AccélérationPoint de vue sur les questions clés qui dominent l’ordre du jour des comités d’audit

Édition 2019-2020

kpmg.ca/audit-fr

2

Table des matières

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

3

En cette ère de transformation, nous devons tous mettre la main à la pâte

Les comités d’audit et leurs pairs des conseils d’administration sont sans cesse confrontés à des perturbations internes, à des menaces numériques, à l’évolution du secteur et aux répercussions liées aux changements climatiques, qui exposent leur organisation à des risques uniques et impitoyables. Étant donné l’aspect et l’ampleur de ces risques qui se transforment constamment, le maintien du statu quo n’est plus une stratégie viable.

Qu’y a-t-il à l’horizon? De quelle façon vous adapterez-vous? Et où en sera votre entreprise lorsque (et si) la poussière retombera? Ces questions sont au cœur de la campagne Accélération de KPMG, un examen des questions et des possibilités actuelles les plus pertinentes pour les comités d’audit, mené par les experts en la matière de KPMG provenant de notre groupe.

Les sujets sont familiers, mais les détails ont changé. Les perturbations ont pris de nouvelles formes, la gestion des données a gagné en importance et les discussions sur les changements climatiques et sur le développement durable des entreprises ont pris de nouvelles orientations. D’une manière ou d’une autre, ces facteurs redéfinissent le rôle du comité d’audit et les attentes entretenues à son égard.

Nous traversons une période intéressante, sans date d’échéance fixe. Comme à l’habitude, les comités d’audit doivent savoir faire preuve de souplesse, demeurer informés et être prêts à s’adapter aux risques et aux possibilités qui les attendent. Et nous sommes présents, comme toujours, pour contribuer à l’atteinte de ce but.

Dans les pages qui suivent, des experts techniques à l’échelle de KPMG au Canada analysent certaines des questions les plus essentielles pour les comités d’audit et mettent en lumière les nombreuses occasions et les défis qui les attendent. Nous espérons que les informations et les conseils contenus dans Accélération vous aideront à résoudre ces questions et à avoir davantage confiance en la capacité de votre organisation à faire face aux changements à venir.

Réalisons-le.

Introduction

« Les perturbations ont pris de nouvelles formes, la gestion des données a gagné en importance et les discussions sur les changements climatiques et sur le développement durable des entreprises ont pris de nouvelles orientations. »

Kristy CarscallenAssociée directrice canadienne, Audit, KPMG au Canada

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Introduction

4

L’innovation a du bon, mais les organisations doivent s’y préparer

Bien que la révolution numérique batte son plein depuis un certain temps, les perturbations ne sont pas près de cesser. De nouvelles technologies émergentes continuent d’influencer, voire de transformer, la façon dont les organisations fonctionnent et s’adaptent à leur clientèle. Si ces outils ont généré de nouvelles capacités et occasions d’affaires, ils ont accru la nécessité de mettre au point des stratégies de gestion des risques toujours plus solides et adaptées.

À coup sûr, les conseils d’administration ont le lourd fardeau de s’assurer que l’adoption des nouvelles technologies ne se fasse pas aux dépens de la sécurité, du rendement et des résultats de l’organisation. Le comité d’audit n’est pas en reste, car il doit veiller à ce que la direction ait mis en place des contrôles et des processus pour protéger le service des finances des risques posés par les technologies, et qu’elle exerce une surveillance appropriée à cet égard.

Il y a de nombreux risques à prendre en considération. En déplaçant leurs activités vers le nuage, les organisations doivent garder à l’œil la sécurité et les vulnérabilités liées aux tiers, ainsi que surveiller de près les outils s’appuyant sur l’automatisation, l’intelligence artificielle ou l’apprentissage machine afin de s’assurer qu’ils fonctionnent comme prévu et qu’ils s’arriment aux systèmes actuels. De même, alors que les organisations s’efforcent de maximiser les retombées de l’analyse de données, le comité d’audit a un rôle à jouer pour faire en sorte que ces données soient recueillies, analysées et sécurisées de manière appropriée et responsable.

