novembre 2004 — ÉDITION IMPRIMÉE

novembre 2004

Contenu

Résultats du questionnaire sur le contrôle

Par David Bickley

Si vous avez répondu à notre questionnaire dans le numéro de juin-juillet 2004, vous savez si les contrôles de votre organisation sont exceptionnels ou déficients. Mais peut-être voudrez-vous connaître les résultats des autres?

Voici donc ces résultats et ils sont étonnants! Plus des trois quarts (76 %) des répondants se sont classés dans la tranche «bon à excellent», et seulement 2 % d’entre eux se sont retrouvés dans la zone Enron. Plusieurs raisons peuvent expliquer d’aussi bons résultats, notamment les suivantes :

les organisations ont réagi aux scandales comptables en consacrant une quantité considérable de temps et d’argent à améliorer leurs contrôles;
il se peut que la plupart des répondants œuvrent dans de petites organisations dont la structure est souple, et qui peuvent concevoir et mettre en œuvre les contrôles rapidement. Les comptables des grandes multinationales étaient peut-être pour leur part trop occupés à se conformer aux exigences de la Loi Sarbanes-Oxley pour répondre au questionnaire;
des répondants impatients ont faussé les résultats. Surprise! Certains répondants ont répondu à quelques questions seulement et sont ensuite passés directement au commentaire.

Le questionnaire n’a toutefois jamais été conçu en fonction du résultat final. Il visait plutôt à faire réfléchir les lecteurs sur les problèmes de conception et de culture d’entreprise qui se répercutent négativement sur les contrôles d’une organisation. Mais qu’ont à voir la conception et la culture avec les contrôles, demanderez-vous? Beaucoup de choses, comme vous pourrez le constater au fil de votre lecture de cet article.

Conception des contrôles et culture
Qu’évoquent pour vous les mots conception et culture? L’opéra? Le ballet? Des réceptions en tenue de soirée? De la décoration intérieure? Probablement tout sauf les contrôles d’une organisation et pourtant, en l’absence de processus bien conçus et d’une culture adéquate, une organisation ne peut avoir des contrôles efficaces.

Les contrôles visent principalement à aider une organisation à atteindre ses objectifs en prévenant et en détectant les erreurs et les méfaits susceptibles de perturber ses processus. Les contrôles ne peuvent être considérés isolément mais plutôt en combinaison avec les processus de l’organisation et les objectifs de celle-ci pour chacun des processus.

Lorsque les processus sont conçus adéquatement, ils réduisent le risque d’erreurs et de méfaits, car ils tiennent compte du facteur humain : d’une part, tout le monde fait des erreurs et, d’autre part, certaines personnes n’éprouvent aucun scrupule à exploiter les défauts de conception. Une culture axée sur le contrôle réduit le risque d’erreurs et de méfaits en façonnant les comportements des gens — en leur faisant savoir qu’on s’attend à ce qu’ils respectent le contenu (et non uniquement la forme) des politiques, des procédures et autres contrôles.

Culture
La culture d’une organisation est établie par la haute direction, par l’intermédiaire de ses actes et de ses paroles, et se caractérise notamment par l’attitude de la haute direction à l’égard des contrôles. La culture d’une organisation peut varier considérablement d’un établissement, groupe ou service à un autre, selon la personne qui est aux commandes et la marge de manœuvre dont elle dispose.

Comment une mauvaise attitude peut-elle saboter des contrôles qui semblaient parfaits sur papier? Tout simplement parce que les gens font les choses machinalement, s’attachant plus à la forme qu’au fond. Les éléments sont approuvés sans examen minutieux, les dérogations aux politiques deviennent la règle, les failles des systèmes sont activement exploitées, les problèmes sont négligés et les normes ignorées, les solutions miracles courantes et le réseau de contacts est plus important que les connaissances.

