Joel Behrend de l’IIA Allemagne (DIIR) participe activement à l’étude Risk in Focus, dont l’enquête 2027 est actuellement ouverte. Il a accepté de faire un bilan pour le blog de l’IFACI sur l’impact de cette grande enquête internationale et la nouvelle méthodologie adoptée concernant ses résultats.
Joel, pouvez-vous vous présenter en quelques mots pour les membres qui ne vous connaissent pas encore ?
Joel Behrend : J’ai rejoint l’IIA Allemagne en 2023, où je travaille au sein du département Recherche et Politique. Je couvre plusieurs grands domaines, notamment les certifications, mais aussi les études scientifiques ou orientées vers la pratique que nous aidons à conduire, comme Risk in Focus, par exemple. Je suis également responsable de l’organisation et de l’animation des séminaires et sessions de formation de l’Institut.
Auparavant, j’ai occupé un poste de chercheur postdoctoral à la Chaire d’audit interne de l’Université de Duisburg-Essen en Allemagne. C’est là que j’ai rédigé ma thèse, en menant diverses études sur l’impact de la recherche dans le domaine de l’audit interne, mais aussi sur les raisons qui poussent les auditeurs à recourir aux audits conjoints et les bénéfices qu’ils en retirent. Mon parcours est donc très profondément ancré dans l’audit interne.
Avant d’évoquer la nouvelle enquête « Risk in Focus », pourriez-vous revenir sur les principaux risques mis en lumière dans la dernière édition et sur ce qu’ils signifient pour les organisations aujourd’hui ?
J.B. : Ce qui ressortait en premier lieu, c’était la cybersécurité et la sécurité des données. Ce risque figure dans le top cinq depuis de nombreuses années. Ce que nous avons observé dans le dernier rapport, c’est que les entreprises sont véritablement en train de rattraper leur retard en matière de couverture de la cybersécurité. Ce risque demeure le plus préoccupant, mais les organisations renforcent considérablement leurs ressources dans ce domaine, ce que soulignent d’autres rapports sur le sujet, comme celui de l’ISACA « State of Cybersecurity 2025 ». L’effort consacré par l’audit interne à ce sujet marque, lui, un très léger recul, bien que ce risque reste toujours considéré comme le plus critique.
Le capital humain, la diversité, la gestion des talents et la fidélisation arrivaient en deuxième position ?
J.B. : Oui, et ce sujet est particulièrement révélateur : s’il reste primordial pour les organisations, l’audit interne, lui, n’intervient pas beaucoup dans ce domaine. Les raisons peuvent être diverses : certains auditeurs internes déclarent se concentrer avant tout sur les processus de gouvernance liés au capital humain, mais il peut aussi s’agir d’un manque de légitimité perçue, « ce n’est pas notre rôle », ou encore d’un déficit de ressources, de compétences ou de responsabilité assumée. Les ressources humaines constituent peut-être une fonction de deuxième ligne naturellement chargée de ce sujet.
« Une fracture entre les organisations sur le sujet de la durabilité »
L’étude pointait aussi deux sujets vraiment dans l’air du temps…
J.B. : L’un est en nette progression : il s’agit bien sûr de la transformation digitale, des nouvelles technologies et de l’intelligence artificielle. C’est un thème central du dernier rapport Risk in Focus. Mais les discussions lors des tables rondes ont fait apparaître des trajectoires très différentes selon les organisations, qui nous permettent de distinguer trois groupes. Dans le premier, certains responsables de l’audit interne indiquent clairement qu’il manque encore une gouvernance structurée autour de ces processus, en particulier pour ce qui concerne l’IA. Les organisations peinent à définir une stratégie de gouvernance adaptée, dans un contexte de concurrence féroce autour des nouvelles technologies. En même temps, il n’est pas évident de suivre un tel rythme de développement. Ainsi, de nombreux responsables audit notent que la priorité est généralement plutôt donnée à l’innovation.
