guide de contrôle interne (pdf)

Guide concernant le système de contrôle interne des processus avec incidences financières dans l’administration fédérale

Directives et instructions pour l’introduction et la documentation du système de contrôle interne des unités administratives

Version 1.0 (approuvée)

30 septembre 2007

www.efv.admin.ch

Liste des abréviations AFF Administration fédérale des finances CDF Contrôle fédéral des finances

COSO Committee of Sponsoring Organizations of the Treadway Commission

Le Committee of Sponsoring Organizations of the Treadway Commission (COSO), dont la création remonte à 1985, est une organisation américaine du secteur privé, constituée sur une base volontaire. Son but est d’aider à améliorer, sur le plan qualitatif, les rapports financiers par une approche éthique, des contrôles internes efficaces et une bonne gestion d’entreprise. Le COSO a publié en 1992 le modèle COSO, référentiel de contrôle interne reconnu par la SEC (Securities and Exchange Commission).

DEP Département

DFF Département fédéral des finances

FISP Inspection des finances (Finanzinspektorat)

INTOSAI International Organization of Supreme Audit Institutions (Organisation internationale des institutions supérieures de contrôle des finances publiques)

L’Organisation internationale des institutions supérieures de contrôle des finances publiques est l’organisation faîtière des organes de contrôle externe des finances publiques. Depuis plus de 50 ans, elle offre aux institutions supérieures de contrôle (ISC) un cadre institutionnalisé servant au transfert et à l’accroissement du savoir à travers le monde, afin de renforcer les compétences professionnelles, l’autorité et l’influence des ISC dans les Etats concernés.

LCF Loi sur le contrôle des finances

LFC Loi sur les finances de la Confédération

MGB+TC Manuel de gestion budgétaire et de tenue des comptes de la Confédération

NMC Nouveau modèle comptable

OFC Ordonnance sur les finances de la Confédération

Olico Ordonnance concernant la tenue et la conservation des livres de comptes

SCI Système de contrôle interne

UA Unité administrative

- 3 -

Table des matières Introduction...............................................................................................................................4

1 Résumé ......................................................................................................................6

2 Bases du SCI des processus avec incidences financières.........................................8 2.1 Bases juridiques sur le plan fédéral .......................................................................8 2.2 Coordination avec la gestion des risques au sein de la Confédération .................9 2.3 Responsabilité du SCI dans l’administration fédérale..........................................11 2.4 Composantes d’un système de contrôle interne ..................................................13 2.5 Bibliographie consacrée aux systèmes de contrôle internes ...............................18

3 Directives contraignantes pour les unités administratives ........................................19 3.1 Résultats exigés...................................................................................................19 3.2 Délais contraignants.............................................................................................20 3.3 Evaluation des risques .........................................................................................20

4 Instructions et aides..................................................................................................22 4.1 Aperçu..................................................................................................................22 4.2 Mise en place d’un projet, phase d’introduction ...................................................23 4.3 Evaluation des risques et mesures non spécifiques aux processus ....................24 4.4 Inventaire et description des processus avec incidences financières..................25 4.5 Evaluation des risques et description des contrôles ............................................27

5 Efficience du système de contrôle interne ................................................................32

Liste des annexes...................................................................................................................34

- 4 -

Introduction

Structure du document Chapitre Portée Description

1 Information Résumé Reprise des conclusions des chapitres 2 à 5

2 Information Bases du système de contrôle interne (SCI) - Bases juridiques sur le plan fédéral - Coordination avec la gestion des risques au sein de la

Confédération - Responsabilité du SCI dans l’administration fédérale - Composantes d’un SCI

3

Directive (obligatoire)

Directives contraignantes pour les unités administratives Directives que les unités administratives sont tenues de remplir lors de l’introduction et de la documentation du SCI.

4 Instructions (facultatives)

Instructions et aides Instructions, questionnaires et matériel de présentation conçus pour aider les unités administratives à respecter les directives contraignantes susmentionnées.

5 Directive (obligatoire)

Efficience du SCI Directives obligatoires pour les unités administratives, pour assurer un bon fonctionnement synonyme d’efficacité et d’adéquation permanentes du SCI.

Annexes Modèles de documents Tableaux à remplir et à compléter par les UA (annexes 1 à 3). Aides Informations et documents d’approfondissement servant d’aide pour compléter les modèles de documents et de soutien pour la phase d’introduction (annexes 4 à 8).

Des questions annoncent les thèmes traités au début de chaque chapitre. Une brève réponse à ces questions figure dans le résumé du chapitre 1. Par souci de lisibilité, le présent guide n’utilise que la forme masculine des personnes. Cette formulation inclut toujours le sexe féminin. Destinataires Le présent document est destiné aux directeurs des unités administratives et aux responsables du SCI désignés par eux. Il s’adresse aussi à tous les collaborateurs participant à l’introduction et à la mise en œuvre d’un SCI.

- 5 -

But du présent document Aujourd’hui déjà, les unités administratives prévoient de nombreuses mesures ou activités servant au contrôle interne. Certaines disposent d’un SCI élaboré et bien mûri. A l’opposé, d’autres procèdent certes à des contrôles de leur travail quotidien, mais sans les consigner par écrit, ou alors il ne reste aucune trace de leurs activités de contrôle. A cela s’ajoute que des contrôles des processus sont fréquemment effectués (p. ex. principe des quatre yeux) sans la compréhension systémique requise (p. ex. réglementation des compétences et des signatures). L’AFF a décidé d’établir le présent guide en se fondant sur les bases juridiques et les instructions correspondantes, compte tenu du degré plus ou moins développé du SCI des unités administratives. Il s’agit d’un soutien qui permettra aux offices de mettre en place – ou tout au moins compléter – leur propre SCI pour les principaux processus avec incidences financières. Même si le guide vise en priorité à garantir la régularité des comptes annuels, il tient aussi en partie compte d’aspects touchant à la rentabilité. Utilité d’un système de contrôle interne Un SCI procure à une unité administrative des avantages substantiels: - protection de la fortune; - garantie de la véracité, de l’universalité et de la régularité de la tenue des comptes; - rapports financiers remis dans les délais et fiables; - transparence et donc possibilité de pilotage ciblé des processus et des risques (analyse du

rapport coût-utilité); - documentation et donc compréhensibilité des activités de contrôle – même en l’absence de

la personne compétente; - prévention, limitation ou identification précoce des erreurs ainsi que des irrégularités. Limites Même si un bon SCI réduit efficacement les possibilités d’erreur et d’abus, il n’offre pas pour autant une sécurité à 100 %: - des erreurs de jugement, de mauvaises appréciations ou des interprétations erronées font

que les risques ne sont pas reconnus ou que des erreurs commises passent inaperçues; - la négligence ou le manque d’attention au stade des contrôles peuvent aboutir à ce que

des erreurs ne soient pas remarquées; - si deux personnes ou davantage falsifient des informations, même les contrôles ayant fait

leurs preuves deviennent inopérants.

