William BORIHANE
Conseil-Accompagnement-Formation ISO-QHSE au Cadres en mission
Audits Internes
INTRODUCTION À L'AUDIT INTERNE
DEFINITION
L’audit interne est une pratique consistant à mesurer l’efficacité des moyens mis en oeuvre par une entreprise afin de réaliser ses objectifs.
L’audit interne est devenu au fil des années un outil de management au service de l’organisation. Il apporte un second regard sur l’efficacité des systèmes de gestion des risques et de contrôle interne.
L’audit interne est une activité exercée en équipe au sein d’une entreprise par des personnes formées. Elle a pour but une amélioration des performances de l’entreprise en s’assurant de son bon fonctionnement et en apportant des conseils. Il s’agit d’une approche de perfectionnement des processus de gestion des risques, de surveillance et de gouvernance d’entreprise.
L’audit interne, permet de répondre à 5 objectifs :
- Vérifier la conformité aux exigences de l’entreprise (normes, textes réglementaires, cahiers des charges, spécifications clients, etc.).
- Vérifier que les dispositions organisationnelles (processus) et opérationnelles (procédures, instructions, etc…) sont établies et appliquées.
- Vérifier l’efficacité du domaine audité, c’est-à-dire son aptitude à atteindre les objectifs.
- Identifier des pistes d’amélioration et des recommandations pour conduire l’entreprise vers le progrès.
- Conforter les bonnes pratiques observées pour encourager les équipes et capitaliser ces pratiques dans l’entreprise.
L’audit interne concerne normalement toutes les activités de l’entreprise (Organisations, Finances, Développement durable, etc.).
Pour réaliser un audit interne, la première étape est de comprendre l’organisation de l’entreprise auditée de façon globale. Ensuite, il faut se déplacer à la rencontre des collaborateurs afin de les interroger. En effet, ce sont les mieux placés pour répondre aux questions concernant leurs métiers et les processus utilisés. Le résultat du questionnaire permet d’identifier les risques potentiels et avérés de l’organisation.
L’audit est un exercice qui doit se faire de manière complètement objective sans être influencé par les préférences techniques de l’auditeur. Il faut écouter son interlocuteur et distinguer les faits des opinions. C’est un exercice qui demande de la rigueur, de l’écoute, et du recul.
Pour finir l’audit se veut être une pratique basée sur l’approche risque. Il convient de toujours identifier le risque potentiel ou avéré qu’une situation observée pourrait induire sur les résultats de l’entité ou sa performance, ainsi que les écarts constatés entre ce qui est attendu et ce qui est pratique.
LES DIFFERENTS TYPES D’ÉCARTS
Les Points Sensibles
Il s’agit de dispositions conformes aux exigences internes ou externes mais qui tendent à dériver et donc à devenir non-conformes. Les points sensibles sont bien utiles en audit, puisqu’ils peuvent servir de « mémo » pour revenir sur une situation sensible lors du prochain audit. Attention toutefois à ne pas se servir de ce type de constats comme un fourre-tout. C’est entre autre pour cette raison que certains organismes certificateurs n’utilisent plus ces constats, ils veulent ainsi obliger les auditeurs à se positionner sur les situations observées, (« c’est bon ou ça ne l’est pas… »).
Exemple de point sensible formulé : « Les conditions de diffusion des nouveaux documents sur le nouvel outil informatique de gestion documentaire ne sont pas documentées dans la procédure de maîtrise documentaire. »
Les Pistes de Progrès
Il s’agit d’observations « ni bonnes, ni mauvaises », ce sont en fait des recommandations de l’auditeur qui permettent à l’entreprise de progresser, de s’inscrire dans la performance durable, dans l’excellence. C’est le seul moment où l’auditeur peut formuler son avis par écrit.
