La reconversion, parent pauvre des politiques d…
Considéré auparavant comme étant le monopole d’une fonction spécialisée et quelque peu isolée, le contrôle interne s’est progressivement diffusé dans toutes les branches des organisations et se présente désormais comme un des facteurs clés de réussite de la stratégie opérationnelle.
Dans cette optique, le COSO (Committee of Sponsoring Organizations of the Treadway Commission) lancera cette année un programme de formation en ligne pour la préparation de sa certification « COSO Internal Control Certificate ». Ce programme proposé en collaboration avec The Institute of Internal Auditors (IIA) and The American Institute of CPAs (AICPA) s’inscrit dans une démarche de faciliter l’accès aux référentiels de contrôle interne COSO I et II, adoptés suites aux lois SOX. Si les apports du contrôle interne ne font théoriquement aucun doute, force est de constater que dans la pratique son positionnement et ses interventions posent encore de nombreuses difficultés.
Le contrôle interne se définit comme étant le dispositif de maîtrise des risques mis en place par une organisation. Traditionnellement, le contrôle interne couvre en premier lieu le périmètre de la direction financière et se focalise principalement sur l’impact financier, comptable et règlementaire du risque. Les contrôles et principes clés définis par le contrôle interne sont donc à l’origine pensés et calibrés pour les métiers de la DAF et se voient ainsi particulièrement étoffés et précis pour les processus de la comptabilité (fournisseurs, clients et générale) et pour la trésorerie. A noter également que la majorité des contrôleurs internes ont suivi une formation en comptabilité et finance.
Le contrôle interne ne se limite pas toutefois au périmètre de la DAF. Le risque étant de nature diverse, le contrôle interne s’étend aux autres fonctions d’une organisation, notamment les achats, les ressources humaines, la logistique et les ventes. En parallèle de la DAF, le contrôle interne peut dans certains cas dépendre directement de la Direction générale et entretenir des liens étroits avec le comité d’audit. Evoquées par l’IFACI (Institut français des auditeurs et des contrôleurs internes) comme faisant partie des objectifs du contrôle interne, l’efficacité opérationnelle et le bon fonctionnement des processus restent des problématiques encore secondaires même si elles s’affirment de plus en plus.
L’image parfois un peu « poussiéreuse » du contrôle interne peut progressivement affaiblir sa crédibilité auprès des autres fonctions. Souvent incomprises et donc mal appliquées, les règles édictées par le contrôle interne peuvent être perçues par les collaborateurs comme non pertinentes et chronophages. Le contrôle interne est ainsi accusé de méconnaître les contraintes opérationnelles ou encore la « réalité du terrain ». Le respect des principes de la séparation des tâches ou SoD, dont le contrôle interne se porte garant, fait notamment l’objet de critiques particulièrement virulentes.
Le positionnement du contrôle interne peut s’avérer délicat car il se situe au cœur de nombreuses crispations : le contrôle interne peut - et même doit – si nécessaire remettre en cause des équilibres organisationnels durement acquis et parfois encore précaires. Le contrôle interne - par le regard critique qu’il doit exercer - pose les questions qui fâchent, par exemple dans le cas d’un workflow de validation non pertinent mais pratiqué par confort ou habitude. Le contrôle interne est aussi accusé de systématiquement « suspecter la fraude », certaines de ces interventions peuvent être perçues comme une remise en cause de l’intégrité ou du professionnalisme de chacun. Les missions du contrôle interne peuvent donc être humainement difficiles à assumer et sur le long terme compromettre la qualité de la relation entretenue avec certains collaborateurs. Le contrôle interne peine à surmonter ces difficultés pour convaincre du rôle positif qu’il peut jouer et ainsi se positionner comme un acteur crédible et créateur de valeur ajoutée.
