• Pages
01 MPact : Printemps 2023
02 Table des matières
03 Perspective : La clé du succès à long terme en affaires? La résilience
04 Établir une stratégie de rétention efficace : la clé du succès pour votre entreprise
05 Les sociétés de capital-investissement : l’acheteur idéal pour votre entreprise?
06 Stratégie : Les plateformes de planification des ressources d’entreprise – un guide d’achat complet
07 Tenue de livres infonuagique : qui gère réellement vos finances?
08 Quels sont les grands risques qui se profilent pour les dirigeants d’entreprise?
09 Vendre votre entreprise en période d’incertitude économique
10 Faits saillants des budgets fédéral et provinciaux de 2023
11 L’agriculture d’un océan à l’autre — Nouvelle série de vidéos par MNP
12 S'abonner

MPact » Article vedette

Quels sont les grands risques qui se profilent pour les dirigeants d’entreprise?

Par : Richard Arthurs, FCPA, FCMA, MBA, CFE, CIA, CRM+A, QIAL Leader national, Audit interne

Mariesa Fett, CPA, CA, ABCP, CRMA, ICD.D Leader nationale, Gestion des risques d’entreprise

Communiquez avec Richard
Communiquez avec Mariesa

Un dirigeant d’entreprise a toujours des défis à surmonter. Cet article regorge de conseils prodigués par divers spécialistes de MNP pour vous préparer à ce que l’avenir vous réserve.

[points de vue]

  • Des technologies émergentes s’apprêtent à bouleverser des secteurs mal préparés à leur arrivée. Vous et votre équipe de direction devez vous pencher sur les changements qu’elles pourraient engendrer de même que sur les problèmes de cybersécurité et les risques qui leur sont liés.

  • Pour éviter toute incidence négative, vous avez la responsabilité d’évaluer vos pratiques actuelles et de repérer les failles qui vous rendent vulnérables.

  • Les questions environnementales, sociales et de gouvernance gagnent en importance. Les normes qui entreront bientôt en vigueur pour les encadrer imposeront de nouvelles responsabilités aux entreprises. Il importe donc de se tenir au courant.

Après deux années complètes marquées par la pandémie de COVID-19 aux quatre coins du monde, les organisations du pays ont enfin commencé à voir la lumière au bout du tunnel en 2022. Mais l’esprit de célébration a été de courte durée, alors que plusieurs défis nouveaux et existants ont jeté de l’ombre sur ces beaux jours qui s’annonçaient. Nous avons consulté 14 leaders de notre cabinet à propos des risques et occasions les plus importants, selon eux, à l’aube de 2023 – et particulièrement ceux sur lesquels les auditeurs internes devraient s’arrêter.

Les principales priorités sont notamment :

  • l’incidence des normes de présentation de l’information sur les facteurs environnementaux, sociaux et de gouvernance (ESG);
  • l’omniprésence des menaces à la cybersécurité, et le défi croissant des risques posés par des tiers;
  • les problèmes liés à la compréhension de l’importance de la transformation numérique et à la capacité de suivre le rythme croissant de l’innovation.

Les autres tendances à souligner sont les problèmes de main-d’œuvre et l’incertitude liée à la chaîne d’approvisionnement, ainsi que l’état de préparation des organisations à la prochaine interruption majeure des activités — qu’il s’agisse d’un autre événement marquant d’envergure mondiale ou d’une crise plus locale.

Prendre les devants par rapport à l’accélération numérique et aux perturbations

La technologie est devenue un couteau à deux tranchants pour les organisations qui souhaitent réduire leurs coûts, simplifier leur exploitation et acquérir un avantage concurrentiel. Même si beaucoup d’organisations gardent l’œil sur la suite des choses, il y a également un danger à miser outre mesure sur l’innovation, surtout si l’on n’a pas les assises nécessaires pour la soutenir.

Tirer profit de la technologie pour réaliser votre stratégie organisationnelle et commerciale

L’intelligence artificielle, l’apprentissage automatique et l’analytique prédictive offrent des capacités de plus en plus pratiques et abordables aux entreprises de tous les secteurs. Cela crée de nouvelles possibilités pour les petites et moyennes entreprises, mais présente également de nouveaux risques.

Ce qu’en disent les experts

Les nouveaux outils sont associés à la promesse de coûts réduits et d’une plus grande efficacité. Ils peuvent également contribuer à multiplier la capacité d’innovation. Les organisations qui tardent à tirer profit du potentiel des technologies émergentes auront de la difficulté à suivre la cadence imposée par leurs concurrents plus prompts à faire le saut.

L’adoption rapide des nouvelles technologies comporte de nombreux avantages, allant de l’attraction et la rétention d’employés à une vision plus claire des tendances émergentes et des occasions d’affaires. Les entreprises doivent bien comprendre la relation entre leurs stratégies numériques, organisationnelles ou commerciales, ainsi que leurs interdépendances.

