28/09/2021

SCI: A quoi ressemble un système de contrôle interne efficace?

Une gestion adéquate des risques est un must pour toute organisation. Afin de maîtriser efficacement les risques, un système de contrôle interne (SCI) efficace est nécessaire. De nombreux SCI ne le sont malheureusement pas suffisamment. Une situation dont est en partie responsable le législateur, qui n'exige que l'existence d'un SCI.

De: Christian Hafner   Imprimer Partager  

Christian Hafner

Christian Hafner est expert en finances et gouvernance. Il met en œuvre des projets SCI dans des PME, des communes et des ONG (www.iks.ch, www.swissaxis.ch/iksebook).

SCI

Indépendamment de la situation juridique, un système de contrôle interne (SCI) bien conçu est un élément indispensable à une bonne gestion de l’organisation (figure 1). De nombreuses organisations se sont également attaquées à cette question au cours des 20 dernières années. Le processus a été dûment documenté; des inventaires des risques et des contrôles ont été établis. Et le paysage des risques est régulièrement discuté et adapté.

Il n'est pas rare que les organes responsables s'en contentent, même si le SCI n'est guère efficace en l'état. Et ce, pour la simple raison qu’ils se contentent d’examiner le rapport de audit annuel pour vérifier l'existence du SCI. Si le législateur n'exige effectivement que ce rapport, la gestion prudente des risques n’y trouve pas son compte. En outre, les dépenses liées à la création du SCI sont gaspillées si aucune mise en œuvre opérationnelle ne suit. Si celle-ci est inadéquate, alors le SCI ne peut pas être «vécu» par les collaborateurs. La des risques devient dans ce cas un tigre de papier.

Le plan de contrôle

Dans les organisations que j'ai eu l'occasion d'accompagner ces dernières années sur le thème du SCI, des inventaires des risques et des contrôles étaient souvent déjà en place. Il y manquait en revanche presque toujours un plan de contrôle pour rendre ce SCI vraiment efficace sur le plan opérationnel.

De l’inventaire de contrôle au plan de contrôle

Un inventaire de contrôle contient le paysage des risques, les risques individuels, la dérivation ou la justification du risque, les actions préventives et l'évaluation de l'effet du risque.

Le plan de contrôle est la condition pour que le SCI soit «vécu» par les responsables des contrôles au niveau des opérations quotidiennes.

Le passage de l'inventaire de contrôle au plan de contrôle se fait par le biais des évaluations des risques, qui peuvent être utilisées comme critères de tri. Cela signifie que seuls les risques dépassant un certain niveau sont transférés au plan de contrôle et traités en tant que contrôles.

Mandats de contrôle

Dans le plan de contrôle, un ou plusieurs mandats de contrôle sont créés pour chaque risque. Ces mandats sont destinés à prévenir ou à détecter l'apparition d'un risque.

Prévenir l’apparition de risques:
  • Action préventive 
  • Mandat de travaux préparatoires 
  • Surveillance d’une performance 
Détecter l’apparition de risques:
  • Suivi des résultats avec échantillonnage aléatoire
  • Obtenir et évaluer la confirmation/le rapport de mise en oeuvre

Vous y parviendrez si vous procédez comme suit:

  1. formulez les mandats comme des instructions d'exécution (à l'impératif ou à la forme interrogative)
  2. indiquez la périodicité/fréquence de chaque contrôle. Egalement des contrôles «permanents», que vous devez reformuler en conséquence comme des contrôles ponctuels 
  3. déterminez la responsabilité du contrôle ad personam (et non pas ad functio!), en tenant compte de
    a) l’indépendance du contrôle, 
    b) la préparation de la documentation de vérification. 

Le processus de contrôle

Un processus bien conçu permet

  • un traçage complet des activités de contrôle
  • d’assurer une transition sans heurt en cas de changement de personnel
  • de renforcer l'engagement et la fiabilité des commandes
  • de protéger l'intégrité des données

Plus les mandats de contrôle sont formulés avec précision, plus les contrôleurs peuvent accomplir leurs tâches avec efficacité. Comme décrit ci-dessus, les contrôles sont destinés à prévenir ou à détecter l'apparition d'un risque.

