Le rôle du comité d’audit dans la surveillance des risques en 2023


 

Aujourd’hui, je partage avec vous un excellent article qui porte sur la gestion des risques, et plus précisément, sur le rôle du comité d’audit dans la surveillance des risques de toute nature.

L’article est paru sur le Forum de Harvard Law School, et il a été rédigé par Krista Parsons, directrice générale et responsable des programmes du comité d’audit, Maureen Bujno, directrice générale, et Kimia Clemente, directrice principale du Center for Board Effectiveness de Deloitte & Touche.

Cet article fait le tour de la question eu égard aux différents risques que l’entreprise doit prendre en compte.

Également, le comité d’audit, et tout le conseil doivent être attentifs aux diverses règlementations qui concernent la gestion des risques, dont les obligations de divulgation aux parties prenantes.

J’ai utilisé l’outil de traduction Google pour franciser le texte, lequel a subi de multiples ajustements.

Bonne lecture ! Vos commentaires sont toujours les bienvenus.

 

Les règles relatives à la surveillance des auditeurs modifiées | Finance et Investissement

 

Le rôle du comité d’audit dans la surveillance des risques

Il est difficile de prédire l’avenir, surtout en période de changement et d’incertitude. Cependant, il semble prudent de prédire que les programmes de 2023 de nombreux comités d’audit seront centrés sur les risques.

Bien sûr, la surveillance des risques est l’une des plus importantes, sinon la plus importante, des responsabilités du comité d’audit. Bien que le comité d’audit ne soit pas responsable de la surveillance de tous les risques d’une entreprise, il est souvent responsable de la surveillance des politiques et des processus de surveillance des risques de l’entreprise, principalement du programme de risque d’entreprise. Ce programme, dirigé par la direction, consiste à identifier les principaux risques dans l’ensemble de l’organisation, des risques financiers aux risques liés à la main-d’œuvre et des risques dus aux pénuries de matières premières aux risques découlant de catastrophes naturelles et d’autres crises. En d’autres termes, sauf dans les cas où une entreprise dispose d’un comité des risques [1] le comité d’audit supervise le processus d’évaluation et de gestion des risques qui pourraient menacer la viabilité et le succès de l’entreprise. Selon le dernier rapport sur les pratiques du comité d’audit publié par Deloitte et le Center for Audit Quality, 43 % de l’ensemble des répondants interrogés ont déclaré que le comité d’audit était le principal responsable de la surveillance de la gestion des risques d’entreprise.

Cependant, la responsabilité du comité d’audit en matière de surveillance des risques va au-delà de la compréhension et des conseils concernant la création et la mise en œuvre d’un programme de gestion des risques d’entreprise solide. Le comité est chargé de comprendre et de conseiller sur la manière dont la direction identifie, surveille et évalue en permanence les risques et de s’assurer que les risques importants sont attribués à l’ensemble du conseil ou au comité approprié. Et le comité d’audit est lui-même responsable de la surveillance des principaux domaines de risque, tels que les risques qui ont une incidence sur l’information financière et la divulgation, y compris les contrôles internes et la fraude.

Domaines de surveillance des risques en 2023

Pour beaucoup, le nombre et la gravité des risques semblent augmenter chaque jour, ce qui suggère qu’en 2023, le comité d’audit devra de plus en plus se concentrer sur ses responsabilités de surveillance des risques. Une liste complète des risques à surveiller en 2023 pourrait être très longue, mais une enquête rapportée dans le rapport sur les pratiques du comité d’audit suggère que les domaines suivants sont les plus susceptibles de faire l’objet d’une surveillance des risques du comité d’audit en 2023 : la divulgation, y compris les rapports de contrôles internes et fraude ; la cybersécurité ; efficacité du programme de gestion des risques d’entreprise ; le suivi et la divulgation environnementale, sociale et de gouvernance (ESG) ; inflation ; et transformation numérique. [2]   Nous abordons certains de ces risques, ainsi que d’autres risques, ci-dessous.

