Galvanize
Lors de la conception des contrôles internes, il est essentiel de s'assurer que les risques les plus critiques sont traités en premier. Voici sept éléments à prendre en compte pour le développement de contrôles efficaces et intelligents vis-à-vis du risque.
Les contrôles ne sont pas bon marché et ils nécessitent des personnes, des processus et des ressources technologiques. Pour une conception efficace du contrôle interne, vous devez d'abord procéder à une évaluation des risques. En utilisant une combinaison de méthodologies qualitatives et quantitatives, priorisez et mettez en place des contrôles qui atténuent les risques les plus critiques. L'accent est mis sur les risques, comme la manière dont les auditeurs abordent leur travail.
Cela est logique : si les risques n'existaient pas, nous n'aurions pas besoin de contrôles. Les risques et les contrôles sont étroitement liés, ce qui signifie qu'une bonne évaluation des risques est cruciale pour la mise en œuvre d'un système de contrôle solide.
1. Priorisez et évaluez vos risques selon leur probabilité, leur impact et leur effet
Classez et catégoriser vos actifs selon leur criticité. Selon le rapport Risk in Focus 2019, certains des principaux risques (susceptibles de se produire avec un impact majeur sur les actifs de l'entreprise) comprennent :
| Les principaux risques | Impacts de ces risques | Actifs commerciaux affectés |
| Cybersécurité | Violation des données | R-D compromise/information confidentielle |
| Sécurité et protection des données | Insatisfaction des clients | Perte de revenus |
| Risque lié aux RH et aux personnes | Défaillance opérationnelle due au manque de ressources | Perte de personnes et de propriété intellectuelle |
| Modification de la réglementation | Augmentation de la charge de travail, ralentissement des autres travaux | Dilution des effectifs |
| Innovation | Nouvelles machines ou installations requises | Machines ou installations désuètes |
| Culture | Incapacité d'embaucher | Perte d'employés |
| Externalisation et tiers | Hacking | Matériel informatique et réseaux |
| Chaînes d'approvisionnement | Violation des lois sur le travail des enfants ou les matériaux dangereux | Perte de revenus |
| Environnement / changement climatique | Inondation, catastrophes naturelles, incendies | Bâtiments, contenus, données et enregistrements |
(Pour en savoir plus sur l'évaluation des risques, nous vous suggérons de revoir le Cadre intégré de gestion des risques d'entreprise du COSO et de l'adapter à vos besoins particuliers.)
2. Classez les contrôles internes par catégorie selon qu'ils sont préventifs, détectifs ou réactifs
En termes d'efficacité, la catégorie 1 est la plus élevée et la catégorie 7 est la plus basse. Plus la catégorie est élevée, plus le contrôle neutralise la menace et réduit l'impact.
3. Facteur de coût
Si le coût de l'utilisation d'un contrôle préventif est inférieur au coût de la résolution du problème (et de toute pénalité d'impact éventuelle pour lesquels le contrôle est conçu), servez-vous-en. Les coûts de l'utilisation d'un contrôle préventif comprennent son développement, son installation, sa configuration, son fonctionnement et sa maintenance. Vous devez également prendre en compte les coûts de formation du personnel et auditer son utilisation. Une analyse des coûts similaire est nécessaire lorsque l'on envisage des contrôles de détection et des contrôles réactifs. Vous pouvez décider de déployer le contrôle après avoir pris en compte tous ces coûts.
« L'utilisation d'un logiciel de gestion des risques est la meilleure façon d'automatiser vos contrôles internes. Il permet de classer les risques par ordre de priorité en fonction de leur gravité et de leur probabilité, ce qui signifie que les contrôles sont également classés par ordre de priorité. »
4. Éliminez les contrôles redondants
Les contrôles redondants sont coûteux et chronophages Il est donc préférable d'identifier et d'éliminer les contrôles pour les risques qui sont traités par un autre contrôle. Ou des contrôles qui ne traitent pas réellement d'un risque ou d'un événement spécifique. Si un contrôle est redondant, sa suppression devrait entraîner une amélioration de la rentabilité.
