Gestion et contrôle axés sur les risques dans les PME

Uans l'environnement de marché dynamique actuel, les entreprises sont confrontées à des risques complexes. La gestion et le contrôle de ces risques sont particulièrement difficiles pour les PME en raison de leurs caractéristiques spécifiques. Par exemple, les ressources financières disponibles sont limitées et les ressources humaines sont généralement restreintes. En outre, une séparation cohérente des fonctions ne peut pas être mise en œuvre ou ne peut l'être que dans une mesure limitée. Une personnalité entrepreneuriale dominante peut également conduire à ce que des activités sensibles et risquées ne relèvent que d'une seule personne. Enfin, les règlements internes des entreprises ne sont souvent mis en œuvre que de manière informelle et ne sont pas ou seulement partiellement documentés.

Niveaux d'action avec effet de levier
Afin de relever ces défis, il existe trois domaines d'action, indépendamment du domaine d'activité, qui peuvent constituer la base d'une gestion et d'un contrôle orientés vers le risque.

• Sensibilisation aux risques : La première étape consiste à influencer positivement la prise de conscience des risques et du contrôle par les employés et les dirigeants. Dans de nombreux cas, les responsables des PME sont fortement impliqués dans les processus opérationnels dans leur domaine de spécialisation. En conséquence, les gestionnaires développent rapidement un sens aigu des risques et des incertitudes dans leur domaine. Toutefois, en raison des particularités des PME mentionnées ci-dessus, il y a à certains égards un manque d'attention à la reconnaissance en temps utile des conditions cadres modifiées et à une culture du risque appropriée à l'échelle de l'entreprise.
• Connaissances spécialisées : L'expertise essentielle au succès des PME est généralement concentrée dans quelques postes clés. Les autres employés doivent faire face à un éventail de tâches relativement large compte tenu des ressources en personnel limitées. La variété des tâches conduit les employés à acquérir des compétences dans différents sous-domaines. Cette étendue de connaissances est un facteur décisif pour la performance économique des PME. D'autre part, le généralisme conduit à un manque de connaissances spécialisées dans certains domaines ou processus. Parfois, ces connaissances font également défaut pour l'analyse systématique des risques dans les différents domaines.
• compétences en informatique : Les systèmes d'application informatique modernes (ERP ou logiciels financiers) offrent de nombreuses possibilités de gestion et de contrôle des processus d'entreprise et de soutien. Grâce à des fonctions de gestion préventive et de contrôle de plus en plus complètes, les risques peuvent être minimisés par l'utilisation ciblée du logiciel. Dans la pratique des PME, ces fonctions ne sont que partiellement utilisées, comme le montre un projet de recherche de la Haute école spécialisée de Lucerne (voir encadré). Les PME se concentrent souvent sur quelques fonctions centrales qui sont inutilement complétées par des applications supplémentaires. Les raisons en sont d'une part le manque de savoir-faire commercial et technique, et d'autre part le conseil du prestataire de services informatiques joue un rôle décisif.

Exemple d'application de comptabilité des salaires
En raison de la nature répétitive du processus, la création des fiches de paie ainsi que le paiement et la comptabilisation font partie des activités courantes d'une entreprise. Du point de vue du processus, des difficultés peuvent surgir si les données relatives à la paie changent ou si les enregistrements de données traités doivent être vérifiés à chaque fois qu'ils sont effectués. Dans le cadre d'une bonne analyse des risques, les dangers suivants peuvent essentiellement être identifiés dans le processus de paie (cf. Hunziker, Dietiker, Schiltz & Gwerder, 2015, pp. 152-156) :

• Les données de base dans le système de paie ne sont pas ou ne sont pas correctement saisies ou éditées
• Les paiements de salaires et de frais sont effectués de manière incomplète, incorrecte (bénéficiaire, montant, compte) ou fictive ou démissionnaire
• Employés
• Les déductions salariales et/ou les allocations ne sont pas calculées et payées, ne sont pas calculées en totalité ou sont payées de façon erronée
• Le total des paiements et le total des salaires selon la comptabilité des salaires ne correspondent pas
• Les paiements de salaires ou de frais sont effectués sans autorisation
• Les primes de performance/commissions sont mal calculées ou non approuvées

Cette liste illustre le fait que les risques financiers de ce processus doivent être classés comme relativement élevés. Sur la base des domaines d'action susmentionnés, les approches suivantes peuvent être utilisées pour réduire les risques à un niveau acceptable.

Au niveau de la sensibilisation aux risques, le traitement général et la sensibilité aux risques sont encouragés, y compris en ce qui concerne le processus de paie. Des lignes directrices écrites sous la forme d'un code de conduite contraignant ou de lignes directrices spécifiques aux processus constituent une première mesure de sensibilisation des employés et des cadres. Sur le plan informel, donner l'exemple, un style de gestion proactif et le respect des règles de conduite de la part de la direction peuvent avoir un effet positif sur le comportement à risque. En outre, les risques les plus importants doivent être régulièrement discutés, gérés et, en dernier ressort, communiqués au sein de l'organe de gestion.

Au deuxième niveau d'action, une comptabilité des salaires incorrecte ou des activités de contrôle inadéquates peuvent être évitées en faisant appel à des connaissances spécialisées. Selon la structure de sa propre organisation, il peut être fait appel à un soutien externe pour des questions individuelles (par exemple en cas de changement de la loi) ou sous la forme d'une externalisation complète à une société fiduciaire. En outre, les fournisseurs de systèmes d'application informatique disposent généralement des connaissances commerciales nécessaires pour mettre en correspondance les processus et les transactions commerciales avec les produits respectifs. Enfin, il est également envisageable d'acquérir des connaissances spécialisées de manière ciblée sous la forme d'une formation continue. L'investissement dans ces mesures justifie généralement les coûts qui seraient engagés pour éliminer les risques qui se sont produits.

Les mesures du troisième niveau d'action visent à accroître les connaissances informatiques en ce qui concerne la gamme de fonctions et d'avantages des applications informatiques et à réduire ainsi les risques d'interfaces inutiles. Dans le cadre du processus de paie, les fonctions informatiques présentées à la figure 1 permettent également de réduire les risques.

Afin de pouvoir décider des mesures appropriées, les employés impliqués dans le processus doivent avoir une connaissance des fonctions informatiques. Ces connaissances peuvent être acquises par les employés qui maîtrisent l'informatique eux-mêmes ou, par exemple, sous la forme de visites de formation. Sinon, les consultants en informatique ou les fournisseurs de produits fournissent également les connaissances nécessaires pour pouvoir utiliser de manière optimale la solution logicielle mise en œuvre.

Conclusion
De nombreuses PME ne disposent pas d'une gestion et d'un contrôle systématiques des risques. En outre, la gestion informelle des risques ne se fait souvent qu'avec le directeur général ou le niveau de direction le plus élevé. Sur la base du processus de paie présenté, il est clair qu'un certain nombre de risques restent ainsi non détectés, ce qui représente un potentiel de risque considérable pour les PME. Toutefois, grâce à des mesures faciles à mettre en œuvre dans les trois domaines d'action, les conditions préalables à une gestion et à un contrôle orientés sur les risques peuvent être créées.