Rapports financiers et divulgation

Comme indiqué ci-dessus, la divulgation est l’un des domaines de risque dont le comité d’audit est le principal responsable. Cette responsabilité découle d’un certain nombre d’exigences légales ; par exemple, les règles de la Securities and Exchange Commission (SEC) des États-Unis exigent que le comité d’audit recommande à l’ensemble du conseil d’administration d’inclure les états financiers d’une société dans son rapport annuel sur formulaire 10-K. Un autre exemple est la loi Sarbanes-Oxley et les règles connexes de la SEC, qui confèrent au comité d’audit l’entière responsabilité du recrutement, de la surveillance, de la rémunération et (le cas échéant) du licenciement des auditeurs indépendants. Le comité d’audit est également responsable de la surveillance de la fonction d’audit interne. Découlant de ces exigences et pratiques,

Ces domaines et d’autres liés à la divulgation seront probablement à l’honneur en 2023, en partie à cause des efforts continus d’application de la loi par la SEC et d’autres agences gouvernementales, de l’examen minutieux des investisseurs et des médias, et d’autres facteurs, y compris des preuves historiques que les économies en récession et la volatilité des marchés ont tendance à augmenter les niveaux de fraude. En fait, en novembre 2022, le chef comptable par intérim de la SEC a déclaré que « [l]’environnement économique actuel est soumis à d’importantes incertitudes et, historiquement, cela conduit souvent à un risque de fraude accru ». [3] Dans un discours antérieur, il a également déclaré que « les auditeurs… ont la responsabilité d’examiner la fraude et d’obtenir une assurance raisonnable quant à l’absence d’anomalies significatives dans les états financiers, que celles-ci soient causées par une fraude ou par une erreur ». 4 D’autres facteurs économiques qui pourraient entraîner un examen minutieux par la SEC comprennent l’inflation et les fluctuations des taux de change.

L’accent prévu sur la divulgation en 2023 est également susceptible d’être affecté par de nouvelles règles qui pourraient être adoptées par la SEC. Sous la direction du président Gensler, la SEC a proposé un certain nombre de règles qui, si elles sont adoptées, élargiront les divulgations dans des domaines tels que la cybersécurité et le changement climatique. Et on s’attend à ce que la SEC propose des règles appelant à une divulgation supplémentaire dans plusieurs domaines, notamment le capital humain, les technologies émergentes et les cryptomonnaies, entre autres.

En bref, la divulgation et l’information financière sont susceptibles d’être des points prioritaires à l’ordre du jour de 2023 de nombreux comités d’audit.

La gestion du risque d’entreprise

La surveillance de la gestion des risques d’entreprise (ERM) — les processus utilisés pour identifier, surveiller et évaluer les risques — est à l’ordre du jour du comité d’audit depuis de nombreuses années. Cependant, ce rôle de surveillance peut nécessiter une vigilance accrue en 2023, car le rythme des changements et les défis auxquels sont confrontées les entreprises semblent augmenter de jour en jour. Un élément clé de cette surveillance est la réception et l’examen par le comité d’un tableau de bord indiquant les risques importants et le degré de risque associé à chacun (par exemple, rouge, jaune et vert), ainsi que les risques qui évoluent à la hausse et à la baisse. De plus, le comité devrait tenir compte des risques nouveaux et émergents qui ont été ajoutés au tableau de bord ou qui pourraient être ajoutés à l’avenir.

Outre la surveillance générale, le comité d’audit doit évaluer si le processus de GRE évolue pour relever les défis du jour. Un programme de GRE qui a bien fonctionné pendant plusieurs années peut générer de la complaisance ou ne pas identifier de nouveaux risques ou détecter les risques émergents, tant internes qu’externes, ou leur impact potentiel sur l’entreprise. Par conséquent, le comité devra peut-être réévaluer l’efficacité du programme ou de certaines de ses composantes. Le comité peut également avoir besoin d’examiner si les départs d’employés ou d’autres développements ont nui aux ressources nécessaires pour exécuter correctement le programme de GRE.