Le contrôle interne peut intervenir auprès des directions fonctionnelles pour les accompagner dans la transformation de leurs processus, notamment en cadrant et en co-rédigeant les nouvelles procédures mais aussi pour les aider à définir des indicateurs clés de performance ou de suivi des risques. Dans le cadre d’une stratégie de montée en gamme, il sera par exemple nécessaire de définir des indicateurs pertinents pour mesurer la qualité du service client et ainsi s’assurer d’atteindre les objectifs fixés. Le contrôle interne s’assurera de l’homogénéité des méthodes de calculs utilisés pour cet indicateur afin de le fiabiliser.
Au niveau d’un groupe, le contrôle interne apparaît comme un organe structurant : il permet d’harmoniser les pratiques opérationnelles et managériales des filiales même si – et surtout si – les cœurs de métier, les marchés et les cultures de ces filiales sont différents voire antagonistes. Sous l’impulsion du contrôle interne, il sera possible de mener efficacement des actions transverses comme par exemple la conduite d’une politique de lutte contre la corruption via une procédure visant à sécuriser le processus des appels d’offres ou via une nouvelle procédure d’acceptation des cadeaux reçus des fournisseurs.
Localement, le contrôle interne doit se positionner comme un point de référence en matière de « bonnes pratiques » et renforcer au jour le jour le dispositif de maîtrise des risques (en se basant notamment sur le diagnostic et les recommandations faits par l’audit interne). Le contrôle interne doit également être force de proposition pour accompagner « sur le terrain » le métier et les aider à mieux appréhender leurs problématiques opérationnelles. A la question : comment fiabiliser le processus de gestion des stocks ? Le contrôle interne peut suggérer la pratique des inventaires tournants afin de limiter les risques de pertes et de ruptures de stock et proposer en parallèle une nouvelle procédure pour la validation des écarts d’inventaire. Le contrôle interne, fort de son approche critique et transverse des processus, peut ainsi contribuer à l’amélioration de la performance en étroite collaboration avec les autres fonctions.
Le contrôle interne a une place légitime au sein des instances de validation et de décision des projets d’organisation. Le contrôle interne est logiquement sollicité dans les projets de transformation de la fonction finance car son centre de gravité est traditionnellement sur les métiers de la DAF. Le contrôle interne doit aussi être impliqué dans les projets de transformation des autres fonctions, en particuliers les achats, les ventes ou les ressources humaines car leurs processus sont à fort potentiel de risque. Pour faciliter ces interventions, les contrôleurs internes gagneraient à développer une certaine culture « conseil », avec notamment des compétences en gestion de projet. Inversement, les consultants, ou plus largement les parties prenantes d’un projet, doivent être capables d’adopter une approche « contrôle interne » afin d’intégrer ces problématiques dès la phase de cadrage et lors de chaque jalon critique d’un projet. Cette orientation « contrôle interne » des profils est d’autant plus indispensable qu’elle permettrait de penser les processus et l’organisation associée en prenant en compte dès la conception les contraintes SoD. Cela permettrait notamment de préparer plus sereinement les premiers audits SI et d’anticiper les blocages liés à l’attribution de droits d’accès incompatibles avant un démarrage. Egalement bénéfique en termes de conduite du changement, ces connaissances permettraient de mieux définir les nouveaux rôles de chaque utilisateur et ainsi de mieux les accompagner sur leur nouveau périmètre.
Le contrôle interne doit également savoir tirer profit des projets de transformation majeurs (structurants et à forte dimension SI) pour renforcer le dispositif de maîtrise des risques. La mise en place d’un nouvel ERP au niveau d’un groupe peut permettre de déployer des outils de reporting (ou BI) utiles pour homogénéiser, étendre ou affiner l’évaluation des risques. Le contrôle interne peut aussi être amené à intervenir après une acquisition importante, en lien étroit avec l’audit interne afin d’intégrer et d’harmoniser les processus de la cible au sein du dispositif de maîtrise des risques de l’acquéreur et éventuellement s’inspirer des bonnes pratiques de la cible en matière de maîtrise des risques.
Copyright © 2017 Sia Partners. Any use of this material without specific permission of Sia Partners is strictly prohibited.