- 6 -

1 Résumé La présente section résume le contenu des chapitres 2 à 5. Les affirmations qui suivent répondent aux questions posées au début de chaque chapitre et sont développées au chapitre correspondant. Bases juridiques en vigueur à la Confédération (chapitre 2.1) L’art. 39 LFC charge le Conseil fédéral de prendre les mesures permettant de protéger la fortune de la Confédération, de prévenir ou déceler des erreurs et des irrégularités dans la tenue des comptes ainsi que de garantir la régularité de l’établissement des comptes et la fiabilité des rapports. Selon l’art. 36, al. 3, OFC, les directeurs des unités administratives sont responsables de l’introduction, de l’utilisation et de la supervision du système de contrôle dans leur domaine de compétence. Coordination avec la gestion des risques au sein de la Confédération (chapitre 2.2) La gestion des risques au sein de la Confédération recense les risques opérationnels ou stratégiques en six catégories et prévoit des mesures de contrôle. Les risques financiers et économiques jouent un rôle au même titre que les risques techniques, sociaux ou politiques. Le présent guide se concentre toutefois sur la catégorie des risques financiers. Responsabilité du SCI au sein de l’administration fédérale (chapitre 2.3) Les départements coordonnent les finances dans leur domaine de compétence. Les directeurs des unités administratives sont responsables de l’introduction, de l’utilisation et de la supervision du système de contrôle dans leur office. Ils peuvent déléguer les tâches liées au SCI à une autre personne, en lui confiant les compétences nécessaires. Le responsable du SCI de l’unité administrative sert d’organe de liaison entre l’AFF et elle. Les collaborateurs des unités administratives procèdent aux activités de contrôle et doivent par conséquent comprendre les éléments d’un SCI. L’AFF édicte les instructions pour la mise en place et l’extension du SCI au sein de la Confédération. Elle soutient les responsables du SCI des offices, par le biais d’activités de formation. Le Contrôle fédéral des finances (CDF) et les inspections des finances vérifient, dans le cadre de leur activité, le SCI des unités administratives. Eléments d’un système de contrôle interne (chapitre 2.4) Les éléments du modèle COSO interviennent dans l’élaboration du SCI. Un SCI complet doit prendre en compte l’environnement de contrôle, l’information et la communication, la supervision du SCI, l’évaluation des risques ainsi que les activités de contrôle. Résultats exigés (chapitre 3.1) L’introduction et la documentation du SCI doivent déboucher sur les résultats suivants (la forme étant laissée au choix des unités administratives):

a. documentation des risques et mesures non spécifiques aux processus (p. ex. clarté sur les tâches, les compétences et les responsabilités; fonctionnement des échanges d’information entre services; évaluation annuelle du SCI)

b. inventaire des processus avec incidences financières c. description des processus avec incidences financières d. analyse des risques et description des contrôles relatifs aux processus avec

incidences financières.

- 7 -

Délais impératifs (chapitre 3.2) Fin déc. 2007: mise en place du projet de SCI et début de son introduction Fin fév. 2008: évaluation des risques et mesures non spécifiques aux processus Fin juin 2008: détermination et description des processus avec incidences financières Fin sept. 2008: évaluation des risques liés aux processus avec incidences financières et

description des contrôles Fin oct. 2008: mise en œuvre du SCI dans les unités administratives Evaluation des risques (chapitre 3.3) Les risques des processus avec incidences financières doivent être classés comme faibles, moyens ou élevés. Chaque unité administrative est libre de se fonder, pour cette évaluation, sur la matrice des risques fournie ou de procéder à l’estimation directe des risques. Dans tous les cas, le risque doit être jugé dans l’hypothèse où aucune activité de contrôle ne serait menée (risque brut). Concrètement, il est nécessaire de définir des mesures de contrôle pour les risques élevés. Les risques moyens feront également l’objet de contrôles, mais une analyse du rapport coût-utilité peut dicter l’adoption de procédures simplifiées (p. ex. contrôles par échantillon aléatoire). Enfin, les risques mineurs peuvent être négligés. Instructions et aides (chapitre 4) L’AFF met à disposition des unités administratives les modèles suivants: questionnaire sur les risques et les mesures non spécifiques aux processus (annexe 1), inventaire des processus (annexe 2), matrice de contrôle des risques liés aux processus (annexe 3). En outre, les unités administratives disposent des aides suivantes: liste de contrôle des étapes à suivre (annexe 4), modèle de présentation du SCI (annexe 5), exemples servant à compléter l’annexe 3 (annexe 6), directives sur le classement et l’archivage des documents (annexe 7), réglement des signatures (annexe 8). Aperçu des processus avec incidences financières (chapitre Fehler! Verweisquelle konnte nicht gefunden werden.) Les principaux processus avec incidences financières sont les suivants dans l’optique du SCI: achat sans IP, vente sans IP (y c. émoluments), caisse, placements, planification financière et budget, crédits, gestion des frais, personnel, stocks, clôture et subventions. Elaboration ou lancement d’un projet (chapitre 4.2) Il est nécessaire d’accroître dans les unités administratives la sensibilité aux questions touchant au SCI. D’où la recommandation de faire approuver par leur directeur une demande écrite de projet, portant sur la mise en œuvre d’un SCI. Description des contrôles (chapitre 4.5.2) Les données suivantes doivent être consignées par écrit à chaque contrôle: description du contrôle, preuve de l’exécution, renvoi à des documents d’approfondissement, responsable du contrôle, périodicité, genre de contrôle et effets. Les unités administratives disposent à cet effet d’un modèle de document à compléter (matrice de contrôle des risques liés aux processus (annexe 3). Efficience du SCI (chapitre 5) Les unités administratives doivent remettre une fois par an un rapport sur le SCI à leur directeur. Ce dernier confirme qu’un SCI efficient est en place, en signant la déclaration d’universalité lors de la clôture des comptes annuels. Le questionnaire concernant les risques / mesures non spécifiques aux processus et la matrice de contrôle des risques liés aux processus doivent être actualisés chaque année. En outre, les unités administratives tiendront dûment compte des réactions du FISP et/ou du CDF à la suite d’audits de SCI. L’AFF coordonne les séances d’information et le développement du SCI au sein de la Confédération.

- 8 -

Art. 39 LFC: Contrôle interne 1 Le Conseil fédéral prend les mesures permettant de: a. protéger la fortune de la Confédération; b. garantir l’utilisation adéquate des fonds conformément aux principes énoncés à l’art. 12, al. 4; c. prévenir ou déceler des erreurs et des irrégularités dans la tenue des comptes; d. garantir la régularité de la tenue des comptes et la fiabilité des rapports. 2 Il tient compte des risques encourus et du rapport coût-utilité.

2 Bases du SCI des processus avec incidences financières

Le chapitre 2 répond aux questions suivantes:

- Quelles sont les bases juridiques régissant le SCI des processus avec incidences financières dans l’administration fédérale ?

- Où se situent les points communs entre le SCI et la «gestion des risques»?

- Comment l’administration fédérale règle-t-elle les responsabilités en matière de SCI?

- Quel est le modèle utilisé dans l’administration fédérale pour la mise en place d’un SCI? Quelles sont les composantes d’un SCI complet?

2.1 Bases juridiques sur le plan fédéral

La révision totale de la loi sur les finances de la Confédération (LFC, RS 611.0), en vigueur depuis le 1er mai 2006, règle le contrôle interne de la façon suivante:

Les bases juridiques figurant dans la LFC se réfèrent aux aspects ayant des incidences financières. Par conséquent, la mise en place ou l’extension d’un SCI pour les processus avec incidences financières auront pour principaux objectifs la protection de la fortune de la Confédération, la tenue correcte des comptes, la régularité de l’établissement des comptes et la fiabilité des rapports. Le CDF a édicté en 2003 un guide pour la mise en place d’un système de contrôle interne. Sa version remaniée de 2007 tient compte de la refonte de la LFC. Cette brochure témoigne d’une approche plus globale que le présent guide de l’AFF, traitant l’ensemble des objectifs d’un SCI, comme l’efficacité de la supervision, la rentabilité d’un projet ou le respect de la législation sur les marchés publics. De même, tous les processus de l’administration fédérale y sont pris en compte. Le guide est téléchargeable sous www.efk.admin.ch. L’ordonnance sur les finances de la Confédération (OFC, RS 611.01) précise la nature des mesures à prendre, ainsi que les compétences et responsabilités liées au SCI:

- 9 -

Art. 36 OFC: Système de contrôle interne (art. 39 LFC)

1 Le système de contrôle interne comprend des mesures réglementaires, organisationnelles et techniques. 2 L’Administration des finances édicte les directives nécessaires en accord avec le Contrôle des finances et après consultation des départements. 3 Les directeurs des unités administratives sont responsables de l’introduction, de l’utilisation et de la supervision du système de contrôle dans leur domaine de compétence.

