L'environnement de contrôle
L'environnement de contrôle
Corine
YOU
SOVEREIGN MANAGEMENT
About Quality
L'environnement de contrôle
Une autre évolution que je retiens comme centrale, dans les changements de la fonction Qualité :
c’est l’environnement de contrôle.
La gestion des risques vient au cœur des attentions des organisations.
Avec elle, un environnement de contrôle et des attentes accrues, notamment vis-à-vis du contrôle interne, et de l’audit interne.
L'environnement de contrôle doit prendre en considération:
Le système de gouvernance ( quel type de management: hiérarchique, démocratique..)
La sensibilité au contrôle interne (implication des acteurs du contrôle)
L'intégrité* et l'éthique**
Le référentiel du contrôle interne
Le style de management
Les attentes des acteurs (objectifs)
Quelles sont les évolutions du management de la Qualité en 2021 ?
voici les leviers de la TRANSFORMATION de la Qualité
*Intégrité
**Ethique: Culture d'entreprise ( quel positionnement ?)
** nouvelle culture d'entreprise = éthique de l'organisation + éthique des collaborateurs + éthique des parties prenantes
Les dispositifs référentiels sont de plus en plus Agiles :
Le COSO 4, qui est incrémenté du management intégré des risques ERM
L’ISO 31000 pour l’audit interne
Le référentiel de l’AMF pour le contrôle interne et la gestion des risques…
COSO ERM
of the Committee of Sponsoring Organizations of the Treadway Commission
Le COSO est bien le référentiel le plus utilisé en Europe car il apporte une vue globale et il permet d’aborder des domaines opérationnels et des domaines à forte valeur ajoutée.
Il prend en compte les objectifs stratégiques, les objectifs opérationnels, le reporting et la conformité.
Deux notions nouvelles entrent en scène, la première, c’est « l’appétence aux risques », c’est-à-dire, le niveau de risque auquel l’entreprise est prête à faire face.
Et la seconde, la notion de « seuil de tolérance», qui lui est liée, et qui est par définition, la variation acceptable du niveau de risque par rapport au niveau de compétence défini
Ce référentiel va aider à structurer la mise en place des dispositions relevant des lois Sarbane Oxley, SOx, ou celle de la sécurité financière LSF.
En ces termes, il n’y a parfois pas de choix « les lois et les réglementations fixent des normes minimales de la conduite attendue de l'entreprise, et l’organisation est censée incorporer ces normes dans les objectifs fixés pour l'entreprise »
Les flux de donnée du COSO _ ERM 2019
Trois flux de données vont permettre la mise en œuvre d’un dispositif de plus en plus AGILE
avec la prise en compte des évolutions des environnements opérationnels, et des attentes accrues du contrôle interne.
AUDIT INTERNE
Il y a certes aujourd’hui un véritable renforcement des contrôles internes, à la fois, pour optimiser la maîtrise des systèmes et processus et pour garantir une réponse bienveillante aux nouvelles règlementations économiques, financières, de sécurité des personnels, de qualité de vie au travail, RSE…
Ces contrôles sont là aussi pour garantir la réponse à toutes les exigences des parties prenantes sur les produits et services.
L’organisation pourra de moins en moins avoir le choix de passer à travers si elle veut atteindre ses objectifs et prendre aussi des risques avec maîtrise.
Fondamentalement, l’audit interne est défini ainsi :
C’est un processus mis en œuvre par le Conseil d’Administration,
par les dirigeants et par le personnel d’une organisation,
qui est destiné à fournir une assurance raisonnable
pour garantir la réalisation des OBJECTIFS
Par là même, les pilotes de la gouvernance et le personnel impliqué doivent s’asssurer
-
de la réalisation effective et de l’optimisation des opérations,
-
de la fiabilité des informations financières et de gestion,
-
et enfin, de la conformité aux lois et aux règlementations en vigueur. Un réel engagement.
On va voir aujourd’hui une augmentation de la fréquence
Il faut savoir identifier les faiblesses de son environnement de contrôle, quelques soient les objectifs fixés et les périmètres pour éviter l’arrivée de nouveaux risques, humains, financiers, et de notoriété.
Gérer les Risques sur les OBJECTIFS ORGANISATIONNELS
Les risques que l'on va contrôler sont identifiés sur 2 niveaux :
Le niveau de l'Organisation _ Le niveau des Centres d'activités
et différencier les facteurs internes / externes
Le dirigeant doit s’assurer de l’adéquation de ses activités avec les normes qui lui sont applicables.
