Contrôle permanent – Les erreurs à ne pas faire

Le contrôle permanent est un moyen classique d'identifier les risques d'une entreprise. Cet article revient sur les erreurs fréquentes qu'il ne faut surtout pas faire

1- Contrôler les détails

C’est souvent tentant lorsqu’on a une liste d’exigences ou un cadre de gouvernance très riche. Il ne faut pas essayer de tout contrôler par les contrôles permanents.

Cette erreur fréquente lors de la rédaction des contrôles, revient à confondre le risque et la qualité. Si une procédure n’a pas la bonne en-tête ou si le nom du responsable n’est plus tout à fait à jour, mais que les collaborateurs connaissent les bons interlocuteurs, tout ce que vous risquez, c’est qu’un nouvel arrivant perde un peu de temps. D’un point de vue risque, il n’y a pas de problème.

2- Restituer des résultats bruts

Lors de l’exécution des contrôles, il faut considérer la réponse aux contrôles comme le moyen de remonter des alertes de risques fortes.

Les résultats des contrôles doivent être factuels mais pas alarmistes. Considérez qu’un contrôle qui ressort en échec est un point d’attention important amené au management. Là encore privilégiez une approche risque : Une fois les résultats factuels collectés, analysez-les et ne remontez en échec que les zones qui exposent vraiment votre entreprise à des risques.

Par exemple :

  • le contrôle veut que toutes les applications exposées sur internet soient équipées d’une authentification multifacteurs des utilisateurs.
  • Le contrôle remonte une anomalie : mon site de vente, pour lequel les clients se connectent directement. 
  • Après analyse, on légitimera la connexion des clients sans authentification multi-facteurs et on s’assurera que les administrateurs ne peuvent pas by-passer l’authentification forte.
  • Le résultat du contrôle ne remontera pas d’alerte.

L’important ici est de comprendre le risque que couvre le contrôle, en retirer l’esprit, et évaluer ce risque, sur la base des éléments factuels.

3 - Ne pas avoir une Equipe dédiée

Le contrôle permanent est un métier à lui seul. Certes, chacun peut s’approprier un fichier Excel ou un contrôle précis et les experts de chaque métier sont les mieux placés pour connaître leur activité, ses subtilités et ses risques. Il est tout de même important que des personnes dédiées gèrent les contrôles permanents. Elles pourront plus facilement :

  • Investir le temps nécessaire pour préparer les campagnes de contrôles, accompagner les contrôleurs et restituer les résultats de la campagne. Cette activité chronophage ne s’intègrera pas dans le plan de charge d’une équipe opérationnelle.
  • Prendre du recul pour analyser les réponses aux contrôles, les preuves, interroger le périmètre, apporter de la valeur ajoutée au plan de contrôles
  • Bénéficier des acquis d’une campagne à l’autre et améliorer l’expérience de chacun pour réaliser cet exercice parfois mal perçu

4 - Ne pas prévoir de budget

Outre le financement d’une équipe spécialisée, l’exécution demande du temps, donc des ressources à tout le monde

  • L’équipe contrôlée qui doit fouurnir des preuves et parfois répondre aux questions
  • Le contrôleur : propriétaire de processus ou responsable sécurité, ou manager, qui doit contacter les équipes, étudier les preuves et les confronter aux contrôles
  • L’équipe dédiée dont les activités variées sont décrites en amont, pendant et après la campagne
  • Le management qui doit recevoir les conclusions, les questionner, se les approprier puis financer les plans d’actions

En bref, cette activité de run ne doit pas seulement vue comme le coût de l’équipe qui chapotte les contrôles, mais comme un budget dont chacun aura besoin.

5 - Être mal outillé & préparé

Que l'on me donne six heures pour couper un arbre, j'en passerai quatre à préparer ma hache

Abraham Lincoln

Pour couper un arbre, deux choses sont donc primordiales : la préparation, et la hache.

Préparation de la campagne de contrôles

Même avec les plus grands experts du monde, il est impossible de réussir une campagne de contrôles mal préparée. Voici quelques points à ne surtout pas négliger en phase de préparation :

  • Etudier les contrôles avec les contrôleurs et les experts
  • Prévenir les équipes contrôlées
  • Faire un kick off qui présente un agenda clair de la campagne

Outillage d'une campagne de contrôles

Excel est un outil formidable, mais on ne fait pas la même chose avec un couteau suisse qu’avec une formule 1. Si vous n’avez aucun enjeu réglementaire, il est peu probable que vous fassiez des contrôles, et si vous en avez un, vous devez pouvoir prouver les résultats, les décisions et que les données n’ont pas été modifiées après la campagne.

Voici quelques points à prendre en compte :

  • Un outil dédié permet d’attribuer les contrôles à la(les) bonne(s) personne(s) 
  • L’outillage doit permettre de tracer les décisions et les modifications des données
  • L’outillage doit gérer les droits, tout le monde n’a pas besoin d’accéder à tout
  • Les preuves doivent être stockées de manière pérène et non altérables dans un endroit sécurisé (certaines sont confidentielles)

6 - Ne pas fédérer

Lorsqu’on parle « contrôle« , beaucoup pensent « sanction« . Personne ne vous aidera à les contrôler s’ils pensent être la la cible de sanctions. La mauvaise foi peut ruiner tous vos efforts. Gardez à l’esprit que les experts qui seront contrôlés seront toujours capables de dissimuler des éléments s’ils le souhaitent.

J’ai l’habitude de présenter le contrôle comme un levier, un moyen d’actions pour les opérationnels, qui leur permet d’attirer l’attention du management sur leurs difficultés et légitimer un besoin de moyens supplémentaires. Cette approche fonctionne bien et garantit une vraie transparance des opérationnels. Attention touefois, il arrive que des collaborateurs accentuent certaines défaillances pour demander un budget, alors qu’il n’y a pas vraiment de risque. Comme dit au début de l’article : Restez concentré sur les risques

7 - Insuffisamment Documenter

Le sujet a été effleuré lors de l’outillage mais il mérite un paragraphe dédié.

De la même manière qu’un compte-rendu permet de se souvenir de ce qui avait été décidé, et de le présenter en cas d’audit, il est impératif de documenter les choix qui sont faits concernant les contrôles, en particulier les éléments suivants :

  • Repréciser le périmètre d’un contrôle
  • Traduire/adapter un contrôle dans le vocabulaire et l’environnement de votre entreprise
  • Revoir un résultat en échec comme valide et apporter une justification
  • Accepter un élément de preuve en lieu et place d’un autre car il couvre le même risque
  • Lister les plans d’actions initiés ou à arbitrer et les responsables de mise en oeuvre

8 - Ne pas avoir le bon sponsor

Si vous n’êtes pas déjà convaincus avec les points précédents, le contrôle permanent demande des moyens en temps, en personnes et en budget. L’adhésion de tous ne peut se faire que si la direction juge l’exercice utile et l’approche décrite plus haut pour fédérer les équipes n’est valable que si elle est honête.

La direction doit donc sponsoriser personnellement cette activité afin de lui donner le mandat et les moyens d’apporter de la valeur à tous les niveaux. 

Selon le sponsoring qui est apporté, le contrôle permanent peut être une formidable opportunité pour l’entreprise ou une incroyable perte de temps et d’argent.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Résoudre : *
10 + 16 =