Le manuel de gestion budgétaire et de tenue des comptes1 précise les bases légales. Ainsi, chaque unité administrative doit disposer d’un SCI qui 1. soit largement marqué de l’empreinte de la direction de l’unité administrative et par lequel

celle-ci se sente liée (création d’un environnement de contrôle approprié reposant sur les éléments suivants: philosophie de gestion, compétence, intégrité et valeurs éthiques);

2. inclue une analyse écrite des risques financiers généraux et de ceux propres à chaque

processus auxquels l’unité administrative est exposée; 3. identifie et décrive les mesures de contrôle d’ordre réglementaire, organisationnel et

technique permettant de gérer ces risques (consistant notamment en une réglementation appropriée des compétences, fondée sur la séparation des fonctions et incluant un concept d’octroi des autorisations d’accès aux systèmes de traitement des données financières);

4. soit non seulement connu du personnel, mais encore dûment appliqué et supervisé; 5. définisse et assure la fourniture des prestations préalables des principaux partenaires de

l’unité administrative, en particulier des prestataires du secteur des technologies de l’information (IT);

6. englobe tout ce qui touche aux données financières – autrement dit, outre le traitement

des données proprement dit, les éventuels systèmes en amont et les interfaces faisant partie intégrante du traitement des données financières.

2.2 Coordination avec la gestion des risques au sein de la Confédération

La gestion des risques au sein de la Confédération a pour objet diverses catégories de risques tant stratégiques qu’opérationnels. Le classement établi comprend les risques financiers et économiques; les risques juridiques ou de non-conformité (compliance); les risques matériels, techniques et élémentaires; les risques liés aux personnes et à l’organisation; les risques technologiques et scientifiques; les risques sociaux et politiques. Les risques sont évalués en premier lieu en fonction de leurs conséquences financières (atteintes aux valeurs patrimoniales de la Confédération, prétentions en dommages-intérêts, prétentions non liées à la responsabilité civile, y compris les dommages corporels) et de leur 1 Voir www.accounting.admin.ch, chap. 4.8.4 Mise en place et exploitation d’un SCI dans les unités administratives

- 10 -

probabilité d’occurrence. Les critères subsidiaires d’évaluation sont la perturbation du fonctionnement du gouvernement et de l’administration ou une atteinte à la réputation. Le SCI en revanche ne s’occupe que de risques opérationnels. Le présent guide de l’AFF se concentre ainsi sur les risques des processus avec incidences financières. Les évaluations accordent certes une attention particulière aux risques financiers, mais incluent également en partie les aspects économiques et juridiques. La figure ci-dessous montre la délimitation et les interfaces entre la gestion des risques et le système de contrôle interne.

Risques financiers et économiques

Risques juridiques ou de non-conformité (compliance )

Risques matériels, techniques et élémentaires

Risques liés aux personnes et à l'organisation

Risques technologiques et scientifiques

Risques sociaux et politiques

Guide sur le SCI de l'AFF

Fig. 1: Délimitation et interfaces entre la gestion des risques et le SCI

La gestion des risques au sein de la Confédération se fonde sur la «politique de gestion des risques» définie par le Conseil fédéral en décembre 20042. Elle vise une gestion systématique des divers risques auxquels l’administration fédérale est exposée et décrit les instruments et mesures permettant de répertorier, d’évaluer, de maîtriser et de surveiller les risques potentiels. Comme les deux thèmes que sont la gestion des risques et le SCI ont des interfaces, des échanges ou la collaboration sont indispensables entre le conseiller en gestion des risques et le responsable du SCI de l’unité administrative. Chaque office dispose déjà d’un conseiller en gestion des risques.

2 Voir http://intranet.efv.admin.ch/d/dok_bv/risikopolitik/index.htm

- 11 -

2.3 Responsabilité du SCI dans l’administration fédérale

2.3.1 Départements

En vertu de l’art. 56, art. 2, LFC, les départements planifient, dirigent et coordonnent la gestion financière dans leur domaine. Ils veillent en particulier à la qualité de la comptabilité et émettent, au besoin, des directives complémentaires en vue de mettre en œuvre les objectifs du Conseil fédéral, du DFF et de l’AFF.

2.3.2 Unités administratives

En vertu de l’art. 36, al. 3, OFC, les directeurs des unités administratives sont responsables de l’introduction, de l’utilisation et de la supervision du SCI dans leur domaine de compétence. L’efficacité d’un SCI est étroitement liée à sa défense active par le plus haut niveau de conduite et à la fonction d’exemple qu’il donne. Si la direction ne soutient pas les efforts en matière de SCI, il ne sera guère possible de le mettre en œuvre. D’où l’importance que le directeur de l’unité administrative appuie le responsable du SCI dans la coordination et l’élaboration d’un tel système. Le directeur de l’unité administrative et le responsable du SCI ne peuvent à eux seuls mettre en place un système de contrôle efficient. Une telle tâche suppose la participation de tous les collaborateurs.

Responsabilité du SCI dans l’administration fédérale

Reconnaissance

Mise en application

Sensibili-sation

Utilitédu SCI

Directeur

Responsable SCICollaborateurs

Responsabilité globale de l‘introduction, de l‘utilisation et de la supervision du SCI

Déléga

tion de

tâch

es,

respo

nsab

ilités

et

compé

tence

s

• Définition des processus• Spécification des directives• Mise en place et utilisation des

instruments et des processus de contrôle• Rôle de contact pour la formation au SCI

au sein de l‘US

• Participation à la mise enplace

• Exécution des activités decontrôle

Délégation de tâches,

responsabilités et

compétences

Fig. 2: Responsabilités au sein des unités administratives

- 12 -

2.3.3 Administration fédérale des finances

En vertu de l’art. 36, al. 2, OFC, l’AFF est chargée d’édicter les directives nécessaires à la mise sur pied et au développement du SCI à l’échelle de la Confédération, en accord avec le CDF et après consultation des départements. L’introduction d’un SCI efficient, son utilisation et sa supervision relèvent en premier lieu de la responsabilité des unités administratives. Les présentes instructions et les aides qui en font partie visent à faciliter l’introduction et la documentation du SCI dans les offices. En outre, l’AFF organise des formations, à l’intention notamment des responsables du SCI, sur l’introduction de systèmes de contrôle dans les unités administratives. Dès qu’une première structure de SCI aura été définie au sein de la Confédération, l’AFF accompagnera les unités administratives en vue du maintien et du développement de leur SCI (voir chapitre 5 Efficience du système de contrôle interne). Outre ces activités spécifiques, l’AFF précise le SCI, dans le cadre de ses tâches générales, à travers les activités suivantes:

- Documentation des prescriptions sur la tenue des comptes, des processus standard et de toutes les opérations, plan comptable uniforme pour l’administration générale, publié dans le manuel de gestion budgétaire et de tenue des comptes téléchargeable sous http://www.accounting.admin.ch

- Mise en place de nombreux contrôles techniques dans le système SAP (concept d’autorisations au niveau de la Confédération, validations, réconciliations sous forme de rapports)

- Publication d’instructions sur des thèmes spécifiques (p. ex. clôture mensuelle, tenue des justificatifs, etc.)

- Contrôles centraux liés aux rapports.

2.3.4 Contrôle fédéral des finances

En sa qualité d’organe suprême des finances de la Confédération, le Contrôle fédéral des finances doit donner son accord aux directives nécessaires au contrôle interne édictées par l’AFF (voir art. 36, al. 2, OFC). Le CDF vérifie les systèmes de contrôle interne des unités administratives (voir art. 6, let. d, LCF, 614.0) et rend ces dernières attentives aux lacunes de mise en œuvre. Le CDF assume encore des fonctions de formation et de formation continue dans le contexte des inspections des finances (services de révision interne) (voir art. 11 LFC), lesquelles remplissent des tâches de surveillance dans le domaine du contrôle interne.

