Sortez du contrôle (partie 1)

Après des années de pratique dans sur la gouvernance, les risques et la conformité (GRC), le paradigme du contrôle interne est le principal obstacle à une performance sûre et fiable des processus métier. D'après mon expérience, la plupart des contrôles internes des systèmes d'entreprise ne parviennent pas à résoudre la cause fondamentale de la défaillance. Ils ont une vie et un but propres. Et si le rôle du CFO est de conduire des processus financiers fiables, il est clair que les CFO doivent mener la transformation du paradigme de contrôle.

Le paradigme du contrôle interne à l'ère de la numérisation

Le paradigme de contrôle est Sarbanes-Oxley et les normes d'audit correspondantes. Très simplifié, le raisonnement est le suivant: mettez des extincteurs partout où un incendie pourrait éclater. Des extincteurs de plus en plus grands sont toujours meilleurs. Comptez-les fréquemment et testez-les souvent. Signalez les extincteurs manquants ou défectueux. Exiger que les auditeurs concluent et donnent leur avis sur l'existence de suffisamment d'extincteurs d'incendie en état de marche. Ne soyez pas dissuadé par les ressources détournées par cet effort.

Cet effort n'est pas vraiment la gestion des risques . Le seul risque à gérer est le risque d’extincteurs défectueux ou absents. (La tautologie abonde dans le paradigme du contrôle.)

Mais la prochaine fois que vous êtes dans un grand rassemblement dans un bâtiment public, cherchez des extincteurs. Vous remarquerez peut-être des gicleurs automatiques, mais vous ne verrez probablement pas beaucoup d’extincteurs. Vous ne verrez pas beaucoup de poubelles où les incendies peuvent commencer, mais vous verrez des panneaux "Interdiction de fumer". C'est parce que les incendies ne peuvent être évités qu'en éliminant les sources d'inflammation et les matériaux inflammables. Les extincteurs n'empêchent pas les incendies. La plupart des contrôles n'empêchent pas non plus l'échec du processus. En bref, des contrôles très visibles et omniprésents devraient vous inquiéter. Ce sont des signes de causes profondes non résolues de l’échec. Imaginez que vous montiez dans un avion et que vous receviez un parachute.

Déconnexion entre les contrôles et les objectifs commerciaux

Au cours de ma carrière dans gouvernance, risques et conformité un responsable principal de la gestion des risques et de la conformité, chargé du conseil, aidant à développer et à vendre des logiciels et à siéger à des conseils d'administration.

J'ai vu trop de praticiens incapables d'exprimer un objectif commercial ou lié aux risques à un contrôle. Lors de la mise en œuvre d'un logiciel qui documente et évalue les contrôles dans un système d'entreprise, aucune tentative n'est faite pour évaluer les performances du processus avant ou après la mise en place des contrôles. J'ai vu des auditeurs internes dans le développement de leur «univers d'audit» prendre en compte un certain nombre de facteurs, mais ignorer totalement la performance de l'entreprise comme variable pilotant l'allocation des ressources d'audit. Nous avons vu des rapports d'audit concluant que les contrôles sont efficaces, et pourtant l'entreprise est en faillite.

Efficacité du contrôle ← → Sécurité des procédés les conséquences imprévues sont graves. Dans de nombreuses entreprises, il n'est pas rare de passer des jours à faire approvisionner un fournisseur et à payer le fournisseur. Les procédures de commande à encaissement sont entravées par des contrôles inutiles, ce qui entrave les progrès. Les informations commerciales critiques arrivent trop tard pour les décideurs. En revanche, la technologie de prévention de la fraude utilisée aujourd'hui détecte et bloque les transactions frauduleuses par carte de crédit avant même que l'achat ne soit autorisé.

Nous sommes habitués à embarquer dans des avions et à voler de longues distances en toute sécurité. Quels que soient les désagréments du transport aérien, le vol est indéniablement sécuritaire. La sécurité aérienne est atteinte non pas avec l'approche "extincteur". Au lieu de cela, l'accent est mis sur l'identification et la surveillance de tout ce qui pourrait causer l'échec . Les performances de sécurité et la fiabilité des processus sont les objectifs et non l'efficacité des contrôles.

Les personnes: élément essentiel de la fiabilité des processus

La croyance implicite que les employés sont intrinsèquement risqués constitue un défaut majeur. (Pensez aux approbations multiples, à la séparation des tâches, etc.) Il est vrai que dans chaque domaine d'activité humaine pour lequel des statistiques sont conservées, l'erreur humaine représente 50% à 60% des événements à risque. L'industrie aéronautique a considérablement réduit les accidents aériens au cours des dernières décennies, malgré la plus grande taille des avions, l'augmentation du nombre de passagers et l'augmentation du trafic aérien vers davantage de destinations. Pourtant, l’incidence de l’erreur humaine en tant que cause principale de l’échec reste d’environ 50%.

La leçon à tirer est qu’il n’est pas possible de réduire les erreurs dans un système sans engager correctement les gens. Les pilotes avec lesquels j'ai parlé attribuent la réduction spectaculaire des incidents liés à l'aviation à la formation. La clarté des objectifs, les niveaux de compétence élevés, la transparence des responsabilités et la surveillance constituent la clé de la réussite.

Il est essentiel que la conformité et le contrôle soient intégrés dans les personnes et non dans les systèmes. La numérisation devrait permettre aux employés d'atteindre les objectifs et la fiabilité des processus. Traitez les gens comme des humains et cultivez des employés intelligents, compétents et motivés.

Leçons pour le directeur financier

1. Investissez dans la numérisation combinée à l'intelligence artificielle : les outils de prévision Internet of Things et . Analyser les modèles et les comportements, et non les transactions, pour détecter les anomalies et ainsi accélérer le traitement et atteindre la fiabilité.

2. Définir des objectifs de performance quantifiables pour tous les processus financiers clés. Développez des mesures pour suivre les erreurs, les événements de perte et les performances à temps, et suivez-les avec un affichage contextuel en temps réel .

3. Équilibrez votre investissement en technologie avec un investissement dans le développement de vos employés. vos praticiens du contrôle fournissent une analyse détaillée des causes profondes de tout contrôle jugé inefficace. Résolvez le problème, pas le symptôme.

Votre réponse à ce blog m'intéresse beaucoup. Je prévois faire un suivi avec trois ou quatre autres pour développer mes observations et conclusions. J'ai des idées et des suggestions à partager. Je vous souhaite la bienvenue.

Je serai à la Conférence sur les risques et le contrôle de la gouvernance de l'IIA / ISACA, du 13 au 15 août à Nashville . Veuillez vous joindre à moi et à mes collègues Stephanie Gruner, Anne Marie Colombo et James Chiu au kiosque 317.

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube

<! – Commentaires ->