Le contrôle interne vs les risques applicatifs

La mise en place de contrôles internes lors de l’implantation de nouvelles solutions financières constitue une dimension importante de l’implantation. De plus, il faut s’assurer que les contrôles sont maintenus, évalués et même améliorés de manière continue après leur mise en place.

controle-large

D’une part, les contrôles engendrent des coûts, et d’autre part, le manque de contrôles peut aussi générer des coûts directs et indirects substantiels. Ce qui importe, c’est de garder un équilibre entre les ressources affectées aux contrôles et le risque potentiel. Pour ce faire, nous avons conçu une démarche inspirée de la méthodologie CoSO (Committee of Sponsoring Organisations), en intégrant les trois axes suivants : processus, risques, contrôles.

Notre approche :

1. Déterminer les processus d’affaires inclus dans la démarche ;

2. Identifier les objectifs de contrôle recherchés, tels que :
– Disponibilité de l’information,
– Intégrité de l’information,
– Confidentialité de l’information
– Préservation des actifs
– Conformité aux normes et aux règlements, etc.  ;

3. Effectuer une association entre les processus et les objectifs de contrôle applicables à chacun de ceux-ci ;

4. Pour chacune des associations processus / objectif de contrôle, identifier les risques potentiels, sans toutefois considérer les contrôles en place ;

5. Pour chacun des risques, déterminer et qualifier les contrôles en place ou à mettre en place. Les contrôles sont qualifiés selon les critères suivants :

– Clé / secondaire,
– Manuel / semi-automatisé / automatisé,
– Détection / prévention,
– Centralisé / décentralisé ;

6. Évaluer chacun des risques identifiés. Cette évaluation est effectuée de la manière suivante : risque calculé = probabilité d’occurrence × impact et appliquée à chacun des risques en considérant l’évaluation des contrôles en place.

Aux fins d’illustration, prenons l’exemple du risque d’incendie : d’une part, l’interdiction de fumer a pour but de réduire le risque d’occurrence sans pour autant réduire l’impact des dommages potentiels. D’autre part, la mise en place de gicleurs ne réduit pas la probabilité d’occurrence, mais plutôt l’impact des dommages éventuels.

Exemple d’application du risque calculé :

TableauArticle11

7. Passer en mode « Amélioration continue »
– Mettre en place un processus d’évaluation périodique des risques ;
– Apporter des améliorations aux contrôles en tenant compte des coûts afférents de mise en place vs le risque calculé.

pdf

Télécharger la version PDF