«  Toute modification des opérations financières entraîne une transformation des risques auxquels l’organisation s’expose. Les sociétés doivent adopter les nouvelles technologies. Les comités d’audit ont un rôle fondamental à jouer en s’assurant que les bonnes technologies sont correctement mises en œuvre et que les risques encourus par le service des finances sont atténués. »

Heather CheesemanAssociée, Audit, KPMG au Canada

Se tenir prêt pour les perturbations technologiques

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Perturbation des finances

5

Il n’appartient pas qu’au comité d’audit de protéger l’organisation des risques de perturbations technologiques. Néanmoins, le maintien de l’intégrité du service des finances d’une société en cette ère du numérique exige un niveau élevé de contrôle diligent. Ainsi, le comité d’audit doit se tenir continuellement au fait des risques que pose l’adoption d’une nouvelle technologie pour le service des finances et tout ce qui s’y rattache.

Le statu quo comporte également des risques. En effet, le comité d’audit doit savoir comment le service des finances tire parti des technologies en vue d’améliorer l’efficience, de réduire les risques et d’accroître la valeur de l’organisation. L’automatisation des processus peut accroître considérablement l’intégrité des données et l’efficacité des contrôles. De plus, les technologies permettent la surveillance continue des informations, laquelle mène à la détection et à la résolution en temps réel des problèmes. Une fois que le traitement manuel a été réduit au minimum, le service des finances peut redevenir un véritable partenaire de l’entreprise en lui offrant des informations éclairantes tirées des données.

La bonne nouvelle, c’est que les conversations au sujet des perturbations technologiques évoluent. Tandis que les discussions sur l’intelligence artificielle, l’automatisation, l’infonuagique et l’analyse de données étaient auparavant axées sur ce qu’il est possible ou non de faire, les organisations réalisent désormais des investissements tangibles et vont de l’avant avec leurs projets. Là encore, les comités d’audit ont une fonction essentielle, soit celle de s’assurer que les investissements dans les nouvelles technologies sont pleinement justifiés et que les risques liés à leur intégration sont atténués de manière appropriée.

Quelles questions les comités d’audit devraient-ils poser?

Dans quelle mesure le service des finances sera-t-il touché par les innovations technologiques?

Comment tirer profit des technologies pour optimiser l’efficience, atténuer les risques et abaisser les coûts d’une manière qui ait du sens pour notre organisation?

Quelles incidences les technologies auront-elles sur notre main-d’œuvre? Notre organisation aura-t-elle besoin de nouveaux employés ou de nouvelles compétences?

Avons-nous une pleine compréhension des avantages et des risques que présentent les nouvelles technologies telles que l’infonuagique, l’automatisation et l’intelligence artificielle?

L’organisation est-elle convaincue d’avoir la capacité de contrôler les risques liés à la mise en œuvre d’une nouvelle technologie?

Quel est le risque que pose le statu quo?

Se tenir prêt pour les perturbations technologiques

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

6

Les menaces sont bien réelles et personne n’est à l’abri

Les attitudes à l’égard de la cybersécurité ont beau évoluer, les risques ne sont pas près de s’estomper. Dans leur élan continu vers la numérisation des activités et l’exploitation des plus récentes technologies, les organisations s’exposent toujours davantage aux aléas des affaires à l’ère de l’information.

Qui plus est, le champ d’action des cybermenaces se transforme. Un survol des nouvelles suffit à nous convaincre que les atteintes à la sécurité des données, les fraudes par virement, les attaques de rançongiciels, le piratage informatique interne et les cyberattaques commanditées par des États gagnent en envergure et en témérité. Et comme les systèmes financiers deviennent toujours plus sophistiqués et connectés, la cybersécurité doit figurer parmi les priorités des comités d’audit.