Les indicateurs de contrôle sont extrêmement utiles. Ils permettent aux personnes en charge de déterminer avec précision si elles ont effectué le contrôle correctement. Les indicateurs appropriés sont, par exemple, les comparaisons numériques ou le nombre d'échantillons. Plus les indicateurs sont précis, plus le mandat de contrôle est clair, et plus la personne qui en est chargée se sent en mesure d'exécuter son mandat de manière satisfaisante et de signaler les écarts par rapport au résultat attendu.

Type de contrôle et périodicité

La périodicité du contrôle dépend d'une part de l'évaluation des risques et d'autre part du type de contrôle (figure 2). Nous distinguons quatre types de contrôle: les contrôles préventifs, préparatoires, réglementaires et les contrôles de suivi ou de détection.

  • Pour les contrôles préventifs, il faut un délai précis pour que le processus ne soit pas entravé par un manque d'autorisation.
  • Les contrôles préventifs sont souvent disponibles juste avant le début du processus. Pour que le processus ne soit pas entravé, il faut mettre l'accent sur la preuve des instructions relatives aux travaux préparatoires.
  • Comme les contrôles de réglage ont lieu pendant l'exécution du processus, ils ne peuvent pas être effectués via le SCI. Assurez-vous donc que l'instruction en cours de processus est effective et surveillez les résultats par des contrôles ponctuels.
  • Les contrôles de suivi et de détection sont typiques du SCI. L'exécution en temps voulu de ces contrôles d’ouput et d’outcome est cruciale.

Conseil pratique
Plan de contrôle
D'après mon expérience, les plans de contrôle sont la clé du succès. Ce n'est que s’ils sont bien respectés, transparents et contraignants que le SCI «vit» vraiment. Assurez-vous donc que votre méthode de mise en œuvre du SCI et les instruments y relatifs reposent sur le plan de contrôle.

Description du risque
Tout le monde ne sait pas toujours ce que son organisation entend par risque. Il est donc utile d'apporter des éclaircissements sur ce point, car la formulation du mandat de contrôle en dépend.
Dans la pratique, on pourra se baser sur la définition suivante d'un risque: «Un risque est la possibilité d'un dommage ou d'une perte suite à un comportement ou un événement particulier.»
Toujours fournir une dérivation ou une justification détaillée et compréhensible du risque pour le test de plausibilité. En effet, les estimations des montants des pertes qui ne sont pas étayées ou estimées avec précision ne sont pas vérifiables par des tiers.
Enfin, les indicateurs d'occurrence qui permettent de détecter rapidement l'apparition du risque doivent absolument faire partie de la description. Ceux-ci servent à surveiller en permanence le risque ou à formuler le mandat de contrôle.

Conseil de gestion
De nombreux employés veulent plus de liberté et de responsabilité au travail. Lorsqu'il y a moins de contrôle, la satisfaction des employés et la productivité augmentent à long terme.
Mais nous remettons aussi les choses à plus tard, au moment où nous avons assez de temps pour les faire. Des délais plus longs nous font penser que la tâche est plus difficile qu'elle ne l'est en réalité. Réaction: nous y consacrons trop de temps et remettons la «chose» à plus tard.
Face à plusieurs échéances d'importance variable, les gens se consacrent souvent aux tâches les moins importantes, dont les délais sont les plus courts, plutôt qu'aux tâches les plus importantes, dont les délais sont les plus longs.
On assignera donc des tâches lorsqu'elles deviennent urgentes. Les personnes à qui on les confie les accompliront de manière plus fiable et auront moins tendance à les remettre à plus tard.

Documents de preuve

Un document de vérification est un document relatif à la qualité qui contient des preuves (enregistrements) concernant la réalisation des activités de contrôle. Du point de vue des personnes responsables du SCI, il est très souhaitable de disposer de telles preuves.

Toutefois, il n'est pas rare que la préparation des documents justificatifs entraîne la frustration des personnes chargées du contrôle ou, pire encore, leur refus d'accepter la tâche. Cela sera le cas si l'effort requis pour préparer les documents est disproportionné par rapport à la réduction effective du risque ou si les données requises ne peuvent être collectées correctement.

Je recommande donc d'émettre des mandats de contrôle dans la mesure du possible sans l'obligation de préparer un document de preuve. En fait, il est souvent suffisant de décrire les éléments de preuve sous la forme d’un simple texte.