Quelles sont les caractéristiques d’une culture axée sur le contrôle solide? On peut citer la reddition de comptes, la cohérence et l’équité dans l’application des normes et des politiques, la compréhension des processus et de leurs objectifs, l’ouverture au sujet de la performance, des attentes, des problèmes et des solutions potentielles. Le fait qu’une culture axée sur le contrôle soit solide ne veut cependant pas dire qu’elle s’assortit d’une faible tolérance à l’égard de tous les risques, mais plutôt d’une faible tolérance à l’égard des erreurs et des méfaits.

Reddition de comptes
La reddition de comptes est un concept merveilleux que la plupart des organisations disent adopter, ce qui est démenti par leurs employés. Quel est le problème? Une véritable reddition de comptes suppose l’évaluation de la performance par rapport aux objectifs énoncés et à des attentes réalistes. Or, les objectifs sont hélas souvent peu clairs et les attentes irréalistes.

Les objectifs et les attentes sont deux choses différentes. Les objectifs sont les buts que chaque personne est tenue d’atteindre tandis que les attentes renvoient à la fréquence à laquelle les buts devraient être atteints. Par exemple, l’objectif d’un gardien de but est d’arrêter tous les tirs. L’attente à son égard est qu’un excellent gardien de but arrête 93 % des tirs. Un pourcentage plus élevé est irréaliste, un pourcentage plus faible met la barre trop bas.

Mais, quel rapport y a-t-il entre reddition de comptes et contrôles? Le lien entre les deux est très étroit. En effet, si on n’oblige pas les gens à rendre des comptes sur ce qu’ils font, cela signifie que les erreurs et les méfaits sont sans conséquences et que les politiques, les procédures et autres contrôles sont sans importance et peuvent être contournés en toute impunité, ce qui accroît le risque que d’autres erreurs et méfaits soient commis.

Des réprobations inappropriées sont tout aussi dommageables. Humilier publiquement quelqu’un, lui refuser une promotion parce qu’il a fait une légère erreur ou lui imposer une norme impossible à respecter suscite le ressentiment, qui peut s’exprimer par des erreurs délibérées, des ralentissements de production et la divulgation de renseignements de nature délicate.

Cohérence et équité
Pour qu’il y ait cohérence et équité, les politiques et les normes doivent être appliquées uniformément en tout temps, et les dérogations tolérées uniquement dans des situations exceptionnelles. L’application sélective des politiques, le favoritisme et l’inégalité des sanctions imposées pour une même infraction à une politique signifie que la politique ou la norme concernée est dans les faits invalidée. Si l’on peut faire fi des politiques et des normes, elles ne contribuent en rien à l’environnement de contrôle.

L’application uniforme d’une politique ou d’une norme ne signifie pas que celle-ci ne peut varier selon l’échelon hiérarchique, le service ou tout autre critère. Cela signifie que ces critères doivent être définis dans la politique ou la norme. Par exemple, le droit aux vacances est souvent fonction de l’échelon hiérarchique : un gestionnaire pourra avoir trois semaines de vacances tandis qu’un vice-président en aura quatre.

Pour qu’il y ait équité, les politiques et les normes ne doivent pas être appliquées aveuglément, comme il arrive souvent dans le cas des politiques de tolérance zéro. Si l’application d’une politique se traduit par une injustice, il faut soit déroger à la politique soit la modifier. Supposons par exemple qu’un employé doive interrompre un voyage d’affaires en raison d’une situation familiale d’urgence. Selon la politique de l’entreprise, les déplacements des employés doivent s’effectuer en classe économique. Or, il ne reste que des places en classe affaires. Compte tenu de la situation, une exception devrait être faite pour permettre à l’employé de voyager en classe affaires. Bien entendu, les dérogations et les modifications aux politiques doivent être dûment approuvées.

Compréhension
Le contrôle exige une compréhension claire des objectifs, des étapes et des limites des processus de l’organisation, ainsi que des risques et des pertes potentielles qui s’y rattachent. En termes simples, comment peut-on être sûr que quelque chose fonctionne correctement si on ne sait ni comment ça fonctionne ni à quoi ça sert?

