et d’organisation des travaux du Conseil d’administration
4.3. Procédures de contrôle interne et de gestion des risques mises
4.3.1. Composantes du dispositif de contrôle interne
a. Organisation
Ce paragraphe traite de l’organisation juridique, opérationnelle et fonctionnelle, des Ressources Humaines, du système d’information, des procédures et des outils.
3
GOUVERNEMENT D’ENTREPRISEOrganisation juridique
Le Groupe fait l’objet d’une organisation juridique la plus simple possible faisant intervenir en général une seule société par métier et par pays sauf pendant de courtes durées après les acquisitions, rapidement suivies d’opérations de fusion-absorption.
Les sociétés sont toutes consolidées par intégration globale, le Groupe détenant dans presque tous les cas 100 % du capital de ses filiales. De ce fait, le Groupe est en situation de contrôle sur toutes les sociétés le composant. Il n’existe pas d’entités ad hoc situées hors du champ de la consolidation.
Organisation opérationnelle
Indépendamment de l’activité exercée (Conseil et Intégration de Systèmes et de Solutions France et International, Axway), l’organisation opérationnelle du Groupe repose sur seulement trois niveaux hiérarchiques :
■le premier niveau correspond au Comité Exécutif du Groupe.
Il intervient au niveau stratégique et supervise les dispositifs opérationnels (organisation, système de pilotage, grandes affaires…). Organisé autour de la Direction Générale, le Comité Exécutif compte à ce jour une dizaine de membres ;
■le second niveau est constitué :
• de divisions centrées sur un marché, une offre, une solution ou une zone géographique en France,
• de « régions » ou pays à l’international.
Ces entités de second niveau sont au nombre d’une trentaine.
Leur Directeur est placé sous l’autorité d’un membre du Comité Exécutif ;
■le troisième niveau correspond aux unités opérationnelles qui, dénommées agences ou unités d’affaires ou encore centres de compétences, sont les entités au sein desquelles s’exerce toute l’activité du Groupe. Les unités opérationnelles exercent une fonction globale de management : elles sont responsables de leur activité commerciale, de leur production, de la gestion de leurs Ressources Humaines, de leur reporting dans le cadre du système de gestion du Groupe, le tout sous le contrôle et/
ou l’assistance des Directions Opérationnelles et Fonctionnelles.
Chacune de ces unités est rattachée à une division, une « région » ou un pays. Une division compte en général quatre à cinq unités de ce type.
Organisation fonctionnelle
Les entités transverses (Direction Industrielle, Direction des Grands Programmes Commerciaux) ou strictement fonctionnelles (Achats, logistique et transports, Administration et finances, Communication, Contrôle interne, Informatique interne, Juridique, Ressources Humaines, Moyens et sécurité informatiques) sont restées centralisées pour l’ensemble du Groupe au sein de la société Sopra Group et directement rattachées à la Direction Générale jusqu’en 2009.
En 2010, un nouveau pôle fonctionnel a été progressivement mis en place au sein d’Axway afin de permettre à la Société de fonctionner de façon autonome. Les principes de centralisation des fonctions et leur rattachement direct à la Direction Générale ont été conservés
Les filiales internationales disposent d’un appareil fonctionnel strictement limité au contexte local. Les Directions Fonctionnelles contribuent au contrôle de l’ensemble de Sopra Group et d’Axway et permettent aux entités opérationnelles de se consacrer pleinement à leur métier.
Ressources Humaines
Le recrutement est essentiellement orienté vers des postes d’ingénieurs débutants ou requérant une compétence spécifique.
Les postes d’encadrement sont généralement pourvus par promotion interne ce qui permet au Groupe de s’appuyer sur un encadrement partageant des valeurs et une culture homogènes.
La formation, pilotée par Sopra Group Academy, joue un rôle essentiel dans le développement des compétences nécessaires au fonctionnement du Groupe (cf. Sopra Group et ses activités, paragraphe 8 : « Ressources Humaines »).
La transmission des « fondamentaux » (valeurs, bonnes pratiques) a représenté, en 2010 encore, environ 20 % de l’effort total de formation. Pour le seul encadrement, un large programme de formation a permis en 2010 à près de 850 participants de passer une nouvelle fois en revue le système de valeurs du Groupe, d’actualiser leurs connaissances sur l’organisation et de se perfectionner aux techniques de management.
Système d’information
Le système d’information couvre l’ensemble des besoins de gestion du Groupe (notamment le suivi de l’activité, du chiffre d’affaires, de la facturation et des encaissements, suivi des affaires commerciales, budget et prévisions économiques, production de l’information comptable et financière, gestion des ressources humaines). Il structure et alimente les réunions de pilotage normalisées pour l’ensemble du Groupe .
