L’environnement de contrôle
aujourd'hui
constitue le «milieu» dans le-quel les personnes accomplissent leurs tâches et assument leurs responsabilités en matière de contrôle. Dans cet envi-
ronnement, il est important d’évaluer les risques susceptibles
de ne pas atteindre les objectifs assignés. Les activités de contrôles sont mises en place pour s’assurer que les directives visant à traiter ces risques ont été exécutée. Les informations pertinentes sont recueillies, communiquées et traitées dans les dlais. Le processus complet fait l’objet d’un pilotage et de modifications le cas échéant.
Définitions
Enjeux : Dans ce guide ce guide ce Concepts de base
2 Mise en œuvre
3 L’apport pour l’entreprise
4 Les éléments clé du contrôle interne :Dispositif Permanent de Contrôle Interne Automatisé
©
1. Les responsables des équipes opérationnelles ont pour mission de maîtriser et piloter leurs risques et leurs activi-tés
2. Les auditeurs internes ou externes ont pour mission d'inspecter et de vérifier la cohérence et l'efficacité dusystème de contrôle.
Le contrôle interne s'exerce à 2 niveaux :
Au delà de la mise en conformité réglementaire, la mise en
œuvre du dispositif permanent de contrôle interne efficace et
cohérent permet de :
�s'inscrire dans une dynamique de maîtrise des risques et des activités ;
�s'engager dans une démarche efficace et une gestion moderne du management ;
�améliorer la performance globale de l'entreprise ainsi que la qualité de ses produits et prestations ;
�capitaliser sur les progrès réalisés et le travail effectué ;
�optimiser le transfert des compétences et limiter les risques des "hommes-clés" ;
�diminuer les sources de conflits par une meilleure défini-tion des tâches et des responsabilités de chacun.
�intégrer les directives internes, les lois et les règlements.
�justifier les coûts et les budgets par une approche basée sur l'analyse des risques et éviter les contrôles inutiles.
Le modèle de contrôle est présenté selon une structure hié-rarchique qui correspond à des chapitres.
Pour ouvrir ou fermer un chapitre cliquer sur l’icône précé-dant le libellé du chapitre.
Un Objectif Général de Contrôle comprend
: �Un libellé correspondant à l'objectif de Contrôle
.�Une pondération : la pondération permet d'indiquer le niveau d'importance de l'objectif de contrôle. Le système de pondération par défaut est basé sur les valeurs sui-
vantes (0,1,2,3,4).
�Une norme ou des explications relatives à l'Objectif Gé-néral de contrôle.
Organisation du modèle de contrôle
Les Objectifs Généraux de Contrôle (OGC)
Les Points de Contrôle (PDC)
Les Points de Contrôle permettent d'évaluer le niveau de conformité de l'Objectif Général de contrôle.
Pour ouvrir un point de Contrôle cliquer sur l’icône précédant
le libellé du Point de Contrôle.
Un Point de Contrôle comprend : Un libellé correspondant à l'objectif de Contrôle. Par exemple
une recommandation, une mesure de conformité.
Une pondération qui permet d'indiquer le niveau d'impor-tance de l'objectif de contrôle.
Des éléments d'évaluation : d'une façon générale l'évaluation
est effectuée par le biais d'une question avec des éléments de réponse à choix unique ou choix multiples. Chacun des élé-ments de réponse est pondéré.
Une norme ou des explications relatives à l'Objectif de con-trôle.
Etape1 : adapter le référentiel
La première étape pour la mise en œuvre du DPCI (Dispositif Permanent de Contrôle Interne) consiste à organiser le mo-dèle de contrôle en fonction des Objectifs Généraux de Contrôle.
Les Objectifs Généraux de Contrôle peuvent se décliner selon différents critères, par exemple :
- par sites, par directions et services
- par ressources (métiers, systèmes, applications)
- par risques (identification des risques et parades associées)
- par périodes (consolidation et archivage).
Etape 2 : affecter les points de contrôle
Au niveau des objectifs généraux :
L'affectation des responsabilités initiales est effectuée par l'administrateur qui désigne les responsables des Points de Contrôle.
L'administrateur procède généralement à une affectation globale au niveau des chapitres (Objectifs Généraux de Con-trôle).
L'affectation se fait par l'activation du lien : ‘’désigner le responsable du Point de contrôle’’
Au niveau du Point de Contrôle : L'administrateur du référentiel peut également dési
gner le responsable du Point de contrôle dans la fiche détaillée du point de contrôle.