2.3.5 Inspections des finances des départements ou des unités administratives

En vertu de l’art. 11, al. 1, LCF, les inspections des finances sont responsables du contrôle de la gestion financière dans leur champ d’activité. Leur tâche implique notamment de vérifier la fiabilité et l’intégrité des informations financières ainsi que des instruments servant à établir, mesurer, classifier et diffuser de telles informations. A ce titre, les FISP examinent les carences éventuelles des SCI des unités administratives dont ils assurent la surveillance.

- 13 -

2.3.6 Fournisseurs de prestations

Le SCI mérite une attention spéciale en cas de délégation d’activités à une autre unité administrative (fournisseur de prestations), par exemple lors de la mise en place d’un centre de services partagés ou du recours à un prestataire informatique.

Les tâches déléguées seront intégrées dans le SCI du bénéficiaire de prestations. L’unité administrative doit obtenir du fournisseur de prestations, par voie de contrat, les droits utiles – droit de consulter les documents, de donner des instructions ainsi que de contrôle. Le bénéficiaire des prestations demeure responsable du domaine délégué. Les exigences de sécurité seront définies avec le fournisseur de prestations. L’unité administrative veillera avec lui à la confidentialité des données, à leur disponibilité et à leur véracité. En outre, les données doivent être protégées contre leur destruction accidentelle ou non autorisée, contre les erreurs techniques, la falsification, le vol ou une utilisation illicite.

Le bénéficiaire de prestations et ses organes de révision doivent avoir, en tout temps et sans qu’il leur soit opposé d’obstacles, accès au domaine délégué et être en mesure de l’examiner intégralement. Un contrat écrit sera expressément conclu sur tous ces points entre le bénéficiaire et le fournisseur de prestations (accord de niveau de service).

2.4 Composantes d’un système de contrôle interne

La littérature spécialisée consacrée au système de contrôle interne fait une large place au modèle COSO. Reconnu dans le monde entier, il intègre dans un concept de base les divers concepts et définitions du contrôle interne. Compte tenu de cette large acceptation, l’AFF a repris les éléments du modèle COSO pour définir le SCI de la Confédération en ce qui concerne les processus avec incidences financières. La figure ci-dessous montre l’articulation des diverses composantes du SCI.

Surveillance du SCI

Evaluationdes risques

Information et communication

Environnement de contrôle

Pro

cess

us 1

Activités de contrôle

Pro

cess

us 2

Pro

cess

us 3

Pro

cess

us 4

Pro

cess

us 5

Pro

cess

us n

Eléments non spécifiquesaux processus

Processus avec incidences financières

Evaluation des risques et activitésde contrôle des processus avecincidences financières

Fig. 3: Composantes d’un système de contrôle interne Pour pouvoir atteindre les objectifs indiqués à l’art. 39 LFC (protection de la fortune de la

- 14 -

Confédération, tenue correcte des comptes, régularité de l’établissement des comptes et fiabilité des rapports), il est important de prendre dûment en compte tous les éléments d’un SCI. A cet effet, il faut viser à une combinaison optimale des activités de contrôle, qu’elles soient d’ordre régulateur (instructions et directives), organisationnel (organisation de la structure et des processus) ou technique (technologies de l’information).

Les sous-chapitres qui suivent décrivent les composantes d’un SCI.

2.4.1 Environnement de contrôle

Il est crucial pour l’environnement de contrôle que la direction soit consciente de l’importance du SCI et qu’elle lui accorde au sein de l’unité le statut requis par sa fonction.

Un autre facteur important tient aux collaborateurs – à leurs qualités personnelles, y compris leur intégrité, leur comportement au travail, leur conscience du contrôle, leurs valeurs éthiques et leur compétence – et à l’environnement où ils travaillent. Tout bon SCI suppose un environnement de contrôle efficient.

Plusieurs thèmes se rapportant à l’environnement de contrôle sont indiqués ci-dessous, à titre d’exemple:

Attitude de la direction de l’unité administrative La direction doit montrer l’exemple, en soutenant l’exécution des contrôles internes et, par son style de conduite au quotidien, en favorisant dans l’unité une attitude durable et positive à l’égard du SCI.

Structure organisationnelle Les tâches, compétences et responsabilités figurant dans la structure organisationnelle ont un caractère contraignant. Compétences techniques des collaborateurs La direction de l’unité administrative et les collaborateurs veilleront à l’adoption de mesures visant à l’acquisition ou au développement des compétences techniques du personnel.

Conflits d’intérêt Les fonctions exercées au sein d’autres organisations doivent être signalées, et les éventuels conflits d’intérêts résolus.

2.4.2 Information et communication

Outre les activités de contrôle à proprement parler, il faut mettre en place des systèmes d’information et de communication adéquats. C’est un point essentiel pour que tous les collaborateurs reçoivent à temps les informations nécessaires et puissent ainsi exécuter leurs tâches (contrôles compris) et assumer leurs responsabilités. Les carences, erreurs ou abus constatés doivent être rendus publics, pour permettre l’adoption des mesures d’amélioration nécessaires. En particulier, il faut rendre les collaborateurs attentifs à leur responsabilité à l’égard du SCI. Les échanges d’information entre le conseiller en gestion des risques, le responsable des autorisations, le responsable du SCI et, le cas échéant, les autres acteurs impliqués dans l’unité administrative contribuent de façon déterminante à la qualité d’un SCI.

- 15 -

Les informations doivent être:

- adéquates (les informations nécessaires sont-elles disponibles?) - fournies dans les délais (sont-elles disponibles quand on en a besoin?) - actuelles (s’agit-il bien de la plus récente version disponible?) - correctes (sont-elles exemptes d’erreur?) - accessibles (sont-elles facilement accessibles aux personnes concernées?).

2.4.3 Supervision du système de contrôle interne

L’efficacité du SCI doit être contrôlée en permanence. Il s’agit de tenir compte de l’évolution des conditions tant internes qu’externes, pour éviter l’apparition de failles non détectées dans les contrôles à la suite de transformations (changement des bases légales ou réglementaires, nouveaux systèmes d’information, restructuration de l’organisation, etc.) .

Supervision permanente La supervision permanente des contrôles internes doit faire partie intégrante des processus de travail et d’exploitation ordinaires. Elle inclura des mesures ciblées, pour éviter que les contrôles internes ne soient contraires aux prescriptions ou à l’éthique, ruineux, inadéquats et inefficaces. Le directeur de l’unité administrative est par exemple amené à constater, dans son activité de conduite, si les contrôles internes fonctionnent. Comme indiqué à propos de l’information et de la communication, il importe de rendre publics les carences, erreurs ou abus découverts, pour permettre de procéder aux améliorations nécessaires. Des structures organisationnelles adéquates offrent également une possibilité d’identifier les manquements. Ainsi le principe des quatre yeux amène les collaborateurs à se contrôler les uns les autres, et donc les irrégularités à être identifiées lors des contrôles internes. Evaluation supplémentaire Des évaluations supplémentaires peuvent être effectuées, afin de juger de l’efficacité du SCI et de garantir que les méthodes ou procédures prescrites mènent aux résultats souhaités. Un rapport annuel au directeur de l’unité administrative permettra d’indiquer les résultats et les mesures consécutives à la mise en place du SCI ou à son extension. En outre, les recommandations formulées lors des examens de révision doivent être intégrées dans les activités du SCI.

2.4.4 Evaluation des risques

L’unité administrative doit être consciente des risques menaçant la régularité de la tenue des comptes et des rapports. L’identification des risques, leur appréciation et leur traitement servent de base à la planification et à l’exécution d’activités de contrôle efficientes et efficaces. L’identification des risques doit être un processus permanent, à caractère périodique, à l’instar de la supervision permanente (voir chapitre 2.4.3).

Dans l’optique du SCI, une distinction s’impose entre deux catégories de risques:

1. Risques non spécifiques aux processus Ces risques n’apparaissent pas directement en cours de processus, ce qui conduit

- 16 -

l’environnement de contrôle, l’information et la communication, ainsi que la supervision du SCI à les sous-estimer. Un risque non spécifique aux processus apparaît par exemple quand les collaborateurs méconnaissent ou assument mal leurs compétences et leurs responsabilités, et qu’il n’est plus possible de garantir la qualité visée et nécessaire pour les données.