Dans un second groupe, certains estiment que l’audit interne s’adapte et contribue à mettre en place des structures de gouvernance : vérification des responsabilités, existence d’une stratégie IA, présence de lignes directrices dans l’organisation… Un processus qui suit le même rythme que le développement de l’IA.
Enfin, un troisième groupe se caractérise par une gouvernance très restrictive : soit l’implémentation de processus IA est interdite, soit elle n’est autorisée qu’une fois la gouvernance suffisamment mature. C’est, en quelque sorte, la gouvernance d’abord, l’IA ensuite. La prise en compte croissante de ce risque est indéniable pour les nouvelles technologies, l’IA et la transformation digitale.
Et le second sujet ?
J.B. : À l’inverse, une tendance très nette à la baisse s’observe, du moins à court terme, pour le changement climatique et la durabilité. Cela tient en grande partie aux évolutions réglementaires, tant au niveau européen qu’aux États-Unis. Ce que nous constatons, c’est que de nombreux directeurs de l’audit interne expriment une réelle frustration dans les discussions : leurs organisations ont consacré des années à ces sujets, mais la réglementation européenne semble désormais contredire cette dynamique, cherchant à déréglementer et à freiner les exigences liées au climat et à la durabilité.
Il se dessine donc une fracture entre les organisations qui restent mobilisées sur la durabilité, parce que leurs modèles économiques en dépendent ou parce que leurs marchés sont fortement exposés aux effets du changement climatique, et celles qui ralentissent nettement et réorientent leurs ressources d’audit vers la cybersécurité, les technologies, les domaines d’audit traditionnels et le reporting financier. Pour ces dernières, c’est une posture attentiste, voire un désengagement total du sujet.
« L’incertitude géopolitique était déjà une tendance très marquée »
Comment envisagez-vous les grands thèmes abordés par la prochaine édition ? On peut imaginer que l’incertitude géopolitique qui faisait partie du top 5 sur l’édition précédente en fera toujours partie…
J.B. : Nous avions effectivement observé dans le dernier rapport que l’incertitude géopolitique était une tendance très marquée. Elle sera à nouveau au cœur de l’étude. Les conflits mondiaux et les mutations géopolitiques ont des effets fondamentaux sur les organisations et sur le paysage des risques. Mais ce qui est particulièrement intéressant, c’est de comprendre comment l’audit interne peut concrètement apporter une valeur ajoutée dans ce contexte. Que peut réellement faire un auditeur interne face à ces enjeux ?
Si l’on pense à la guerre en Ukraine, ou aux conflits au Moyen-Orient et à leurs effets sur les chaînes d’approvisionnement mondiales, il est difficile de formuler les bonnes questions à poser à la communauté de l’audit interne. Celle-ci n’est en général pas directement impliquée dans ces risques. La vraie question est donc : quelle est la contribution possible de l’audit interne ?
Dans le dernier rapport Risk in Focus, nous avions mis en évidence un écart très significatif entre la perception de la pertinence du risque géopolitique pour les organisations et les ressources que l’audit interne y consacre effectivement. Très peu de ressources investies, mais un risque jugé majeur. La raison ? De nombreux directeurs de l’audit interne ont expliqué ne pas être directement impliqués dans le renforcement de la résilience face à l’incertitude géopolitique. Ce n’est pas, selon eux, le rôle premier de l’audit interne. Leur contribution se situe plutôt au niveau des processus de gouvernance : s’assurer qu’il existe des lignes directrices et des procédures pour faire face à ces évolutions géopolitiques, que les organisations disposent de processus robustes. Par exemple, pour la couverture de leurs chaînes d’approvisionnement. Mais les auditeurs internes ne se déploient pas sur le terrain des zones de conflit. Leur rôle est davantage celui d’un renforcement de la résilience au niveau de la gouvernance.
Et pour les autres catégories de risques ? Percevez-vous déjà ce qui se profile pour l’année en cours ?
