Assurer une gestion efficace des risques liés à la COVID-19

27 mars 2020

Nous vivons actuellement une crise mondiale sans précédent. Les entreprises sont exposées à des risques plus élevés que jamais auparavant et doivent prendre des mesures sans délai.

Nous traversons une période de changements rapides. Des mesures ponctuelles draconiennes sont prises pour relever les défis liés aux opérations, à la sécurité, aux chaînes d'approvisionnement, à la technologie, à la sécurité des données, aux communications et à la gestion des flux de trésorerie. Les mesures stratégiques ponctuelles présentent des risques importants, et il est essentiel d'évaluer les risques associés à chacune d'entre elles.

Les quatre mots clés à garder à l'esprit pour gérer le risque pendant cette crise sont « atténuer », « transférer », « éviter » et « accepter ». Lorsque vous évaluez les plans d'action, examinez les risques et déterminez s'il y a des protocoles en place pour les atténuer à l'aide de contrôles; transférez les risques par l'entremise d'une assurance, de fournisseurs tiers ou de financement gouvernemental; évitez les risques en suspendant temporairement vos activités, en appliquant le principe de distanciation sociale ou en modifiant les heures de travail; acceptez les risques lorsqu'il n'y a pas d'autres options.

Nous faisons ci-après un survol de questions que chaque organisation devrait prendre en compte et nous vous recommandons des mesures pratiques que votre organisation peut prendre pour gérer les risques sur lesquels elle exerce un contrôle.

  1. Votre organisation a-t-elle procédé à une évaluation approfondie des risques pour toutes les fonctions opérationnelles essentielles afin d'évaluer le degré probable d'interruption et de formuler des mesures pour atténuer les répercussions possibles, y compris les risques opérationnels, financiers, d'atteinte à la réputation et de conformité?
    • Examinez quotidiennement l'incidence des risques pour évaluer vos plans opérationnels et vos plans d'urgence en cas de quarantaine de 30 jours, de 60 jours et même de 90 jours. La planification d'urgence est une stratégie essentielle d'atténuation des risques.
    • Atténuez les risques en effectuant des analyses de différents scénarios et résultats possibles en employant des méthodes et des stratégies nouvelles.
    • Communiquez avec votre banque, obtenez une nouvelle marge de crédit, évaluez le nouveau financement gouvernemental offert et informez-vous auprès d'Exportation et développement Canada (EDC) ou de la Banque de développement du Canada (BDC).
  1. Compte tenu de l'augmentation des connexions à distance, votre entreprise a-t-elle examiné les protocoles de sécurité de tous les systèmes et de toutes ses données afin d'assurer la transmission et le stockage sécuritaire et privé de ses renseignements et de ceux de ses clients?
    • Parlez à vos fournisseurs de services infonuagiques ou de réseau et à vos autres fournisseurs de services informatiques pour vous assurer de couvrir tous les risques liés à la sécurité, à la disponibilité, à la confidentialité, à l'intégrité des données et à la protection des renseignements personnels de votre système; assurez-vous que ces risques sont gérés par ces fournisseurs.
    • Établissez la circulation et la transmission des données, déterminez les secteurs à risque et mettez en œuvre des contrôles d'atténuation pour protéger la sécurité et la confidentialité des données de l'organisation et des clients.
    • Évaluez les considérations relatives au contrôle par des tiers : celui-ci pourrait être plus important compte tenu du nouvel environnement de travail.
    • Ne permettez pas aux employés d'utiliser des ordinateurs personnels, des courriels personnels et des téléphones mobiles non cryptés à des fins professionnelles.
    • Examinez les protocoles et les paramètres de sécurité pour vous assurer que les connexions à distance et l'accès individuel aux systèmes et aux données sont sécurisés et fonctionnent efficacement.
    • Passez en revue la capacité de votre infrastructure de TI et de vos paramètres de sécurité à prendre en charge le télétravail des employés et la transmission sécurisée des données et de l'information, tant au sein de l'entreprise que sur le plan personnel.
    • Surveillez l'utilisation d'ordinateurs non autorisés et leur accès au réseau.
    • Tenez à jour l'inventaire et l'emplacement de tous les biens informatiques.
  1. Avez-vous fait un « cyberdiagnostic » pour cerner les faiblesses potentielles de l'infrastructure? Avez-vous un plan d'intervention en cas d'intrusion qui vous permet de détecter les cyberattaques, de les contenir, de les éliminer et de récupérer rapidement après celles-ci?
    • Effectuez une évaluation des cybermenaces afin de réduire le risque d'intrusion pendant cette période.
    • Assurez-vous que le degré de risque est considéré comme étant maximal par votre équipe de cybersécurité et de TI, qui doit d'ailleurs être pleinement mobilisée pendant cette période afin d'atténuer le risque d'intrusion ou d'attaques informatiques.
    • Sensibilisez vos employés aux risques informatiques : assurez-vous qu'ils ne perdent pas de vue la cybersécurité et qu'ils évitent les risques inutiles.
  1. Votre organisation a-t-elle examiné ses capacités de gestion des risques à l'échelle de l'organisation pour déterminer si elle dispose des ressources adéquates (internes ou externes) pour évaluer et atténuer les risques? Si votre organisation n'a pas de capacités internes de gestion des risques ou qu'elles sont insuffisantes, avez-vous envisagé de faire appel à une deuxième ou à une troisième ligne de défense (c'est-à-dire des professionnels de la gestion des risques et de l'audit interne) pour vous aider?
    • Le moment est venu d'atténuer les risques posés par les processus ponctuels et de demander à des professionnels de la gestion des risques (internes et externes) d'examiner les stratégies, les plans, les processus et les activités pour vous assurer que les risques associés sont bien gérés.
  1. Votre organisation a-t-elle évalué les répercussions de la COVID-19 sur sa structure de contrôle, ses processus et ses procédures, tout en tenant compte des domaines de fraude émergents?
    • Préparez un plan pour gérer le recours aux personnes clés. Déterminez quels membres du personnel sont essentiels, repérez les personnes polyvalentes et assurez-vous d'avoir mis des plans en place pour mobiliser le personnel au cas où une personne clé ne serait pas disponible pour travailler.
    • Mettez au point un plan pour gérer la séparation des tâches à distance. Cette mesure peut être particulièrement difficile pour certaines organisations. Vous devrez élaborer des activités de surveillance nouvelles et améliorées pour les comptes importants, les paiements et les systèmes. Les cadres supérieurs doivent examiner les transactions et les activités de plus près qu'en temps normal.
    • La communication est essentielle. Remplacez la communication électronique par la communication verbale pour vous assurer que le personnel comprend clairement ce que vous attendez d'eux pendant cette période critique.

BDO peut vous aider

La situation est en constante évolution et de nombreuses entreprises ont été prises au dépourvu. Notre équipe de professionnels a aidé un grand nombre d'organisations à s'adapter et à se réorienter dans un contexte économique difficile. Communiquez avec notre équipe dès aujourd'hui pour en savoir plus sur la façon dont nous pouvons aider votre entreprise :

Ziad Akkaoui, Associé, Services-conseils en risque

Joe Filippelli, Directeur principal, Services-conseils en risque