Les objectifs indiquent la raison d’être d’une activité et le résultat final visé. Les étapes indiquent ce que l’on fait pour atteindre les objectifs. Les limites sont les contraintes que subit le processus, par exemple la capacité du système, la formation des effectifs et l’espace de travail. Les limites aident à établir les attentes. On ne peut s’attendre à ce qu’un système conçu pour traiter 100 000 opérations à l’heure en traite 150 000 efficacement dans le même laps de temps. Les risques expriment ce qui, par nature, pourrait aller mal dans le processus. Le niveau de risque et les pertes prévues aident à déterminer les contrôles requis et le taux d’erreur acceptable.

Ouverture
Quelle sera l’efficacité des contrôles mis en place par une organisation qui ne connaît pas le mot «problème»? Sans doute pas très élevée. En revanche, une organisation qui encourage la discussion ouverte et franche sur la performance, les problèmes et les solutions potentielles est bien plus susceptible de déceler et de corriger les lacunes.

L’ouverture n’est ni un exercice de dénonciation ni un prétexte pour dire du mal des autres. Elle implique, d’une part, que les faits soient mis au jour afin que l’origine des problèmes ou des questions en matière de performance puisse être identifiée et, d’autre part, que l’attribution de toute responsabilité à l’égard des problèmes soit fondée sur les faits et les attentes communiquées au préalable. Elle suppose aussi que les solutions proposées soient analysées, débattues et adoptées en fonction de leur bien-fondé, et que l’on s’engage à écouter les autres et à juger les idées plutôt que ceux qui les ont.

Conception
Entendez-vous des membres de votre personnel pester tout bas contre le «système stupide» mis en place dans l’organisation? Font-ils encore et encore les mêmes erreurs malgré davantage de formation? Avez-vous l’impression persistante que quelque chose cloche dans vos processus, sans pouvoir mettre le doigt sur le problème? Si c’est le cas, votre organisation subit sans doute les conséquences de processus mal conçus et en paye le prix, par exemple pour corriger les erreurs, former de nouveau le personnel et dédommager les clients.

Un processus consiste en une série d’étapes franchies par des personnes et des ordinateurs en vue d’atteindre un objectif d’affaires. Les contrôles aident les organisations à atteindre leurs objectifs en permettant de prévenir et de détecter les erreurs et les méfaits susceptibles de perturber leurs processus. La plupart des contrôles sont nécessaires pour prévenir et détecter les problèmes causés délibérément ou non par les employés. C’est à ce niveau que la conception intervient.

Une bonne conception réduit les erreurs parce qu’elle tient compte du fait que les gens font des erreurs — parce qu’ils s’ennuient, parce qu’ils comprennent mal, parce qu’ils sont stressés et pour de nombreuses autres raisons. La conception n’est pas un exercice facile. Il faut souvent faire des compromis entre des priorités conflictuelles, régler des problèmes dont la solution n’est pas évidente et prendre en compte les contraintes technologiques. Il n’y a pas de recette éprouvée pour obtenir une bonne conception des contrôles, mais les principes suivants peuvent faciliter le processus.

Se concentrer sur l’objectif
Comment expliquer un échec de conception comme le modèle Aztec de Pontiac? C’est assez simple : ou bien la fonction principale du véhicule n’a jamais été établie clairement, ou bien les concepteurs se sont laissés détourner de l’objectif principal par des questions secondaires.

Il en va de même pour la conception des processus d’affaires. L’objectif principal de chaque processus, qu’il s’agisse de régler correctement toutes les factures impayées ou de comptabiliser adéquatement toutes les ventes réalisées, doit être mûrement réfléchi et clairement formulé afin d’éviter la confusion. Une fois l’objectif établi, chaque étape du processus doit être conçue en fonction de l’objectif principal. Si l’on ne peut expliquer comment une étape contribue à l’atteinte de l’objectif principal, c’est que cette étape n’est pas nécessaire.