2. Risques spécifiques aux processus De tels risques surgissent au cours même d’un processus. Les contrôles en place permettent d’en réduire d’impact. La nature des contrôles, leur fonctionnement et la responsabilité de leur exécution doivent être documentés par écrit. Un risque spécifique aux processus apparaît par exemple quand la procédure en place permet de comptabiliser et payer une facture sans contrôle matériel ou formel préalable.

En principe, différentes mesures permettent de réduire un risque: il peut être répercuté sur un tiers (p. ex. conclusion d’une assurance), dûment accepté ou évité (par l’abandon de l’activité correspondante). Mais dans la plupart des cas – et c’est là qu’intervient le SCI – le risque existant sera limité au minimum par l’exécution d’un contrôle.

2.4.5 Activités de contrôle

Le bon déroulement des opérations passe par la définition et la mise en place de procédures de contrôle. Ces dernières garantissent que les objectifs définis pour le SCI puissent être atteints, à savoir la protection de la fortune, la tenue correcte des comptes, la régularité de leur établissement et des rapports fiables. Les activités de contrôle agissent tantôt seules, tantôt en combinaison, en réduisant les risques existants.

La classification des contrôles peut se baser sur de nombreux critères. Deux des distinctions les plus courantes concernent:

- les contrôles automatisés ou manuels (le contrôle étant exécuté sur la base d’une application ou manuellement);

- les contrôles de détection et les contrôles préventifs (visant soit à découvrir les erreurs commises, soit à prévenir les erreurs).

Lors de la définition des activités de contrôle, l’accent sera mis autant que possible sur les contrôles préventifs automatisés, qui déploient d’eux-mêmes leurs effets et préviennent l’apparition d’une erreur. En outre, il convient de veiller à ce que les activités de contrôle soient adéquates, sans

- retarder par des processus inefficaces le déroulement des opérations; - limiter par des procédures complexes l’aptitude à résoudre les problèmes; - empêcher la fourniture dans les délais des services demandés; - générer des coûts qui excèdent l’utilité procurée.

La figure ci-dessous montre que tant l’organisation structurelle d’une unité administrative que les systèmes et applications en place permettent de soutenir, contrôler et surveiller les processus.

- 17 -

application application

application

banque de

données

banquede

données

Systèmes, applications, interfaces

Organisation de l’unité administrative

Les systèmes, applications et interfaces soutiennent les processus.

contrôles automatisés (p. ex. mise en place d’autorisations au niveau des systèmes, applications, interfaces, validations dans les applications (p. ex. chiffre de contrôle du n° de référence du BVR), création de champs de saisie obligatoires)

contrôles manuels (p. ex. réconciliation des rapports SAP BW, contrôle matériel d’une facture, réconciliation de l’extrait du compte postal avec le compte postal dans SAP, séparation des tâches)

processus avec incidences financières

L’organisation d’une unité administrativesoutient les processus.

Fig. 4: Soutien des processus par l’organisation de l’UA et par les technologies de l’information

La figure recense et classe les activités de contrôle possibles, dont la description suit.

2.4.5.1 Contrôles automatisés

Autorisations Des autorisations fiables permettent d’empêcher toute inscription ou modification non autorisée des données fixes ou variables et des programmes. De tels réglages du système réduisent sensiblement l’ampleur des contrôles manuels nécessaires.

Les unités administratives se doteront d’un manuel des autorisations basé sur le concept détaillé des autorisations de la Confédération (NMC). Ce manuel doit régler clairement les autorisations ainsi que les processus de mutation (quel collaborateur est autorisé à muter les autorisations). Les manuels des autorisations des UA forment un volet primordial d’un SCI efficient.

Chaque unité administrative désignera un responsable des autorisations, lors de la création de son manuel. Comme elles forment une composante importante des activités de contrôle, la collaboration s’impose à cet effet entre le responsable des autorisations et celui du SCI.

Le concept détaillé des autorisations de la Confédération (NMC), le catalogue standard des postes budgétaires du NMC ainsi que le concept sur le rôle des autorisations dans SAP sont téléchargeables dans le MGB+TC3. Le même site contient un modèle de manuel des autorisations pour les unités administratives.

Le recours à un concept d’autorisations efficient permet par exemple de garantir la séparation des tâches, au cours d’un contrôle automatisé. Cette notion désigne la

3 www.accounting.admin.ch, chapitre Application système / Autorisations des processus de support FI

- 18 -

dissociation des responsabilités d’ordonner des transactions, de les exécuter ou de les approuver. Les tâches et les compétences feraient ainsi l’objet d’une répartition systématique entre un nombre limité d’individus, au-delà des groupes spécialisés, pour garantir l’efficacité des contrôles mutuels. Une telle approche permet de réduire le risque d’erreurs, de gaspillage ou d’activités illégales, ou du moins le risque de voir de tels problèmes rester inaperçus.

Validations Les validations jouent un rôle important pour garantir que la tenue des comptes et les rapports s’effectuent correctement. La validation consiste à contrôler que les données saisies se situent dans une fourchette de valeurs donnée. Diverses règles reconnaissent les erreurs logiques des écritures et les signalent à l’utilisateur. En outre, des règles de validation permettent de s’assurer que toutes les données nécessaires au traitement correct ou à la bonne comptabilisation aient été enregistrées.

2.4.5.2 Contrôles manuels

Comparaison de conformité Il faut entendre par là une réconciliation de divers fichiers (rapports SAP BW, extraits de comptes, etc.) ainsi que l’analyse des écarts constatés.

Vérification / tests de plausibilité L’analyse de documents pour identifier des anomalies (comme des transactions inhabituelles), l’analyse d’indicateurs spéciaux, les évaluations de tendance, etc. sont visées.

Restrictions de l’accès aux ressources et aux documents L’accès physique aux ressources et aux documents doit être limité à un cercle de personnes autorisées, qui auront la responsabilité de leur conservation et/ou de leur bonne utilisation.

2.5 Bibliographie consacrée aux systèmes de contrôle internes

- Mise en place d’un système de contrôle interne. Contrôle fédéral des finances. 2007. www.efk.admin.ch

- Lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur public. Intosai. http://www.intosai.org/fr/portal/

- Contrôle interne. D. Widmer et H.-U. Pfyffer. Corporate Governance. KPMG. septembre 2004

- Le contrôle interne dans la pratique suisse actuelle. Enquête de KPMG Suisse réalisée en collaboration avec l’IRC de l’Université de Zurich, 2005

- Contrôle interne sur l’information financière – lignes directrices à l’intention des petites sociétés ouvertes. Volume I: Résumé. Committee of Sponsoring Organizations of the Treadway Commission. 2006. www.coso.org/publications.htm

- Système de contrôle interne: un outil de gestion en pleine mutation. PricewaterhouseCoopers. 2007. www.pwc.com

- 19 -

3 Directives contraignantes pour les unités administratives

Le chapitre 3 répond aux questions suivantes:

- Quels sont les résultats que l’introduction du SCI doit permettre d’atteindre dans les unités administratives, sur le plan des processus?

- Quels sont les délais contraignants pour l’introduction du SCI dans les unités administratives?

- Comment l’unité administrative doit-elle mener l’évaluation des risques?

La LFC, l’OFC et le MGB+TC contiennent diverses exigences que les unités administratives doivent prendre en compte lors de l’introduction et de la documentation de leur SCI. Outre ces bases juridiques, elles sont soumises à d’autres directives, qui font l’objet du présent chapitre.