La bonne nouvelle, c’est que les comités d’audit ne s’avouent pas vaincus. Ils en apprennent toujours plus sur les menaces qui se profilent et les risques qu’elles posent pour les finances, la réputation et la pérennité des organisations. De plus en plus, ils mettent les dirigeants au défi de faire le compte de leurs « joyaux électroniques » et d’agir pour les protéger d’une façon ou d’une autre : par des mesures internes comme le chiffrement des ordinateurs, le perfectionnement des protocoles de mots de passe ou la formation de la main-d’œuvre, ou encore par des mesures externes comme le renforcement des contrôles ou l’adoption de stratégies plus globales pour la gestion des cyberrisques.

«  La cybersécurité concerne tout autant les affaires que les technologies de l’information. Cela signifie que tous les membres du conseil d’administration, y compris le comité d’audit, ont un rôle à jouer pour déterminer quels sont les aspects les plus vulnérables de l’organisation et pour prendre les mesures qui s’imposent. »

John HeatonAssocié, Cybersécurité, Services-conseils, KPMG au Canada

La numérisation des activités entraîne la hausse des cyberrisques

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Cyberrisques

7

Il est important de rappeler que la cybersécurité est plus qu’un simple problème relevant des technologies de l’information. De nos jours, les auteurs de cybermenaces ont plusieurs motifs : vendre des données volées, perturber des activités, plomber des compétiteurs ou faire passer un message politique. En parallèle, les risques de cyberattaques provenant de l’intérieur et les vulnérabilités liées aux tiers sont loin de s’atténuer.

Aucune entité n’est immunisée contre les cyberrisques. Dans les faits, les criminels et les fraudeurs virtuels sont tout aussi enclins à s’en prendre à des petites ou moyennes entreprises qu’à de grandes organisations, parce qu’ils supposent que les sociétés de moindre taille ne seront pas aussi bien préparées à subir une attaque ni aussi rapides à s’en remettre. Voilà pourquoi il incombe au comité d’audit de continuer à promouvoir la cybersécurité auprès du conseil d’administration – à la fois pour protéger le service des finances et pour éviter de faire les manchettes.

La numérisation des activités entraîne la hausse des cyberrisques

Quelles questions les comités d’audit devraient-ils poser?

Quelles sont les données les plus importantes de notre organisation? Où sont-elles stockées?

Avons-nous mis en place des contrôles pour protéger notre organisation, détecter les cyberattaques et atténuer leurs effets?

Pourquoi notre organisation serait-elle la cible d’une cyberattaque?

Quel est le plan d’action de notre organisation en cas de cyberattaque? A-t-il été éprouvé?

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

8

Pour une culture propice à la confidentialité en gestion du numérique et de l’information

L’accès rapide à des données pertinentes et exactes est vite devenu l’un des plus importants avantages d’une organisation. Pourtant, le jeu du numérique peut s’avérer fatal pour celles qui omettent de protéger leurs informations sensibles ou qui les utilisent de façon irresponsable ou contraire à l’éthique. Comme une multitude d’outils et de systèmes alimentés par des données sont reliés au service des finances, la confidentialité numérique et une gouvernance efficace des données, en plus de la cybersécurité, doivent figurer à l’ordre du jour de tous les comités d’audit.

Il est bien vrai qu’à mesure que les organisations augmentent leurs capacités en matière de collecte de données et de gestion de l’information, la confidentialité et la protection des données gagnent en importance. Qu’elles soient implicites ou explicites, certaines règles de conduite en gestion de données doivent être respectées pour que le public accorde sa confiance aux technologies émergentes qui recueillent d’énormes quantités de données personnelles. Parmi ces règles, on peut se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du Canada, au Règlement général sur la protection des données (« RGPD ») de l’Union européenne et aux attentes des autorités de réglementation, qui évoluent constamment en réponse à l’environnement changeant des menaces et des risques liés aux données. Sylvia Kingsmill