Cybersécurité et autres questions technologiques

La cybersécurité figure en tête des listes de risques clés de nombreux comités d’audit depuis plusieurs années et ne montre aucun signe de disparition ou de perte d’importance. En fait, le rapport sur les pratiques du comité d’audit suggère que la cybersécurité sera un domaine d’intérêt de plus en plus important pour les comités d’audit à l’avenir. De plus, le rapport indique qu’une majorité des entreprises interrogées attribuent la responsabilité de la surveillance de la cybersécurité à leurs comités d’audit. Le risque de cybersécurité est également susceptible d’occuper une place importante en 2023 en raison de l’adoption prévue des règles finales de la SEC exigeant une divulgation détaillée sur le sujet, y compris si un membre du conseil d’administration possède une expertise en cybersécurité. Compte tenu du rôle de premier plan que de nombreux comités d’audit jouent dans la surveillance des risques de cybersécurité, l’adoption de cette dernière exigence pourrait avoir une incidence sur la planification de la relève des comités d’audit en 2023 et au-delà.

Les risques liés à la cybersécurité ne sont pas les seuls risques liés à la technologie qui pourraient nécessiter une plus grande surveillance du comité d’audit en 2023. À mesure que l’utilisation de l’intelligence artificielle se développe et, avec elle, les préoccupations concernant la confidentialité des données, les implications éthiques de l’intelligence artificielle et d’autres questions, l’audit on s’attendra à ce que les comités traitent des risques associés, y compris dans certains cas des domaines dont le comité d’audit peut avoir la responsabilité principale.

Les risques supplémentaires associés à la technologie comprennent la possibilité qu’un secteur d’activité — éventuellement le principal secteur d’activité dans lequel l’entreprise s’engage — soit soumis à une perturbation par une nouvelle technologie et les risques pouvant résulter de pratiques contraires à l’éthique dans l’utilisation de l’intelligence artificielle.

Changement environnemental et climatique

Bien que les comités d’audit n’aient peut-être pas la responsabilité principale de surveiller les risques associés au changement climatique et à d’autres questions environnementales (le rapport sur les pratiques des comités d’audit indique que seulement 34 % des entreprises interrogées attribuent cette responsabilité à leurs comités d’audit), ils ont une responsabilité importante dans l’évaluation des divulgations et contrôles relatifs aux enjeux ESG. La nature et l’étendue des informations à fournir sur l’environnement et le changement climatique peuvent dépendre des règles proposées sur le sujet en 2022. Cependant, les entreprises ont déjà commencé à fournir des informations détaillées sur leurs activités environnementales, les risques auxquels elles sont confrontées en raison du changement climatique et une foule de questions connexes, et il semble probable que même si les règles de la SEC ne sont pas adoptées comme proposés ou pas du tout, les entreprises fourniront des informations détaillées sur le sujet. En particulier, les nouvelles règles de l’Union européenne (UE) exigeront des rapports ESG sur un ensemble plus large de sujets ESG que ceux requis par les règles actuelles et proposées de la SEC et s’appliqueront à certaines entreprises qui n’étaient auparavant pas soumises aux exigences de déclaration non financière obligatoires, y compris les entreprises publiques et privées non européennes qui répondent à certaines exigences de l’UE — seuils de présence. Compte tenu du rôle clé du comité d’audit dans la surveillance de la divulgation, discuté ci-dessus, toute augmentation des divulgations sur l’environnement et le changement climatique (ou même des mesures ESG divulguées plus larges) ajoutera aux responsabilités du comité d’audit. Selon le rapport sur les pratiques du comité d’audit , seuls 6 % des répondants ont déclaré que les comités d’audit sont responsables de la surveillance de la stratégie ESG, y compris les engagements en matière de climat et de carbone. Cependant, que les comités d’audit assument ou non un rôle plus important dans ces domaines, ils seront chargés de déterminer si les contrôles internes et de communication de l’information de leur entreprise sont adéquats pour traiter les questions en question.

Même en l’absence d’exigences accrues, la SEC a commenté les divulgations de certaines entreprises sur les questions environnementales et de changement climatique. Par exemple, un certain nombre d’entreprises qui publient des rapports ESG ou de développements durables qui ne sont pas déposés auprès de la SEC ont reçu des commentaires demandant pourquoi les informations contenues dans ces rapports diffèrent de celles des documents déposés par les entreprises auprès de la SEC.

