« Quand on me demande de décrire ma carrière de 40 ans de navigation, je dirais : rien à signaler. Bien évidemment, j’ai traversé de nombreuses tempêtes, mais je n’ai à ce stade aucun incident à relater qui vaille la peine ».

E.J. Smith – Premier et dernier capitaine du Titanic, avril 1922

​

J’ai croisé plusieurs capitaines de Titanic, dont l’un, directeur commercial d’une zone géographique, estimait que la gestion des risques et le contrôle interne ne servaient à rien. En effet, il pensait que son expérience et son « intuition » des équipes lui permettaient de gérer tout type de situation, et que de toute façon, un manager comme lui était payé pour savoir réagir à l’incertitude sans être étouffé par les procédures et les bureaucrates qui cherchaient à les imposer. Malgré tous les efforts de discussion et de persuasion, il demeura inflexible.

​

Une affaire de corruption dans son périmètre coûta près d’un an de résultat net de son entreprise en amendes, l’accord passé avec les autorités incluant le licenciement du directeur commercial de la zone (qui avait, circonstance aggravante, essayé de traiter dans un premier temps l’affaire à son niveau sans alerter).

Un groupe allemand industriel avait cédé à un fonds d’investissement l’une de ses activités, dont le siège était en France. Le nouveau management devait rebâtir toutes les fonctions « corporate », désormais indépendantes, dans un contexte désormais beaucoup plus entrepreneurial.

​

Le dispositif de contrôle interne hérité de l’ancienne maison mère était très lourd et rigide, il ne correspondait plus, ni dans l’esprit ni dans la forme, aux attentes.

​

Une cartographie des risques a été d’abord réalisée pour bien s’accorder sur les priorités. Puis une nouvelle fonction intégrée audit interne et contrôle interne a été créée, en mode outsourcé pour gagner en flexibilité : les missions d’audit menée dans les filiales servaient à la fois à éclairer la direction générale sur la maîtrise des opérations en local, et également à bâtir un référentiel de contrôle issu des remontées terrain. En 2 ans, l’ensemble des filiales avaient été auditées, et le référentiel de contrôle couvrait tous les processus, en tenant compte des enjeux business. 

Une entreprise de services souhaitait créer un référentiel de contrôle interne qui reçoive l’adhésion des opérationnels, afin qu’il soit réellement appliqué, suite à des expériences précédentes peu concluantes.

​

Après un exercice rapide de découpage des principaux processus de l’entreprise, des groupes de travail par processus ont été montés, mixant des fonctions siège et des opérationnels. En deux ateliers d’une demi-journée par processus, impliquant entre 6 et 10 personnes, il a été possible de non seulement définir les contrôles clefs devant être appliqués par tous, mais surtout de détailler leur mode opératoire dans la « vraie vie », avec des exemples concrets. Dans la foulée, un manuel de contrôle a pu être déployé, avec un dispositif de « chat » interne, impliquant les membres des groupes de travail pour répondre aux questions. 

Le contrôle interne n’est plus perçu comme un outil du siège conçu de manière théorique. Sa mise en application est facilitée par les exemples des concrets sous chaque contrôle, et une véritable communauté d’entraide a été créée.

Un groupe avait l’habitude de réaliser de nombreuses acquisitions de petites entités. Comme souvent, une fois l’acquisition réalisée, le groupe était confronté aux difficultés habituelles post intégration : mise en lumière, parfois trop tardive, de problèmes non identifiés lors de la phase amont de due diligence, difficultés pour les équipes de rentrer dans les nouveaux processus et surtout la culture du groupe.

​

Il fût donc décidé de lancer systématiquement dès la première semaine une mission d’accompagnement, qui ne serait pas un audit : déclinaison de la cartographie des risques groupe dans le contexte de l’entité, revue des contrôles du référentiel groupe et de leur applicabilité. 

​

Via les risques et le contrôle interne, les sujets pouvaient être abordés de manière collaborative, mais en allant également dans le bon niveau de détail opérationnel. De fait, le groupe était rapidement en mesure d’anticiper les problèmes d’intégration de manière très large (systèmes d’information, contrats, ressources humaines, supply chain…).