Questions que l’équipe d’audit interne devrait poser

  • Quelles technologies numériques auront la plus grande incidence sur votre secteur d’activité et comment l’organisation peut-elle les exploiter pour en tirer un avantage concurrentiel?
  • Quels sont les obstacles à l’adoption de nouvelles technologies au sein de l’organisation et comment pouvez-vous les surmonter?
  • L’organisation dispose-t-elle du capital humain et de l’expertise requis pour adopter les technologies émergentes et les déployer efficacement?
  • Pour quelles mesures stratégiques les technologies émergentes seraient-elles les plus bénéfiques, et comment l’organisation peut-elle en tirer parti afin d’accroître sa part de marché?
  • Quelle est la valeur inhérente à l’adoption de ces technologies et comment pouvez-vous en mesurer les avantages prévus et vous assurer de les concrétiser?

Contrer les attaques : risques liés à la cybersécurité et à la protection des renseignements personnels

Les risques liés à la cybersécurité et à la protection des renseignements personnels sont des sources constantes de préoccupations pour les organisations de toutes les tailles et de tous les secteurs d’activité. Et c’est cette ubiquité qui les rend si pernicieux. Comme les poissons qui ignorent se trouver dans une vaste mer, comment les dirigeants peuvent-ils demeurer vigilants face aux menaces qui les entourent?

Attention accrue aux menaces internes

Les organisations croient souvent à tort que les risques liés à la cybersécurité proviennent de l’extérieur, ce qui peut les amener à ignorer les menaces bien réelles à l’intérieur même de leur périmètre de défense. En effet, les menaces internes peuvent faire de bien plus grands dommages avec une fraction de l’effort.

Ce qu’en disent les experts

Les risques internes comprennent des comportements intentionnels ou non, comme une personne qui se fait prendre par une tentative d’hameçonnage; un système de cyberdéfense inadéquat dans une infrastructure infonuagique externe, un logiciel ou un appareil relié au réseau; ou encore des actes malveillants posés par un employé ou un fournisseur de services externe.

Les organisations doivent surveiller étroitement les employés, fournisseurs de services, appareils ou systèmes ayant accès à des infrastructures de TI et à des informations clés. Pratiquement toutes les organisations font davantage appel à des tierces parties depuis cinq ans. Cela augmente de beaucoup le nombre de personnes ayant accès aux systèmes, et incidemment, les risques d’infraction à la sécurité.

Questions que l’équipe d’audit interne devrait poser

  • Quelles assurances les fournisseurs externes ont-ils fournies à propos de leurs politiques et de leurs pratiques de cybersécurité?
  • Quelles mesures l’organisation a-t-elle prises afin de minimiser les risques posés par des tiers (p. ex., évaluation des risques, vérification des antécédents, accords avec les fournisseurs comportant des modalités d’atténuation des risques, segmentation des réseaux, etc.)?
  • Qui a accès aux systèmes et aux données critiques et à quelle fréquence l’organisation revoit-elle les privilèges d’accès?
  • L’organisation procède-t-elle à des vérifications des antécédents des personnes et des tierces parties avant de leur donner accès à des systèmes critiques?
  • L’organisation mène-t-elle un audit indépendant de ses nouveaux logiciels et systèmes afin de cerner des faiblesses du côté de la cybersécurité et de la sécurité physique? Quelle est la procédure pour accorder et retirer des droits d’accès à des employés et à des fournisseurs externes?
  • Quelle est la formation offerte sur les cyberrisques et la procédure de signalement des comportements suspects?

Évolution des cybercrimes et gestion des risques d’autoperturbation

Les cybercriminels cherchent constamment à complexifier leurs stratégies et à exploiter de nouvelles failles. Ce risque est amplifié par le nombre de changements numériques, structurels et opérationnels entrepris par la plupart des organisations ces dernières années — et il devrait augmenter encore plus alors qu’un nombre encore plus grand d’organisations composent avec la grande démission et l’accélération des départs à la retraite.

Les conseils d’administration et les équipes de direction doivent reconnaître qu’ils seront toujours sur la défensive, surtout que les cybercriminels trouvent sans cesse de nouveaux moyens pour parvenir à leurs fins au moyen de rançongiciels ou d’autres manœuvres de leur cru. Mais il existe différents moyens pour éviter de prendre trop de retard.

Ce qu’en disent les experts

La complaisance est le pire état d’esprit à adopter par les organisations quand il est question de cybersécurité. La résilience n’est pas quelque chose d’immuable. De nouveaux types d’attaques apparaissent jour après jour de façon parfois imprévue, et très souvent avec un taux de réussite surprenant. Il peut même arriver qu’une personne de l’interne en soit la source.

De nouvelles infrastructures de TI, le travail à la maison plutôt que dans les bureaux, et le roulement élevé de personnel peuvent avoir des répercussions importantes sur l’état de préparation de l‘organisation et accroître le risque de succès d’une cyberattaque. Et il est probable que des informations détaillées sur les points faibles de l’organisation et les données d’accès à ses systèmes circulent déjà sur le Web clandestin.

La formation, l’évaluation des menaces et les tests d’intrusion doivent se poursuivre sur une base continue. Ils doivent tenir compte des plus récentes données sur l’évolution de l’organisation et des cybermenaces, et sur la façon dont elles pourraient infecter le réseau et nuire à l’organisation en général.