Associée et leader nationale, Confidentialité numérique et gestion de l’information, KPMG au Canada

«  Le marché canadien présente plusieurs signes qui font de la question de la confidentialité et de la sécurité des données une priorité pour les hauts dirigeants. Comme les risques de vols et de violations de données s’étendent désormais au service des finances, les comités d’audit doivent faire de la confidentialité et de la cybersécurité une priorité à l’échelle de l’organisation. »

Prendre les devants en matière de confidentialité des données

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Confidentialité numérique

9

Les enchères montent

La sécurité des données n’a rien d’une nouvelle préoccupation. Cela dit, plusieurs éléments au sein du marché canadien contribuent à ramener le sujet au premier plan. D’abord, les violations massives de données continuent de croître en envergure et en étendue, tout comme les dommages légaux et les atteintes à la réputation qui en découlent. En retour, les autorités de réglementation tiennent les organisations davantage responsables de disposer des mesures de conformité et des contrôles adéquats pour prévenir ou gérer les atteintes à la vie privée ou pour reprendre les activités par la suite.

Les technologies sont également des déclencheurs. La multiplication des télécommunications à haut débit, des appareils numériques, de l’intelligence artificielle et des fonctionnalités avancées d’analyse de données a doté les organisations de nouveaux moyens d’exploiter leurs données. En contrepartie, ces technologies les exposent davantage aux cyberattaques, à la corruption des données et aux erreurs internes. Privée de la confiance de l’utilisateur final envers la capacité de l’organisation à protéger les données sensibles, même la plus prometteuse des initiatives technologiques est vouée à l’échec.

Bon nombre de raisons font en sorte que les comités d’audit doivent se soucier davantage de la gestion des données et se faire les champions d’initiatives en matière de confidentialité et de sécurité numériques. Outre qu’ils aident leur organisation à cerner et à protéger leurs données les plus précieuses, les comités d’audit peuvent collaborer avec d’autres services pour s’assurer que des contrôles suffisants

en matière de confidentialité numérique sont en place et que les rôles, les processus et les responsabilités sont bien définis en ce qui a trait à la gestion des données. Ils peuvent aussi inciter la fonction d’audit interne à planifier des tests de confidentialité des données, à promouvoir la formation sur la confidentialité des données et à sensibiliser la haute direction aux menaces et aux pratiques exemplaires en matière de confidentialité numérique. Après tout, lorsque la direction prend des mesures concernant la confidentialité et la sécurité des données, elle protège non seulement l’intégrité du service des finances de l’organisation, mais aussi la santé à long terme et la réputation de celle-ci.

Le comité d’audit ne devrait pas assumer seul les responsabilités liées à la confidentialité et à la protection des données. Ses membres doivent toutefois faire preuve de diligence en s’assurant que les nouvelles technologies et les processus numériques soient mis en œuvre dans le respect intégral des règles sur la protection des renseignements personnels, que les contrôles relatifs à la gestion des données soient continuellement surveillés et testés, et que les données les plus précieuses de l’organisation soient virtuellement verrouillées à double tour. Grâce à une telle approche, l’organisation pourra mieux gérer son patrimoine de données et en savoir davantage sur ses clients tout en respectant leur vie privée.

Quelles questions les comités d’audit devraient-ils poser?

Quels types de données sont recueillies par notre organisation? Qui a accès à ces données? Comment sont-elles utilisées? À qui incombe la responsabilité de les protéger?

Faisons-nous preuve de transparence au sujet de nos méthodes de traitement de l’information? Est-il possible de consulter notre politique en matière de protection de la vie privée et est-elle facile à comprendre?

Avons-nous une approche fondée sur les risques afin de comprendre où se trouvent les risques en matière de confidentialité au sein de l’entreprise?

Avons-nous mis en place un programme de protection des données et adopté un code de conduite qui favorise l’utilisation responsable des données?