C’est en quelque sorte, une obligation d’assurance, qui a été instaurée par une norme de Hard Low anglaise, « the Bribery Act » qui instruit un nouveau délit, celui de « failure to prévent » c’est-à-dire, un délit de manquement à la prévention, sur la base duquel, les entreprises peuvent être condamnées, pour ne pas avoir pris toutes les diligences possibles afin de prévenir la violation de ces lois.
Les missions d’audit, vont identifier et évaluer les vulnérabilités d’une organisation.
Elles vont lui permettre aussi de faire de la prospective et d’identifier les opportunités.
AUDIT de CONFORMITE ou AUDIT du DISPOSITIF de CONFORMITE
Aujourd’hui, les Organisations vont souhaiter mener un audit de compliance
…en s’assurant que la première ligne de défense* respecte les obligations qui lui incombent, c'est-à-dire en vérifiant la traduction dans les procédures et contrôles, des lois et règlements applicables et en s’assurant du respect de ces procédures et contrôles.
L'audit va évaluer le niveau de performance du programme de COMPLIANCE notamment sur ces activités
Monitoring
Mesures RH
Fonction conformité
Procédures workflows
Engagement de la direction
Actions correctrices aux incidents de non-conformité
Evaluation des risques
Procédures d’alertes
Communication formation et éducation
Ou soit, souhaiter mener un audit du système du dispositif ou de la fonction conformité
…auditer l’approche et l’organisation mises en place par la seconde ligne de défense* pour structurer et organiser la réponse aux risques réglementaires, y compris la manière dont sont menés les audits conduits par cette seconde ligne de défense et le degré d’assurance qu’ils amènent.
ligne de défense*: fait référence aux three lines of defense model du modèle de gestion des risques développé par l'IIA - institut of internal auditors, qui met l'accent sur la gestion des rôles et responsabilité des acteurs de l'Organisation dans la maîtrise des risques.
L'avantage d'avoir déployé cette méthode est de pouvoir réagir plus rapidement aux risques et d'allouer systématiquement les ressources à la gestion des risques dès que nécessaire.
La fonction de conformité est une fonction interne à l'Organisation. Elle vient compléter les mesures de contrôle qui sont déjà en place.
3 activités en interaction: Fonction Actuarielle / Audit Interne / Gestion des risques
L'audit va vérifier qu'elle veille respectueusement bien à la réalisation et à la tenue conforme :
des taches concrètes de la Gouvernance
des règles et des procédures internes
des recommandations et directives des organismes règlementaires
des bonnes pratiques professionnelles
...de la déontologie...de l'image de l'Organisation
Il existe bien sur plusieurs méthodes pour analyser la structure du système de contrôle interne et pour confirmer si ce système obtient bien l'assurance raisonnable pour atteindre la réalisation des objectifs fixés.
Pour les écarts ou les points de faiblesse identifiés lors de cette évaluation, il découlera un plan d'actions et un suivi pour garantir la réalisation des actions correctives décidées.
Si un référentiel pour le contrôle Interne est utilisé, par exemple le COSO (2)(3)(4), alors on va baser l'approche sur les 5 piliers pour développer un programme d'évaluations.
Environnement de contrôle
Evaluation des risques
Contrôle des activités ( activités / processus impactants pour l'atteinte des objectifs )
Information et communication
Activités de pilotage ( pilotage des opérations courantes qui apportent l'assurance
que le contrôle est efficace)
voici un exemple d'une approche COSO de recueil des données pour cette évaluation de la performance du système de contrôle
voici un schéma assez représentatif des niveaux de contrôles internes, ici l'organisation du contrôle dans le secteur de l'assurance
De FINES APPROCHES pour MENER l'AUDIT INTERNE
La compréhension de l’organisation et de son environnement, des diligences règlementaires permettra la réalisation de l’audit interne avec une approche ciblée au cas par cas.
L’auditeur pourra ainsi réaliser l’audit en intégrant dans des objectifs d’audit de mission plus larges.
Vérifier par là même la compliance : c’est-à-dire le respect d’obligations réglementaires avec des questions telles que :
Les prescriptions déployées répondent-elles non seulement aux obligations minimales requises mais plus largement aux engagements que peut prendre l’entreprise ?