3.1 Résultats exigés

L’introduction et la documentation du SCI visent à l’obtention des résultats suivants (la forme étant laissée au choix des unités administratives):

a. Documentation des risques et mesures non spécifiques aux processus (environnement de contrôle, information et communication, supervision du SCI)

b. Inventaire des processus avec incidences financières

c. Description des processus avec incidences financières

d. Analyse des risques et description du contrôle des processus avec incidences

financières Des aides et des modèles de documents ont été créés pour aider les unités administratives à recueillir ces résultats. La manière de s’en servir est décrite au chapitre 4. Chaque UA est libre d’utiliser ces documents. Chaque fois que c’est possible, les unités administratives devraient travailler avec des documents qui existent déjà. Aussi l’AFF ne prévoit-elle aucune disposition obligatoire quant à la forme de la documentation. De même, aucun outil n’est fourni de manière centrale pour la documentation des processus. Les aspects suivants sont toutefois déterminants pour la documentation et l’évaluation des processus avec incidences financières:

1. Les processus spécifiques à l’administration ne doivent pas contredire sur le plan matériel les processus du NMC.

2. Les contrôles (essentiels) doivent apparaître dans la description des processus.

3. Les résultats recueillis doivent être compréhensibles pour un tiers, être au moins aussi détaillés que les modèles de documents et prouver suffisamment l’adéquation et l’efficacité du SCI.

- 20 -

3.2 Délais contraignants

En signant la déclaration d’universalité en fin d’exercice, les directeurs des unités administratives confirment la régularité des comptes annuels. En 2008, ils auront à confirmer pour la première fois la présence d’un SCI efficient dans leur domaine de compétence. Les délais suivants ont été fixés pour les processus avec incidences financières: Activité au sein de l’unité administrative Dernier délai

- Mise en place du projet de SCI, début de l’élaboration ou

de l’extension du SCI

fin décembre 2007

- Evaluation des risques et mesures non spécifiques aux processus

fin février 2008

- Inventaire et description des processus avec incidences financières

fin juin 2008

- Evaluation des risques liés aux processus et description des contrôles portant sur les processus

fin septembre 2008

- Mise en œuvre du SCI dans l’unité administrative octobre 2008 L’AFF recueillera auprès des unités administratives, aux échéances indiquées, le statut des activités susmentionnées. Pendant la phase de mise en place ou d’extension du système de contrôle interne, les unités administratives doivent s’assurer au moins du maintien de l’étendue des activités déjà en place du SCI.

3.3 Evaluation des risques

Tous les risques opérationnels liés aux processus avec incidences financières doivent être évalués quant à leur importance. D’où leur classification en risques faibles, moyens ou élevés. Cette évaluation sert de base pour établir des priorités entre les mesures servant à réduire au minimum les risques. Les unités administratives ont le choix entre deux options pour mener l’évaluation des risques. Ces deux variantes sont décrites ci-dessous. Dans chaque cas, l’évaluation porte sur le «risque brut». Autrement dit, le risque est évalué dans l’hypothèse où aucune activité de contrôle ne serait déployée. Option 1 Cette option étendue examine séparément, pour évaluer un risque, la probabilité d’occurrence et l’ampleur potentielle des dommages causés (p. ex. impact financier et atteinte à la réputation). La matrice d’évaluation des risques montre de façon exemplaire comment l’on pourrait procéder à l’évaluation des risques. Les UA sont libres d’utiliser ce barème ou un autre. La «matrice de contrôle des risques liés aux processus» (annexe 3) donne aux UA la possibilité de juger séparément, pour chaque risque, les effets ainsi que la probabilité d’occurrence selon la matrice suivante (voir chapitre 4.5.1).

- 21 -

vert = faible risque jaune = risque moyen rouge = risque élevé

Tableau 1: Matrice d’évaluation des risques

L’évaluation des risques montre quels sont les risques pertinents, donc à couvrir. La règle est la suivante: R1: On peut penser au risque que du matériel de bureau ne disparaisse du service. L’unité administrative a attribué un 1 (peu probable) à la probabilité d’occurrence et un 2 (modérée) à l’étendue des dommages. Le risque brut (multiplication de la probabilité d’occurrence par l’étendue des dommages) est ici de 2 (faible risque). D’où l’inutilité en pareil cas de prendre des mesures spéciales ou de procéder à des contrôles. A l’avenir non plus, il ne faudra pas enfermer sous clé le matériel de bureau. R2: Comme exemple de risque, il se peut que des collaborateurs parviennent à ouvrir et muter des données de base des débiteurs. L’unité administrative a attribué à la probabilité d’occurrence un 2 (probable) et à l’étendue des dommages un 3 (significative). D’où un risque brut de 6 (moyen). Des contrôles s’imposent. Une analyse coût-utilité pourrait toutefois justifier l’adoption de procédures simplifiées (contrôles par échantillons aléatoires). R3: A titre d’exemple, des factures risquent d’être payées sans qu’aucune prestation n’ait été reçue. L’unité administrative a rangé dans la classe 2 (probable) la probabilité d’occurrence et dans la classe 4 (grave) l’étendue des dommages. D’où un risque brut de 8 (élevé). La formulation et la mise en place d’un contrôle s’imposent (p. ex. principe des quatre yeux, avec contrôle matériel et formel préalable à l’autorisation de payer la facture). Option 2 Les unités administratives peuvent également procéder à une évaluation simplifiée du risque, en le classant comme faible, moyen ou élevé. Même dans cette option, il faudrait au moins garder à l’esprit la probabilité d’occurrence et l’étendue des dommages dans l’évaluation des risques. La matrice de contrôle des risques liés aux processus (annexe 3) permet aux unités administratives de classer le risque en conséquence (voir chapitre 4.5.1).

4321

4321peu probable

1

8642

probable

2

12963très probable

3

161284

certaine

4Pr

obab

ilité

d’o

ccur

renc

e

Étendue des dommages

R2

R1

R3

insignifiante modérée significative grave

- 22 -

4 Instructions et aides Le chapitre 4 répond aux questions suivantes:

- Quels sont les modèles de documents et les aides mis à disposition des unités administratives en vue de l’introduction et de la documentation du SCI?

- Quels sont les processus que l’AFF a préalablement identifiés comme ayant des incidences financières?

- Comment un tel projet de SCI peut-il être mis en place dans l’unité administrative?

- Comment les contrôles sont-ils décrits?

4.1 Aperçu

Le tableau qui suit donne un aperçu des diverses étapes, de leurs résultats et des aides ou modèles de documents existants. Les documents mis à disposition doivent aider l’unité administrative à atteindre les résultats exigés d’elle. Des compléments d’information sont donnés sur chaque étape et sur les modèles proposés (voir les sous-chapitres indiqués dans le tableau).

Mise en placedu projet, phase

d‘introduction

b) Inventairedes processus

avec incidencesfinancières

d) Analyse des risques etdescription des contrôles concernant les processus

avec incidences financières

Résultatsexigés:

Etape:

Echéance:

Inventaire et descriptiondes processus avec

incidences financières

Evaluation desrisques et mesures

non spécifiques aux processus

Evaluationdes risques

liés auxprocessus

Description des contrôles

portant surles processus

Aides:ANNEXES4 à 8

6: Exemples servant à compléter l‘annexe 3

Descriptiondes étapes etdes aides / desmodèles dedocuments

chapitre4.5.1

a) Documentationdes risques et mesures

non spécifiquesaux processus

5: Modèle deprésentationsur le SCI

Confirmationde la miseen oeuvre

chapitre4.2

chapitre4.3

chapitre4.4

c) Descriptiondes processus

avec incidencesfinancières

2: Inventairedes

processus

1: Questionnairesur les risques et

mesures non spéci-fiques aux processus

Modèles dedocuments:ANNEXES1 à 3

3: Matrice de contrôle desrisques liés aux processus

4: Liste de contrôle des étapes

7: Directives sur le classement et l‘archivage des documents8: Exemple de réglementation des signatures

déc. 2007 janv. / fév. 2008 mars – juin 2008 juillet – sept. 2008 oct. 2008

Annonce dustatut à l’AFF:

chapitre4.5.2

Fig. 5: Aperçu global des délais, des étapes, des résultats et des annexes

- 23 -

L’AFF a présélectionné les processus avec incidences financières les plus importants à ses yeux, comme base pour la structure et le contenu des modèles de documents «Inventaire des processus» et «Matrice de contrôle des risques liés aux processus». Les onze processus ci-dessous ont été identifiés à cette occasion:

- Chacun de ces processus a conduit à formuler des questions, risques ou exemples de contrôle spécifiques aux processus (= annexe 6: Exemples servant à compléter l’annexe 3).