L’équipe de direction et/ou le conseil d’administration partagent-ils le même engagement envers la protection de la vie privée s’appuyant sur la stratégie d’affaires de l’organisation et chapeauté par un directeur de la protection de la vie privée?

Sommes-nous prêts à faire preuve d’une diligence raisonnable avisée comportant une position justifiable quant à notre exposition aux risques posés à la protection de la vie privée ainsi qu’à notre gestion de la confidentialité à l’échelle de l’entreprise?

Prendre les devants en matière de confidentialité des données

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

10

Comment votre conseil d’administration se prépare-t-il aux changements climatiques?

Vous êtes-vous penché sur l’envers de la médaille de votre performance environnementale, sociale et de gouvernance (« ESG »)? Les changements climatiques transforment la donne pour les entreprises à bien des égards, qu’il s’agisse des politiques, des technologies ou des tendances observées sur le marché. Or, bien que les sociétés prêtent souvent attention aux répercussions positives ou négatives de leurs activités sur la planète, beaucoup négligent de considérer comment les incidences sociétales, géopolitiques et environnementales des changements climatiques façonneront également leurs stratégies d’affaires.

Si votre organisation ne s’interroge pas sur sa préparation aux changements climatiques, vos investisseurs, banques, compagnies d’assurances et autres parties prenantes le font sans l’ombre d’un doute. En 2019, la Banque du Canada a défini les changements climatiques comme l’une des six plus importantes vulnérabilités de l’économie canadienne1, et un nombre croissant d’investisseurs, y compris des régimes de retraite canadiens, cherchent à comprendre l’incidence de ce risque sur leurs portefeuilles. De même, les assureurs tiennent compte des changements climatiques dans leurs calculs, et les autorités de réglementation accentuent la pression à l’égard des exigences en matière d’ESG. De plus en plus, ces parties prenantes veulent être certaines que les organisations non seulement intègrent les changements climatiques à leur planification d’affaires, mais aussi que leurs stratégies se reflètent dans les informations financières.

«  Les changements climatiques seront à l’origine de nombreux bouleversements dans les années à venir. Par conséquent, les entreprises doivent évaluer la résilience de leur modèle d’affaires, déterminer la manière probable dont elles seront touchées et dresser des plans pour s’adapter. »

Roopa DavéAssociée, Services de développement durable, KPMG au Canada

Renverser la situation au chapitre des changements climatiques

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Développement durable

11

Les changements climatiques concernent assurément tout autant la résilience d’une organisation que l’harmonisation de sa performance environnementale avec les objectifs mondiaux en vue de limiter le réchauffement à moins de 1,5 °C, conformément à l’Accord de Paris2. Sachant cela, les comités d’audit sont en excellente position pour remettre en question la manière dont la direction et leurs pairs prévoient s’adapter à la situation. Les comités d’audit ont également l’occasion, voire l’obligation, de promouvoir les pratiques exemplaires en matière de présentation de l’information sur les changements climatiques, dont celles proposées par la Task Force on Climate-related Financial Disclosures (« TCFD »)3. Ces pratiques comprennent des recommandations visant à présenter une information financière sur le climat qui soit cohérente et comparable afin de favoriser la prise de décisions éclairées tout particulièrement au sein des banques, des investisseurs et des compagnies d’assurances.

La question des changements climatiques dépasse de loin les capacités d’un seul service. Elle exige une mobilisation interfonctionnelle entre différents secteurs de l’organisation, ainsi qu’une connaissance accrue de la manière dont celle-ci est susceptible d’être touchée par les politiques relatives aux changements climatiques, les technologies pertinentes, les réactions de la clientèle et l’évolution des marchés, de même que par des aspects physiques tels que les changements météorologiques. Par ailleurs, comme il s’agit d’une question en constante évolution, l’organisation doit être disposée à élargir plus qu’à son habitude son horizon de planification afin de prendre en compte les risques posés par les changements climatiques.