Au-delà du respect de la norme actuelle l’entreprise peut-elle dans certains cas décider d’anticiper des évolutions possibles, par exemple en matière de législation du travail dans des pays à bas coût ?
L’information remontée au travers des dispositifs est-elle suffisamment robuste pour répondre aux attentes des parties prenantes et mieux protéger la réputation de l’entreprise ?
Les dispositifs déployés sont-ils suffisamment agiles pour s’adapter à des évolutions règlementaires ou à des changements d’organisation interne ?
Le degré d’assurance opposable permet-il de donner plus de confiance aux régulateurs externes et limiter ainsi la pression qu’ils peuvent exercer sur les opérationnels ?
L’organisation générale des dispositifs permet-elle d’embrasser un champ toujours plus large d’obligations ?...
Les dispositifs déployés sont-ils efficaces d’un point de vue coût ?
INTEGRATION de la VISION de la GESTION DES RISQUES
Ils vont contribuer au développement et à la nécessaire agilité de l’organisation et faciliter la prise de décision:
Les objectifs et le champ de contrôle interne
Le référentiel choisit
Les acteurs chargés de la gestion des risques et des contrôles
La stratégie ou le modèle économique
Et les facteurs de risques
La Gestion des Risques intégrée : l’ERM (Enterprise Risk Management)
ERM : Acronyme anglophone, son correspondant français est la GRE, Gestion des Risques au niveau de l’Entreprise.
On pourrait le définir ainsi : Un processus de gestion coordonné des risques qui met davantage l’accent sur la coopération des services pour gérer l’ensemble des risques d’une organisation.
L’ERM met un cadre pour gérer efficacement les incertitudes et pour exploiter les opportunités dès qu’elles se présentent
Je vous en parlerai plus en détails prochainement dans un autre article de mon site sur la gestion des risques
ci-dessous un schéma représentant le champ d'actions de l'ERM
L’ERM permet de livrer des avis utiles pour éclairer les décisions stratégiques
Les composants du DISPOSITIF de CONTROLE INTERNE
Un dispositif avec une palette de composants large pour le contrôle interne dont :
La Fixation des objectifs pour identifier les événements nuisibles à leur atteinte.
L’identification des événements Risques et Opportunités et le traitement des risques.
Et avec une dimension d’analyse supplémentaire, celle de la maitrise des risques.
Etendue à toutes les strates de l’entreprise, filiales comprises
Les activités du contrôle sont un ensemble de règles et de procédures
qui vont permettre de s’assurer que les mesures identifiées comme nécessaires à la maîtrise des risques sont appliquées conformément et dans les temps impartis
Une composante fondamentale du dispositif de gestion des risques et du contrôle interne
Une définition de l’environnement de contrôle par l’Union Francophone de l’Audit Interne : UFAI
L’environnement de contrôle est une composante fondamentale
de tout dispositif de gestion
des risques et contrôle interne d’une organisation,
quels que soient les périmètres et les objectifs fixés.
Et ceci implique, que toute défaillance de l’environnement de contrôle peut entrainer
Un affaiblissement du dispositif de contrôle interne
L’arrivée de nouveaux risques pour l’organisation et ses parties prenantes risques : Humains Financiers Notoriété
A la connaissance de cette prise de risque, l’auditeur se doit de rendre le dispositif de contrôle performant. Il doit savoir identifier les faiblesses de l’environnement de contrôle.
La bienveillance de l’auditeur en prévention des TEMPETES de l’AUDIT INTERNE
L’audit interne peut prévenir des « tempêtes » : « le tonnerre avant l’orage » (expression de Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors)).
Des tempêtes classiques ou exogènes qui peuvent provoquer des dommages irréversibles à l’Organisation. C’est généralement le cas lorsqu’elle présente des signes de faiblesse dans sa gouvernance.
L’auditeur est en mesure de détecter les « tempêtes » et mettre en œuvre des actions sur des sujets de gouvernance ou de stratégie s’il a en main :
Une délégation de pouvoirs
Les résultats des cartographies des risques
Les reporting des contrôles internes qui ont été effectués tout au long des projets
Les informations pertinentes des Business Review
Et tout ce type d’informations provenant de la gestion des risques.
Il existe deux types de tempêtes, les « classiques » qui sont les plus fréquentes, elles sont directement liées à l’organisation ou aux processus internes.