J.B. : C’est difficile à dire. Ce que nous observons encore, c’est un ralentissement de l’économie. Nous avons une catégorie de risque dédiée à cela : « Évolutions de marché, concurrence, et comportements des consommateurs en mutation ». Et effectivement, les marchés sont profondément perturbés, comme on peut le voir avec leur forte volatilité, en réaction notamment aux politiques tarifaires américaines, aux conflits mondiaux ou aux tensions sur les chaînes d’approvisionnement. Le comportement des consommateurs devient plus prudent, ce qui affecte les organisations. Ce sera très probablement un sujet de premier plan cette année.
D’autres catégories à suivre particulièrement ?
J.B. : Une autre catégorie s’annonce particulièrement intéressante : la résilience opérationnelle, la gestion de crise, la continuité des activités et la réponse aux catastrophes. Je pense que ce sujet va prendre de l’importance en Europe. Trois raisons expliquent cette prévision, la première étant la multiplication des catastrophes, perturbations et attaques extérieures. On pense aux survols de drones au-dessus d’infrastructures sensibles dans divers pays européens, mais aussi aux catastrophes climatiques. Deuxièmement, la publication d’une exigence thématique pour les auditeurs internes portant sur la résilience organisationnelle. Troisièmement, les prochaines évolutions réglementaires européennes qui vont renforcer les obligations des organisations dans les secteurs critiques.
« Cette année, les résultats seront publiés en deux temps. »
J’ajouterai une autre catégorie de risques à surveiller : la liquidité financière et l’insolvabilité. En Allemagne, le nombre de petites organisations en faillite augmente de façon quasi exponentielle. Une tendance observée partout en Europe.
Il faut également mentionner un sujet entièrement nouveau pour Risk in Focus cette année : la réputation, la communication et les relations avec les parties prenantes. Il sera particulièrement intéressant de voir comment les directeurs de l’audit interne se positionnent sur ce thème. S’inscrira-t-il dans le top cinq ? Sera-t-il perçu comme moins prioritaire ? Observera-t-on des différences selon les secteurs ? Ce qui est certain, c’est que la réputation prend une importance croissante, notamment avec la montée en puissance des réseaux sociaux. Les organisations doivent soigner leur image publique, non seulement sur des sujets emblématiques comme la durabilité, mais aussi face aux cyberattaques et à la propagation malveillante de contenus deepfake dans un paysage médiatique de plus en plus fragmenté. La vraie question est : l’audit interne peut-il apporter de la valeur, en auditant les canaux de communication ou les processus de gestion des réseaux sociaux, ou s’agit-il d’un risque important mais peu couvert par la fonction ?
Enfin, la chaîne d’approvisionnement, l’externalisation et les risques liés aux tiers restent des sujets importants. La question est là aussi de savoir s’ils atteindront le top cinq. Avec les accords commerciaux qui se dessinent, comme le partenariat UE-Mercosur, et les tensions tarifaires, les organisations évaluent si ces évolutions perturbent leurs chaînes d’approvisionnement ou si au contraire elles les diversifient utilement.
Quel est le calendrier de la nouvelle étude ? Quand seront publiés les résultats ?
J.B. : Cette année, les résultats seront publiés en deux temps ; cela constitue un changement dans la méthodologie de Risk in Focus. L’année dernière, nous avions une date unique en septembre pour la publication du rapport. Cette année, nous aurons deux étapes. La première, en mai, sera un rapport court, une sorte de synthèse des tendances basées sur les résultats de notre enquête. Ce ne sera pas le rapport complet, mais plutôt un premier éclairage sur les grandes tendances. Le rapport final sera lui publié à la mi-septembre, avec les résultats de l’enquête mais aussi les conclusions des tables rondes et des entretiens. Ce sera le rapport complet tel que nous le connaissons, publié sur le site des différents instituts membres.
« Les risques externes dominent désormais le paysage des risques, alors que cela n’était pas le cas auparavant. »
Comment analysez-vous l’évolution du paysage des risques depuis le lancement de l’étude il y a maintenant dix ans ?
