• Legal & Digital

Episode 3 : Stratégie d’audit, naviguer en environnement chaotique

La belle stratégie d’audit que vous avez longuement peaufinée, validée par votre comité d’audit n'a hélas pas fait long feu.

Aucun des axes savamment travaillés : objectifs, ressources, compétences, ne tient plus en mode COVID.


Avant de reprendre vos activités efficacement, il vous faut travailler votre agilité et être capable d’adapter votre organisation à tout changement de cadre. Pour cela, vous devez vous assurer de la stabilité de vos points d’appuis par une véritable « prise de références ».


Que change le mode COVID ?

Les défis de l’audit interne sont lourdement chahutés par le contexte de la pandémie.


Un cadre de risque inédit

D’abord car ce dernier déforme le cadre de la gestion des risques. Tous les pays ne sont pas touchés en même temps, avec la même intensité. Les pouvoirs publics locaux n’ont pas tous géré la crise de la même façon. Cela créé des distorsions importantes de l’univers de risque.


Les pays vivants plus largement de l’économie informelle ont encore plus souffert du confinement, les risques de fraudes, de vols y ont donc été peut-être plus importants.


La célérité du risque portée à son paroxysme

Concept à la mode, la célérité du risque à trouvé une illustration parfaite. Quelle que soit la qualité des dispositifs de gestion de risque, la soudaineté de la paralysie imposée par la gestion de la crise pandémique enclencha une réaction en chaîne faisant tomber de nombreuses barrières de contrôle interne. L’entreprise n’aspire alors qu’à avoir la capacité de fonctionner. Simplement fonctionner.


Certaines de vos implantations, jadis rigoureusement contrôlées, auront peut-être du mal à restaurer complètement leurs dispositifs de pilotage.


Un audit en visio conférence

Avec l’interdiction de voyager, l’auditeur se trouve privé d’un fondamental. Dans la pratique de l’audit, beaucoup d’éléments sont captés dans le cadre de la communication non verbale : visite de site, comportement corporel des audités, capacité à accéder physiquement aux preuves d’audits, contacts informels… Autant d’éléments essentiels dont est privé l’auditeur en mode Covid.


La belle stratégie d’audit que vous avez longuement peaufinée, validée par votre comité d’audit a hélas fait long feu.

Aucun des axes savamment travaillés : objectifs, ressources, compétences, ne tient plus en mode COVID.

Avant de reprendre vos activités efficacement, il vous faut travailler votre agilité et être capable d’adapter votre organisation à tout changement du cadre. Pour cela, vous devez vous assurer de la stabilité de vos points d’appuis par une véritable « prise de références ».


Un diagnostic temps réel

Nous avons déployé deux approches de prise de référence dans le cadre du confinement. Ces approches peuvent être une source d’inspiration en de nombreuses circonstances.


L’enjeux était de prendre le pouls instantanément de l’ensemble de l’organisation.


Déploiement du plan de réponse pandémique Galvanize

Nos amis de GALVANIZE ont conçu une approche en 8 thématiques permettant de répondre à l’urgence de l’avancée de la pandémie.


L’enjeu était de maîtriser l’alignement des ressources de l’entreprise, minute par minute, en suivant :

  1. Santé du personnel : Assurons-nous la sécurité et le bonheur de nos collaborateurs ?

  2. Efficacité du personnel : Les collaborateurs maintiennent-ils leur productivité ?

  3. Continuité client : Comment l'activité des clients évolue-t-elle dans le temps ?

  4. Continuité des tiers : Comment les partenaires, fournisseurs et autres tiers font-ils face ?

  5. Contingence financière : Prévoit-on et s'ajuste-t-on correctement ?

  6. Communication : Les employés, les partenaires, les clients et les fournisseurs sont-ils régulièrement tenus informés ?

  7. Sécurité : Les actifs de l'organisation sont-ils protégés contre ces nouveaux risques ?

  8. Réputation : Comment continuer à garantir que la réputation de l'organisation ne soit pas menacée ?

Nous avons mis en œuvre cette approche dans 2 groupes de taille moyenne à grande (un équipementier automobile, une société de services technologiques). Dans chaque implantation majeure du Groupe, un correspondant de la direction l’audit et des risques est identifié.


