Les régulateurs comme les investisseurs sont de plus en plus attentifs à la culture d'une organisation et à son impact. Les dix-huit derniers mois ont été émaillés par des scandales spectaculaires impliquant des marques connues, ce qui a provoqué un examen approfondi non seulement de la mécanique de ces phénomènes, mais aussi de l'atmosphère dans laquelle ils se sont déroulés.
Lors de billets précédents, j'ai proposé des analyses expliquant comment les ratés de la bonne gouvernance avaient contribué à ces scandales, notamment à la FIFA, chez Toshiba ou chez Volkswagen. Examinons à présent l'impact de la culture d'une organisation sur ce qui devrait être au centre des audits internes : la gouvernance, le risque et le contrôle (GRC).
Cet acronyme a de nombreuses définitions. Dans le cadre de ce blog, j'utiliserai celle qui est proposée dans l'ouvrage
Internal Auditing: Assurance & Advisory Services, qui correspond assez bien à l'idée que je m'en fais.
La gouvernance. Le livre définit la gouvernance comme : « [...] la combinaison de processus établis et mis en œuvre par le Conseil d'administration (CA) pour atteindre des objectifs donnés, et que l'on retrouve dans la structure et la gestion de l'organisation. »
La deuxième partie de la définition, « pour atteindre des objectifs donnés, et que l'on retrouve dans [...] la gestion de l'organisation » est très proche de la définition de la culture organisationnelle, autrement dit « comment on travaille ». Dès lors, il n'est pas surprenant que les problèmes de culture d'entreprise soient en partie dus à une mauvaise gouvernance, ou que celle-ci les accompagne.
Dans un récent rapport, « Corporate Culture and the Role of Boards » (La culture d'entreprise et le rôle des CA), le Financial Reporting Council est très clair à ce sujet : « Le Conseil d'administration doit comprendre les comportements dans toute l'entreprise et agir lorsqu'ils ne sont pas en adéquation avec ses valeurs ou qu'ils sont mal informés. » Il invite les CA à débloquer suffisamment de ressources pour évaluer la culture de leur entreprise.
Il est donc impératif que les conseils d'administration ne se contentent pas de définir la culture, mais qu'ils la surveillent. Et l'audit interne est l'assurance la plus objective quant à la santé d'une culture.
Le rapport identifie un certain nombre de domaines dans lesquels un CA peut façonner une culture. Je recense deux principaux leviers :
- Les codes de déontologie et de conduite. Ces outils permettent de transformer les valeurs de l'organisation en conseils et en politiques susceptibles d'influencer les comportements, qui peuvent ensuite être suivis et mesurés.
- La nomination de la Direction. Les CA doivent comprendre que, même si ce sont eux qui définissent la culture de leur organisation, c'est bien son équipe de Direction qui en assure concrètement la mise en place.
Le rapport précise : « Les Conseils d'administration doivent participer activement à la mise en œuvre, à la supervision et au suivi de la culture, et rappeler à l'ordre le ou la PDG qui ne travaille pas conformément à leurs attentes. »
Les services d'audit interne, quant à eux, doivent être adaptés à la culture de leur organisation et avoir la capacité et la volonté de signaler au CA à quel moment et à quel niveau la culture présente des signes inquiétants.
Le risque. Il existe une multitude de définitions du risque et de sa gestion. Le manuel d'audit interne, pour continuer avec lui, définit la gestion du risque comme : « [...] la prévision et la gestion des risques qui pourraient empêcher l'organisation d'atteindre ses objectifs. »
La culture du risque dans une organisation doit être conforme à ses valeurs. Si ça n'est pas le cas, cela peut rendre la gestion du risque inefficace.
Dans un billet précédent, j'ai utilisé une analogie pour mieux représenter le positionnement en matière de risque. Les niveaux de risque correspondent à différentes files d'autoroute, et le CA demande à la Direction de conduire sur des files données. Le service d'audit interne doit donc bien connaître le positionnement du CA par rapport au risque, afin de savoir quand et où l'entreprise sort des files. Quand la culture d'une organisation pousse – voire récompense – la Direction à « conduire à tombeau ouvert », sans se soucier de la file, cela se solde souvent par un accident.
Le CA comme le service d'audit doivent être capables de comprendre quand la culture de leur entreprise génère d'autres risques (par exemple si la fin justifie les moyens), et prendre des mesures pour identifier et réduire ces risques.
Le contrôle. Nous savons tous que des systèmes de contrôle interne bien conçus et bien mis en place sont essentiels pour réduire les risques. Si la culture définit « comment on travaille », le meilleur baromètre pour la culture d'une société est l'importance qu'elle attache à la solidité de ses systèmes de contrôle.
L'une des principales missions des services d'audit interne auprès des dirigeants et du CA est de garantir la conception et l'efficacité des systèmes de contrôle. Le service d'audit doit être constamment aux aguets pour corriger une culture qui encouragerait la non-conformité par rapport aux mécanismes de contrôle de l'organisation, ou leur ignorance. Si des insuffisances ou des erreurs de contrôle sont identifiées lors d'une enquête d'audit interne, les auditeurs ont l'obligation de remonter jusqu'à la cause initiale, qui est souvent – je parle d'expérience – un problème culturel.
Un billet de blog ne permet que d'effleurer la surface d'un sujet aussi complexe que l'impact de la culture sur le GRC. Cependant, tandis que nos connaissances sur l'audit de la culture se constituent, il faut garder à l'esprit que celle-ci est perméable et peut influencer chaque aspect d'une organisation. Peter Drucker affirme que « pour son petit-déjeuner, une culture d'entreprise mange de la stratégie. » Si l'on veut poursuivre l'analogie, on peut dire que la gouvernance, le risque et le contrôle constituent son premier plat.
Dans la réflexion sur la culture et le GRC, une phrase du rapport du Financial Reporting Council a particulièrement retenu mon attention. On y cite
Built to Last: Successful Habits of Visionary Companies, un ouvrage dans lequel les stratégies et les pratiques changent, mais pas les valeurs.
Ce sont les valeurs au cœur des organisations et la manière dont les dirigeants les mettent en place qui font la force ou la faiblesse de leur GRC. Les Responsables de l'audit interne devraient chercher à comprendre clairement la culture de leur entreprise, puis concevoir leurs programmes et leurs stratégies d'audit interne à partir de là.
Comme toujours, vos commentaires sont les bienvenus.
Lecture 4 mn