Une planification minutieuse visant à la fois à atténuer les risques liés aux changements climatiques et à tirer parti des occasions qu’ils engendrent sera très avantageuse. Et si les services, les parties prenantes et les partenaires de l’industrie travaillent de concert, le plan aura de meilleures chances de transformer un désavantage potentiel en avantage réel.

Quelles questions les comités d’audit devraient-ils poser?

Le conseil d’administration et/ou la direction ont-ils une stratégie à long terme pour répondre aux incidences des changements climatiques sur notre modèle d’affaires? Notre horizon de planification est-il suffisamment long?

Notre organisation comprend-elle les incidences financières potentielles des changements climatiques sur nos activités?

Notre organisation est-elle compétente en matière de changements climatiques? Possède-t-elle des connaissances adéquates pour maîtriser le sujet?

Les informations relatives aux changements climatiques que notre organisation fournit répondent-elles aux besoins des utilisateurs finaux (p. ex., les investisseurs, les banques, les autorités de réglementation)?

1. Banque du Canada, Revue du système financier – 2019, https://www.banqueducanada.ca/2019/05/revue-du-systeme-financier-2019/2. Nations Unies, Lutter contre les changements climatiques – Objectifs de développement durable, https://www.un.org/

sustainabledevelopment/fr/climate-change/3. TCFD, Task Force on Climate-related Financial Disclosures, https://www.fsb-tcfd.org/

Renverser la situation au chapitre des changements climatiques

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

12

Les risques se métamorphosent : êtes-vous prêt à réagir?

Le concept de risque n’a rien de nouveau. Il constitue une partie intégrante des affaires et un facteur qui évolue parallèlement aux organisations, aux marchés, aux populations et aux pays. Cependant, bien que la gestion du risque d’entreprise (« GRE ») ait toujours été dans la mire de la haute direction d’une manière ou d’une autre, l’émergence de risques inédits et perturbateurs donne une raison aux administrateurs de faire entendre leur voix.

Les risques découlent naturellement de leur environnement. En cette ère de perturbation, les organisations font face à des risques nouveaux, complexes et toujours changeants, tant internes qu’externes – des risques ayant tous le potentiel de les propulser vers l’avant ou de les immobiliser. Jusqu’à tout récemment, bon nombre de ces risques n’étaient pas considérés comme importants (en supposant qu’ils étaient pris en considération), mais à mesure que la situation évolue, les conséquences liées au fait de négliger les risques changent également.

La mise en œuvre d’un programme de gestion du risque d’entreprise débute, comme toujours, par la reconnaissance des risques qui sont les plus évidents. De nos jours, ces derniers comprennent les transformations géopolitiques (tensions commerciales, menaces à la sécurité, etc.), les répercussions des changements climatiques et du développement durable (technologies écologiques, changements météorologiques continus, etc.) et les cybermenaces en évolution constante, sans compter les pièges des plateformes de médias sociaux ainsi que les technologies perturbatrices (apprentissage machine, Internet des objets, robotique, etc.).

On ne doit pas non plus écarter les menaces provenant aussi de l’organisation elle-même. Qu’il s’agisse d’une conséquence de la transformation numérique ou de l’adoption de technologies perturbatrices, de la conclusion d’alliances stratégiques ou de la mise à niveau des compétences de la main-d’œuvre, une organisation assume des risques nouveaux ou supplémentaires chaque fois qu’elle pose un geste pour améliorer son efficience interne, renforcer ses relations avec les clients, entreprendre d’innover ou augmenter l’ensemble de sa capacité en matière de compétitivité.

