Vous êtes sur la page 1sur 34

www.efv.admin.

ch

Guide
concernant le systme de contrle interne des processus avec incidences financires dans ladministration fdrale
Directives et instructions pour lintroduction et la documentation du systme de contrle interne des units administratives

Version 1.0 (approuve) 30 septembre 2007

Liste des abrviations


AFF CDF COSO Administration fdrale des finances Contrle fdral des finances Committee of Sponsoring Organizations of the Treadway Commission
Le Committee of Sponsoring Organizations of the Treadway Commission (COSO), dont la cration remonte 1985, est une organisation amricaine du secteur priv, constitue sur une base volontaire. Son but est daider amliorer, sur le plan qualitatif, les rapports financiers par une approche thique, des contrles internes efficaces et une bonne gestion dentreprise. Le COSO a publi en 1992 le modle COSO, rfrentiel de contrle interne reconnu par la SEC (Securities and Exchange Commission).

DEP DFF FISP INTOSAI

Dpartement Dpartement fdral des finances Inspection des finances (Finanzinspektorat) International Organization of Supreme Audit Institutions (Organisation internationale des institutions suprieures de contrle des finances publiques)
LOrganisation internationale des institutions suprieures de contrle des finances publiques est lorganisation fatire des organes de contrle externe des finances publiques. Depuis plus de 50 ans, elle offre aux institutions suprieures de contrle (ISC) un cadre institutionnalis servant au transfert et laccroissement du savoir travers le monde, afin de renforcer les comptences professionnelles, lautorit et linfluence des ISC dans les Etats concerns.

LCF LFC MGB+TC NMC OFC Olico SCI UA

Loi sur le contrle des finances Loi sur les finances de la Confdration Manuel de gestion budgtaire et de tenue des comptes de la Confdration Nouveau modle comptable Ordonnance sur les finances de la Confdration Ordonnance concernant la tenue et la conservation des livres de comptes Systme de contrle interne Unit administrative

Table des matires

Introduction ...............................................................................................................................4 1 2 2.1 2.2 2.3 2.4 2.5 3 3.1 3.2 3.3 4 4.1 4.2 4.3 4.4 4.5 5 Rsum ......................................................................................................................6 Bases du SCI des processus avec incidences financires.........................................8 Bases juridiques sur le plan fdral .......................................................................8 Coordination avec la gestion des risques au sein de la Confdration .................9 Responsabilit du SCI dans ladministration fdrale..........................................11 Composantes dun systme de contrle interne ..................................................13 Bibliographie consacre aux systmes de contrle internes ...............................18 Directives contraignantes pour les units administratives ........................................19 Rsultats exigs...................................................................................................19 Dlais contraignants.............................................................................................20 Evaluation des risques .........................................................................................20 Instructions et aides..................................................................................................22 Aperu..................................................................................................................22 Mise en place dun projet, phase dintroduction ...................................................23 Evaluation des risques et mesures non spcifiques aux processus ....................24 Inventaire et description des processus avec incidences financires ..................25 Evaluation des risques et description des contrles ............................................27 Efficience du systme de contrle interne ................................................................32

Liste des annexes...................................................................................................................34

-3-

Introduction
Structure du document
Chapitre 1 Porte Information Description Rsum Reprise des conclusions des chapitres 2 5 Bases du systme de contrle interne (SCI) - Bases juridiques sur le plan fdral - Coordination avec la gestion des risques au sein de la Confdration - Responsabilit du SCI dans ladministration fdrale - Composantes dun SCI

Information

Directive Directives contraignantes pour les units administratives (obligatoire) Directives que les units administratives sont tenues de remplir lors de lintroduction et de la documentation du SCI. Instructions Instructions et aides (facultatives) Instructions, questionnaires et matriel de prsentation conus pour aider les units administratives respecter les directives contraignantes susmentionnes. Directive Efficience du SCI (obligatoire) Directives obligatoires pour les units administratives, pour assurer un bon fonctionnement synonyme defficacit et dadquation permanentes du SCI. Modles de documents Tableaux remplir et complter par les UA (annexes 1 3). Aides Informations et documents dapprofondissement servant daide pour complter les modles de documents et de soutien pour la phase dintroduction (annexes 4 8).

Annexes

Des questions annoncent les thmes traits au dbut de chaque chapitre. Une brve rponse ces questions figure dans le rsum du chapitre 1. Par souci de lisibilit, le prsent guide nutilise que la forme masculine des personnes. Cette formulation inclut toujours le sexe fminin.

Destinataires
Le prsent document est destin aux directeurs des units administratives et aux responsables du SCI dsigns par eux. Il sadresse aussi tous les collaborateurs participant lintroduction et la mise en uvre dun SCI.