De nouveaux services évolués, comme la surveillance du Web clandestin, peuvent révéler les informations que s’échangent les pirates informatiques à propos d’une entreprise et des points faibles de celle-ci.

Questions que l’équipe d’audit interne devrait poser

  • Le conseil d’administration se soucie-t-il de la cyberrésilience et discute-t-on régulièrement de la sécurité lorsqu’il se réunit?
  • Y a-t-il des politiques établies pour la formation continue des employés sur la cybersécurité et met-on régulièrement à jour les modules afin d‘aborder les nouvelles stratégies des cybercriminels?
  • L’organisation a-t-elle une politique établie sur le signalement des activités suspectes (p. ex., tentatives d‘hameçonnage par courriel) ou des cyberincidents (p. ex., après avoir cliqué sur un lien suspect)?
  • L’organisation a-t-elle un plan d’intervention à la suite d’un incident? À quelle fréquence l’organisation fait-elle des exercices pour vérifier l’efficacité de ce plan? À quelle fréquence met-on ce plan à jour?
  • L’organisation a-t-elle établi un programme de cybersécurité afin d‘atténuer les menaces actuelles et émergentes?
  • Dans quelle mesure les nouvelles technologies, les nouvelles pratiques et les nouveaux modèles d’affaires ont-ils modifié l’exposition de l’organisation aux cyberrisques?
  • Avez-vous déjà utilisé le service de surveillance du Web clandestin pour connaître les données que les pirates informatiques s’échangent à propos de votre organisation?

Trouver le juste équilibre à l’égard des facteurs environnementaux, sociaux et de gouvernance (ESG)

Adieu écoblanchiment (faire paraître les choses plus belles qu’en réalité) et pensée écomagique (avoir espoir que les choses s’amélioreront d’elles-mêmes)! L’année 2023 marquera le début d’une nouvelle ère de transparence, de politique et de comptabilisation du développement durable. Les nouvelles normes et les nouvelles attentes présenteront des occasions pour certaines organisations, et des défis importants pour beaucoup.

Établir un plan d’action stratégique en dressant le portrait de la situation actuelle de votre organisation et de sa situation future optimale

Les attentes sans cesse croissantes des parties prenantes en lien avec les facteurs ESG accentuent la pression sur les organisations. Bon nombre d’entre elles auront de la difficulté à obtenir le financement dont elles ont besoin et à attirer des clients dans les prochaines années, si elles ne parviennent pas à énoncer clairement leur situation actuelle, leur vision pour l’avenir et la façon de la réaliser.

Ce qu’en disent les experts

Le discours à propos des facteurs ESG a considérablement évolué au cours des deux dernières années, et certaines organisations en font une plus grande priorité que d’autres. Cependant, la cadence du changement continuera de s’accélérer, à l’avantage de celles qui comprennent les mesures à prendre pour quantifier les facteurs ESG ayant la plus grande incidence sur leurs activités, et qui savent comment s’améliorer par rapport à eux.

Les organisations devraient à tout le moins mener une analyse environnementale et utiliser les informations qui en découlent afin de miser sur les initiatives axées sur l’atteinte des objectifs des investisseurs, des consommateurs, des employés et des dirigeants d’entreprises.

Les grands émetteurs constatent à quel point il faudra des efforts, des investissements et du temps pour atteindre la carboneutralité. Mais le chemin sera parsemé de découvertes qui créeront à la fois des occasions et des risques. Il faudra probablement compter des dizaines d’années pour mettre en œuvre des changements viables sur le plan de l’environnement afin de remplacer des habitudes et façons de faire dignes d’une autre époque.

Questions que l’équipe d’audit interne devrait poser

  • Comment les facteurs ESG s’inscrivent-ils dans les priorités stratégiques de l’organisation?
  • Quelles mesures l’organisation a-t-elle prises afin de comprendre et d’évaluer ses priorités actuelles en lien avec les facteurs ESG et les paramètres correspondants qui sont importants pour ses activités?
  • Qui sont les principales parties prenantes de l’organisation relativement aux facteurs ESG et quelles sont leurs attentes quant à la présentation d’information et au plan stratégique de l’organisation afin d’accélérer l’adoption de mesures à cet égard?
  • À quels risques l’organisation s’expose-t-elle en n’accordant pas la priorité à la conformité aux facteurs ESG et aux normes de présentation de l’information sur la durabilité?
  • Quels services de certification propres aux facteurs ESG seront requis pour répondre aux besoins des parties prenantes?

Vous souhaitez revoir le degré de résilience de votre organisation?

Le retour au bureau ne rime pas nécessairement avec un retour à la normale. L’équipe de Résilience organisationnelle de MNP vous offre une vaste gamme de services pour vous aider à évaluer votre planification et votre état de préparation en cas d’urgence. Voyez notre gamme de services et comment nous pouvons vous offrir l’agilité et la confiance dont vous avez besoin dans le contexte actuel d’incertitude.

PRÉCÉDENT : Tenue de livres infonuagique : qui gère réellement vos finances?

SUIVANT : Vendre votre entreprise en période d’incertitude économique