«  Ce qu’il ne faut absolument pas oublier, c’est que les risques perturbateurs ne disparaîtront pas, et qu’ils n’attendront pas non plus que les organisations les rattrapent. Les administrateurs doivent faire preuve d’audace face aux risques en jouant un rôle clé dans le cadre de l’identification, de la gestion et de l’exploitation de ces risques en fonction de leur propre organisation. »

Edouard Bertin-MourotAssocié, Services-conseils – Gestion des risques, KPMG au Canada

Adaptez votre gestion du risque pour l’avenir

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Gestion des risques

13

De plus en plus, les risques perturbateurs se retrouvent dans les discussions des conseils d’administration. Malgré tout, seulement un comité d’audit sur cinq croit que le programme de GRE de son organisation est assez robuste pour détecter ces risques et y répondre. Bien qu’il soit de toute évidence nécessaire de prendre du recul afin de réévaluer les programmes de gestion des risques, beaucoup peinent à le faire en raison du manque d’expérience et d’information concernant certains des facteurs les plus complexes associés à ces risques perturbateurs1.

À ce sujet, il est utile de savoir que même si chaque risque perturbateur a ses propres mécanismes et caractéristiques, certains points communs peuvent être utilisés afin de mieux outiller les organisations pour répondre à ces risques. Tout d’abord, bon nombre des risques perturbateurs sont de nature dynamique et doivent être traités rapidement. Comme les risques surviennent à un rythme effréné, les organisations ne peuvent plus se rabattre sur une méthode traditionnelle de gestion et de communication des risques qui soit statique et instantanée. Elles doivent plutôt faire preuve d’une souplesse suffisante pour être continuellement à même de prévoir les risques, de les analyser et d’y répondre à mesure qu’ils surviennent. Leur grande ambiguïté, leur incertitude et le grand éventail de scénarios possibles rendent ces risques difficiles à modéliser en toute confiance.

Enfin, le monde devient davantage interrelié, ce qui permet aux risques de se déplacer et de sévir en groupe. Sachant cela, les organisations ont avantage à déployer toutes leurs ressources analytiques et à adopter une approche par

portefeuille plus globale pour leur gestion des risques. Ce faisant, elles auront de meilleures chances de comprendre quels sont leurs connexions critiques et leurs points épineux, et de se concentrer sur ceux-ci.

Comme la forme et l’étendue des risques croissent sans cesse, l’organisation doit absolument adopter une stratégie de gestion des risques qui soit plus unifiée et souple pour s’assurer de rassembler ses ressources dans un esprit de collaboration face aux risques perturbateurs. Que ce soit lors des séances annuelles de planification stratégique, des réunions courantes de la direction ou des activités quotidiennes de l’entreprise, l’organisation doit évaluer les conditions d’affaires changeantes et les risques potentiels de manière à favoriser une culture de sain dialogue, de questionnement et de remise en question objective.

Heureusement, le service de la gestion des risques est en bonne position pour travailler avec des groupes de tous les secteurs de l’organisation afin d’améliorer et de maintenir la visibilité des risques perturbateurs, et ce, jusqu’aux échelons supérieurs. Les administrateurs peuvent aussi agir en contribuant à l’élaboration du modèle de surveillance et de gestion des risques. Ils peuvent servir l’organisation en apportant un point de vue différent et indépendant en raison de leurs divers parcours professionnels et expériences au sein d’autres conseils, pour ainsi l’aider à faire face aux changements perturbateurs.

Quelles questions les comités d’audit devraient-ils poser?

La direction a-t-elle identifié et évalué les risques les plus perturbateurs auxquels l’organisation est exposée?

Nos mécanismes de gestion des risques ont-ils la souplesse nécessaire pour identifier les risques perturbateurs et y répondre de manière continue?

Le conseil d’administration et le comité d’audit prennent-ils adéquatement part et sont-ils bien outillés pour aider l’organisation à gérer les risques perturbateurs?

Notre stratégie de GRE tient-elle compte des liens entre les risques perturbateurs propres à l’organisation et notre exposition à ceux-ci?