Les systèmes informatiques sont sous la responsabilité de deux Directions Fonctionnelles rattachées à la Direction Générale qui supervise directement leur activité et décide des arbitrages éventuels. L’une est en charge des moyens informatiques (y compris les achats) et de la sécurité, l’autre développe ou sélectionne les applications utilisées pour les besoins internes du Groupe.
En travaillant de façon permanente à l’évolution du système d’information, ces deux Directions accompagnent la croissance du Groupe dans l’ensemble de ses dimensions : croissance organique, intégration des acquisitions, extension de l’implantation géographique, développement des différents métiers.
Les objectifs de ces Directions sont d’adapter au mieux le système d’information aux besoins opérationnels du Groupe, d’assurer la sécurité physique et logique des données auxquelles un accès permanent doit être garanti et enfin, de maintenir le coût du système d’information au niveau le plus bas compatible avec les contraintes de service.
La fonction de Responsable de la Sécurité des Systèmes d’Information (RSSI), au sein de la Direction Industrielle apporte un regard extérieur aux Directions Informatiques sur les choix qu’elles opèrent et assure la formalisation, l’évolution et l’application de la Politique de Sécurité des Systèmes d’Information (PSSI) en liaison avec l’ensemble des Directions Opérationnelles et Fonctionnelles concernées.
GOUVERNEMENT D’ENTREPRISE
3
Procédures
Le Groupe dispose de règles et procédures couvrant les domaines de l’organisation et du pilotage, de la gestion interne et comptable, du système d’information, des Ressources Humaines, de la production et de la qualité, de l’activité commerciale, des achats et transports.
Leur établissement, leur maintenance, leur diffusion dans le cadre d’un plan de formation et le contrôle de leur application relèvent de la responsabilité des Directions Fonctionnelles concernées agissant dans le cadre fixé par la Direction Générale du Groupe.
Ces procédures sont accessibles en permanence sur un portail Intranet.
En France, un bulletin mensuel destiné à l’ensemble de la structure opérationnelle et fonctionnelle annonce ou accompagne les grandes évolutions en matière de procédures et d’outillage et renvoie systématiquement vers les documents de référence accessibles sur le portail Intranet. Une version internationale de ce bulletin est diffusée chaque trimestre en trois langues.
Compte tenu des métiers exercés, le Système Qualité de Sopra Group constitue une pièce majeure du dispositif de contrôle interne de l’entreprise et mérite une mention particulière.
Le Système Qualité est défini, documenté et entretenu par la Direction Industrielle. Il couvre les activités d’Intégration de Systèmes et Solutions et les prestations associées à ces activités.
L’organisation, les procédures, les processus et les moyens mis en œuvre au service de la qualité concernent les domaines suivants : l’avant-vente, la production, la gestion des Ressources Humaines et le management du Système Qualité.
Les fondamentaux du Système Qualité sont décrits dans un manuel Qualité complété par des guides de procédures et des manuels opératoires.
L’internationalisation du Groupe rend de plus en plus nécessaire la prise en compte de la problématique de la langue. Les trois langues utilisées dans les outils et les communications du Groupe sont le français, l’anglais et l’espagnol. Néanmoins, l’ensemble de la documentation de référence applicable n’est pas encore disponible à ce jour dans les trois langues, en particulier en espagnol.
L’augmentation du nombre de documents en espagnol a ainsi été retenue comme l’un des axes de progression en 2011.
Outils
La centralisation des fonctions évoquée dans les paragraphes relatifs à l’organisation et au système d’information conduit à une standardisation du matériel et des applications informatiques.
Les applications de gestion et les outils bureautiques conçus pour normaliser les documents produits par le Groupe sont déployés dans l’ensemble des filiales.
Les besoins liés à des réglementations, des modes de fonctionnement ou des contraintes métier spécifiques sont pris en compte à chaque fois que nécessaire.
b. Diffusion interne de l’information
Description générale du Système d’Information, de Pilotage et de Contrôle (SIPC)
Ce système a pour objectif d’organiser la diffusion de l’information de façon ascendante vers la Direction Générale et de façon
d’assister et de former. Il obéit à des rythmes réguliers correspondant aux différents horizons envisagés :
■la semaine pour le mois en cours, avec une priorité accordée au suivi des affaires commerciales, de la production et des Ressources Humaines ;
■le mois pour l’année en cours (un accent particulier étant mis sur les trois prochains mois), avec, en plus des sujets évoqués chaque semaine, un éclairage particulier apporté aux données économiques : réalisations du mois précédent, révision des prévisions annuelles, suivi budgétaire, etc. ;
■l’année dans le cadre du plan stratégique et de la démarche budgétaire.
Les réunions de pilotage sont tenues aux différents niveaux évoqués ci-dessus : unités opérationnelles (elles-mêmes organisées en projets), divisions ou filiales, Comité Exécutif Groupe.
