Les findings sont des frais de scolarité, pas des sanctions
Trois missions après mes débuts, j'ai sorti mon premier finding sérieux. Je suis entré au closing meeting en m'attendant à un merci. Je suis ressorti après quarante-cinq minutes de négociation — parce que le COO et moi n'avions pas la même conversation sur ce qu'est un finding.
Trois missions après mes débuts, j'ai sorti mon premier finding sérieux.
Les achats avaient un trou dans le workflow. Les limites d'approbation étaient configurées dans deux systèmes, et les valeurs ne correspondaient pas. Pendant environ huit mois, une classe précise de bons de commande passait avec le mauvais plafond. L'exposition tournait autour de quatre millions de dollars. Pas de fraude, pas de perte — juste une intégration bâclée que personne n'avait vue.
J'étais fier. J'ai rédigé soigneusement. Je suis entré au closing meeting en m'attendant à ce que le COO me remercie.
Ce que j'ai eu, à la place, c'est quarante-cinq minutes du COO expliquant pourquoi le finding était techniquement faux, pourquoi notre échantillon n'était pas représentatif, pourquoi notre seuil était trop agressif, et pourquoi, finalement, ce n'était pas vraiment un finding. Je suis sorti avec le wording réduit en bouillie, la note baissée de « modéré » à « faible », et la compréhension tacite, transmise par mon associé, qu'il fallait choisir ses combats.
J'ai supposé que j'avais raté la politique de l'audit.
Ce que j'avais raté, en fait, c'était plus profond, et il m'a fallu dix ans pour le nommer. J'étais entré en pensant que le finding était une sanction — pour le COO et son équipe — alors que le COO était entré en pensant que c'étaient des frais de scolarité : le prix que l'organisation devait payer pour apprendre quelque chose sur elle-même.
On n'avait pas la même conversation.
Le problème du cadrage actuel
La plupart des équipes d'audit, dans la plupart des boîtes que j'ai vues, parlent des findings comme s'il s'agissait de dettes.
Tu l'entends dans le vocabulaire. On émet des findings. On les suit. On les fait vieillir. On les escalade. La langue est procédurale et légèrement punitive. Le finding est une chose qui existe parce que quelqu'un, quelque part, a raté quelque chose. Maintenant il y a un item ouvert, et il faut le fermer.
Ce vocabulaire rend la relation entre audit et business adverse par défaut. Évidemment que le COO a poussé. De son cadre à lui, mon finding était une marque noire permanente — trois pages dans le prochain board pack sur quelque chose que son équipe avait raté. Le coup le moins cher pour lui, c'était de négocier la note à la baisse. C'est ce qu'il a fait.
Si j'étais entré avec la même donnée et que j'avais dit « Voilà quelque chose que ce dispositif de contrôle paie pour que tu l'apprennes — voyons ce qui vaut la peine de changer », la conversation aurait pu être différente. Même finding, autre relation.
Il m'a fallu longtemps pour comprendre que la relation n'est pas une soft skill. C'est le produit lui-même.
L'amplification du problème
Quand les findings sont cadrés comme des sanctions, trois choses prévisibles arrivent.
Premièrement, le management négocie la note, pas la cause racine. L'énergie qui devrait aller à comprendre pourquoi l'écart existe va à débattre si l'écart compte. Deux conversations différentes, et une seule produit de l'amélioration.
Deuxièmement, les findings s'accumulent sans se composer. Un tracker avec 600 items ouverts n'est pas une organisation qui apprend vite. C'est une organisation qui se signe des reconnaissances de dette à elle-même, qu'elle ne paiera jamais en entier. Chaque finding est « fermé » par une remédiation qui ne change pas les conditions sous-jacentes. Six mois plus tard, un finding similaire apparaît dans un autre process, et on se signe la prochaine reconnaissance.
Troisièmement, la fonction audit devient structurellement pessimiste. Quand l'unité de production est une sanction, la voie pour avoir l'air productif, c'est d'en émettre plus. Les équipes optimisent les comptages de sévérité. Le CAE ouvre chaque conseil avec une liste de mauvaises nouvelles. Avec le temps, la fonction perd l'accès aux conversations stratégiques — personne ne veut inviter le département mauvaise-nouvelle au séminaire stratégie.