Deux groupes industriels collaboraient ensemble autour d’un nouveau projet d’infrastructure. Le premier assumait l’ensemble de la responsabilité du projet, le second intervenait en sous-traitance sur une composante essentielle sur laquelle il possédait une expertise spécifique.

​

Il s’agissait d’un projet complexe, sur plusieurs années, avec un client exigeant, des spécifications définies au départ mais avec de nombreuses incertitudes techniques à lever au fil de l’eau, et des pénalités potentiellement significatives.

​

Avec l’accord des deux industriels et du client, un tiers de confiance indépendant a été désigné, pour faire un suivi tout au long du projet et permettre d’anticiper, voire d’éviter, tout problème pouvant conduire à des litiges (ce que chaque partie voulait de bonne foi éviter). 

​

En pratique, les différents jalons du projet faisaient l’objet d’une analyse détaillée, avec de plus la participation aux différentes instances de pilotage (réunions PMO, Steering Committee) et la revue des « livrables ». Certains points critiques, tels que des ajustements de spécifications ou de délais, ont pu être débattus et validés de manière proactive, en évitant l’application de pénalités.

Un groupe d’ingénierie avait le plus grand mal à faire appliquer les règles basiques d’imputation des temps sur les projets par les équipes. Soit les imputations se faisaient avec retard, soit elles étaient fondées sur des règles mécaniques de calcul non liées aux temps réels, soit elles étaient tout simplement non renseignées. De fait, il n’était pas possible de suivre la rentabilité des projets et leur facturation.

​

Compte tenu de l’ampleur du problème, il avait été décidé de procéder à une analyse poussée des « root cause ». Des ateliers au sein des différentes équipes ont été menés et ont permis d’identifier les freins devant être traités : incompréhension de la part des équipes d’ingénierie quant aux objectifs du dispositif d’imputation (beaucoup croyaient qu’il s’agissait d’un simple exercice « comptable » n’étant pas du niveau d’un ingénieur), nombre de codes et sous-codes projets beaucoup trop importants et changeant constamment, problèmes d’ergonomie du système de saisie, absence de reporting des saisies et absences de saisie aux managers d’équipes. 

​

Les actions mises en œuvre ont non seulement permis d’améliorer l’exhaustivité et la fiabilité des saisies, mais ont rendu l’ensemble du processus plus « lean », d’où un gain de temps pour toutes les équipes.

Dans le cade de la loi Sapin 2, un Groupe français souhaitait développer des analyses des transactions les plus critiques pour pouvoir s’assurer qu’elles ne pouvaient pas être liées à des actes de corruption.

​

L’un des schémas de corruption identifié visait à faire profiter des clients de remise / avoirs ou de tarifications injustifiés, ainsi que de mise disposition de stocks « gratuits ». 

​

Une analyse de donnée permettant de cibler les anomalies a donc été développée, avec un tableau de bord interactif présentant les niveaux de remises, d’avoirs ou de stocks gratuits par client (voire par type de produit), ainsi que les déviations par rapport aux tarifications contractuelles. 

​

Le management des filiales a de fait pu disposer d’analyses qu’il n’avait pas jusqu’à présent, et, au-delà des enjeux de corruption, a rapidement utilisé les tableaux de bord pour mieux piloter le business opérationnel, ce qui a largement justifié le retour sur investissements du projet.

Une cartographie des risques avait été menée de manière classique, en menant des entretiens avec les différents membres du Comex d’une entreprise familiales, ainsi que certains responsables fonctionnels. 

​

Une vingtaine de risques « corporate » avaient été identifiés, ils avaient été revus par le Président fondateur, qui les avait hiérarchisés. Une première présentation en Comex, qui avait pour objectif de définir des plans d’actions, s’était mal passée, certains membres n’étant manifestement pas alignés sur l’importance de chaque risque.

​

Il avait donc été décidé de reprendre l’analyse, de manière à approfondir certains risques, qui avaient été mal définis et dont l’intitulé seul pouvait conduire à des interprétations différentes. Puis un atelier Comex d’une journée avait été monté, cette fois-ci de manière plus collaborative (et animée) : les points de divergence avaient cette-fois été appréhendés comme des opportunités d’échanger entre membres du Comex, qui souvent ne voyaient chaque risque que selon le prisme de leurs périmètres de responsabilité.