-4-

But du prsent document


Aujourdhui dj, les units administratives prvoient de nombreuses mesures ou activits servant au contrle interne. Certaines disposent dun SCI labor et bien mri. A loppos, dautres procdent certes des contrles de leur travail quotidien, mais sans les consigner par crit, ou alors il ne reste aucune trace de leurs activits de contrle. A cela sajoute que des contrles des processus sont frquemment effectus (p. ex. principe des quatre yeux) sans la comprhension systmique requise (p. ex. rglementation des comptences et des signatures). LAFF a dcid dtablir le prsent guide en se fondant sur les bases juridiques et les instructions correspondantes, compte tenu du degr plus ou moins dvelopp du SCI des units administratives. Il sagit dun soutien qui permettra aux offices de mettre en place ou tout au moins complter leur propre SCI pour les principaux processus avec incidences financires. Mme si le guide vise en priorit garantir la rgularit des comptes annuels, il tient aussi en partie compte daspects touchant la rentabilit.

Utilit dun systme de contrle interne


Un SCI procure une unit administrative des avantages substantiels: protection de la fortune; garantie de la vracit, de luniversalit et de la rgularit de la tenue des comptes; rapports financiers remis dans les dlais et fiables; transparence et donc possibilit de pilotage cibl des processus et des risques (analyse du rapport cot-utilit); - documentation et donc comprhensibilit des activits de contrle mme en labsence de la personne comptente; - prvention, limitation ou identification prcoce des erreurs ainsi que des irrgularits. -

Limites
Mme si un bon SCI rduit efficacement les possibilits derreur et dabus, il noffre pas pour autant une scurit 100 %: - des erreurs de jugement, de mauvaises apprciations ou des interprtations errones font que les risques ne sont pas reconnus ou que des erreurs commises passent inaperues; - la ngligence ou le manque dattention au stade des contrles peuvent aboutir ce que des erreurs ne soient pas remarques; - si deux personnes ou davantage falsifient des informations, mme les contrles ayant fait leurs preuves deviennent inoprants.

-5-

1 Rsum
La prsente section rsume le contenu des chapitres 2 5. Les affirmations qui suivent rpondent aux questions poses au dbut de chaque chapitre et sont dveloppes au chapitre correspondant. Bases juridiques en vigueur la Confdration (chapitre 2.1) Lart. 39 LFC charge le Conseil fdral de prendre les mesures permettant de protger la fortune de la Confdration, de prvenir ou dceler des erreurs et des irrgularits dans la tenue des comptes ainsi que de garantir la rgularit de ltablissement des comptes et la fiabilit des rapports. Selon lart. 36, al. 3, OFC, les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du systme de contrle dans leur domaine de comptence. Coordination avec la gestion des risques au sein de la Confdration (chapitre 2.2) La gestion des risques au sein de la Confdration recense les risques oprationnels ou stratgiques en six catgories et prvoit des mesures de contrle. Les risques financiers et conomiques jouent un rle au mme titre que les risques techniques, sociaux ou politiques. Le prsent guide se concentre toutefois sur la catgorie des risques financiers. Responsabilit du SCI au sein de ladministration fdrale (chapitre 2.3) Les dpartements coordonnent les finances dans leur domaine de comptence. Les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du systme de contrle dans leur office. Ils peuvent dlguer les tches lies au SCI une autre personne, en lui confiant les comptences ncessaires. Le responsable du SCI de lunit administrative sert dorgane de liaison entre lAFF et elle. Les collaborateurs des units administratives procdent aux activits de contrle et doivent par consquent comprendre les lments dun SCI. LAFF dicte les instructions pour la mise en place et lextension du SCI au sein de la Confdration. Elle soutient les responsables du SCI des offices, par le biais dactivits de formation. Le Contrle fdral des finances (CDF) et les inspections des finances vrifient, dans le cadre de leur activit, le SCI des units administratives. Elments dun systme de contrle interne (chapitre 2.4) Les lments du modle COSO interviennent dans llaboration du SCI. Un SCI complet doit prendre en compte lenvironnement de contrle, linformation et la communication, la supervision du SCI, lvaluation des risques ainsi que les activits de contrle. Rsultats exigs (chapitre 3.1) Lintroduction et la documentation du SCI doivent dboucher sur les rsultats suivants (la forme tant laisse au choix des units administratives): a. documentation des risques et mesures non spcifiques aux processus (p. ex. clart sur les tches, les comptences et les responsabilits; fonctionnement des changes dinformation entre services; valuation annuelle du SCI) b. inventaire des processus avec incidences financires c. description des processus avec incidences financires d. analyse des risques et description des contrles relatifs aux processus avec incidences financires.