Conseil pratique
Délai d'exécution
Les personnes en charge du contrôle sont soulagées si elles reçoivent un ordre séparé pour chaque contrôle individuel et ne doivent pas tenir elles-mêmes une liste globale. Un contrôle ponctuel doit également être soumis dans un délai raisonnablement court. C'est le meilleur moyen de motiver la personne concernée à le faire correctement et dans les délais.

Documents de référence et d'affectation
Si le contexte d’un mandat de contrôle est décrit dans un document de base ou si des documents de mission doivent être utilisés pour l'exécution du contrôle, ces documents doivent être à jour et facilement accessibles. Idéalement, ils devraient être liés en permanence au mandat de contrôle. Exemples de documentation à relier à l'affectation de contrôle: descriptions de processus, résolutions de gestion, règlements, modèles/formulaires, etc.
La solution idéale est de mettre les documents à disposition sous forme électronique dans un système de gestion des documents, qui permet d’éviter les recherches inutiles et de créer de l'ordre et de la clarté. Chacun peut accéder aux versions à jour depuis n'importe où et à tout moment.
En outre, les documents de vérification créés peuvent être facilement stockés dans le sytème informatique.

Conseil de gestion
Malgré des avantages évidents tels que l'assurance qualité, la satisfaction des clients et la réduction des risques, les contrôles sont souvent impopulaires auprès des collaborateurs et des superviseurs. Pourquoi cela?
Les collaborateurs savent que les contrôles sont utiles. Cependant, l'introduction de contrôles peut leur donner un sentiment d'insécurité. «Ne sont-ils plus satisfaits de mon travail? Jusqu'à présent, tout allait bien sans contrôles.» Ces réactions influencent également le comportement des supérieurs.
Un logiciel bien conçu peut aider à résoudre ce problème. Les gens peuvent percevoir comme un sous-entendu le fait de demander: «Tu l'as fait?». Ils préfèrent se faire rappeler par un «système» plutôt que par le patron. A cela s’ajoute le fait que le délai n'est souvent même pas encore arrivé à échéance; rien ne doit donc encore être fait.
Un processus bien conçu vous avertit que quelque chose doit bientôt arriver. La personne concernée peut alors le faire en toute tranquillité.

Méta-processus, rapport et contrôle

Les inventaires de contrôle doivent être revus périodiquement (souvent chaque année) pour vérifier qu'ils sont complets et les évaluations des risques doivent être mises à jour. Le plan de contrôle devrait être tenu à jour à la même périodicité que l'inventaire de contrôle (et à la suite de celui-ci).

Pour que le SCI conserve son efficacité au fil du temps, il faut également un méta-processus et l'intégration des rapports et des audits.

Méta-processus

Un méta-processus (figure 3) garantit que les évaluations des risques et les mandats de contrôle sont régulièrement révisés. Il s'agit en substance de décider si les évaluations et les tâches sont à jour ou si elles sont toujours efficaces et appropriées.

Parallèlement, le méta-processus garantit que le SCI fonctionne sur le plan opérationnel. Par exemple, que les personnes chargées du contrôle soient remplacées lorsqu'elles partent et que de nouvelles exigences de contrôle puissent être mises en œuvre.

Rapport

Les rapports destinés à la direction générale doivent comporter une vue d'ensemble des résultats des contrôles systématiques, c'est-à-dire un rapport de responsabilité sur le «statut» du SCI et son efficacité:

  • les contrôles fonctionnent-ils dans les délais et périodiquement?
  • existe-t-il un potentiel d'amélioration?
  • des plaintes ont-elles dû être déposées?
  • propositions et recommandations du responsable du SCI.

Le rapport doit également servir de base aux décisions concernant le développement ou l'expansion du SCI.

Il est recommandé de préparer ce rapport au moins une fois par an en consultation avec l’organe de audit.

Vérification du SCI

Le SCI doit être mis en œuvre de manière à ce que les instances de contrôle puissent vérifier efficacement son état et produire des preuves que les contrôles sont effectués de manière contraignante et fiable.

