Diagnostiquer les risques dans votre organisation achats
Un autodiagnostic mené sur votre service achats peut prévenir les dysfonctionnements d'une organisation, repérer ceux qui sont en germe et en identifier les causes pour mieux agir. Mais connaître les pratiques d'organisation adoptées pour maîtriser ses risques réclame énergie, méthode et outils.
Je m'abonnePrévenir les dysfonctionnements d'une organisation et/ou repérer ceux qui sont en germe, identifier leurs causes, connaître les pratiques d'organisation communément adoptées pour maîtriser ses risques, réclame énergie, méthode et outils. Première étape, l'autodiagnostic avec, comme prérequis, une démarche de self-audit participative. Elle consiste à faire élaborer par les directeurs et les chefs de service un autodiagnostic sur le système de contrôle interne.
Cette démarche de self-audit permet de renforcer le management des équipes, maîtriser les risques de l'organisation, améliorer l'efficacité administrative, fiabiliser les opérations et les circuits d'informations, localiser les sources de dysfonctionnement, réduire les zones d'incertitude, préciser les indicateurs de gestion et les procédures à suivre. Elle contribue également au renforcement de l'efficacité et de la cohésion de l'équipe qui travaille à identifier à la fois les forces et les points à améliorer dans les fonctions et l'organisation du service, en particulier, et de l'entreprise, plus globalement.
Contrairement à la situation d'audit ou de conseil en organisation, où les responsables doivent s'approprier le diagnostic de l'auditeur ou du consultant, la direction, dans le cas d'un autodiagnostic, est amenée à manifester sa capacité d'écoute vis-à-vis des problèmes relevés et à faciliter la mise en oeuvre des solutions proposées.
Organiser la qualité du contrôle intégré
L'audit interne est une activité qui doit être confiée à une équipe intervenant au troisième degré de la ligne de maîtrise des risques en vue, notamment, de vérifier la fiabilité de certains processus tandis que le contrôle interne (qu'il serait judicieux d'appeler contrôle intégré) est un dispositif impliquant tous les acteurs d'une organisation.
Reste que la mise en oeuvre du dispositif de contrôle interne peut nécessiter une impulsion. Il s'agit de promouvoir, au sein d'une entité, une culture de contrôle assurée ensuite d'une certaine permanence. Et il est donc bien naturel que quelqu'un s'en occupe, au moins temporairement, avant que le relais, soit pris par tous. Cette personne, appelée "contrôleur interne" intervient au second degré de la ligne de maîtrise.
Promouvoir et organiser la qualité du contrôle intégré est donc une obligation. C'était vrai hier, ça l'est sans doute plus encore aujourd'hui, avec l'évolution des activités de contrôle et de gestion des risques dont la nouvelle définition met davantage l'accent sur la prévention que sur la détection, et sur l'assurance que sur l'évaluation. Cette ambition forte met indirectement en relief la nécessité d'un dispositif de contrôle pertinent et de qualité, et aussi bien maîtrisé que possible par ceux qui en ont la responsabilité.
Pierre Schick est l'auteur de "Le Guide d'audit des achats et des ventes - 81 items pour identifier et maîtriser les risques dans votre organisation" paru aux éditions Eyrolles, dans la collection "Performance".
Ce guide propose des outils pratiques et performants susceptibles d'accompagner efficacement la démarche initiale de conception des contrôles internes de base d'une activité. Cet outil dédié aux risques achats dans l'organisation et est constitué de deux volets.
Le premier volet est un guide d'auto-diagnostic de 52 questions couvrant l'ensemble de l'activité achat. Il permet aux dirigeants d'apprécier le degré de maîtrise des opérations, les étapes du processus, de contractualisation, la sécurité de l'organisation, le fonctionnement et le pilotage de son activité.
Le second volet, plus volumineux, reprend dans un tableau des risques, les mêmes questions, avec la même numérotation, et les détaille en plusieurs centaines d'indicateurs. Il apporte au dirigeant des réponses concrètes aux questions, soit pour ses directeurs quand ils doivent y répondre chacun dans leur domaine, soit pour l'auditeur ou le contrôleur interne afin de guider leurs analyses de risques.
Comment examiner son activité
Une des premières tâches consiste à sensibiliser les dirigeants au concept de contrôle intégré et à ses enjeux. Nous conseillons le schéma d'examen d'activité ci-dessous.