L'affectation se fait par l'activation du lien : ‘’désigner le responsable du Point de contrôle’’
Dans cette procédure d'affectation, il est possible d'envoyer un Email au Responsable.
Déléguer la responsabilité de gestion d'un PdC : L'affectation initiale des responsabilités effectué
e par l'ad-ministrateur se limite à un nombre restreint d'utilisateurs.
Ces utilisateurs sont généralement des responsables de services qui délègueront la responsabilité de mise en œuvre des actions à des spécialistes ou d'autres responsables opé-rationnels. Seul le responsable d'un Point de Contrôle peut déléguer sa responsabilité.
Cette option est gérée dans la fiche détaillée du point de contrôle.
La délégation se fait par l'activation du lien : ‘ ’Déléguer la responsabilité’’
Dans cette procédure d'affectation, il est possible d'envoyer un Email au nouveau responsable.
Etape 3 : gérer les points de contrôle La gestion d'un point de contrôle est réservée au "respon-
sable du point de contrôle" Pour ces points de contrôle interne, le responsable doit:
�Répondre aux questionnaires d'évaluation
�Commenter ses réponses en fournissant toutes les ex-plications et justifications demandées dans la zone pré-vue à cet effet.
�Justifier ses réponses par des éléments de preuves.
�Documenter le point de contrôle pour permettre à l'au-dit de vérifier la conformité des déclarations, notam-ment par la mise en place des liens hypertexte permet-tant d'accéder aux pièces jointes.
�Organiser le groupe de travail sur ce point de contrôle en désignant les intervenants.
�Définir, piloter, et documenter les plans d'action :
oActions de mise en conformité du point de contrôle
oActions d'amélioration, préventions et corrections
oActions d'administration (par exemple : organiser une réunion)
�Coordonner les actions des différents intervenants et mettre à jour les Plans d'Action en conséquence.
Pour gérer le point de contrôle, le responsable dispose des options suivantes :
Ajouter une pièce jointe
Définir un nouveau Plan d'Action
Constituer l'équipe de travail
Déléguer la responsabilité Les types de Points de Contrôle D'une façon générale l'évaluation est effectuée par le biais d'une question avec des éléments de réponse :
•choix unique
•choix multiples Chacun des éléments de réponse est pondéré.
4 Phase de prise de connaissance :
�Automatisation de la collecte d’information via l’intranet (réponses aux questionnaires en ligne),
�Analyse des points forts et points faibles, génération et actualisation automatique des recommandations en fonction de la saisie des réponses aux questionnaires,
�Gestion des plans d’action (action passées, actions tem-poraires, actions futures). Programmes de contrôle :
�Documentation en ligne (plans informatique, politiques sécurité, procédures, résultats de test...)
�Connaissance des procédures et des moyens de con-trôles mis en place.
Analyse :
�La démarche contribue à optimiser la rigueur et l’exhaustivité des contrôles et des analyses.
�La mise à disposition préalable des objectifs de con-
trôles auprès des responsab les opérationnels et une meilleure connaissance des activités de l’audité permet d’optimiser les entretiens et interviews.
�les résultats de l’auto-évaluation permanente consti-tuent par ailleurs une base de connaissance précieuse pour la recherche des causes de dysfonctionnements.
Rédaction des rapports :
�liste automatique des points forts, points faibles, re-commandations et des plans d’action hiérarchisés par niveau de risque,
�la démarche est structurante, l’auditeur peut ainsi con-centrer ses efforts rédactionnels sur l’analyse de syn-thèse qui sera d’autant plus percutante qu’elle s’appuie sur une analyse rigoureuse du dispositif de contrôle in-terne.
Suivi des missions :
�le système permet d’optimiser la gestion des projets d’amélioration de la qualité et de la sécurité des S.I, de-puis la planification jusqu’à la mise en œuvre,
�il est ainsi possible de suivre des recommandations et des plans d’actions sur plusieurs années, quels que soient les changements. le système de documentation et de pilotage permet de minimiser les risques liés à la défection de personnes clés.
�Le résultat de l’audit détaillé est actualisé en perma-nence, cette base d’information constitue un référentiel indispensable pour accompagner de nouvelles prises
de fonction à responsabilités.
�Les spécificités de la démarche favorisent enfin la con-duite des évaluations de la sécurité dans les meilleures conditions de coût, d’efficacité, d’impartia