J.B. : Je dirais qu’il s’est nettement éloigné des sujets traditionnels qui occupaient historiquement les auditeurs internes. Traditionnellement, l’audit interne se concentrait sur les contrôles internes relatifs à l’information financière, la qualité des contrôles internes, et les sujets liés à la fraude. Des risques majoritairement internes à l’organisation. C’est ce que nous observions dans les premières éditions de Risk in Focus. Bien sûr, des éléments externes existaient déjà, comme le RGPD, par exemple, qui a constitué une évolution réglementaire majeure. Mais l’essentiel restait centré sur les domaines traditionnels de l’assurance.
Cette orientation a évolué au fil des années. À chaque fois qu’un événement externe majeur survenait, les risques externes prenaient de l’importance dans les préoccupations des organisations, et donc dans les priorités de l’audit interne. La pandémie de COVID-19 en est l’illustration la plus frappante : un événement externe d’une ampleur sans précédent, qui a, dans certains cas, monopolisé les priorités de l’audit interne. Je dirais donc que c’est l’un des changements les plus significatifs : les risques externes dominent désormais le paysage des risques, alors que cela n’était pas le cas auparavant.
« Aujourd’hui, l’étude bénéficie d’une assise méthodologique bien plus solide »
Voyez-vous d’autres évolutions ?
J.B. : Il faut aussi mentionner la maturité méthodologique de Risk in Focus. Il y a dix ans, l’étude reposait sur quelques entretiens, sans tables rondes ni données issues de l’enquête, avec une base qualitative limitée, impliquant seulement trois ou quatre instituts européens et des données peu représentatives à l’échelle du continent. Aujourd’hui, l’étude bénéficie d’une assise méthodologique bien plus solide et d’une portée beaucoup plus large avec sept instituts coordinateurs et 15 pays de l’Union Européenne participants.
Comment les auditeurs internes peuvent-ils utiliser l’étude ?
J.B. : C’est une question que nous débattons chaque année au sein de nos communautés nationales, et donc notamment en Allemagne. Risk in Focus doit être utilisée comme une source d’inspiration et de réflexion. C’est une étude réalisée par des auditeurs internes, pour des auditeurs internes, et les enseignements qu’elle génère sont là pour enrichir le plan d’audit.
La démarche recommandée est la suivante : analyser le paysage des risques de sa propre organisation, le mettre en regard avec les résultats de Risk in Focus, identifier les nouvelles thématiques potentielles à couvrir et en discuter avec ses parties prenantes. Est-ce pertinent pour nous ? Si ce n’est pas le cas, inutile de s’en emparer simplement parce que Risk in Focus en parle.
Prenons un exemple concret. Si la cybersécurité figure depuis plusieurs années comme un risque majeur dans Risk in Focus, et que vous consacrez déjà suffisamment de ressources à ce sujet, vous n’avez probablement pas besoin de réorienter votre approche. En revanche, si Risk in Focus souligne l’importance du capital humain et que votre organisation connaît des difficultés de recrutement ou de rétention de talents que l’audit interne ne couvre pas encore, vous disposez là d’un point d’appui solide pour engager la discussion avec votre conseil d’administration. Pouvons-nous réaliser des audits dans ce domaine ? Devons-nous diriger des ressources vers nos processus RH ? Risk in Focus peut servir de point de départ à cette conversation.
L’étude peut aussi servir à la mise en perspective inverse : si un thème est identifié comme important dans Risk in Focus mais ne l’est pas dans votre organisation, compte tenu de votre secteur ou d’une situation RH particulièrement saine, c’est tout aussi utile à documenter. La valeur est dans la discussion et la réflexion, pas dans l’application mécanique des résultats.
« Une vision à la fois globale et cohérente des risques »
Quel est selon vous le rôle que les auditeurs devraient jouer dans la gestion des risques mis en avant par l’étude ?
J.B. : C’est un débat très intéressant. Avant tout, il est évident que les auditeurs internes sont en première ligne lorsqu’il s’agit de couvrir les risques et d’en produire des analyses. C’est leur cœur de métier. Aucune autre fonction dans l’organisation n’a cette vue à 360 degrés sur l’ensemble des processus. Les auditeurs internes disposent d’informations que personne d’autre dans l’organisation ne possède, et ils doivent en tirer parti.