Ce correspondant anime une série de 84 points de contrôle permettant d’évaluer la capacité de son entité à répondre aux enjeux. Toutes vos entités sont ainsi passées au crible. Des tableaux de bord permettent de suivre les tendances et de détecter les évolutions de l’environnement et du profil de risques.


Bilan des activités de contrôle et de conformité

A l’issue du confinement, nos clients multinationaux ont tenté de relancer leurs activités avec des niveaux de succès variables en fonction de leur localisation géographique et de leur poids dans les différentes économies où ils prennent part.

En terme de maîtrise des activités, deux critères nous ont semblé rapidement primordiaux :

  • La capacité à maintenir l’activité,

  • Les degrés de libertés donnés pour assurer le fonctionnement quotidien.


Capacité à maintenir l’activité :

Quel est l’état du business ? Quelles peuvent être les perspectives ? Peut on agir en central pour faciliter l’adaptation aux variations d’environnement ? Comment piloter l’activité globale en disposant de la meilleure anticipation possible ?


Nouveaux degrés de liberté

Dans un environnement perturbé, les filiales se sont organisées localement. Les procédures de contrôle interne ont probablement dues être allégées :

  • Pour permettre au service comptable de fonctionner en effectif réduit,

  • Pour ouvrir un système d’information très sécurisé à des utilisateurs désormais confinés à l’extérieur de l’entreprise,

  • Pour admettre les commandes auprès de fournisseurs de “dépannage”, non référencés, dans un contexte de pénurie.


Comment disposer rapidement d’une information complète et exhaustives ?

Comment irriguer les réflexions du top management du groupe avec des ressentis de terrain, issus de tous les terrains.


A l’aide de la plateforme HighBond, nous avons pu déployer rapidement un questionnaire sur toutes les implantations du groupe permettant de disposer d’informations de terrain rapidement consolidables permettant une mise à jour rapide et un pilotage centralisé totalement indépendant de la structure informatique du groupe.


Cette approche à permis d'identifier les grands drivers de risques, de collecter et d’interpréter des signaux faibles, de fournir une vision anticipée des implantations à soutenir.

Dans un monde plus stable, cette vision servirait de base à une priorisation dynamique du plan d’audit interne.

Prédire les évolutions possibles et les anticiper au mieux

Les questionnaires adressés au management des différentes implantations comprenaient une section sur la situation instantanée. Elle portait sur l’entreprise elle-même et sur son écosystème : clients, fournisseurs, pouvoir publics …


3 scénarios devaient être éclairés afin d’aider à remonter des grands indicateurs stratégiques et d’être sûr d’avoir envisagé un large spectre.

  • Chaque implantation était invitée à identifier les signaux qui devaient permettre d’anticiper les évolutions.

  • Nous avons baptisé ces indicateurs « Drivers de risques ».

  • Les drivers de risques devaient s’appuyer sur des métriques aisément accessibles et si possible comparables d’une filiale à l’autre.

  • Ainsi, les données officielles (parfois corrigées officieusement) de contamination, les données relatives à la production de l’entreprise, à la saturation des réseaux et des moyens informatiques, les niveaux de trésorerie firent rapidement consensus. De manière plus variables, les amortisseurs sociaux mis en place par les pouvoirs publics ont également pu être intégrés pour les pays occidentaux.

Faire le point sur le niveau de contrôles des processus principaux

Les correspondants de contrôle interne devaient se positionner sur le degré d’atteinte de 12 processus majeurs. L’objectif principal étant de garder la mémoire des barrières qui ont dû être levées pour assurer le fonctionnement de l’entreprise.


Des contrôles compensatoires pourront être positionnés dès que possible. Ce recensement doit permettre également de s’assurer de l’absence de « backdoors » lors du retour à la normale.


Vers un plan d’audit adaptatif

Ce dispositif permet un monitoring temps réel qui, couplé à une démarche d’analyse des données de production pose les bases de l’audit en continu.


Le suivi d’indicateurs synthétiques permet de faire varier les priorités d’audit en fonction des niveaux de risques, au plus près des besoins.


Idéal pour endosser le rôle de business partner stratégique qui vous fait tant rêver…


26 vues0 commentaire

Nos coordonnées

F : 01 42 89 28 77

P : 06 16 47 25 86

jocelyn.grignon@legal-digital.fr

Notre siège

102 av. des Champs Elysées

75008 Paris, France