Comprendre les normes
Qu’est-ce qui est le plus difficile : concevoir une maison selon le code du bâtiment ou rénover une maison pour la rendre conforme au code du bâtiment? De toute évidence, rénover la maison! Et quel est le rapport avec la conception d’un processus? Eh bien, les processus d’affaires ne fonctionnent pas isolément. Ils doivent être adaptés aux exigences ou aux normes établies par d’autres secteurs de l’organisation (par exemple, il se peut que le service de la comptabilité indique dans quels comptes du grand livre les ventes doivent être comptabilisées). La conception ne peut intégrer ces exigences à moins que les normes ne soient bien comprises.

Comprendre les risques et intégrer les contrôles
La première étape en matière de gestion des risques consiste à définir ces risques et à les comprendre. Dans le cas d’un processus d’affaires, cela signifie comprendre ce qui peut aller mal et empêcher l’atteinte de l’objectif principal. Par exemple, dans le cas où l’objectif principal du service des comptes fournisseurs est de régler ponctuellement toutes les factures impayées, les risques inhérents dont il faut tenir compte sont les suivants :

payer le mauvais montant;
payer en retard;
payer pour des biens ou des services non reçus (ce qui comprend les fausses factures, les livraisons partielles, le travail ou les produits de qualité inférieure aux normes et les livraisons en retard);
payer plus d’une fois;
ne pas payer du tout;
payer le mauvais fournisseur;
payer dans la devise erronée.

Une fois les risques connus, il faut décider quels contrôles sont nécessaires pour ramener les risques à un niveau acceptable et où intégrer ces contrôles dans le processus. Dans les faits, les contrôles deviennent simplement une autre étape du processus.

On ne peut sauter d’étape
Si vous concevez un processus qui se poursuit lorsqu’une étape est sautée, vous devez vous attendre à ce que cette étape soit escamotée, en particulier lorsque le temps manque. Il ne vous reste plus alors qu’à souhaiter que les erreurs résultant de l’escamotage ne soient pas importantes.

Les pointilleux peuvent toutefois dormir sur leurs deux oreilles : on peut concevoir un processus comportant des étapes conditionnelles qui doivent être franchies seulement si certaines conditions sont respectées. Dans le cas contraire, les étapes ne sont pas entreprises. Il ne s’agit toutefois pas ici d’escamoter une étape, c’est-à-dire de ne pas l’entreprendre alors que les conditions indiquent qu’il le faudrait.

Classer les données
Vous détestez faire des recherches dans certains sites Web parce que les données doivent être choisies dans de longues listes qui contiennent souvent des informations superflues? Mettez-vous en doute l’intelligence des concepteurs de ces sites Web? Probablement, car cette situation de données mal classées accroît le risque d’erreur et vous fait perdre du temps.

Que faut-il faire pour corriger la situation? En premier lieu, décider des données, champs de données et niveaux de détails qui sont réellement requis. Soyez impitoyable, car les données ont la fâcheuse habitude de devenir rapidement envahissantes. Voici un conseil : les données doivent être maintenues au plus bas niveau de détail suffisant pour respecter les normes et atteindre l’objectif principal du processus. Pour produire des données sommaires, il vaut mieux combiner des informations de niveau inférieur.

Il faut ensuite trier les données pour éliminer celles qui sont en double et celles qui sont redondantes (exemples : dans un site Web sur l’emploi, on trouve deux fois le titre «contrôleur – division» dans une liste de types de postes; une banque présente les comptes Obligations portant intérêt et Intérêts créditeurs sur obligations comme des comptes de grand livre distincts). Il faut aussi éliminer les données qui sont plus détaillées que les données requises et les données sommaires.

Ensuite, pour chaque champ de données, il faut classer les données par catégories sommaires logiques. Chaque catégorie peut ensuite être classée dans des catégories sommaires d’un niveau logique supérieur. Par exemple, les centres de coûts peuvent être classés sous les rubriques Ressources humaines. Finances, Ventes, etc. Les Ressources humaines et les Finances peuvent être regroupées sous Soutien.