Exemple de piste de progrès formulée : « Les personnes ayant soumis des suggestions d’amélioration ne sont pas à ce jour tenues informées du résultat des actions entreprises. Il conviendrait donc, pour contribuer à l’implication de chacun, de les informer des actions entreprises et de leur résultat. »
Vous remarquerez que la piste de progrès est formulée au conditionnel, ce qui signifie que l’entreprise n’est pas obligée de suivre la recommandation. Il faut être vigilant sur la formulation des pistes de progrès car elles engagent l’auditeur et l’entreprise pourrait lui reprocher l’inefficacité de la mesure entreprise sur ces recommandations. Mieux vaut quelques pistes de progrès bien pensées qu’une myriade sans valeur ajoutée.
Les Points Forts
Il s’agit là de dispositions observées qui vont au-delà des exigences des référentiels internes et externes et qui conduisent l’entreprise vers l’excellence. L’objectif de l’audit est aussi de valoriser et capitaliser les forces de l’entreprise, il ne faut pas oublier de signifier les situations positives. Certains auditeurs l’oublient parfois et s’inscrivent dans un exercice de chasse à la non-conformité.
Exemple de point fort formulé : « La méthode de suivi des non conformités et des actions d’amélioration sur un unique tableau informatique accessible à tous permet une bonne circulation de l’information et une capitalisation interservices des actions entreprises et de leur résultat. »
Attention aux points forts qui n’en sont pas, du genre. La formulation de points forts pertinents et gage de crédibilité de l’auditeur. Pour éviter les « faux » points forts, il faut chercher à formuler les bénéfices apportés par la situation observée. S’il n’y en a pas, ce n’est pas un point fort…
Les Non-conformités mineures
Il s’agit de dispositions non-conformes vis-à-vis des référentiels internes ou externes pour lesquelles la conséquence n’a pas été observée. Il s’agit donc d’un risque potentiel. Il convient donc d’évaluer le risque pour la conformité du produit, de la prestations, pour le client, pour la santé / sécurité des collaborateurs, …
Exemple de non-conformité mineure formulée : « Les documents qualité (procédures ou descriptions de postes actuelles) ne définissent pas clairement les autorités déléguées par la direction aux personnes chargées d’actes essentiels dans le fonctionnement de l’entreprise, tels que les signatures des offres, les commandes d’achats, la vérification et validation des étapes de la conception, les contrôles des produits en cours de production et en final.
Les pratiques actuelles et l’expérience constatée compensent le manque de formalisation, cela n’est néanmoins pas suffisant aux regards des exigences de la norme et présente un risque quant à la délivrance de produits non-conformes.
La formalisation du risque est indispensable pour faire prendre conscience de l’importance de la situation et de la nécessité à la corriger rapidement.
Les Non-conformités majeures
Il s’agit de dispositions non-conformes vis-à-vis des référentiels internes ou externes pour lesquelles la conséquence a été observée. Il s’agit donc d’un risque avéré. Il convient donc de rechercher le risque pour la conformité du produit, de la prestations, pour le client, pour la santé / sécurité des collaborateurs, …
Exemple de non-conformité majeure formulée : « Les équipements de surveillance et de mesure utilisés pour le contrôle final avant libération aux clients ne font pas l’objet de vérifications périodiques, interne ou externe.
De plus, sept réclamations clients relatives au non-respect des tolérances dimensionnelles des produits livrés ont été enregistrées au cours de l’exercice.
La formalisation du risque est indispensable pour faire prendre conscience de l’importance de la situation et de la nécessité à la corriger rapidement.
Il faut donc retenir que la rédaction du rapport d’audit est une étape majeure qui ne doit pas être négligée, au risque de perdre en crédibilité, ou pire en valeur ajoutée… Et bien évidemment, ces recommandations s’appliquent pour tous les types d’audits (produits, processus, système, audit fournisseur, …) et tous les référentiels (QSE, RH, Finances, …).
METHODOLOGIE
ETAPE 1 - IDENTIFICATION DES PROCESSUS
Dans cette étape, il s’agit d’analyser le fonctionnement global de l’entreprise, et tous les rouages qui en découlent. Il faut connaître de près les domaines étudiés, et les découper en simples activités Cela dans le but d’identifier les processus utilisées dans l’entreprise.