Un autre domaine d’implication du comité d’audit dans les questions d’environnement et de changement climatique concerne l’inclusion de mesures quantitatives de l’environnement ou du changement climatique dans les plans de rémunération des dirigeants des entreprises. Bien que ces plans relèvent largement de la compétence du comité de rémunération, le comité d’audit peut avoir un rôle à jouer pour déterminer les paramètres à utiliser, et comment la réalisation des paramètres et l’impact précis sur la rémunération peuvent être mesurés, et les informations à fournir sur ces zones. De plus, dans la mesure où les sociétés fournissent une assurance tierce quant au calcul des paramètres et à l’impact sur la rémunération, le comité d’audit est susceptible de jouer un rôle dans la détermination du type d’assurance qui peut être fournie.

Défis post-pandémiques : perturbation de la chaîne d’approvisionnement, pénurie de main-d’œuvre et pression inflationniste

Les effets des défis économiques et autres résultant de la pandémie continuent de secouer les entreprises et leurs opérations. Les perturbations des chaînes d’approvisionnement mondiales continuent d’affliger les industries, de la fabrication aux biens de consommation en passant par les soins de santé. Le comité d’audit devra exercer une surveillance sur la façon dont la direction traite les risques associés aux perturbations de la chaîne d’approvisionnement et sur la façon dont l’entreprise répond aux besoins d’une grande variété de parties prenantes malgré l’incapacité de fournir des produits ou des services en temps opportun.

Les entreprises d’un large éventail d’industries, quelles que soient leur taille ou d’autres caractéristiques, connaissent des pénuries de main-d’œuvre, que ce soit en raison de taux de chômage historiquement bas, de la soi-disant « grande démission » ou d’autres facteurs. Comme pour les défis de la chaîne d’approvisionnement, les comités d’audit devront rester au courant de la façon dont leurs entreprises gèrent ces pénuries, de la mesure dans laquelle les fonctions critiques peuvent ne pas être traitées de manière adéquate et/ou de la manière dont l’entreprise cherche à atténuer les pénuries de main-d’œuvre ou les problèmes qu’ils créent, d’autant plus que ces pénuries ont un impact sur les fonctions finances et audit.

Pour de nombreuses entreprises et leurs employés, le mot « inflation » n’avait aucun sens, car les pressions inflationnistes mondiales ne se sont pas fait sentir depuis de nombreuses années. Selon le secteur, l’emplacement géographique des opérations et d’autres facteurs, l’impact de l’inflation peut avoir des effets différents ; cependant, la plupart des entreprises, sinon toutes, doivent y faire face d’une manière ou d’une autre, et le comité d’audit sera particulièrement sensible à l’impact de l’inflation sur la performance financière et les informations connexes. Une préoccupation connexe, mentionnée ci-dessus, est que les incidents de fraude comptable ont tendance à augmenter en période de volatilité et d’incertitude économiques, et les comités d’audit doivent donc également être sensibles à ce risque.

En conclusion

Bien sûr, ce qui précède n’est qu’un résumé de quelques-uns des domaines de risque que les comités d’audit surveilleront probablement en 2023. Il existe de nombreux autres domaines de risque, notamment le capital humain, l’instabilité géopolitique et la volatilité des prix de l’énergie, pour n’en nommer que quelques-uns, exigeront presque certainement une surveillance du comité d’audit au cours de l’année à venir. Il est également probable sinon certain que de nouveaux risques émergeront au cours de l’année. Dans la mesure où les responsabilités du comité d’audit sont si vastes et que les conseils d’administration et la direction ont tendance à lui confier des domaines de risque nouveaux et émergents, il n’est pas surprenant que le comité ait parfois été qualifié de comité de « l’évier de la cuisine ». Cependant, compte tenu de l’importance de ses responsabilités en matière de surveillance des risques, parmi de nombreux autres domaines, ce surnom doit être considéré comme un insigne d’honneur. Dans tous les cas, les comités d’audit continueront d’avoir de vastes responsabilités en 2023 et au-delà.

