Pour pouvoir apporter une valeur ajoutée, il est essentiel que l’audit interne comprenne la combinaison unique de risques auxquels l’organisation est confrontée ainsi que l’appétence pour le risque des parties prenantes.

La difficulté est d’identifier ou d’anticiper les risques inattendus, émergents ou atypiques qui peuvent apparaître dans les semaines ou les mois à venir, et ce dans l’espoir d’être prêt à y faire face ou à les utiliser au profit de l’organisation.

Focalisation sur la cybersécurité

Deux rapports récemment publiés, l’un par Gartner Inc. et l’autre par l’ECIIA (European Confederation of Institutes of Internal Auditing), placent un ennemi bien connu en tête du classement des principaux risques de 2019 : la cybersécurité. Au fil des années, cet enjeu pour les organisations ne cesse de s’élever dans la hiérarchie des risques recensés dans les rapports annuels.

La focalisation sur la cybersécurité nous a, en effet, permis de réaliser que la technologie et les données sont indissociables et nous a sensibilisé aux risques liés à la gouvernance et à la protection des données. En outre, elle nous a amené à reconnaître les risques que représentent les relations avec les tiers, la gouvernance des SI et la culture de l’organisation.

Les données et les technologies sont également au centre des discussions sur la digitalisation, l’automatisation et l’intelligence artificielle.

La digitalisation complexifie les risques liés aux tiers

Selon le rapport Gartner, qui s’appuie sur une enquête menée auprès de 144 responsables de l’audit interne, deux tiers des répondants ont déclaré avoir déjà connu une perturbation due à un tiers au cours des deux dernières années, ou n’avoir pas eu les connaissances suffisantes sur les activités avec les tiers pour identifier ce type de perturbation.

Nous avons que les risques liés aux tiers deviennent de plus en plus complexes dans un contexte où la digitalisation, le partage des données et la faiblesse de la supervision des relations avec les tiers menacent la réputation des organisations.

En 2018, le mouvement #MeToo a redéfini la manière dont les organisations perçoivent les risques associés au harcèlement sexuel et aux inégalités sur le lieu de travail. Ces deux catégories de risques étaient déjà connues mais le déferlement d’accusations sérieuses à l’encontre de pontes de l’industrie du divertissement ainsi que les atteintes portées à la réputation de leurs organisations ont considérablement accru le niveau de ce risque. L’importance du rôle joué par les médias sociaux ne saurait être sous-estimée. Ici encore, la technologie influence notre perception des risques.

Le scandale de Cambridge Analytica est un autre exemple. Facebook et son fondateur emblématique, Mark Zuckerberg, ont subi des dommages réputationnels significatifs pour avoir permis à l’entreprise britannique de collecter les données personnelles de millions d’utilisateurs. Cette affaire a également suscité une prise de conscience sur les responsabilités éthiques associées à la protection des données et au respect de la vie privée, désormais considérés comme des risques majeurs aussi bien par Gartner que par l’ECIIA.

4 risques clés pour 2019

A l’approche de 2019, le panorama des risques devrait donc intégrer :

• la cybersécurité,
• la gouvernance et la protection des données,
• les relations avec les tiers ainsi que les dangers, en évolution constante,
• l’impact des technologies sur l’éthique, la culture et l’intégrité de l’organisation.

La liste n’est en aucun cas exhaustive ou nécessairement applicable à toutes les organisations. Toutefois, elle fournit un repère utile pour anticiper ce que 2019 pourrait réserver en matière de risques pour l’entreprise.

Lire aussi : L’Américain Exactis et l’Espagnol TypeForm laissent fuiter leurs données

SOURCE

• Blog IFACI : Quand la SEC parle de cybersécurité, mieux vaut l’écouter