Flunch mise en évidence des faiblesses du management des risques
5.4) Mise en évidence des faiblesses du management des risques et de celles de l’audit interne chez Flunch, recommandations en vue d’améliorer la maîtrise des risques
- Faiblesses du management des risques dans la société et recommandations
Tel que le management des risques est appréhendé actuellement dans la société, il consiste essentiellement en des actions telles que diminuer les primes d’assurance voiture par le biais des franchises, décider de ne pas assurer les grandes vitres des restaurants en supportant le coût éventuel de leur casse, ou s’assurer contre les risques alimentaires. Cette conception du management des risques est très restrictive et très éloignée de la gestion globale des risques.
La pierre angulaire du management des risques existe déjà dans l’entreprise, à savoir les plans prévisionnels, mais il manque encore tout l’environnement axé sur les risques.
Les dirigeants de Flunch devraient concentrer leurs efforts sur les risques à tous les niveaux de l’entreprise, que ce soit au niveau du siège, des fonctions opérationnelles ou de l’activité.
En règle générale, les procédures de contrôle interne (opérationnelles, achats, comptabilité, paie …) sont insuffisamment développées chez Flunch. Il faut donc mettre en place des contrôles adéquats dans l’optique de gérer les risques.
L’évaluation des risques, la détermination de niveaux de risque acceptables ou tolérables et la définition de stratégies de contrôle adéquates doivent faire partie des principales responsabilités des dirigeants. Il est très important que le risque figure à l’ordre du jour des réunions de la direction.
Particulièrement dans la gestion stratégique ou la gestion de projets, le risque doit être traité comme une question d’importance majeure et doit figurer en tête de l’ordre du jour.
Le management des risques doit s’inscrire dans le cadre d’une infrastructure ou d’un dispositif mis en place au niveau de l’entreprise.
Si Flunch élaborait une politique formelle de management des risques, cela contribuerait à placer le risque au cœur des préoccupations de toutes les parties prenantes de l’entreprise, et ainsi pourrait se développer une culture d’entreprise orientée vers le risque.
Il en résulterait une incitation à l’amélioration constante des performances par le biais des objectifs d’amélioration et des programmes d’actions dans le domaine du management des risques.
Des procédures et des programmes de management des risques adéquats devraient être élaborés. Ces programmes et ces procédures devraient comporter des mesures visant à renforcer la sensibilisation et la formation aux risques ainsi qu’à modifier les systèmes de gestion afin de créer une culture propice à la mise en place d’un management fondé sur les risques.
Les responsabilités et les pouvoirs en matière d’acceptation et de management des risques devraient également être clairement définis dans l’entreprise, et attribués à des personnes clés.
Un dispositif adéquat de suivi et de revue des processus de management des risques devrait être mis en place, permettant notamment de tirer en permanence les enseignements de l’expérience acquise au sein de l’entreprise. Il conviendrait également d’établir une documentation appropriée sur les risques.
Pour que les risques puissent être gérés correctement dans toute l’entreprise, il faudrait que tous les dirigeants et tous les membres du personnel soient informés des risques potentiels et qu’ils soient en mesure de communiquer entre eux, d’une manière efficace, à ce sujet.
Les risques sont inhérents à toute opération de gestion, et leur management devrait faire partie intégrante de tous les processus de gestion. Or, chez Flunch, le management des risques est pour l’instant un système isolé et non intégré, au lieu d’être une composante à part entière de toutes les activités de l’entreprise.
Cette constatation a deux conséquences importantes :
- Il convient d’adopter une approche « transversale » à l’échelle de l’organisation toute entière pour examiner le dispositif global au sein duquel les risques spécifiques sont gérés
- Le management des risques doit être considéré comme un sujet à part entière de l’audit interne dans tous les domaines d’activité de l’organisation.
Flunch devrait appliquer le cycle de management des risques que nous avons vu dans la partie 3.4.