Une fois les processus pratiqués identifiés, il faut analyser les avantages et inconvénients des processus. Plus précisément, il s’agit de quantifier les risques avérés ou potentiels qui sont provoqués par ces processus.
Pour cela, il est parfois nécessaire, selon la taille de l’entreprise, de récolter une grande quantité de documents (référentiel normatif et/ou réglementaire, rapport du précédent audit, manuel qualité, fiches processus, organigramme, tableau de bord présentant les objectifs et les résultats, etc.).
ETAPE 2 - RÉALISATION DE QUESTIONNAIRES
Une fois l’analyse préalable terminé, il faut réaliser un questionnaire, qui servira à préparer les entretiens individuels. Ce questionnaire doit bien sûr se baser sur votre analyse. Les question doivent pouvoir couvrir tous les sujets étudiés. Utiliser la méthode du QQOQCCP peut se révéler utile. C’est une méthode empirique de questionnement qui permet d’avoir sur toutes les dimensions du problème, des informations élémentaires suffisantes pour identifier ses aspects essentiels. Il s'agit de poser les questions de façon systématique afin de n'oublier aucune information connue.
ETAPE 3 - ENTRETIENS INDIVIDUELS
Avant de démarrer les entretien individuels, il convient d’exposer clairement aux audités le périmètre et les objectifs de l’audit.
Ensuite, pour pouvoir mener à bien cet entretien, il faut respecter quelques règles de base :
- Adopter une attitude objective, sans extrapolation personnelle. Éviter d’être influencé par ses propres origines techniques.
- Rester naturel et attentif. Discerner les faits exceptionnels et habituels.
- Observer le fonctionnement de l’entité auditée. Réfléchir en termes de résultats et non de moyens.
- Écouter l’interlocuteur, ne pas le devancer. Bien observer l’interlocuteur (ton, émotion, gestes). Distinguer les faits des opinions.
ETAPE 4 - LISTING DE PRÉCONISATIONS
Avec les données issue de votre analyse personnelle et les données récoltées des entretiens individuels, vous devriez avoir une base de données vous permettant de proposer des solutions possible.
Pour cela, il faut déjà mettre en relation les données de votre analyse avec les données de l’entretien individuel. Si les données sont plutôt en accord entre elles, vous pouvez estimer que votre analyse personnelle est plutôt cohérente. Aussi, vous devriez avoir identifié de nouveaux problèmes dans l’organisation, ainsi que des précisions sur les processus déjà identifiés préalablement, voire même, des processus pas du tout identifiés. Il faut bien sûr prendre en compte ces paramètres et les analyser finement afin de proposer des solutions.
Un listing de préconisations sera alors établi. Il s’agit d’un simple listing de préconisations que vous proposerez, en expliquant quel risque il est censé atténuer.
Le listing de préconisations est envoyé à la direction, qui pourra donc prendre des décision stratégiques et adoptant les préconisations voulues. L’entreprise peut tout à fait rejeter certaines préconisations. Un plan d’action est alors élaboré, planifiant la mise en places des préconisations. Attention toutefois, les changement suggérés ne doivent pas être mises en place d’un coup, mais de façon progressive, pour que chaque intervenants puisse s’adapter.
ETAPE 5 - SUIVI
Enfin, vient le suivi. Il s’agit tout simplement de vérifier que les changements ont correctement eu lieu et que les objectifs attendues soient bien au rendez-vous.
CONCLUSION
L’audit interne est une méthode vraiment efficace dans le domaine de la gouvernance d’entreprise. C’est une opération qui peut cependant prendre du temps et demander des moyens considérables afin d’effectuer des changements. Néanmoins, c’est une opération nécessaires à toute organisation aspirant à une progression de leur activité.
En effet, une organisation est généralement en perpetuelle changement. De fait, être informé et pouvoir contrôler les processus et les risques en place primordial pour sa pérennité.