un bon manager sans être un risk manager, au sens très large du terme, pour soi-même et pour son entreprise. Il faut pouvoir justifier les décisions dans des contextes particuliers. Pour performer et atteindre ses objectifs, il faut savoir ce qui peut poser problème et l'anticiper. Et on peut le décliner avec toutes les nouvelles contraintes de conformité, environnement et autre. 

Et justement, pour avoir du temps pour cet engagement, il faut pouvoir optimiser les tâches pouvant être automatisées. La technologie permet d'appuyer l'exécution des processus et les maîtriser : c'est là que les outils GRC entrent en ligne de compte et ont leur rôle à jouer. Par exemple, en exploitant les données provenant des ERP et autres sources de l'entreprise, ce qui permet d'autoriser un certain nombre de contrôles, de générer des indicateurs de risque ou de performance et d'alimenter la réflexion du management. 

Enfin au niveau des processus, dans beaucoup d'entreprises, le management est très décentralisé et proche du client, ce qui permet de prendre des décisions rapides. Mais pour que cela fonctionne, il faut qu'il y ait cet alignement tout au long du processus : on doit retrouver les mêmes valeurs dans le processus de décision, la même appétence au risque, et les mêmes politiques au niveau du management. Le management doit donc intégrer cela dans ses outils au quotidien et avoir du temps pour anticiper en s'appuyant sur les outils.

Comment l'ESG est-il en train d'impacter la gouvernance des entreprises sous le spectre GRC, contrôle, audit et management/gestion des risques ? 

Tous les comptes d'entreprises aujourd'hui doivent être audités : c'est une évidence pour tout le monde. Le concept d'ESG s'impose de la même façon, il est en train de prendre de l'ampleur, à la fois sur l'urgence environnementale mais aussi sur les droits humains, sur les pratiques éthiques. Aujourd'hui, il est nécessaire d'avoir un socle de valeurs communes et un modus operandi simple pour la planète. 

La guerre en Ukraine a été un accélérateur : elle a mis en lumière les dépendances et les fragilités liées au nucléaire. Il y a eu une prise de conscience, notamment avec les pénuries de gaz et de pétrole. C'est en quelque sorte le décret qui donne une raison d'agir, parce que les entreprises et les pays vont avoir un intérêt réel, concret, énergétique, commercial et géopolitique à engager des actions ESG.

Il semble que les pays de l'OCDE sont désormais mûrs pour mettre en place un ESG systématique, c'est-à-dire évaluer les actions des acteurs clés de l'économie et des états sur ces trois composantes environnementales, sociales et de gouvernance. Au-delà de défendre les droits humains et l'environnement, il y a une réelle prise de conscience, une compréhension concrète que les actions ESG sont dans l'intérêt de tout le monde.

Les relations avec les tiers sont aussi un gros enjeu : avec l'économie connectée, beaucoup de partenaires et de fournisseurs sont des tiers sur lesquels les entreprises n'ont pas toujours une parfaite visibilité. C'est désormais une exigence nouvelle de la GRC. 

Comment capitaliser sur ses datas pour réussir sa transformation ? Au-delà des données habituelles, on parle de données ESG, de données qu'on n'avait pas l'habitude d'analyser avant, ou encore tout type de donnée qui gravite autour de l'organisation.

On produit énormément de données. Il faut dans un premier temps les connaître, les classer, les labelliser : identifier celles qui sont confidentielles, opérationnelles, les données à risques et celles qui ne sont pas à risque, celles qui sont privées, celles dont dépend l'activité de l'entreprise. 

Il faut ensuite avoir une idée claire de leur emplacement : où sont ces données, quel est leur statut ? Une cartographie est donc fondamentale.  Puis il faut pouvoir les exploiter, en distinguant les données économiques utilisées pour la finance et les données CRM pour le marketing. 

On prend aussi effectivement en compte de nouvelles données, comme celles issues des process dans les ERP : il y a une massification dans les entreprises de ces données, si l'entreprise n'est pas performante sur les process elle peut perdre beaucoup d'argent ou perdre en contrôle. Exploiter les données via des contrôles appropriés devient clé.

Et enfin, il y a désormais des données ESG : avec l'évolution réglementaire, les entreprises devront rendre compte sur leur performance ESG exactement comme elles le faisaient sur la performance financière. Collecter ces informations, les reporter de manière efficace et de les mesurer pour mettre en place les bons contrôles est un vrai défi, qui va permettre à l'entreprise d'être beaucoup plus efficace dans ses reportings institutionnels, mais aussi plus pertinente pour agir.

Le but est d'obtenir et d'exploiter une information fiable, une seule source de vérité, ce qui est un vrai challenge : parmi cette masse de données, lesquelles font référence ?

Quel rôle doit jouer la technologie au sein des fonctions Risques, Contrôle et Audit ?

La technologie doit être un enabler, qui rend possible et simple l'ensemble. Elle doit être globale ; on doit pouvoir y accéder très facilement (par exemple, via le Cloud). La technologie doit épouser clairement les besoins des métiers, correspondre à ces besoins de façon simple, pour les managers impliqués dans la GRC et l'audit interne. Elle est alors proche du métier, du business, mais sans dénaturer les données. Elle doit aussi être agile, au sens pur du manifesto agile, c'est-à-dire proche des utilisateurs, et permettre de réagir aux différents besoins qui émergent de nouvelles réglementations ou de nouveaux contextes de business.

Mais cette technologie a aussi, et de plus en plus, un côté proactif, d'anticipation, notamment en matière d'ESG. Elle permet non seulement d'exploiter la data qui existe déjà, mais elle permet aussi d'anticiper par exemple en apportant des informations en direct sur l'impact environnemental, en intégrant des outils de GRC pour avoir un continuous monitoring permanent.

La technologie doit aider à ce contrôle en continu, faciliter le travail quotidien et répartir la tâche. Par exemple, dès qu'un écart est constaté sur les contrôles, on renvoie vers le manager concerné un questionnement ou une action à mener pour qu'il puisse traiter cet écart, ce qui permet alors au manager de la GRC de gagner du temps et d'avoir une organisation réactive, dans un délai très court. 

Quel conseil donneriez-vous aux directions des risques et de la conformité qui nous lisent, autour de leur projet de transformation ?

La gestion des risques doit avoir une approche holistique. Le système d'information mis en place doit lui aussi être pensé façon holistique, pensé de la data " de base " jusqu'au rapport final, avec agilité. Il faut penser au système dans son ensemble par rapport à un besoin global et pas seulement via un seul axe, au détriment des autres. Il est important d'identifier une articulation globale dès le départ pour avoir un outil qui, dans sa structuration première, répondra à tous les besoins.