Dans un monde où les réglementations, les technologies, les risques commerciaux et les attentes des parties prenantes évoluent constamment et influencent la manière dont les entreprises fournissent leurs services, un programme d'audit efficace basé sur les risques est plus important que jamais. Les normes ISO relatives aux Systèmes de Management fixent également des exigences à cet égard dans la section 9.2.2 sur l'audit interne : « L'organisme doit planifier, établir, mettre en œuvre et tenir à jour un ou plusieurs programmes d'audit (...), en tenant compte de l'importance des processus concernés, des changements affectant l'organisme et des résultats des audits antérieurs ».
Pourtant, j'entends encore régulièrement les participants à mes formations dire que les entreprises établissent des programmes d'audit avec un cycle fixe, souvent basé sur la période de validité d'un certificat ISO. Un programme triennal est alors établi, dans lequel chaque processus ou paragraphe ISO est testé au moins une fois tous les trois ans, « parce que c'est ce qu'exige l'ISO ». La conséquence d'un tel programme « coulé dans le béton » est que les audits passent trop de temps sur des processus moins pertinents, tandis que les risques réels restent sous-exposés et sont donc découverts tardivement ou pas du tout.
Cette approche nous empêche d'être proactifs et peut conduire à un faux sentiment de sécurité. Au cours des sessions de formations dispensées par LRQA, nous aidons donc les auditeurs à développer un état d'esprit différent : il ne s'agit pas d'auditer pour se conformer aux règles, mais pour identifier les risques réels et saisir les opportunités.
Les bases d'un programme d'audit basé sur les risques
Une approche fondée sur les risques garantit que les audits se concentrent sur les domaines qui ont le plus d'impact sur l'entreprise. Mais comment mettre cela en pratique ? Et comment s'assurer que les audits ne sont pas simplement un mécanisme de contrôle « parce que l'ISO le dit », mais qu'ils apportent une réelle valeur ajoutée ?
Un programme d'audit basé sur le risque exige une façon différente de penser. Tels sont les principes fondamentaux sur lesquels je me concentre dans mes sessions de formation :
1. Identifier les risques réels
Un programme d'audit basé sur les risques commence par une analyse approfondie des risques. Il s'agit d'examiner les facteurs internes et externes qui affectent l'entreprise, tels que les changements législatifs et réglementaires, la technologie, l'évolution du marché et les attentes des parties prenantes. Vous identifiez également les processus les plus critiques pour l'organisation par rapport aux aspects qui lui sont importants. Pensez à la satisfaction client, à la qualité du produit, à la sécurité (alimentaire), à l'impact sur l'environnement, etc.
2. Préférer la flexibilité à la rigidité
Il est pratique de commencer par établir un programme d'audit initial dans lequel tous les processus ont leur place, les processus importants étant planifiés (et mis en œuvre de manière plus approfondie) plus souvent que les processus moins importants.
En outre, le programme doit permettre de s'adapter à l'évolution de la situation. Pensez par exemple à un nouveau fournisseur, à une modification de la législation ou à un incident qui s'est produit. Vous devez donc prévoir suffisamment de temps pour réagir, ce qui vous donne de la souplesse et de la résilience.
3. Se concentrer sur l'efficacité, et pas seulement sur la conformité
Un audit basé sur les risques doit aller au-delà de la vérification de la conformité des employés. Le paragraphe de l'ISO est également clair à ce sujet : « 9.2.1 L'organisme doit effectuer des audits internes à des intervalles planifiés afin d'obtenir des informations sur la question de savoir si le KMS (....) répond : a) aux exigences propres de l'organisme (...) et b) a été mis en œuvre et tenu à jour de manière efficace. »
4. Impliquer la direction
Les audits ne sont pas isolés, mais font partie de la « capacité d'auto-nettoyage » d'une entreprise. De bons audits internes apportent une contribution précieuse à la prise de décision stratégique. Ce n'est pas pour rien que les résultats des audits internes sont l'un des éléments réguliers qu'un conseil d'administration devrait inclure dans son examen de la gestion comme base d'amélioration.
Un programme d'audit basé sur les risques exige donc une consultation régulière entre l'équipe d'audit interne et le conseil d'administration. Qu'est-ce qui préoccupe la Direction, qu'est-ce qu'elle aimerait voir examiner dans le détail, qu'est-ce qu'elle veut savoir avec certitude, qu'est-ce qui la préoccupe, etc.
Plus les besoins de la direction sont précis, plus les audits internes peuvent être ciblés. Un autre avantage est qu'il y a peu de risques que les rapports d'audit interne restent dans les tiroirs sans être lus !
L'évolution du rôle de l'auditeur interne
Pour être efficaces, les audits fondés sur les risques exigent également une modification du rôle de l'auditeur et, partant, des compétences requises. Celles-ci comprennent la sensibilisation à l'organisation et aux risques (comprendre le fonctionnement d'une organisation dans son contexte et savoir où se situent les véritables faiblesses), l'esprit critique et curieux et le questionnement (ne pas se contenter d'examiner les règles, mais être curieux des raisons et de l'impact) et les compétences en matière de communication (être capable de changer de vitesse à tous les niveaux de l'organisation, être capable de communiquer clairement les résultats de l'audit au conseil d'administration, à la direction et aux employés).
C'est pourquoi la formation est si importante. Dans les formations LRQA, nous travaillons beaucoup avec des cas pratiques et des exercices interactifs, de sorte que les auditeurs n'acquièrent pas seulement des connaissances, mais apprennent également à appliquer directement ces compétences.
En résumé: les audits doivent apporter une réelle valeur ajoutée
Un programme d'audit basé sur le risque n'est pas une tendance, mais une évolution nécessaire pour les entreprises qui souhaitent réellement gérer les risques. Il permet d'utiliser les audits de manière plus stratégique et de se concentrer sur ce qui compte vraiment. Nous devons nous éloigner de la planification traditionnelle et rigide et nous concentrer sur les risques réels. Cela exige une autre façon de penser. Cela nécessite une autre façon de penser, mais aboutit finalement à des audits qui non seulement contrôlent, mais aussi contribuent à l'amélioration des performances et à l'amélioration continue de l'entreprise.
Vous souhaitez en savoir plus sur la manière dont LRQA peut aider votre entreprise à réaliser des audits basés sur les risques ?
Contactez notre équipe ou consultez notre offre de formation.