Il faut enfin décider si les outils qui suivent peuvent être utilisés pour maintenir dans moins de 20 éléments les listes de sélection :

arbres déroulants — les niveaux sommaires sont inclus dans la liste. Les utilisateurs peuvent sélectionner un niveau sommaire ou accéder en mode descendant aux niveaux plus détaillés;
champs contextuels — les sélections dans un champ sont limitées par les données entrées ou sélectionnées dans un autre champ. Par exemple, seules les provinces canadiennes seront indiquées comme choix possibles dans un champ «État/Province» si «Canada» a été choisi dans le champ «Pays».

N’entrer les données qu’une seule fois
Avez-vous déjà appelé la société émettrice de votre carte de crédit, entré votre numéro de carte dans le système automatisé pour vous le faire ensuite redemander quand vous obtenez la communication avec une vraie personne? N’est-ce pas agaçant? Voilà un processus mal conçu. Il faut éviter de faire entrer des données plus d’une fois. C’est inefficace, cela crée des problèmes lorsque les données ne correspondent pas et peut vraiment indisposer les gens.

Réduire le nombre d’étapes / fractionner les étapes complexes
La conception suppose souvent des compromis, par exemple entre la puissance et l’efficacité énergétique, dans le cas des voitures. Pour les processus d’affaires, le plus grand compromis revient habituellement à décider entre un fractionnement des tâches complexes en étapes plus simples et une diminution du nombre d’étapes. Les tâches complexes étant par nature plus propices à l’erreur, le fait de les fractionner en plusieurs tâches plus simples réduit habituellement le nombre d’erreurs. Par contre, plus un processus compte de tâches, plus il comporte de points de rupture, d’où le désir de réduire le nombre d’étapes.

Comment optimiser le nombre d’étapes pour réduire le risque d’erreurs? En utilisant une approche répétitive. Une fois le processus initial mis au point, il faut le passer en revue et évaluer l’utilité réelle de chaque étape, puis éliminer celles qui ne sont pas utiles et combiner celles qui peuvent facilement être parcourues ensemble. Il faut ensuite évaluer la complexité de chacune des étapes (faire effectuer cette évaluation par d’autres est habituellement une bonne idée) et fractionner les étapes complexes en étapes plus simples.

Maintenant que vous avez une meilleure idée de la façon dont la culture et la conception touchent les contrôles, il est temps de passer aux choses sérieuses, c’est-à-dire de transformer la culture de votre organisation et de corriger les processus mal conçus.

Glossaire sur les hors-la-loi de la culture du contrôle

Voici certains types de personnalité qui rendent difficile la mise en œuvre de contrôles adéquats. En reconnaissez-vous certains? Qui sait, vous pourriez même vous reconnaître parmi eux!

L’autruche — Elle a la tête tellement enfoncée dans le sable qu’elle est complètement bloquée. Avec elle, rien ne se règle jamais, car elle ne reconnaît l’existence d’aucun problème. Le geignard est l’employé parfait pour l’autruche puisqu’il y a généralement de nombreuses sources d’insatisfaction dans le service de l’autruche.

Le bouc émissaire — Il est responsable de tous les problèmes. C’est d’ailleurs mentionné dans sa description de tâches, à la section Autres fonctions. Il est très apprécié par ses collègues qui n’ont ainsi pas à assumer la responsabilité de leurs erreurs.

Le bureaucrate — Il rend tout le monde fou. Il aime le bruissement du papier qu’on déplace, la vue des longues files d’attente et les réunions de service qui durent quatre heures. Pour l’éviter, ses collègues se cachent sous leur bureau ou dans les placards et font semblant d’être en grande conversation téléphonique.

