Le terme « audit » est souvent galvaudé, utilisé à tort et à travers, pour décrire toute situation où un œil « extérieur » à une situation est mandaté pour donner un avis et élaborer un plan d’amélioration. Par extension des audits comptables, l’audit organisationnel est souvent conçu autour d’une approche qui favorise la traçabilité et donc l’auditabilité de l’audit lui même. Si cet objectif de traçabilité est évidemment pertinent il ne doit pas obérer l’objectif majeur d’un audit organisationnel qui est de mettre l’organisation en position de réussir le plan d’amélioration ou de transformation qui doit s’enclencher derrière (la perfection n’étant pas de ce monde). ISLEAN préfère parler de diagnostic à valeur ajoutée car nos audits s’efforcent toujours de donner une vision holistique d’une situation et pas uniquement une synthèse brute des points de contrôle. Cette vision holistique est nécessaire pour définir un plan d’action qui tient compte des priorités et de la situation globale de l’organisation (sa stratégie, sa gouvernance, ses acteurs, ses processus, ses systèmes d’information, …)

Audit organisationnel ou diagnostic à valeur ajoutée ? le match

Les avantages et inconvénients des audits organisationnels classiques (audit d’organisation, de processus, de SI, de projet, ….)

Trop souvent ces audits n’ont qu’un seul but : factualiser au maximum une situation et permettre l’auditabilité de l’audit lui-même pour convaincre toutes les parties prenantes de la qualité de l’analyse et indirectement du plan d’action puisque le postulat de départ est « une bonne analyse conduit forcément à un plan d’action pertinent » via des belles relations de cause à effet : Dysfonctionnement –> Action d’amélioration. Il arrive aussi, que cette volonté de factualiser soit uniquement motivée par le besoin d’un audit « à charge » visant à discréditer un manager, un dirigeant. Ce n’est pas le cas le plus courant mais cela arrive et dans ce cas il peut y avoir des pressions sur l’auditeur pour orienter ses sources et ses analyses. Les seuls garde-fous contre de telles dérives sont la déontologie du cabinet de conseil / cabinet d’audit et la déontologie de l’auditeur.

Ces audits sont rassurants car ils s’appuient souvent sur des référentiels connus et des points de contrôle qui font sérieux chez les initiés (par exemple sur des organisations SI ou des projets SI, ce peut être un Sésame pour un auditeur d’utiliser des référentiels ISO (ISO 20 000, ISO 9 000, ISO 27 000, …) ou de l’ISACA (Cobit, ….).

Il est en fait très complexe d’utiliser ces référentiels de manière pertinente. La tentation est grande de les appliquer sans les comprendre et d’en tirer des conclusions déconnectées du contexte (par exemple déconnectées du contexte sectoriel de l’organisation). Bref on utilise pas un même référentiel de la même façon dans une banque mondiale et dans une PME agro-alimentaire de 20 personnes. L’autre travers est qu’ils donnent l’illusion qu’il suffit de maîtriser un peu le référentiel pour s’en sortir et cela peut conduire à une mission confiée à un petit jeune en costard qui va poser des questions qu’il ne comprend pas à des personnes qui ne les comprennent pas non plus. Mais il aura suivi le process, aura généralement des réponses (majoritairement sans valeur) donc de quoi mouliner pour sortir des conclusions (majoritairement à côté de la plaque). Parfois les conclusions sont automatisées, plus qu’à rajouter quelques commentaires par le directeur de mission.

Casimir un grand amateur de Gloubi-Boulga de conclusions d'audit

L’autre travers de ces audits est qu’ils privilégient à outrance l’échantillonnage et la traçabilité, à la manière des audits comptables. Autant sur un audit comptable on peut mathématiquement se rassurer sur la performance statistique de l’échantillon, autant cela me semble impossible pour un audit organisationnel qui manipule des objets financiers (un peu) mais surtout non financiers (humains, processus, modes opératoires, axes stratégiques, …)

Le postulat « Une bonne analyse est la clé d’un plan d’action pertinent », conduit les audits dans une approche mécaniste Problème –> Action, qui rend finalement leur mise en oeuvre peu efficiente et peu efficace.

  • Il peut y avoir beaucoup de micro-actions dont l’audit ne figure que les impacts sur les dysfonctionnements mais sans les effets de bord (c’est normal, c’est pas l’objectif de l’audit).
  • Il peut y avoir des actions incohérentes, qui se neutralisent entre-elles,  ou dont l’effet combiné est contre-productif.
  • Les principes d’actions globaux sont absents, seule la priorisation des effets et/ou des liens de type « gestion de projet » (liens début à fin par exemple) servent souvent à dégager une vision d’ensemble du plan –> cela est rarement suffisant pour mobiliser une organisation

ISLEAN ne fait que des diagnostics à valeur ajoutée

Bien sûr nous utilisons aussi le vocable « audit organisationnel », mais nous ne tombons jamais dans leurs travers.

Nos diagnostics sont toujours auditables et nous croisons toujours nos sources. Parfois nous sacrifions la formalisation de cette traçabilité et donc le caractère pratique de cette traçabilité mais elle est toujours possible.

Nous n’utilisons jamais un référentiel uniquement parce que « ça fait sérieux ». Si notre client nous l’impose et que le référentiel nous semble peu approprié nous utilisons uniquement ce qui est pertinent dans le référentiel et nous expliquons pourquoi. Si le référentiel d’audit est abscons (ce qui arrive souvent) nous explicitons chaque axe, chaque point de contrôle avec un vocabulaire adapté à tous nos interlocuteurs.

Je me rappelle encore d’une de mes premières direction de missions d’audit ou l’auditeur principal avait souhaité respecter intégralement un référentiel ISO (traduit en français) et où le client m’avait appelé paniqué au bout de la troisième journée d’entretiens en me disant tout penaud « personne ne comprend les questions qu’il nous pose ». Comme si c’était de la faute du client !

Sur des diagnostics d’organisation nous utilisons souvent notre propre référentiel, proche du balanced scorecard, ou du business model Canvas car ce sont des référentiels systémiques.

Axes audit organisationnel

Nos axes classiques pour un diagnostic d’organisation

Nous procédons toujours à une consolidation de nos analyses afin de dégager le(s) problème(s) principal(aux) de ceux qui sont secondaires ou qui ne sont que des conséquences directes ou indirectes d’un problème racine. L’idée n’est pas de glorifier la recherche de causes profondes et des liens de causalité, nous sommes bien trop fanas des concepts d’effectuation de Philippe Silberzahn pour cela, mais simplement de maximiser l’engagement et la mobilisation de l’organisation dans un plan de mise en oeuvre, en tout ou partie, de nos recommandations.

A titre d’exemple, j’avais été récemment mandaté par une société de franchise pour auditer le déploiement d’un nouveau SI dans ses magasins. La demande initiale était de factualiser les remontées du réseau pour savoir si le nouveau SI et sa méthodologie de déploiement étaient adaptés au métier des franchisés. En interne, des informations contradictoires remontaient du réseau, des directions métiers et de la DSI. Personne n’arrivait à se mettre d’accord. Notre diagnostic a permis de montrer que le problème principal n’était ni le SI ni son déploiement, mais le changement de gouvernance et de stratégie entre la centrale et les franchisés. Cette prise de conscience était indispensable à la mise en oeuvre d’un plan d’amélioration secondaire par la DSI.