22 octobre 2018
Lecture 3 mn
//= do_shortcode('[addthis tool="addthis_inline_share_toolbox_wznq"]') ?>
Vous avez dit ... maîtrise des activités ?
Pas de solution clé en main s’agissant de la maîtrise des activités que chaque organisation doit traiter avec la pleine conscience de ses motivations, des perspectives qu’elle veut et peut s’ouvrir, de ses priorités et de sa stratégie. C’est ce que semblent indiquer les résultats de l’enquête effectuée sur 18 mois en 2017/2018 par le groupe professionnel “Administrations de l’État” (GPAE) de l’IFACI auprès d’une quinzaine d’acteurs mettant en oeuvre avec pragmatisme des dispositifs de sécurisation de leurs résultats fondés sur des référentiels mouvants, parfois concurrents et inégalement compris des opérationnels.
Les organismes privés et publics dont le GPAE a rencontré les responsables de l’audit, du contrôle interne et de la qualité, ont tous une indéniable maturité d’au moins 10 à 15 ans dans le domaine de la maîtrise des risques. Ils ont appris à intégrer de nombreux référentiels en les traduisant en termes pratiques au profit des opérationnels de la 1re ligne de maîtrise. Afin d’établir s’il est raisonnablement possible d’identifier des convergences, des décloisonnements et des mises en commun, le GPAE s’est intéressé : • aux possibles synergies entre les acteurs de la 2e ligne ; • à la réalité des différences entre les démarches de maîtrise et de contrôle, et à la valeur ajoutée de tout ou partie des unes par rapport aux autres. Les témoignages recueillis, par la variété même des visions et postures adoptées, sont révélateurs de pratiques marquées par l’histoire de chaque organisation, les règlementations et la nécessité d’arbitrages économiques et sociaux. Les choix stratégiques effectués par les organes de gouvernance structurent la 2e ligne de maîtrise, bien que certaines porosités existent tant au sein même de cette 2e ligne qu’entre elle et la 3e ligne, voire une 4e ligne via l’utilisation des résultats de l’audit interne par l’audit externe.
Cinq constats majeurs résultent de l'enquête
- Des opérationnels exaspérés, qui évoquent avec insistance l’envahissement de leurs activités par des évaluations, des contrôles, des inspections ou des audits qu’ils perçoivent souvent comme redondants et chronophages. Ce sentiment est amplifié par la réduction des ressources.
- Une pluralité, voire une prolifération de référentiels – fondée surtout sur la domination sans conteste de l’ISO et du COSO – qui complexifie les dispositifs de sécurisation. Seuls les spécialistes sont à même de la maîtriser, exacerbant là encore l’irritation non dissimulée des opérationnels confrontés à des injonctions souvent paradoxales : • une plus grande maîtrise des risques face à une diminution des ressources et des moyens ; • une plus grande adaptabilité aux besoins des clients ou des usagers face au renforcement des procédures et des dispositions normatives. Ce constat est devenu encore plus prégnant avec la publication non coordonnée des révisions 2013 du COSO I, 2015 de l’ISO 9001 et de l’ISO 14001, 2017 du COSO II, 2018 de l’ISO 31000 ou encore la publication de l’ISO 45001 en 2018…
- Une tendance bénéfique à l’appropriation des référentiels actuels : de manière générale, plus pragmatiques que par le passé, ils sont mieux adaptés au contexte de l’organisation et à son modèle économique. Si une souplesse d’adaptation est reconnue aux cadres de référence et aux lignes directrices du contrôle interne et de la maîtrise des risques, les normes à vocation de certification des systèmes de management, d’audience plus large, sont souvent ressenties comme plus contraignantes. La mise en oeuvre de l’ensemble contribue à forger l’identité de l’organisation.
- Des schémas organisationnels qui se cherchent, sans courant dominant : le fonctionnement du contrôle interne s’impose de plus en plus en réseau ; l’audit interne tend à se coordonner avec les différents acteurs de la maîtrise des activités et, enfin, le positionnement relatif du contrôle interne, de la maîtrise des risques et de l’audit interne, varie selon les organisations.
- Une valeur ajoutée encore indéterminée mais prometteuse : alors que la culture de l’organisation est déterminante en matière de contrôle et d’audit internes, son histoire et ses dominantes managériales influent les principes qui la structurent et la mise en oeuvre des dispositifs plus que les référentiels externes imposés. Pour autant, les modèles traditionnels pyramidaux sont remis en cause. Les organisations futures mettront probablement en oeuvre des dispositifs de sécurisation sous une forme différente de ceux d’aujourd’hui.