Notes de fin

1 La loi Sarbanes-Oxley de 2002 a rendu obligatoire la formation de comités des risques dans certaines grandes institutions financières. Cependant, les comités des risques ne sont pas devenus courants dans d’autres entreprises. Selon l’indice américain Spencer Stuart Board Index 2022, seuls 12 % du S&P 500 disposaient de tels comités. (retourner)

2 L’enquête visait à obtenir des informations sur les risques autres que ceux associés à l’information financière et aux contrôles internes. (retourner)

3 Jean Eaglesham, « Le comptable de la SEC met en garde contre un risque de fraude accru au milieu des craintes de récession, de la vente sur le marché »,  Wall Street Journal , 3 novembre 2022. (retourner)

4 Paul Munter, « La responsabilité de l’auditeur en matière de détection de fraude », US Securities and Exchange Commission, 11 octobre 2022. (retourner)

Auteur : Gouvernance des entreprises | Jacques Grisé

Ce blogue fait l’inventaire des documents les plus pertinents et récents en gouvernance des entreprises. La sélection des billets, « posts », est le résultat d’une veille assidue des articles de revue, des blogues et sites web dans le domaine de la gouvernance, des publications scientifiques et professionnelles, des études et autres rapports portant sur la gouvernance des sociétés, au Canada et dans d’autres pays, notamment aux États-Unis, au Royaume-Uni, en France, en Europe, et en Australie. Chaque jour, je fais un choix parmi l’ensemble des publications récentes et pertinentes et je commente brièvement la publication. L’objectif de ce blogue est d’être la référence en matière de documentation en gouvernance dans le monde francophone, en fournissant au lecteur une mine de renseignements récents (les billets quotidiens) ainsi qu’un outil de recherche simple et facile à utiliser pour répertorier les publications en fonction des catégories les plus pertinentes. Jacques Grisé est professeur titulaire retraité (associé) du département de management de la Faculté des sciences de l’administration de l’Université Laval. Il est détenteur d’un Ph.D. de la Ivy Business School (University of Western Ontario), d’une Licence spécialisée en administration des entreprises (Université de Louvain en Belgique) et d’un B.Sc.Comm. (HEC, Montréal). En 1993, il a effectué des études post-doctorales à l’University of South Carolina, Columbia, S.C. dans le cadre du Faculty Development in International Business Program. Il a été directeur des programmes de formation en gouvernance du Collège des administrateurs de sociétés (CAS) de 2006 à 2012. Il est maintenant collaborateur spécial au CAS. Il a été président de l’ordre des administrateurs agréés du Québec de 2015 à 2017. Jacques Grisé a été activement impliqué dans diverses organisations et a été membre de plusieurs comités et conseils d'administration reliés à ses fonctions : Professeur de management de l'Université Laval (depuis 1968), Directeur du département de management (13 ans), Directeur d'ensemble des programmes de premier cycle en administration (6 ans), Maire de la Municipalité de Ste-Pétronille, I.O. (1993-2009), Préfet adjoint de la MRC l’Île d’Orléans (1996-2009). Il est présentement impliqué dans les organismes suivants : membre de l'Ordre des administrateurs agréés du Québec (OAAQ), membre du Comité des Prix et Distinctions de l'Université Laval. Il préside les organisations suivantes : Société Musique de chambre à Ste-Pétronille Inc. (depuis 1989), Groupe Sommet Inc. (depuis 1986), Coopérative de solidarité de Services à domicile Orléans (depuis 2019) Jacques Grisé possède également une expérience de 3 ans en gestion internationale, ayant agi comme directeur de projet en Algérie et aux Philippines de 1977-1980 (dans le cadre d'un congé sans solde de l'Université Laval). Il est le Lauréat 2007 du Prix Mérite du Conseil interprofessionnel du Québec (CIQ) et Fellow Adm.A. En 2012, il reçoit la distinction Hommage aux Bâtisseurs du CAS. En 2019, il reçoit la médaille de l’assemblée nationale. Spécialités : Le professeur Grisé est l'auteur d’une soixantaine d’articles à caractère scientifique ou professionnel. Ses intérêts de recherche touchent principalement la gouvernance des sociétés, les comportements dans les organisations, la gestion des ressources humaines, les stratégies de changement organisationnel, le processus de consultation, le design organisationnel, la gestion de programmes de formation, notamment ceux destinés à des hauts dirigeants et à des membres de conseil d'administration.

Une réflexion sur “Le rôle du comité d’audit dans la surveillance des risques en 2023”

  1. Ping : Le rôle du comité d’audit da...

Qu'en pensez-vous ?

Ce site utilise Akismet pour réduire le pourriel. En savoir plus sur comment les données de vos commentaires sont utilisées.