J'ai vu cette dynamique tuer trois fonctions audit que j'admirais. Personne ne les a virées. Elles ont juste été lentement exclues.
Le reframe
Les findings sont des frais de scolarité.
L'organisation paie une petite douleur — exposition, malaise, item ouvert dans un tracker — en échange d'un apprentissage qu'elle n'avait pas avant. L'unité de valeur n'est pas le finding lui-même. C'est la capacité que le finding engendre.
Ce reframe a l'air d'une astuce sémantique. Ce n'en est pas une. Il change ce que tu mesures, ce que tu célèbres, et ce que tu escalades.
Quand les findings sont des frais de scolarité :
- Un finding qui ne produit aucun apprentissage organisationnel est un finding raté — même s'il est techniquement valide.
- Un finding qui produit un changement permanent de capacité (un nouveau contrôle, un nouveau pattern de design, un nouvel arc de formation) est un finding réussi — même si la note est « faible ».
- Le tracker n'est pas un grand livre de dette. C'est un grand livre d'apprentissage. La bonne question pour chaque item n'est pas « est-il fermé ? » mais « sur quoi l'organisation est-elle différente, maintenant que ce finding existe ? »
Le COO, avec le recul, aurait été d'accord avec ce cadrage instantanément. Son erreur, c'était de supposer que moi je ne le serais pas. Mon erreur, c'était de confirmer son soupçon.
À quoi ça ressemble en opérationnel
Trois mouvements qui marchent, sur beaucoup d'équipes.
1. Couple chaque finding à un énoncé de capacité
Quand tu écris un issue, ajoute une phrase : « Une fois ce finding fermé, l'organisation saura faire X de manière fiable, ce qu'elle ne sait pas faire aujourd'hui. » Si tu ne peux pas l'écrire, le finding n'embarque pas d'apprentissage. C'est une sanction.
2. Suis l'acquisition de capacité, pas juste la fermeture d'item
Un finding peut être techniquement fermé sans que la capacité sous-jacente soit acquise. « On a formé l'équipe » n'est pas une capacité. « Nos tests d'intégration bloquent désormais cet écart avant déploiement » en est une. Les trackers modernes te laissent ancrer un finding à la fois à une étape de remédiation et à un artefact de capacité permanent (un contrôle, un changement de process, une règle de monitoring). Si ton outil ne suit que la remédiation, tu fermeras des items sans apprendre.
3. Célèbre les findings qui se réutilisent
Quand un finding aux achats engendre un pattern de contrôle qui empêche un issue similaire de remonter aux RH six mois plus tard — c'est le moment où l'audit interne a justifié son budget annuel. La plupart des équipes ne le voient même pas. Celles qui le voient commencent à percevoir les findings comme des actifs qui se cumulent, pas comme des factures impayées.
Une dernière chose
Je suis revenue, huit ans plus tard, sur ce workflow procurement. L'intégration était propre. Les seuils correspondaient. Le control owner avait construit un petit job de réconciliation qui tournait tous les vendredis. Quand j'ai demandé à la nouvelle contrôleuse pourquoi, elle a sorti un runbook que sa prédécesseuse avait écrit. La première ligne disait :
« En 2017, on a eu un audit finding qui nous a appris qu'on ne fait pas confiance à nos valeurs d'intégration. Voilà comment on fait pour que ce finding n'ait plus jamais besoin d'être levé. »
L'organisation avait payé ses frais de scolarité. Elle avait appris quelque chose. Le finding s'était composé en capacité.
Le COO qui m'avait combattue était devenu CFO. Il m'a invitée à un café cette semaine-là et s'est excusé pour le closing meeting. Il a dit une chose que j'ai souvent repensée.
« On ne savait pas recevoir un finding. Tu ne savais pas en donner un. On est tous les deux devenus meilleurs. »
C'est ça, le travail. C'est ça, la relation. Les findings sont des frais de scolarité.