Les principaux effets positifs du management des risques seraient les suivants pour Flunch :
- Il créerait un environnement dans lequel les risques liés à l’activité sont acceptés sciemment et en connaissance de cause.
- Il entraînerait une amélioration du processus décisionnel, et ce à tous les niveaux de l’entreprise.
- Il favoriserait l’instauration d’une culture d’entreprise propice à l’amélioration continue des processus, à l’ouverture d’esprit et à l’utilisation efficace des connaissances et des compétences.
- Il accroîtrait la rentabilité grâce à un meilleur management des risques et à la réduction des dépenses relatives aux risques.
- Il permettrait de bien comprendre la relation qui existe entre les risques, les coûts, les délais et le prix et, par conséquent, d’introduire un certain réalisme dans l’analyse et l’arbitrage des avantages et des inconvénients respectifs de ces éléments.
- Il permettrait de s’assurer que les responsabilités sont définies et que, par conséquent, les risques font l’objet d’un suivi et d’un management dynamique.
- Il rendrait les risques, et les mesures prises pour y faire face, transparents pour les dirigeants.
- Il favoriserait le traitement adéquat des risques, plutôt que la gestion des situations de crise.
- Faiblesses de l’audit interne dans l’entreprise et recommandations
Chez Flunch, l’audit interne est chargé de certains contrôles et non du contrôle de ces contrôles par manque de procédures de contrôle interne. Une évolution indispensable pour la société serait de développer son dispositif de contrôle interne afin de mieux maîtriser ses risques.
En effet, le contrôle interne est un des garants d’un management des risques performant. Les contrôles internes permettent aux dirigeants de s’assurer que les salariés assument les tâches et fonctions qui leur ont été confiées, d’agir en tenant compte des difficultés liées à chaque activité et de gérer les risques et les incertitudes liées à toute activité. La nécessité de gérer les risques est un aspect important d’un contrôle interne efficace.
On peut considérer qu’il n’y a pas d’audit interne au sens strict du terme chez Flunch, malgré le titre d’auditeur interne décerné à un membre du service. En effet, ce dernier est chargé de contrôles en période de crise mais il n’y a pas de caractère préventif dans sa mission.
Vu la taille de l’entreprise, il faudrait plus qu’un seul auditeur interne. Le risque encouru par Flunch justifierait qu’il y ait au moins un auditeur interne à temps plein voire plusieurs. Mais le nombre souhaitable d’auditeurs internes dépend de la fréquence souhaitée des audits.
Chez Flunch, les moyens à la disposition de l’audit interne sont définis indépendamment des tâches à accomplir, ce qui explique que l’audit interne soit si peu développé. Les moyens de l’audit interne devraient être déterminés en fonction des tâches à accomplir.
Le service de contrôle de gestion (auquel est rattaché l’audit interne) est confronté à un manque de moyens, par conséquent le service pare au plus pressé et délaisse en partie l’audit interne.
L’indépendance et l’objectivité de l’audit interne peuvent aussi poser problème dans le cas du rattachement au contrôle de gestion.
On peut alors parler d’auto-audit des contrôleurs de gestion, alors que le contrôle de gestion et l’audit interne doivent être clairement distincts : le premier consiste en la mise en œuvre des contrôles et le second consiste dans le contrôle des contrôles.
Comme nous l’avons vu dans la première partie, le rôle de l’audit est communément reconnu comme corollaire de la décentralisation. Or, malgré la décentralisation chez Flunch, il n’y a pas d’audit interne conséquent.
De plus, le rôle de l’audit interne s’est aussi avéré dans l’articulation de l’entreprise entre ses fonctions, articulation qui crée des ruptures dans le flux interne des informations, des biens ou des services produits. Avec le peu de moyens, l’audit interne ne peut pas s’occuper des ruptures dans les flux internes chez Flunch.