5. Concentrez-vous sur la séparation des tâches
La fraude est plus probable lorsque l'on accorde trop d'autorité à un seul employé. Il est donc essentiel que les fonctions et les tâches soient exécutées par des personnes différentes. Un employé ne devrait pas avoir et le pouvoir de créer un nouveau fournisseur et le pouvoir de saisir une transaction pour le payer. Avec l'autorisation d'effectuer ces deux tâches, il pourrait créer et payer un faux fournisseur.
Dans les systèmes manuels, il faudrait que les gens examinent le travail des autres. Mais les systèmes automatisés séparent les fonctions par rôle. Cela signifie que les employés ne peuvent effectuer que des tâches définies, ce qui réduit la nécessité d'une surveillance manuelle.
6. Automatisez tout ce qu'il est possible d'automatiser
« L'utilisation d'un logiciel de gestion des risques est la meilleure façon d'automatiser vos contrôles internes. Il permet de classer les risques par ordre de priorité en fonction de leur gravité et de leur probabilité, ce qui signifie que les contrôles sont également classés par ordre de priorité. Il rassemble vos risques et vos contrôles, ce qui permet d'éliminer les données et les efforts en double.
Les contrôles préventifs automatisés comprennent :
- la mise à jour forcée des mots de passe programmés ;
- des examens et attestation réguliers de la politique de sécurité ;
- l'affectation des montants d'autorisation et l'empêchement des utilisateurs de saisir des montants excessifs.
Exemples de contrôles de détection automatisés :
- Utilisez un logiciel de détection d'intrusion ou un logiciel antivirus pour trouver une activité risquée et créer des rapports automatiques. (Ceux-ci peuvent servir de contrôles correctifs lorsqu'ils tuent ou mettent en quarantaine l'intrus ou le virus)
- Utilisez un système d'audit automatisé pour scanner les données afin de détecter les écarts par rapport aux politiques et aux règlements, ainsi que les mettre en évidence dans un tableau de bord. Par exemple, la solution pourrait consister à scanner vos données ERP afin de mettre en évidence les entrées effectuées en dehors des heures de bureau. Le système prend automatiquement des mesures lorsqu'un événement de risque se produit. Une alerte pourrait alors être envoyée automatiquement pour déclencher une action.
7. Mettez en place des procédures d'autosurveillance
L'audit est un mécanisme utile pour évaluer l'efficacité des contrôles internes, mais les procédures d'autosurveillance permettent de créer et de maintenir un système de contrôle interne efficace. Les procédures d'autosurveillance détectent rapidement les défaillances des contrôles, permettant à des contrôles réactifs de prendre le relais.
Supposons que vous ayez un contrôle préventif limitant les montants que vous êtes autorisé à saisir dans le système financier. Quelque chose d'étrange se produit et vous pouvez désormais saisir un montant non autorisé. Le contrôle réactif enverrait un message électronique à votre manager pour l'informer de cette écriture afin qu'il puisse y donner suite immédiatement. De plus, toutes les écritures dépassant un certain montant devraient être autorisées avant d'être payées.
Si un contrôle n'est pas protégé par une procédure d'autosurveillance, une défaillance de contrôle peut passer inaperçue. (Notez que les propriétés de discipline interne et d'urgence sont des exigences des catégories supérieures des systèmes de contrôle.)
Lorsque vous sélectionnez un contrôle interne, vous devez le documenter pour savoir comment et pourquoi ce contrôle particulier a été sélectionné. L'ISACA a produit une feuille de sélection du contrôle interne qui peut être utilisé pour ça.
Découvrez comment ControlsBond peut vous aider à simplifier la gestion des contrôles internes, à augmenter l'assurance et à automatiser la conformité.
eBook :
Réaliser l'utopie des contrôles internes
Apprenez à planifier, à mettre en œuvre, à examiner et à tester les contrôles internes.
- Évaluez le niveau de maturité de vos contrôles internes.
- Créez un système de contrôle interne exhaustif.
- Minimisez les défaillances des contrôles internes.