Cette organisation du pilotage de l’entreprise s’appuie sur un système informatique de gestion développé par le Groupe.
Application du SIPC à l’ensemble des entités du Groupe Ce système est actuellement déployé, sans exception, sur l’ensemble des entités opérationnelles et fonctionnelles du Groupe.
Il est généralement implanté dans les plus brefs délais dans les sociétés rejoignant le Groupe par acquisition. La couverture totale du Groupe par le SIPC est un profond vecteur de cohésion, d’appropriation des valeurs et pratiques communes du Groupe, et de contrôle.
c. Dispositif de recensement et de gestion des risques Le dispositif de recensement et de gestion des risques mis en place par le Groupe vise à anticiper ou à traiter au plus vite les risques afin de favoriser l’atteinte de ses objectifs.
L’ensemble des collaborateurs et du management est associé à la gestion des risques. Les enjeux de cette gestion sont d’autant plus facilement intégrés que la population concernée est presque exclusivement constituée d’ingénieurs, imprégnés de la culture de la gestion de projet qui fait une part importante à la gestion des risques.
La remontée des risques opérationnels et fonctionnels identifiés est organisée par les règles du système d’information, de pilotage et de contrôle afin qu’ils soient traités au niveau le plus approprié de l’organisation.
Les risques opérationnels rencontrés dans l’activité, qualifiés
« d’alerte » dans le vocabulaire du Groupe lorsqu’ils sont significatifs pour l’entité qui les identifie, font l’objet d’un traitement immédiat ou sont inclus dans la revue hebdomadaire effectuée à chacun des trois niveaux de l’organisation en vue de la mise en œuvre d’un plan d’action aussi rapide que possible. L’organisation décentralisée du Groupe permet le plus souvent une prise de décision rapide, au plus proche du terrain, accompagnée, si nécessaire, d’une information du niveau hiérarchique supérieur. Lorsqu’ils impliquent une décision relevant du Groupe, les modalités de traitement des risques (responsable, délai accordé pour la mise en œuvre des plans d’action) sont généralement arrêtées par le Comité Exécutif au cours de ses réunions.
Les fonctions Groupe, responsables de la définition et de la bonne application des politiques liées notamment aux Ressources Humaines, à la finance, à la production, aux contrats clients et
3
GOUVERNEMENT D’ENTREPRISEGénérale des nouveaux risques identifiés, de l’évaluation de leurs conséquences possibles et des dispositifs de prévention ou de correction mis en place ou envisagés.
Les revues organisées par le contrôle de gestion, la Direction Qualité et l’audit interne complètent le dispositif.
La Société a par ailleurs identifié quatre grands domaines (Risques relatifs aux Ressources Humaines, à la production, à l’activité commerciale, à la trésorerie) nécessitant des actions longues, engageant de nombreuses ressources à l’intérieur du Groupe et pour lesquelles des pilotes ont été chargés d’un rôle spécifique d’analyse, de suivi et de correction dont elles rendent compte périodiquement à la Direction Générale.
La cartographie des risques est partagée et discutée au sein du Comité Exécutif du Groupe qui en vérifie l’exhaustivité, apprécie la qualification faite des principaux risques, évalue les mesures correctives et arrête le niveau résiduel acceptable par la Société.
Enfin, de façon à pouvoir réagir au mieux dans l’éventualité d’une crise majeure, le Groupe a modélisé un dispositif de gestion de crise qu’il a fait fonctionner à titre expérimental dans le contexte de la préparation de la Société aux conséquences d’une possible épidémie généralisée de grippe A H1N1.
Le fonctionnement du dispositif de gestion des risques est placé sous la surveillance de la Direction Générale vers laquelle convergent les informations issues des dispositifs opérationnels, fonctionnels et de contrôle.
d. Activités de contrôle
Au-delà de l’autocontrôle et du contrôle hiérarchique exercé par les responsables opérationnels de tout niveau, en application des règles de délégation en vigueur dans le Groupe, les Directions Fonctionnelles jouent un rôle particulier en matière de maîtrise des risques en exerçant une activité de support auprès des opérationnels, en intervenant préventivement dans le cadre de consultations obligatoires prévues le cas échéant par les procédures ou en effectuant des contrôles a posteriori sur l’application des procédures et les résultats obtenus (notamment des contrôles portant sur la qualité des données saisies dans le système d’information).
Un rôle particulier est dévolu à la Direction Administration et Finances au titre du Contrôle de gestion et à la Direction Industrielle dans le cadre du management du Système Qualité.
