L’IFA (Institut Français des Administrateurs) a publié un guide méthodologique intitulé “Le suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques”. Destiné aux comités d’audit, ce guide présente un panorama sur la démarche d’évaluation des système et sur la gestion du risque. Un exemple de grille de synthèse des risques avec les moyens d’action à déployer pour rendre le niveau de risque acceptable est fourni en annexe.
La phrase clef :
« Un système est efficace dès lors qu’il répond aux objectifs pour lesquels il a été créé. »
Au sommaire :
- Avant-Propos
- La mission de suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques : quels enjeux pour les comités d’audit ?
- Que faut-il entendre par « efficacité des systèmes de contrôle interne et de gestion des risques » ?
- Quels sont les objectifs du dispositif de gestion des risques et du contrôle interne ?
- Quelles caractéristiques pour un système efficace de contrôle interne et de gestion des risques ?
- Que doit mettre en oeuvre le comité d’audit pour mener à bien sa mission de « suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques» ?
- Quel cadre pour la mission du comité d’audit ?
- Quels acteurs le comité d’audit pourra-t-il solliciter ?
- Quelles diligences le comité d’audit pourra-t-il mettre en oeuvre ?
- Quelle documentation le comité d’audit pourra-t-il obtenir ?
- Perspectives
- Annexe – Exemple de tableau de bord pour le suivi de l’efficacité
Extrait :
L’ensemble du dispositif (de contrôle interne et de gestion des risques) doit être adapté aux caractéristiques propres de chaque entité. Néanmoins, quelle que soit l’organisation considérée, la mise en oeuvre des 15 pratiques suivantes pourrait garantir l’efficacité du système.
-
Politique et stratégie :
-
L’appétence aux risques est définie par le conseil ;
-
Les responsabilités en matière de gestion des risques (y compris les problématiques de délégation) sont clairement définies et diffusées au sein de l’entité ;
-
Analyse de l’exposition aux risques :
-
Le recensement des événements potentiels susceptibles d’avoir un impact sur les objectifs de la société est réalisé de manière exhaustive et l’univers des risques est régulièrement mis à jour ;
-
Les événements négatifs (internes ou externes) pouvant générer des risques sont analysés ;
-
Evaluation des risques :
-
les risques et leurs incidences potentielles sont évalués ;
-
les réponses aux risques sont élaborées ;
-
les risques résiduels sont analysés en lien avec le niveau de risque acceptable tel que défini par le conseil ;
-
Activités de contrôle :
-
les activités de contrôle sont mises en oeuvre dans chaque processus de l’organisation ;
-
les activités de contrôle font l’objet d’une évaluation ou auto-évaluation ;
-
les activités de contrôle sont supervisées par des fonctions de surveillance ;
-
l’évaluation des activités de contrôle fait l’objet d’une revue indépendante ;
-
Pilotage :
-
des indicateurs-clés de performance relatifs au dispositif de gestion des risques sont définis et suivis ;
-
les plans de remédiation font l’objet d’un suivi documenté ;
-
les incidents avérés sont recensés et analysés ;
-
les objectifs et la stratégie du dispositif sont régulièrement mis à jour.
In fine, suivre l’efficacité d’un système revient à suivre le niveau de réalisation de ses objectifs. Cela suppose qu’il en existe une mesure, une évaluation.
Source : KPMG
201011-ACI-Guide-methodologique-IFA.pdf
Derniers articles parBenoît RIVIERE (voir tous)
- Nouveautés de l’interpréteur de formules de calcul (v1.1) - dimanche 3 novembre 2024
- Dématérialisation de la facturation : nouvelles mentions obligatoires - lundi 28 octobre 2024
- Interpréteur de formules de calcul en Python - dimanche 13 octobre 2024
- Les données de la facturation électronique - mercredi 9 octobre 2024
- VBA/SQL vs Power Query : deux solutions complémentaires - mercredi 2 octobre 2024