- Même si ce modèle a été élaboré avec le concours de collaborateurs des offices, chaque unité administrative demeure responsable de contrôler l’exhaustivité et le degré de détail des directives, et de les compléter le cas échéant.

- Si une unité administrative juge d’autres processus essentiels, elle devra également les enregistrer, les documenter et les évaluer.

4.2 Mise en place d’un projet, phase d’introduction

Le tableau ci-dessous indique les étapes possibles, si l’unité administrative décide de mettre en place ou d’étendre son SCI dans le cadre d’un projet. Des compléments d’information sur la gestion de projet figurent au chapitre 5.3 du manuel Hermes (www.hermes.admin.ch). Le projet de SCI peut être mené au niveau départemental. N° Activités Annexe Résultat 1 Informer au sein de l’UA Modèle de présentation

Annexe 5 La direction d’UA et les collabora-teurs sont informés sur le SCI

2 Définir une organisation de projet

Organisation de projet

3 Formuler des tâches et des objectifs

Tâches et objectifs formulés

4 Fixer le calendrier et les étapes Calendrier

5 Formuler une proposition de projet

Mandat de projet accepté par le directeur de l’UA

Délai: décembre 2007

Achats sans IP

Vente sans IP (y c. émoluments)

Caisse

Placements

Planification financière et budget

Crédits

Gestion des frais

Personnel

Dépôt

Clôture

Subventions

- 24 -

N° Activités Annexe Résultat 6 Récolter et compiler les

documents relatifs au SCI Documentation des instructions /

directives internes existantes

Description d’activités spécifiques 1 Une prise de conscience concernant le SCI s’impose dans les unités administratives. Il

est important, pour pouvoir mener correctement les activités à venir et, le cas échéant, coordonner les projets en cours (p. ex. optimisation des processus, gestion des risques, concept relatif aux autorisations, etc.) d’organiser une séance d’information au niveau de la direction de chaque unité administrative. Le modèle de présentation mis à disposition par l’AFF peut se révéler utile à cet effet.

2 Par ailleurs, l’unité administrative a besoin d’une organisation de projet adaptée à sa

taille et à sa complexité, qui coordonne et gère- les activités à venir. Comme selon l’art. 36, al. 3, OFC, les directeurs des unités administratives sont responsables de l’introduction du SCI, de son utilisation et de sa supervision, il importe qu’ils soient également les mandants du projet. Au cas où une équipe serait mise en place, elle comprendra le responsable du SCI, le conseiller en gestion des risques, le responsable des autorisations, le contrôleur ainsi que les spécialistes du domaine.

5 Le directeur de l’unité administrative approuve la proposition écrite de projet. Ce

document indiquera au moins les tâches, les objectifs, ainsi que l’organisation de projet et le calendrier / les étapes.

4.3 Evaluation des risques et mesures non spécifiques aux processus (annexe 1)

Le tableau ci-dessous indique les diverses activités liées à l’étape d’«évaluation des risques et mesures non spécifiques aux processus».

N° Activités Annexe Résultat 1 Répondre aux questions

concernant les risques / mesures non spécifiques aux processus.

Questionnaire sur les risques / mesures non spécifiques aux processus

Annexe 1

O:\Fr-daten\NRM\IKS\30 Leitfaden\Beila

Questionnaire complété sur les risques / mesures non spécifiques aux processus

Résultat exigé (a) (selon chapitre 3.1)

Délai: février 2008

Description d’activités spécifiques 1. Outre les processus proprement dits, un SCI complet contient d’autres composantes, à

savoir l’environnement de contrôle, l’information et la communication, ainsi que la supervision du SCI. Un questionnaire concernant les risques et mesures non spécifiques aux processus est mis à disposition des unités administratives, pour leur permettre de procéder à une autoévaluation:

- 25 -

Fig. 6: Modèle pour le document «Questionnaire sur les risques / mesures non liés aux processus»

Colonne C: Justification des mesures adoptées dans les UA

Si la réponse est «oui»: description des mesures menées par l’UA. Sinon: exposé des motifs faisant que l’UA n’a encore introduit aucune mesure sur ce thème ou description des mesures prévues et restant à introduire, pour qu’à l’avenir la réponse soit «oui».

Colonne D: Renvoi aux documents existants Indication du lieu de classement (év. avec lien).

Colonne E: Service responsable Indication du rôle ayant la responsabilité des mesures dans l’UA. Les rôles standard du NMC apparaissent comme champs à sélectionner. Les unités administratives sont toutefois libres de choisir d’autres désignations de fonctions.

4.4 Inventaire et description des processus avec incidences financières (annexe 2)

Le tableau qui suit indique les diverses activités de l’étape d’«inventaire et description des processus avec incidences financières».

N° Activités Annexe Résultat

1 Déterminer les processus avec incidences financières

Inventaire des processus

Annexe 2

Inventaire des processus

Résultat exigé (b) (selon chapitre 3.1)

- 26 -


Délai: juin 2008

2 Décrire les processus (év. adaptation des documents déjà disponibles)

Description des processus

Résultat exigé (c) (selon chapitre 3.1)

Délai: juin 2008

Description d’activités spécifiques 1. Il importe d’indiquer lesquels des onze processus indiqués sont pertinents pour l’unité

administrative (Fig. 7, colonnes D et E) et qui porte la responsabilité des processus (colonne C). L’unité administrative devra compléter par la suite, pour tous ces processus, l’annexe 3 «Matrice de contrôle des risques liés aux processus», en ajoutant les précisions nécessaires.

L’unité administrative indiquera dans les colonnes F et G si elle dispose ou non d’une description des processus.

Si tous les processus avec incidences financières d’une unité administrative n’apparaissent pas dans le modèle de document fourni «Inventaire des processus», la liste sera complétée en conséquence (lignes 97 ss).

Fig. 7: Modèle de document «Inventaire des processus»

- 27 -

2. L’unité administrative décrit les processus pertinents pour elle selon l’inventaire des processus (Fig. 7, colonne G), ou vérifie que les descriptions existantes soient actuelles (colonne F). Le cas échéant, elle adaptera les descriptions qui ne sont pas d’actualité. L’unité administrative se référera autant que possible aux documentations de processus qui existent déjà.

4.5 Evaluation des risques et description des contrôles (annexe 3)

4.5.1 Evaluation des risques liés aux processus

Le tableau ci-dessous recense les diverses activités de l’étape «Evaluation des risques liés aux processus».

N° Activités Annexe Résultat 1 Répondre aux questions sur

les processus obligatoires avec incidences financières

2 Evaluer les risques existants liés aux processus

Analyse des risques liés aux processus

Résultat exigé (d) (selon chapitre 3.1)

Délai: septembre 2008

3 Compléter et évaluer les risques spécifiques à l’UA pour les processus existants

Analyse des risques liés aux processus, étendue en fonction des risques spécifiques à l’UA

4 Compléter et évaluer les processus spécifiques à l’UA, y c. les questions et les risques

Matrice de contrôle des risques liés aux processus

Annexe 3


Analyse des risques liés aux processus, étendue en fonction des processus spécifiques à l’UA

Description d’activités spécifiques 1. A partir de l’inventaire des processus établi par ses soins, l’unité administrative déduit

pour quels processus la matrice de contrôle des risques doit être remplie (annexe 3). La matrice de contrôle des risques comporte une feuille de tableau par processus, la dernière feuille étant laissée vide.