Et les tempêtes "exogènes", dépendantes de facteurs externes.
Des problèmes de prise de décision sont souvent la cause des tempêtes CLASSIQUES :
-
elles sont soit engendrées par la gouvernance qui a un management autocratique
( =1 leader décide de tout et empêche le leadership de se déployer, les systèmes qualité aujourd’hui renforcent bien cette partie du leadership, ref Norme ISO 9001 vs 2015),
-
soit victimes d’autres problèmes tels que des incidents informatiques, des protocoles de cybersécurité inefficaces, ou un manque de maîtrise des processus informatisés ou un manque de maîtrise de l’usage de nouveaux outils, des erreurs comptables, ou des fraudes massives …
-
Et un autre facteur de déclenchement de tempête classique, c’est une transformation d’organisation qui n’aboutit pas. Et c’est souvent le cas lorsque la conduite du changement n’arrive plus à gérer les obstacles et freins à sa mutation. Ou lorsque l’entreprise n’est pas assez réactive dans le temps et n’a pas assez anticipé les risques.
Les tempêtes EXOGENES, elles, sont les effets de la concurrence, de la conjoncture économique et du renforcement des cadres règlementaires.
Sommes toutes, les audits internes réalisés dans des dispositifs du contrôle interne continu de l’organisation permettent l’anticipation des tempêtes et c’est un enjeu majeur des sociétés dans ce contexte de transformations et d’adaptations.
La gestion intégrée, avec la pensée intégrée telle que citée précédemment (the intergrated thinking) dans le management des risques est un facilitateur du contrôle interne.
C’est à l’auditeur de vérifier si ces démarches d’intégrations des systèmes sont objectivement efficaces et que le management des risques n’est pas défaillant.
L'environnement de contrôle par Nicolas Berland*
*Professeur de management et Directeur de l'Executive MBA Paris-Dauphine
L'environnement de contrôle par Nicolas Berland*
*Professeur de management et Directeur de l'Executive MBA Paris-Dauphine
Source TVDMA: paroles de Nicolas Berland
"Jusqu’à présent, les systèmes de contrôle dans les entreprises étaient des systèmes fermés qui servaient à optimiser l’efficience et l’efficacité de ces organisations, notamment, en faisant porter leurs actions sur la production et la commercialisation.
Aujourd’hui, ces systèmes deviennent de plus en plus ouverts sur leur environnement et notamment sur les parties prenantes des organisations. Parties prenantes qui ont leur mot à dire sur la façon dont sont gérées ces entreprises.
Sur des systèmes qui sont mis en place et qui rendent compte de la performance de ces organisations. Performances qui sont la plupart du temps des systèmes conventionnels qui nécessitent une interprétation des chiffres qui sont produits.
Ces systèmes de contrôle sont en plein renouvellement. On assiste à un véritablement changement de paradigme.
Deux évolutions l’expliquent : La première, c’est le New Public Management, la nouvelle gestion publique.
La mise en place de contrôles au sein des collectivités territoriales de l’Etat.
Et la seconde, c’est tout le développement de la Responsabilité Sociétale des Entreprises.
Par exemple, le management environnemental, mais plus largement, des problématiques RH.
Il y a maintenant des mécanismes de concertations publiques dans lesquels vont se retrouver des parties prenantes réunies autour d’une table pour trouver un équilibre, à défaut une solution qui ne satisfasse tout le monde, mais un équilibre dans la mesure de la performance.
Ce qui cristallise le système de contrôle, c’est le système de contrôle lui-même."
Je termine là mon article et j'espère avoir un peu clarifié pour vous les attentes de l'audit interne, dans l'environnement de contrôle, c'est une approche qui relève plus souvent du contrôle de gestion mais qui aujourd'hui entre dans le scope du management de la Qualité, de la gestion des risques, du management de la Performance, avec toujours le projet d'aider à satisfaire l'atteinte des objectifs stratégiques de l'Organisation et de structurer un management pertinent de la Qualité via des méthodes et des outils adaptés.
Corine You ©
mai 2021_ rédaction & contenus qualité
Quelles sont les évolutions du management de la Qualité en 2021 ?
voici les leviers de la TRANSFORMATION de la Qualité
Usage stratégique des technologies disruptives
Changements dans le management de la performance
Cadre de l'environnement de contrôle
Transformation de la fonction risque
Cadre de l'environnement