Dans ce schéma, qui aide à comprendre le fonctionnement opérationnel de l'organisation analysée, on cherchera, via une série de questions, à obtenir des informations sur :
- les finalités ou objectifs, y compris leur cohérence avec les politiques et la stratégie ;
- la définition des responsabilités ;
- les moyens (ressources) ;
- les méthodes (pratiques de travail) ;
- le processus à travers les tâches réalisées ou à réaliser ;
- les résultats, leur suivi, et leur comparaison aux objectifs.
À la suite de la démarche de sensibilisation, l'envoi de questionnaires aux dirigeants aboutit, avec l'assistance de leurs collaborateurs, à la réalisation d'un prédiagnostic synthétique du niveau de contrôle interne de leur entreprise, qui identifie les risques de leur organisation.
La première partie du questionnaire se contente de présenter la liste des difficultés (en abscisse) pour que le dirigeant puisse indiquer (en ordonnée) pour chacune d'entre elles s'il est serein ou s'il doit s'en préoccuper. Exemples de questions : "Êtes-vous sûr de la pertinence du système d'information fournisseur ?", "Êtes-vous sûr que les critères d'utilisation des fournisseurs sont clairement définis et sont utilisés ?", "Êtes-vous sûr que les relations acheteur-fournisseur sont clairement définies et que l'impact du poids du fournisseur est contrôlé ?"
Outre un repérage des risques dans l'organisation, ce survol leur donne un ordre de priorité pour approfondir leur étude et leur résolution.
Selon les zones de risques identifiées, trois solutions sont possibles :
- le contrôle interne paraît satisfaisant et aucune action n'est envisagée sur le court terme ;
- des actions d'amélioration rapidement identifiables sont envisagées et sont traitées par le comité de direction, en s'appuyant sur le guide proposé ;
- les risques ou les besoins paraissent importants et un diagnostic global du système de contrôle est engagé avec une assistance méthodologique externe ou interne.
Il peut être intéressant de bâtir un tableau présentant une liste de risques dans votre organisation. Chaque préoccupation est organisée sur cinq parties.
Il ne s'agit pas de règles absolues mais de règles de bon sens, de sagesse. Beaucoup seront directement transposables dans votre entreprise, et cette check-list sera directement utilisable. D'autres nécessiteront des adaptations à votre cas. Cela peut donner lieu à l'intégration de nouveaux critères dans le guide ou à l'adaptation de critères existants au cas particulier rencontré.
Lire aussi : Compliance et achats responsables - Comment naviguer entre réglementation et création de valeur ?
L'équipe constituée (direction et management de l'activité) décrit les indicateurs existants pour atteindre les objectifs et éviter les risques listés dans le guide d'audit, support de la réflexion.
Le résultat de l'autoévaluation et la recherche de solutions d'amélioration
L'équipe constituée est en mesure de réfléchir sur les indicateurs décrits lors de l'étape précédente :
- sont-ils suffisants et complets pour atteindre les objectifs et éviter les risques ?
- que fait apparaître la comparaison avec les tableaux du guide ?
- que manque-t-il ?
Ce travail reprend la description des risques et doit aboutir à des propositions d'amélioration du système de contrôle interne en les classant en deux catégories :
- les mesures internes à chaque direction en affectant des priorités à travers des critères comme la facilité (l'importance et la pondération des critères doivent rester intuitives) ;
- les mesures requérant la collaboration d'autres directions (soit pour qu'elles fournissent une prestation nouvelle ou meilleure, soit pour qu'elles acceptent de recevoir une prestation différente de l'actuelle, soit pour modifier la répartition des tâches) en en qualifiant l'importance.
Lire aussi : Vendor Management System vs e-procurement : le match des solutions d'achats de prestations intellectuelles
L'ensemble des solutions d'amélioration peuvent être reprises dans des fiches de suivi du plan d'action, qui précisent :
- le problème (quoi) ;
- les risques encourus (enjeux, conséquences = pourquoi) ;
- les solutions d'amélioration décidées pour s'en prémunir (comment) ;
- le pilote du groupe de travail et les interlocuteurs
- fonctions concernées (qui) ;
- le planning prévisionnel des actions à réaliser (quand).
L'auteur : Pierre Schick
Diplômé de l'ESCP (MBA et DMSE) et d'HEC (Cesa Achats), licencié ès sciences économiques, Pierre Schick est actuellement directeur des achats tertiaire - prestations à EDF. Il a occupé des responsabilités managériales en gestion, dans des activités achats et commerciales, ainsi qu'au sein des directions d'audit de Bull, Usinor et EDF. Auteur de plusieurs ouvrages, dont Audit interne et référentiels de risques (Dunod), il enseigne l'audit interne et la maîtrise des risques dans le cadre d'écoles et universités, en France comme à l'étranger.