Comment le risque influe sur la conception des contrôles internes

Galvanize

Galvanize

Lors de la conception des contrôles internes, il est essentiel de s'assurer que les risques les plus critiques sont traités en premier. Voici sept éléments à prendre en compte pour le développement de contrôles efficaces et intelligents vis-à-vis du risque.

Les contrôles ne sont pas bon marché et ils nécessitent des personnes, des processus et des ressources technologiques. Pour une conception efficace du contrôle interne, vous devez d'abord procéder à une évaluation des risques. En utilisant une combinaison de méthodologies qualitatives et quantitatives, priorisez et mettez en place des contrôles qui atténuent les risques les plus critiques. L'accent est mis sur les risques, comme la manière dont les auditeurs abordent leur travail.

Cela est logique : si les risques n'existaient pas, nous n'aurions pas besoin de contrôles. Les risques et les contrôles sont étroitement liés, ce qui signifie qu'une bonne évaluation des risques est cruciale pour la mise en œuvre d'un système de contrôle solide.

1. Priorisez et évaluez vos risques selon leur probabilité, leur impact et leur effet

Classez et catégoriser vos actifs selon leur criticité. Selon le rapport Risk in Focus 2019, certains des principaux risques (susceptibles de se produire avec un impact majeur sur les actifs de l'entreprise) comprennent :

(Pour en savoir plus sur l'évaluation des risques, nous vous suggérons de revoir le Cadre intégré de gestion des risques d'entreprise du COSO et de l'adapter à vos besoins particuliers.)

2. Classez les contrôles internes par catégorie selon qu'ils sont préventifs, détectifs ou réactifs

En termes d'efficacité, la catégorie 1 est la plus élevée et la catégorie 7 est la plus basse. Plus la catégorie est élevée, plus le contrôle neutralise la menace et réduit l'impact.

3. Facteur de coût

Si le coût de l'utilisation d'un contrôle préventif est inférieur au coût de la résolution du problème (et de toute pénalité d'impact éventuelle pour lesquels le contrôle est conçu), servez-vous-en. Les coûts de l'utilisation d'un contrôle préventif comprennent son développement, son installation, sa configuration, son fonctionnement et sa maintenance. Vous devez également prendre en compte les coûts de formation du personnel et auditer son utilisation. Une analyse des coûts similaire est nécessaire lorsque l'on envisage des contrôles de détection et des contrôles réactifs. Vous pouvez décider de déployer le contrôle après avoir pris en compte tous ces coûts.

« L'utilisation d'un logiciel de gestion des risques est la meilleure façon d'automatiser vos contrôles internes. Il permet de classer les risques par ordre de priorité en fonction de leur gravité et de leur probabilité, ce qui signifie que les contrôles sont également classés par ordre de priorité. »

4. Éliminez les contrôles redondants

Les contrôles redondants sont coûteux et chronophages Il est donc préférable d'identifier et d'éliminer les contrôles pour les risques qui sont traités par un autre contrôle. Ou des contrôles qui ne traitent pas réellement d'un risque ou d'un événement spécifique. Si un contrôle est redondant, sa suppression devrait entraîner une amélioration de la rentabilité.

5. Concentrez-vous sur la séparation des tâches

La fraude est plus probable lorsque l'on accorde trop d'autorité à un seul employé. Il est donc essentiel que les fonctions et les tâches soient exécutées par des personnes différentes. Un employé ne devrait pas avoir et le pouvoir de créer un nouveau fournisseur et le pouvoir de saisir une transaction pour le payer. Avec l'autorisation d'effectuer ces deux tâches, il pourrait créer et payer un faux fournisseur.

Dans les systèmes manuels, il faudrait que les gens examinent le travail des autres. Mais les systèmes automatisés séparent les fonctions par rôle. Cela signifie que les employés ne peuvent effectuer que des tâches définies, ce qui réduit la nécessité d'une surveillance manuelle.

6. Automatisez tout ce qu'il est possible d'automatiser

« L'utilisation d'un logiciel de gestion des risques est la meilleure façon d'automatiser vos contrôles internes. Il permet de classer les risques par ordre de priorité en fonction de leur gravité et de leur probabilité, ce qui signifie que les contrôles sont également classés par ordre de priorité. Il rassemble vos risques et vos contrôles, ce qui permet d'éliminer les données et les efforts en double.

Les contrôles préventifs automatisés comprennent :

  • la mise à jour forcée des mots de passe programmés ;
  • des examens et attestation réguliers de la politique de sécurité ;
  • l'affectation des montants d'autorisation et l'empêchement des utilisateurs de saisir des montants excessifs.

Exemples de contrôles de détection automatisés :

  • Utilisez un logiciel de détection d'intrusion ou un logiciel antivirus pour trouver une activité risquée et créer des rapports automatiques. (Ceux-ci peuvent servir de contrôles correctifs lorsqu'ils tuent ou mettent en quarantaine l'intrus ou le virus)
  • Utilisez un système d'audit automatisé pour scanner les données afin de détecter les écarts par rapport aux politiques et aux règlements, ainsi que les mettre en évidence dans un tableau de bord. Par exemple, la solution pourrait consister à scanner vos données ERP afin de mettre en évidence les entrées effectuées en dehors des heures de bureau. Le système prend automatiquement des mesures lorsqu'un événement de risque se produit. Une alerte pourrait alors être envoyée automatiquement pour déclencher une action.

7. Mettez en place des procédures d'autosurveillance

L'audit est un mécanisme utile pour évaluer l'efficacité des contrôles internes, mais les procédures d'autosurveillance permettent de créer et de maintenir un système de contrôle interne efficace. Les procédures d'autosurveillance détectent rapidement les défaillances des contrôles, permettant à des contrôles réactifs de prendre le relais.

Supposons que vous ayez un contrôle préventif limitant les montants que vous êtes autorisé à saisir dans le système financier. Quelque chose d'étrange se produit et vous pouvez désormais saisir un montant non autorisé. Le contrôle réactif enverrait un message électronique à votre manager pour l'informer de cette écriture afin qu'il puisse y donner suite immédiatement. De plus, toutes les écritures dépassant un certain montant devraient être autorisées avant d'être payées.

Si un contrôle n'est pas protégé par une procédure d'autosurveillance, une défaillance de contrôle peut passer inaperçue. (Notez que les propriétés de discipline interne et d'urgence sont des exigences des catégories supérieures des systèmes de contrôle.)

Lorsque vous sélectionnez un contrôle interne, vous devez le documenter pour savoir comment et pourquoi ce contrôle particulier a été sélectionné. L'ISACA a produit une feuille de sélection du contrôle interne qui peut être utilisé pour ça.

Découvrez comment ControlsBond peut vous aider à simplifier la gestion des contrôles internes, à augmenter l'assurance et à automatiser la conformité.

eBook :

Réaliser l'utopie des contrôles internes

Apprenez à planifier, à mettre en œuvre, à examiner et à tester les contrôles internes.

  • Évaluez le niveau de maturité de vos contrôles internes.
  • Créez un système de contrôle interne exhaustif.
  • Minimisez les défaillances des contrôles internes.

Télécharger l'eBook

Articles liés

lang="en-US"
X

Galvanize fait désormais partie de Diligent.

Pour rester au courant des dernières recherches, ressources GRC et offres de produit, ou vous connecter à nos produits Galvanize, accédez à www.diligent.com

Accéder à Diligent Se connecter