La Fig. 8 montre à titre d’exemple quelques-unes des questions du processus «Achat sans IP». L’unité administrative répondra aux questions sous forme d’autoévaluation (voir Fig. 8, colonne B). La réponse peut être sélectionnée dans un menu déroulant. Les possibilités proposées sont:

- oui (c.-à-d. notre unité administrative garantit que …) - non (c.-à-d. notre unité administrative ne peut garantir que …) - ne s’applique pas (la question n’est pas pertinente pour notre office)

- 28 -

Fig. 8: Modèle pour le document «Matrice de contrôle des risques liés aux processus»

2. Les risques possibles sont définis d’avance (colonne C) et doivent être évalués. Les UA ont deux options à cet effet.

Option 1 (voir lignes 19 à 21): la probabilité d’occurrence (colonne D) et l’étendue potentielle des dommages (colonne E) font l’objet d’évaluations séparées. Le produit de ces deux estimations détermine le risque (colonne F, calcul automatisé), représenté dans les couleurs verte (= faible risque), jaune (= risque moyen) ou rouge (= risque élevé).

Option 2 (voir lignes 22 et 23): le risque est évalué lors d’une étape unique. L’UA décide directement s’il s’agit d’un risque faible, moyen ou élevé (colonne G). L’évaluation des risques sert de base pour décider contre quels risques il faut prendre des mesures de contrôle (voir chapitre 3.3 Evaluation des ris).

3. L’unité administrative complétera l’annexe 3 «Matrice de contrôle des risques liés aux

processus» si à ses yeux des risques manquent. 4. Si l’unité administrative juge que des processus avec incidences financières

particulièrement importants ont été omis (la base étant l’inventaire des processus), elle complétera par de nouvelles feuilles la matrice de contrôle des risques liés aux processus figurant à l’annexe 3. Elle peut utiliser à cet effet la feuille vide.

- 29 -

4.5.2 Description des contrôles des processus

Le tableau ci-dessous indique les diverses activités de l’étape de «description des contrôles portant sur les processus».

Les unités administratives trouveront comme aide à l’annexe 6, pour les onze processus retenus, une série d’exemples, preuves et critères de contrôle. Des renvois à des documents de base (sous-chapitres du manuel, opérations, bases juridiques, etc.) y figurent également.

N° Activités Annexe Résultat

1 Décrire les contrôles Matrice de contrôle des risques liés aux processus

Annexe 3


Exemples servant à compléter l’annexe 3

Annexe 6


Directives sur le classement et l’archivage des documents

Annexe 7


Exemple de règlement des signatures

Annexe 8


Description des contrôles des processus

Résultat exigé (d) selon chap. 3.1)

Délai: septembre 2008

Description d’activités spécifiques 1. La majorité des unités administratives mènent déjà des activités efficaces dans le

cadre de leur SCI. Ces activités sont désormais systématiquement enregistrées et documentées dans la matrice de contrôle des risques liés aux processus. Les unités administratives doivent y décrire leurs activités de contrôle de la façon suivante:

- 30 -

Fig. 9: Modèle pour le document «Matrice de contrôle des risques liés aux processus»

Colonne H: Contrôle visant à minimiser le risque Description par mots-clés du contrôle ou justification de l’absence de contrôle. A titre d’aide, l’unité administrative peut s’appuyer sur les «exemples servant à compléter l’annexe 3» (Annexe 6). Ce document décrit en détail les contrôles possibles.

Colonne I: Preuve de l’exécution du contrôle

Liste / Enumération des preuves de l’exécution du contrôle. Là encore, l’unité administrative trouvera à l’annexe 6 des exemples possibles de preuves de l’exécution du contrôle.

Colonne J: Renvoi à des documents d’approfondissement Indication du lieu de classement (év. avec lien).

Colonne K: Responsable de l’exécution du contrôle Les rôles standard du NMC sont indiqués dans un menu déroulant. Les unités administratives peuvent désigner différemment les fonctions concernées.

Colonne L: Périodicité Tous les contrôles ne doivent / peuvent être effectués avec la même fréquence. Si certains ne se justifient que dans le flux quotidien du travail, d’autres seront menés par exemple chaque semaine ou chaque mois. Un menu déroulant permet de choisir la périodicité.

Colonne M: Genre de contrôle

Le contrôle automatisé ou programmé (p. ex. autorisations, validation des données) est institutionnalisé dans le système. Il a l’avantage d’être mené à chaque fois. Les contrôles manuels (p. ex. réconciliations, principe des quatre yeux) complètent les contrôles automatisés. Le menu déroulant permet de sélectionner le genre de contrôle.

- 31 -

Colonne N: Effet Les contrôles préventifs visent à empêcher les erreurs d’être commises. Ils peuvent être effectués sous forme manuelle ou automatisée.

Les contrôles de détection sont indiqués si l’examen des contrôles préventifs révèle des erreurs trop fréquentes, ou si les contrôles préventifs ne sont pas possibles. De tels contrôles amènent à faire connaître aux autres personnes les erreurs constatées. Un menu déroulant permet de choisir l’effet souhaité.

- 32 -

5 Efficience du système de contrôle interne Le chapitre 5 répond aux questions suivantes:

- Quelles sont les tâches qui incombent aux unités administratives, dans l’optique de la supervision du SCI et de son développement?

- Comment l’AFF encourage-t-elle le développement du SCI?

N° Activités Compétence Destinataire Périodicité

1 Réaliser le rapport Responsable SCI de l’UA

Direction de l’UA et conseiller en gestion des risques de l’UA

annuelle

2 Actualiser le «questionnaire des risques / mesures non spécifiques aux processus» et la «matrice de contrôle des risques liés aux processus»

Responsable SCI de l’UA


annuelle

3 Tenir dûment compte des réactions formulées par la révision suite à l’examen du SCI


Direction d’UA annuelle

4 Confirmer, par la déclaration d’universalité signée à la clôture des comptes annuels, la présence d’un SCI efficient

Directeur de l’UA AFF, CDF annuelle

5 Mener un échange d’expérience au niveau du département

DEP UA annuelle

6 Mener un échange d’expérience au niveau de la Confédération

AFF DEP et UA spécia-lement choisies

annuelle

7 Créer une lettre d’information AFF UA annuelle

8 Mettre en place un service SCI AFF UA, DEP permanente

Description d’activités spécifiques 1. Chaque directeur d’unité administrative est responsable de l’introduction du SCI, de

l’utilisation qui en est faite et de sa supervision dans son domaine de compétence. Le rapport annuel du responsable du SCI, renseignant sur les progrès réalisés, les carences, les activités et les résultats aide le directeur de l’UA à confirmer, dans sa déclaration d’universalité, l’efficience du SCI.

2. La supervision du SCI comprend le réexamen périodique des processus, risques et contrôles, sous l’angle de l’universalité, de la véracité ainsi que de la validité. Pour confirmer que la vérification a eu lieu, les unités administratives sont invitées à réexaminer chaque année le «questionnaire sur les risques / mesures non spécifiques aux processus» et la «matrice de contrôle des risques liés aux processus» et à les adapter le cas échéant.

- 33 -

3. Il se pourrait que la supervision constante ou les examens menés par le FISP ou le CDF mettent en lumière des carences et des faiblesses du SCI. En pareil cas, il faudra inclure des contrôles supplémentaires ou adapter les contrôles inefficaces.

- 34 -

Liste des annexes

MODÈLES DE DOCUMENTS

1. Questionnaire sur les risques / mesures non spécifiques aux processus


2. Inventaire des processus


3. Matrice de contrôle des risques liés aux processus

O:\Fr-daten\NRM\IKS\30 Leitfaden\Beila AIDES

4. Liste de contrôle des étapes à suivre


5. Modèle de présentation du SCI

O:\Fr-daten\NRM\IKS\30 Leitfaden\Druc

6. Exemples servant à compléter l’annexe 3


7. Directives sur le classement et l’archivage des documents


8. Exemple de règlement des signatures


guide de contrôle interne (pdf)

Documents