Direction Administration Finances (Contrôle de gestion) Le Contrôle de gestion relève de la Direction Administration et Finances. Il compte environ vingt-cinq personnes à ce jour. Le Contrôle de gestion a pour principales missions de consolider et d’analyser les résultats mensuels issus du système de gestion interne, d’exercer un contrôle de cohérence sur les prévisions mensuelles, de contrôler l’application des règles et procédures du Groupe, d’assister les responsables opérationnels, de former les participants au système de gestion, de réaliser des revues généralement trimestrielles des unités (235 revues d’agence en 2010), de réaliser le rapprochement entre le système de gestion interne et la comptabilité générale.
Direction Industrielle (Management du Système Qualité)
Des séquences mensuelles de pilotage permettent de faire une synthèse de la qualité à tous les niveaux, de suivre les objectifs qualité annuels définis lors des revues de Direction et de décider des plans d’actions pertinents pour améliorer en permanence la qualité des produits et prestations de Sopra Group et d’Axway.
Des « audits de structure » visent à vérifier l’application et l’efficacité du Système Qualité auprès des acteurs concernés de la structure du Groupe (management, commerce, relais qualité en opérations).
La Structure qualité de Sopra Group est indépendante du dispositif de management des projets. À ce titre, elle met en œuvre une assurance qualité « externe » aux projets dont les objectifs sont de sécuriser la production et de vérifier la conformité, le respect et l’efficacité du dispositif d’assurance qualité décrit dans le Plan Qualité Projet.
Une revue annuelle de Direction permet de s’assurer que le Système Qualité demeure pertinent, adéquat et efficace. Cette revue s’appuie notamment sur une synthèse des revues de projet et des audits de structure effectués à tous les niveaux de l’organisation. Lors de cette revue, la pertinence de la politique qualité est appréciée, les objectifs qualité annuels sont définis et les opportunités d’évolution et d’amélioration du Système Qualité sont évaluées. Cette revue est faite au niveau de la Direction Générale puis à celui des Directions de Division ou de Filiale.
Des revues systématiques sont menées sur les projets, lors des phases-clés de leur cycle de vie. Organisées par la Direction Industrielle, ou bien par les relais locaux de la Structure Qualité, ces revues permettent un regard externe sur la situation et l’organisation des projets. Près de 1 200 missions de revue sont ainsi conduites en 2010.
L’efficacité des actions entreprises suite aux séquences de pilotage, audits et revues est contrôlée par la Direction Industrielle. Par ailleurs, des plans annuels d’amélioration du Système Qualité sont décidés lors de la revue annuelle effectuée par la Direction Générale.
e. Surveillance du dispositif de contrôle interne
Dispositif interne de surveillance
La surveillance du dispositif de contrôle interne est une responsabilité partagée par l’ensemble des collaborateurs du Groupe. Les organes de direction jouent aussi dans ce domaine un rôle-clé.
Direction du Contrôle interne (sous l’autorité du Président-Directeur Général)
Une surveillance du dispositif de contrôle interne est exercée par la Direction du Contrôle interne, en charge de l’audit interne et placée sous l’autorité directe du Président-Directeur Général.
Dans le cadre de la charte de l’audit interne adoptée par le Groupe, la Direction du Contrôle interne dont l’effectif s’élève à trois personnes a pour mission :
■l’évaluation indépendante et objective du fonctionnement du dispositif de contrôle interne à travers l’audit périodique des entités ;
■l’élaboration de toutes préconisations pour améliorer le fonctionnement du Groupe ;
GOUVERNEMENT D’ENTREPRISE
3
Le Président-Directeur Général arrête le plan d’audit notamment sur la base de la cartographie des risques et des priorités qu’il a retenues pour l’année. Ce plan est présenté au Comité d’audit pour avis.
Conseil d’administration (Comité d’audit)
Le Comité d’audit s’informe de l’activité de la Direction du Contrôle interne en auditionnant deux fois par an le Directeur du Contrôle Interne en présence des Commissaires aux comptes et hors la présence du management.
Le comité examine annuellement la cartographie des risques, le plan annuel d’audit interne, et deux fois par an les résultats des missions d’audit interne et le suivi de la mise en œuvre des recommandations qui en sont issues.
Dispositif externe
Par ailleurs, le dispositif de contrôle interne fait également l’objet d’une surveillance de la part des Commissaires aux comptes et des auditeurs AFAQ AFNOR Certification pour le Système Qualité.
Commissaires aux comptes
La mission des Commissaires aux comptes inclut une appréciation du contrôle interne.
Auditeurs AFAQ AFNOR Certification
La démarche d’audit vise à s’assurer, d’une part, que le Système Qualité est bien conforme aux standards internationaux et, d’autre part, que le Système Qualité est bien appliqué sur l’ensemble du périmètre certifié.
Chaque année l’AFNOR choisit elle-même les sites visités en fonction de leur ancienneté de visite et de la représentativité de leur activité.
L’esprit de cette démarche d’audit est d’identifier les pistes d’amélioration du système de management de la qualité pour en augmenter continuellement la performance.