Si cet objectif est atteint, les coûts d’audit peuvent souvent aussi être optimisés. C'est du moins l'avis des membres du CFO Forum Switzerland1, qui citent les deux mesures suivantes pour optimiser les coûts d'audit:

a) la fourniture en temps utile des documents à contrôler

b) l’amélioration du système de contrôle interne (SCI)

Conseil de gestion
Les collaborateurs veulent répéter les procédures qui marchent, prévenir les erreurs récurrentes et éliminer les erreurs humaines - dans leurs processus et ceux de leurs clients. La clé, c’est la fiabilité.
La fiabilité diminue lorsque toutes les tâches ne sont pas présentes en permanence, ce qui a un effet stressant et perturbateur. Le travail sera d’autant plus fiable que les tâches n’interviennent qu'en cas de nécessité - même pour les adjoints.
Si le SCI est utilisé à cette fin, chacun bénéficie de la même fiabilité et de la même solidité pour ses tâches opérationnelles que pour les tâches de contrôle.
La loyauté et l'engagement des collaborateurs sont étroitement liés à leur confiance dans la volonté de leur supérieur de reconnaître un travail bien fait.
Malheureusement, c’est souvent ce qui va mal qui attire rapidement notre attention. Et ce qui se passe bien est souvent passé sous silence ou évoqué seulement plus tard. Car lorsque tout va bien, le manager n'a pas besoin d'intervenir.
Si l'outil SCI permet aux collaborateurs de montrer qu'ils font bien leur travail, les cadres auront davantage d'opportunités de le relever.  

Conseil pratique
Contrôles basés sur les risques et contrôles opérationnels
Le système SCI doit disposer d'un processus pour les contrôles basés sur les risques et les contrôles opérationnels, ainsi que pour les tâches opérationnelles et les affaires en cours. Il faut surtout déterminer qui est autorisé à saisir les contrôles ou les tâches dans le système SCI. Il faut faciliter au maximum l'inclusion dans le calendrier des contrôles ou des tâches sans interférer avec la fonction de contrôle et de gouvernance des différents niveaux de gestion.
SCI = QMS ET QMS = SCI
Depuis 2015, la norme ISO 9001 met clairement l'accent sur la surveillance des risques. Le fait que la norme mette davantage l'accent sur la gestion des risques est l'occasion d'ajouter des aspects importants dans ce domaine aux processus internes.
Cherchez à intégrer le SCI et le QMS. Utilisez la même méthodologie et les mêmes outils pour gérer les deux systèmes, car au fond, le SCI et le QMS concernent des tâches qui doivent être accomplies et faire l'objet de rapports. Et ce, de telle sorte qu'un enregistrement vérifiable puisse être produit.

Note

1 CFOs Audit Cost Survey du @CFO Forum Schweiz d’octobre 2017

Recommandations produits

  • L'essentiel du management

    L'essentiel du management

    La newsletter pour les cadres efficaces

    à partir de CHF 78.00

  • La Toolbox du Manager

    La Toolbox du Manager

    Aides de travail et recettes éprouvées pour cadres dirigeants ayant de l’initiative

    Plus d’infos

  • WEKA Modèles de contrats en ligne

    WEKA Modèles de contrats en ligne

    Gagnez en assurance avec des modèles adaptés à vos besoins.

    Plus d’infos

Recommandations de séminaire

  • Workshop pratique, 1 jour, Hôtel Alpha Palmiers, Lausanne

    Construire, faire évoluer et suivre un budget

    Acquérir les fondamentaux et maîtriser les principes essentiels

    Prochaine date: 08. juin 2022

    plus d'infos

  • Séminaire pratique, 1 jour, Hôtel Aquatis, Lausanne

    Piloter en fonction des chiffres-clés

    Atteindre ses objectifs grâce à un bon tableau de bord

    Prochaine date: 23. juin 2022

    plus d'infos

  • Journée, 1 jour, Hôtel Mövenpick, Lausanne

    Journée WEKA Finance et fiscalité 2021

    Nouveautés, évolutions et problèmes pratiques du monde de la finance et de la fiscalité

    Prochaine date: 01. décembre 2022

    plus d'infos

Nous utilisons des cookies pour améliorer continuellement notre site web. En utilisant ce site web, vous acceptez l’utilisation de cookies. Plus d’infos