1. KPMG International. (2019) Keeping pace with disruptive risk and digital transformation. Sondage mondial auprès des comités d’audit – Édition 2019

Adaptez votre gestion du risque pour l’avenir

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

14

Kristy CarscallenAssociée directrice canadienne, Audit, KPMG au Canada416-777-8677kcarscallen@kpmg.ca

Heather CheesemanAssociée, Audit,KPMG au Canada416-777-3314hcheeseman@kpmg.ca

John HeatonAssocié, Cybersécurité, Services-conseils, KPMG au Canada416-476-2758johnheaton@kpmg.ca

Sylvia KingsmillAssociée et leader nationale, Confidentialité numérique et gestion de l’information, KPMG au Canada416-777-8190skingsmill@kpmg.ca

Roopa DavéAssociée, Services de développement durable, KPMG au Canada604-691-3019rdave@kpmg.ca

Edouard Bertin-MourotAssocié, Services-conseils – Gestion des risques, KPMG au Canada416-777-3511edouardbertinmourot@kpmg.ca

Collaborateurs

Ajoutez-moi sur LinkedInAjoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedInAjoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedIn

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Personnes-ressources

15

Perturbation des finances

Marie David Associée, KPMG Entreprise, Audit, KPMG au Canada514-940-8559mariedavid@kpmg.ca

François GaudreauAssocié, Leader national - Automatisation intelligente,KPMG au Canada514-840-2626fgaudreau@kpmg.ca

Développement durable

Sander JansenDirecteur principal, Audit,KPMG au Canada514-840-2585sanderjansen@kpmg.ca

Marc PlamondonAssocié, Audit,KPMG au Canada514-840-2385mplamondon@kpmg.ca

Contacts

Ajoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedIn

Confidentialité numérique

Dominic JaarAssocié, Services-conseils – Management, KPMG au Canada514-840-2262djaar@kpmg.ca

Ajoutez-moi sur LinkedIn

Gestion des risques

Annie VezeauDirectrice principale, Audit interne, risques et conformité,KPMG au Canada514-985-1240avezeau@kpmg.ca

Ajoutez-moi sur LinkedIn

Cyberrisques

Francis BeaudoinAssocié, Services-conseils en technologie,KPMG au Canada514-840-2247fbeaudoin@kpmg.ca

Yassir BelloutAssocié, Cybersécurité,KPMG au Canada514-840-2546ybellout@kpmg.ca

Ajoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedIn

Ajoutez-moi sur LinkedIn

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

Personnes-ressources

16

C’est en réunissant des personnes diverses aux expériences et aux compétences multiples qui présentent des points de vue variés que nous pouvons apporter un éclairage unique qui fait toute la différence pour nos clients, nos employés et nos collectivités, aujourd’hui et demain.

Les observations contenues dans le présent rapport permettront de vous aider à acquérir la confiance dont vous avez besoin pour vous orienter dans le domaine en évolution de l’audit et de la certification et vous donner les outils nécessaires pour accélérer la croissance de votre entreprise. Réalisons-le.

Allez au kpmg.ca/audit-fr pour visionner les vidéos des entrevues avec chacun des experts techniques nommés dans ce rapport.

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés.

kpmg.ca/audit-fr

L’information publiée dans le présent document est de nature générale. Elle ne vise pas à tenir compte des circonstances de quelque personne ou entité particulière. Bien que nous fassions tous les efforts nécessaires pour assurer l’exactitude de cette information et pour vous la communiquer rapidement, rien ne garantit qu’elle sera exacte à la date à laquelle vous la recevrez ni qu’elle continuera d’être exacte dans l’avenir. Vous ne devez pas y donner suite à moins d’avoir d’abord obtenu un avis professionnel se fondant sur un examen approfondi des faits et de leur contexte.

© 2019 KPMG s.r.l./s.e.n.c.r.l., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés. 24936

KPMG et le logo de KPMG sont des marques déposées ou des marques de commerce de KPMG International.