Une saine obligation, à divers titres
D’abord, c’est une obligation légale. En Suisse, de nombreuses entreprises privées sont soumises à la NAS 890 (Norme d’Audit Suisse 890 relative au SCI) et certaines administrations publiques doivent mettre en place un SCI. En Europe, les entreprises publiques ou privées sont soumises à des exigences similaires.
C’est aussi une obligation de "bon sens" : les erreurs humaines ou techniques sont toujours possibles, les initiatives individuelles, parfois malencontreuses et intempestives, doivent faire l’objet d’une étroite surveillance. Pour s’en convaincre, pensons aux cas les plus célèbres tels qu’Enron, Madoff, Kerviel, UBS...
En ce sens, le législateur a systématisé ce qu’une bonne gouvernance préconisait déjà.
Un cadre légal sans préconisation de méthode
Si les exigences légales sont claires (il doit exister un système de contrôle interne et celui-ci doit être soumis à vérification), la méthode pour mettre en place un SCI fait l’objet de peu de préconisations. Résultats : si certains SCI sont d’excellente facture, combien d’autres sont lourds et non opérationnels, combien d’autres ont mobilisé une énergie importante pour, in fine, parvenir à une documentation, certes valable juridiquement, mais sans utilité pratique !
Une problématique générale
Dans son fonctionnement, toute entreprise est soumise à un certain nombre de risques (financiers, physiques, environnementaux, information financière, santé des personnes, etc.). Ces risques, il s’agit de les identifier et de mettre en place des "protections ou contrôles", afin de les éviter ou d’en amoindrir les conséquences.
Une méthode éprouvée
L’expérience renouvelée sur le terrain démontre que la méthode peut se décliner en sept points.
1. Rédiger le manuel de gestion du SCI
Ce manuel est un document qui présente la méthode, le vocabulaire, le périmètre, les échelles d’évaluation des risques et la catégorisation des contrôles. Il mettra aussi en évidence le point de départ choisi pour identifier les risques : le plan comptable, les processus, les actifs de l’entreprise ou tout autre élément.
Ce document, véritable porte d’entrée dans le SCI, est destiné aussi bien au management qu’aux auditeurs.
2. Identifier les processus et procédures à décrire
Il s’agit en effet d’identifier les activités pour les formaliser sous forme de processus ou procédures. A ce stade, la démarche est essentiellement exploratoire ; elle consiste en une revue de la documentation existante, mais elle peut aussi prendre la forme d’un "brainstorming" avec la direction et certains collaborateurs.
3. Décrire les processus, procédures et règlements
La description des activités sous forme de processus, procédures ou règlements se fait par l’interview des collaborateurs qui réalisent les activités. Les informations récoltées sont rassemblées en une documentation qui doit être validée par les collaborateurs opérationnels et le management. Il est important de noter que de nombreux contrôles (protections) déjà spontanément réalisés sont maintenant formalisés.
4. Identifier les risques
Sur la base des activités précédemment décrites, les personnes concernées et le management identifient les risques.
5. Identifier les contrôles
Les risques étant clairement identifiés, il s’agit maintenant de lister précisément les contrôles (protections) qui permettent de les réduire et de définir le responsable, la fréquence de réalisation, la catégorisation et le lien avec d‘autre(s) risque(s).
6. Evaluer les risques, les contrôles clés et les surveillances
Chaque risque est évalué sur une double échelle, d’impact et de probabilité (ex. : un tremblement de terre de magnitude 7, en Suisse, serait à la fois très grave… et très peu probable). Chaque contrôle est mesuré afin d’en définir l’importance (clé ou non clé). Tous les contrôles clés donnent lieu à un "surcontrôle" appelé surveillance.
7. Faire vivre le SCI
Cette étape est de loin la plus difficile dans la mesure où elle sort de la dynamique de projet. Il faudra en effet trouver l’énergie et la motivation pour que les contrôles et les surveillances soient effectivement réalisés et que les risques soient systématiquement réévalués.
Les pièges à éviter
Parmi les nombreux pièges que l’on peut rencontrer, retenons les quatre ci-dessous.
Oublier le "bon sens paysan" : il arrive en effet que les responsables du SCI soient aveuglés par les chiffres, les mots et les couleurs des analyses. Ils ne sont alors plus capables d’identifier de nouvelles menaces pourtant évidentes.
A trop surcontrôler… plus personne ne contrôle : par exemple, une lettre doit être signée par trois personnes. La première signe en se disant que les deux autres signataires vont contrôler. La deuxième signe en se disant qu’un contrôle a déjà été fait et qu’un autre suivra. La troisième signe en se disant que deux contrôles ont déjà été effectués.
Une documentation du SCI qui n’est plus à jour ne reflète plus la réalité et n’est plus consultée par les collaborateurs.
Créer une documentation parallèle à la documentation existante, dans le cadre de projets tels que "la communication interne", ISO, ITIL, 6Sigma, etc., c’est refaire inutilement ce qui a déjà été fait.
Une obligation, certes, mais aussi un atout
Les entreprises qui disposent déjà d’un bon SCI n’en font pas mystère : si la charge de travail pour répondre à l’obligation légale peut être importante, la formalisation du SCI n’est pas sans utilité. Elle a permis de formaliser ce qui peut-être ne l’était pas assez, d’identifier les risques et de les baliser par des contrôles et des surveillances.
Résultat : muni d’un bon SCI, les décisions, surtout en matière financière, se prennent avec un degré de confiance renforcé. Même si le risque zéro n’existe pas, l’entreprise avance sûre de ses arrières, assurée de la fiabilité de son outil organisationnel.
Thomas Kortmoller, Optimiso Group SA
| < Prev | Next > |
|---|