Le combinard — Pour lui, il suffit de respecter la lettre (et non l’esprit) des lois. Capable de passer à travers les mailles des filets les plus serrés, il sait trouver les moyens les plus alambiqués de contourner des obstacles aussi «insignifiants» que les PCGR, les lois fiscales et la réglementation.

Le dépanneur — Pour lui, une journée suffit pour régler un problème, quel qu’il soit. Sa théorie : «On manque de temps pour faire les choses correctement la première fois, mais on en a assez pour résoudre le problème trois fois.» Sa voiture est souvent rafistolée avec du ruban adhésif et son émission de télévision préférée en est une de bricolage.

Le despote — Il semble toujours s’entourer de «courbeurs d’échine», ce qui ne surprend personne puisqu’il a l’habitude de congédier tous ceux qui ont l’audace de lui signaler un problème. Il est recommandé de porter des protecteurs d’oreilles quand on se trouve près de lui pour se protéger des manifestations aussi intempestives qu’imprévues de son caractère explosif.

L’emberlificoteur — Il interprète les faits à une telle vitesse que ses interlocuteurs en sont abasourdis. Il n’est pas un problème dont il ne sache analyser les causes. Tous se demandent pourquoi il n’a pas suivi sa véritable vocation : la politique.

Le geignard — Rien n’est jamais assez bien pour lui. Son refrain favori : «Vous devriez faire quelque chose à propos de ça.» Il est toujours trop occupé pour aider à solutionner un problème réel.

L’hypocrite — Il n’a qu’un seul mot d’ordre : «Faites ce que je dis, mais pas ce que je fais.» Il est intimement convaincu que les politiques s’appliquent à tous, sauf à lui. On le trouve souvent en classe affaires et dans les grands restaurants, tandis que ses collègues se contentent de la classe économique et de la gargote du coin. Il est réputé pour «débarrasser» l’organisation de tous les ambitieux du service de la comptabilité qui tentent de faire appliquer les politiques de remboursement de notes de frais.

Le jeune loup — Il ne rate jamais son coup et n’a jamais à se préoccuper de rien puisque plus il fait de gâchis, plus la prime est importante. On voit souvent ses collègues épuisés hocher la tête d’un air désabusé après avoir réparé ses dégâts pour la nième fois. Mise en garde : Toujours porter des lunettes de soleil en sa présence pour ne pas se laisser éblouir par son sourire.

Le lèche-bottes — Il fait n’importe quoi pour plaire au patron et n’a que faire des besoins des autres. Il est des plus dangereux lorsqu’il travaille pour l’hypocrite ou le jeune loup. Il est la cible préférée du mouchard.

Le mouchard — Rien ne lui plaît autant que de souligner la moindre petite erreur des autres. Dire que vous pensiez en avoir fini avec ce type de personnage, une fois sorti de la cour d’école! Le mouchard regarde toujours par-dessus son épaule, histoire de vérifier si l’une des victimes de sa langue fourchue ne va pas lui faire un mauvais sort.

L’obsédé d’Excel — Pour lui, Excel est la panacée. Besoin d’un nouveau système ERP? Utilisez Excel. D’un nouveau système CRM? Utilisez Excel. Tout est possible avec Excel, il suffit simplement de lier quelques fichiers entre eux et de créer quelques macros. L’obsédé d’Excel s’entend bien avec le dépanneur.

Le perfectionniste — Il n’est jamais satisfait. Son service ne peut produire qu’un travail parfait. Ses employés fondent souvent en larmes ou s’arrachent les cheveux lorsqu’il demande une vingtième modification d’une note de service d’une page.

Le technocrate — Il ne jure que par la technologie! On le voit souvent trébucher, une oreille collée à son cellulaire, l’autre à son iPod, en train de lire son courriel sur son Blackberry et de tourner les pages de documents.

David Bickley, CA (labric@aol.com), a une grande expérience de la conception et de la mise en place de systèmes et de contrôles.

LIENS CONNEXES

Votre organisation perd-elle le contrôle ?, par David Bickley, CAmagazine, juin-juillet 2004