Un autre message fort de Risk in Focus est l’encouragement à adopter une approche intégrée ou coordonnée. Concrètement, cela signifie travailler étroitement avec les autres fonctions de la maîtrise des risques : gestion des risques, informatique, cybersécurité, durabilité le cas échéant… Cette coopération offre une vision globale et cohérente des risques, indispensable aux conseils d’administration face à la multiplicité et à la volatilité des risques actuels.
Enfin, je voudrais adresser un message aux petites fonctions d’audit interne aux ressources limitées. L’essentiel n’est pas de faire autant que les grandes fonctions, mais d’avoir des échanges plus significatifs avec son conseil d’administration et ses parties prenantes sur son rôle et ses priorités. Risk in Focus peut aussi être utile dans ce contexte : même avec des ressources restreintes, l’audit interne peut jouer un rôle important face aux risques émergents, à condition d’engager ce dialogue stratégique avec sa direction. Ce n’est pas une question de moyens, mais de valeur ajoutée.
Quelles sont les principales questions que vous recevez des auditeurs lorsque vous présentez les résultats de Risk in Focus ?
J.B. : La question qui revient souvent est : « Pourquoi refaire l’étude chaque année, alors que, parfois, d’une année sur l’autre, les classements ne bougent pratiquement pas ? » Je voudrais souligner un point qui me semble fondamental. Risk in Focus est une étude indépendante qui n’a pas d’équivalent dans le monde sous cette forme. L’étude est produite par la communauté de la recherche et de l’audit interne pour les auditeurs internes, en Europe et de plus en plus à l’international. En Europe, son processus est coordonné par les instituts européens d’audit interne et demeure indépendant de tout sponsor ou intérêt commercial, assurant des analyses et informations directement issues de la profession.
Deuxièmement, la valeur intrinsèque du rapport repose sur une méthodologie solide et sur un regard unique, celui des directeurs de l’audit interne. D’autres rapports sur les risques existent, mais ils ne tirent généralement pas parti des connaissances d’un large éventail de professionnels de l’audit et du risque, couvrant divers secteurs et types de risques. Risk in Focus, lui, est porté chaque année par une large enquête couvrant d’abord l’Europe, puis désormais le paysage mondial des risques. C’est la voix de l’audit interne, avec son regard spécifique, unique, qui s’exprime, et c’est une contribution de grande valeur.
« L’étude construit des tendances, met en évidence des évolutions »
Ce rapport est d’ailleurs lu bien au-delà de la communauté de l’audit interne. Son adoption à l’échelle mondiale par l’IIA Global en est une illustration éloquente. La méthodologie, enfin, est particulièrement rigoureuse : elle combine des résultats quantitatifs issus de l’enquête et des approfondissements qualitatifs obtenus lors des tables rondes et entretiens. Des experts en risques contribuent également à l’étude. Cette double perspective est précieuse.
J’ajouterai que la continuité de Risk in Focus est en elle-même une valeur : l’étude ne produit pas des éclairages isolés d’une année à l’autre, elle construit des tendances, met en évidence des évolutions. Certes, il est des années où les changements sont peu nombreux, mais dans ce cas, c’est souvent dans les détails que se trouvent les enseignements les plus riches. Prenons l’exemple de la transformation digitale et de l’IA : les classements ne bougent pas toujours de façon spectaculaire, mais les discussions en tables rondes sont, elles, extrêmement denses et riches en approches nouvelles sur la gouvernance, l’innovation et la manière dont l’audit interne peut accompagner ces transformations.
Alors oui, Risk in Focus est peut-être moins spectaculaire que certains rapports aux messages polarisants. Mais c’est précisément cette rigueur et cette continuité qui en font la force, et qui expliquent qu’elle reste, année après année, un repère incontournable pour la communauté de l’audit interne.
Pour plus d’informations sur Risk in Focus et participer à l’enquête, rendez-vous sur https://www.ifaci.com/risk-in-focus/