Il faudrait également développer les compétences du Comité de Direction dans le sens du Comité d’Audit, afin qu’il remplisse la fonction de ce dernier, à savoir être tenu informé du programme annuel de l’Audit Interne, être destinataire de ses principaux rapports et surtout qu’une concertation étroite ait lieu entre l’Audit Externe et l’Audit Interne sous l’égide du Comité d’Audit, ce dernier point n’existant pas actuellement chez Flunch.
Le rôle de l’audit interne est d’émettre un « avis indépendant » sur l’adéquation, l’application et l’efficacité du dispositif mis en place par les dirigeants. Mais l’auditeur interne devrait aussi devenir un « conseiller spécialiste des risques et des contrôles ».
Il contribuerait ainsi à créer de la valeur en aidant activement les dirigeants à identifier et à évaluer les risques, et à mettre au point des stratégies appropriées en vue de les maîtriser ou de les atténuer.
Lorsque Flunch aura mis en place le processus de management des risques, l’audit interne de ce processus consistera à examiner le dispositif global dans le cadre duquel sont exercées les responsabilités liées au management des risques, ainsi que quelques cas précis sélectionnés à travers l’organisation entière.
On pourra ainsi s’assurer à la fois de l’existence d’un dispositif global, de son adéquation et de l’efficacité avec laquelle ce dispositif, et d’une façon plus générale les compétences en matière de management des risques, sont mis en œuvre en pratique.
En résumé, si l’audit interne veut contribuer au management des risques chez Flunch, il faudra commencer par développer les moyens humains mis à la disposition de l’audit interne, puis élaborer un dispositif de management des risques comprenant des politiques et des directives claires et cohérentes en matière de management des risques, des moyens adaptés à la diffusion d’informations sur les risques et à leur analyse, une définition claire des responsabilités et des pouvoirs en matière de management des risques et leur attribution à des personnes clés, des procédures et des programmes de management des risques adéquats et un dispositif adéquat de suivi et de revue des processus de management des risques.
Conclusion
Au cours de ces dernières années, l’augmentation des risques et la fréquence des défaillances ont mis en évidence la nécessité de disposer d’outils de maîtrise des risques de plus en plus efficaces : la conduite des affaires impose désormais une véritable culture de contrôle diffusée aussi bien dans les fonctions administratives que dans les fonctions opérationnelles des organisations.
C’est grâce en effet à une culture de contrôle qu’il est possible de renforcer la résistance et la dynamique d’une organisation, dans une période où la recherche de productivité et d’économie de coûts incite à l’allégement des structures des entreprises.
C’est dans cet environnement de contrôle que se met en place et se développe la fonction d’Audit Interne. Fonction indépendante à l’intérieur de l’organisation, sa mission essentielle est d’évaluer l’efficacité et la pertinence du système de contrôle interne et de faire toutes propositions pour l’améliorer.
Les objectifs fixés aux services d’Audit Interne confirment donc leur rôle traditionnel d‘évaluation et d’amélioration du contrôle interne. Mais ils concernent aussi bien la contribution à la maîtrise des risques.
Les activités de contrôle d’une organisation doivent être alignées sur ses grands objectifs et sur les risques de ne pas les atteindre. Par conséquent, les contrôles n’ont pas d’intérêt en eux-mêmes s’ils n’aident pas l’organisation à gérer ses risques.
L’audit interne donne aux dirigeants l’assurance raisonnable que les échecs ou les dysfonctionnements éventuels, qui ne peuvent être totalement exclus, sont le résultat d’une absence de gestion.
Il est primordial de donner cette assurance aux dirigeants, de façon régulière et en toute indépendance, en particulier en cas de risques critiques. C’est la principale mission de l’audit interne dans tout le processus de management des risques.
L’audit interne est appelé à devenir un acteur majeur dans les deux domaines essentiels que sont le gouvernement d’entreprise grâce au renforcement des relations avec le comité d’audit et le dispositif global de maîtrise des risques de l’entreprise, dont l’audit interne est naturellement une pièce maîtresse.
