mercredi 13 juillet 2011

Se concentrer sur ses objectifs (Simplifier sans risques 3/3)


Viser l'objectif, ne pas prendre de chemins de traverse
mais contrôler les risques
Ce billet est le troisième de notre série "Simplifier sans risques" et fait suite aux deux précédents Manager les risques et Réduire les risques pour atteindre les objectifs. Il traite:
  • des liens entre les objectifs d'une entreprise ou collectivité et les activités requises pour les atteindre
  • du rôle de l'audit comme moyen de vérifier la maîtrise des risques et comme levier de simplification. 
Des objectifs ont été définis et les risques  identifiés qui peuvent impacter plus ou moins l'atteinte des objectifs s'ils se matérialisent. Des moyens de maîtrise des risques (Aussi parfois appelés contrôles internes) ont été définis et mis en place pour limiter à un niveau acceptable ces risques. Comment s'assurer que ces moyens de contrôle seront efficaces et seront à même de jouer le rôle pour lequel ils ont été définis et mis en place en cas de besoin?

Précisons quelles peuvent être les moyens de maîtrise des risques mis en place
  • Définir l'organisation : responsabilités, processus, système de management, etc.
  • Gérer le personnel, les relations entre les personnes, les compétences et les carrières
  • Définir et communiquer les stratégies, objectifs, plans d'actions, budgets, etc: tous les éléments qui peuvent aider la collectivité et les personnes à comprendre vers où l'entreprise veut aller et leur permettre d'agir en conséquence
  • Mettre en place et appliquer les guides qui permettent à tous de réaliser leurs activités et tâches en cohérence avec les objectifs, éthique et culture de l'entreprise: consignes, manuels opératoires, instructions de travail, règles de sécurité, etc.
  • Avoir en place des Systèmes et outils pour suivre, comprendre et ajuster le fonctionnement de l'entreprise: revues de direction, suivi d'indicateurs, avancement des actions, système d'amélioration permanente, etc.
Dans une entreprise, pour être efficace, toute activité doit correspondre à une des deux catégories suivantes :
  • soit une des étapes et tâches requises pour produire et vendre la "raison d'être" de l'entreprise, les produits et services qu'elle fournit à des clients (qui devraient logiquement constituer l'objectif principal)
  • soit les activités de maîtrise des risques décidées et mises en place pour limiter à un niveau acceptable l'impact que pourraient avoir les risques identifiés sur l'atteinte des objectifs
Toute tâche ou activité qui ne peut pas être reliée à une de ces deux catégories doit disparaître. Ces tâches ne font que pénaliser l'efficacité et l'efficience de l'entreprise.
  • Ce rapport mensuel, qui est uniquement pour information et n'est pas utilisé pour définir des actions, il doit disparaître !
  • Ces analyses quotidiennes qui n'ont jamais révélées un défaut, elles doivent disparaître (et peut être remplacées par une analyse mensuelle dans certains cas).
  • Ces suivis d'indicateur que personne n'analyse, il doit disparaître!
  • Cette tâche qui n'est pas cohérente et nécessaire à l'atteinte des objectifs, elle doit disparaître!
  • Etc.
En dernier ressort l'audit interne - ou ses dérivés tels que l'auto évaluation - permet de vérifier l'efficacité, la pertinence et l'efficience des tâches et activités de maîtrise des risques.

"L'audit interne est une activité indépendante et objective qui permet de donner à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernance d'entreprise, et en faisant des propositions pour renforcer leur efficacité. L'audit interne permet aussi aux grandes organisations de vérifier que les entités sont bien en adéquation avec la stratégie du groupe" (Article dans Wikipedia)
Audit interne, objectifs et mode d'emploi
  1. Vérifier que les risques ont été identifiés, analysés, quantifiés et les mesures de maîtrise des risques définis.
  2. Vérifier que chaque mesure de maîtrise des risques a un "propriétaire" responsable de sa bonne exécution
  3. Vérifier que les mesures de maîtrise des risques qui ont été agrées sont effectivement en place et tester qu'elles sont opérés de manière adéquate et conforme à ce qui était prévu.
  4. Pouvoir porter un jugement sur l'adéquation entre niveau de risques et activités de maîtrise des risques 
  5. Identifier les tâches et activités qui ne sont pas liées explicitement aux objectifs et/ou à la maîtrise des risques pour ces objectifs. Ces tâches "orphelines" sont potentiellement des tâches à supprimer. Il se peut aussi que dans certains cas, il s'avère que ces tâches ou activités constituent des mesures de maîtrise pour des risques qui avaient été "oubliées" lors de l'identification des risques. Dans ce cas il faut intégrer ce risque nouvellement identifié dans l'analyse de risque générale, définir les mesures de maîtrise des risque nécessaires pour les rendre acceptable et modifier en conséquence, si besoin, les activités qui avaient été identifiées pendant l'audit.
  6. Eventuellement identifier des risques qui n'avaient pas été identifiés auparavant.
  7. Discuter les observations relevées pendant l'audit avec les services et personnes audités et définir avec eux les un plan d'actions pour retrouver une cohérence entre risques, objectifs et efficacité & efficience des actions de maîtrise des risques.
L'audit interne est à la fois le dernier rempart pour tester l'efficacité des mesures de maîtrise de risques, une occasion de revoir et challenger le fonctionnement de l'entreprise, une source d'opportunité pour des améliorations continues et même dans certains cas, un révélateur pour des besoins profonds de changement. Bien utilisé il est un outil puissant pour aider à atteindre les objectifs, s'améliorer et donner des indications pour évoluer et se développer.

Amis lecteurs, Je ne m'étendrai pas plus sur les techniques d'audit et les compétences requises. Des centaines de livres, d'articles et de formations existent sur le sujet. Mon but était d'attirer votre attention sur les bénéfices d'un système d'audits internes pour maîtriser les risques, aider à atteindre les objectifs, simplifier et s'améliorer. Vous l'avez peut-être deviné à travers ces quelques lignes: je suis un fervent partisan de l'audit interne comme outil pour évaluer et améliorer l'organisation et le management des Entreprises et si j'ai pu partager avec vous un peu de ma conviction,  mon but en écrivant cet article aura été atteint.

Ce sera tout pour aujourd'hui. Cet billet clôt la série sur "Simplifier sans risques". Nous entamerons prochainement sur une série sur la gestion du changement et reviendrons sur les notions de "complexité" qui sont souvent associées avec un changement. Vous pouvez arrêter la lecture de ce blog et retourner à vos activités habituelles. Ciao, bonsoir.

1 commentaire:

  1. Le troisième billet d'une série de 3 sur la gestion des risques et la simplification

    RépondreSupprimer