-6-

Dlais impratifs (chapitre 3.2) Fin dc. 2007: mise en place du projet de SCI et dbut de son introduction Fin fv. 2008: valuation des risques et mesures non spcifiques aux processus Fin juin 2008: dtermination et description des processus avec incidences financires Fin sept. 2008: valuation des risques lis aux processus avec incidences financires et description des contrles Fin oct. 2008: mise en uvre du SCI dans les units administratives Evaluation des risques (chapitre 3.3) Les risques des processus avec incidences financires doivent tre classs comme faibles, moyens ou levs. Chaque unit administrative est libre de se fonder, pour cette valuation, sur la matrice des risques fournie ou de procder lestimation directe des risques. Dans tous les cas, le risque doit tre jug dans lhypothse o aucune activit de contrle ne serait mene (risque brut). Concrtement, il est ncessaire de dfinir des mesures de contrle pour les risques levs. Les risques moyens feront galement lobjet de contrles, mais une analyse du rapport cot-utilit peut dicter ladoption de procdures simplifies (p. ex. contrles par chantillon alatoire). Enfin, les risques mineurs peuvent tre ngligs. Instructions et aides (chapitre 4) LAFF met disposition des units administratives les modles suivants: questionnaire sur les risques et les mesures non spcifiques aux processus (annexe 1), inventaire des processus (annexe 2), matrice de contrle des risques lis aux processus (annexe 3). En outre, les units administratives disposent des aides suivantes: liste de contrle des tapes suivre (annexe 4), modle de prsentation du SCI (annexe 5), exemples servant complter lannexe 3 (annexe 6), directives sur le classement et larchivage des documents (annexe 7), rglement des signatures (annexe 8). Aperu des processus avec incidences financires (chapitre Fehler! Verweisquelle konnte nicht gefunden werden.) Les principaux processus avec incidences financires sont les suivants dans loptique du SCI: achat sans IP, vente sans IP (y c. moluments), caisse, placements, planification financire et budget, crdits, gestion des frais, personnel, stocks, clture et subventions. Elaboration ou lancement dun projet (chapitre 4.2) Il est ncessaire daccrotre dans les units administratives la sensibilit aux questions touchant au SCI. Do la recommandation de faire approuver par leur directeur une demande crite de projet, portant sur la mise en uvre dun SCI. Description des contrles (chapitre 4.5.2) Les donnes suivantes doivent tre consignes par crit chaque contrle: description du contrle, preuve de lexcution, renvoi des documents dapprofondissement, responsable du contrle, priodicit, genre de contrle et effets. Les units administratives disposent cet effet dun modle de document complter (matrice de contrle des risques lis aux processus (annexe 3). Efficience du SCI (chapitre 5) Les units administratives doivent remettre une fois par an un rapport sur le SCI leur directeur. Ce dernier confirme quun SCI efficient est en place, en signant la dclaration duniversalit lors de la clture des comptes annuels. Le questionnaire concernant les risques / mesures non spcifiques aux processus et la matrice de contrle des risques lis aux processus doivent tre actualiss chaque anne. En outre, les units administratives tiendront dment compte des ractions du FISP et/ou du CDF la suite daudits de SCI. LAFF coordonne les sances dinformation et le dveloppement du SCI au sein de la Confdration.
-7-

2 Bases du SCI des processus avec incidences financires


Le chapitre 2 rpond aux questions suivantes: Quelles sont les bases juridiques rgissant le SCI des processus avec incidences financires dans ladministration fdrale ? O se situent les points communs entre le SCI et la gestion des risques? Comment ladministration fdrale rgle-t-elle les responsabilits en matire de SCI? Quel est le modle utilis dans ladministration fdrale pour la mise en place dun SCI? Quelles sont les composantes dun SCI complet?

2.1 Bases juridiques sur le plan fdral


La rvision totale de la loi sur les finances de la Confdration (LFC, RS 611.0), en vigueur depuis le 1er mai 2006, rgle le contrle interne de la faon suivante: Art. 39 LFC: Contrle interne
1

Le Conseil fdral prend les mesures permettant de: a. b. c. d. protger la fortune de la Confdration; garantir lutilisation adquate des fonds conformment aux principes noncs lart. 12, al. 4; prvenir ou dceler des erreurs et des irrgularits dans la tenue des comptes; garantir la rgularit de la tenue des comptes et la fiabilit des rapports.

Il tient compte des risques encourus et du rapport cot-utilit.

Les bases juridiques figurant dans la LFC se rfrent aux aspects ayant des incidences financires. Par consquent, la mise en place ou lextension dun SCI pour les processus avec incidences financires auront pour principaux objectifs la protection de la fortune de la Confdration, la tenue correcte des comptes, la rgularit de ltablissement des comptes et la fiabilit des rapports. Le CDF a dict en 2003 un guide pour la mise en place dun systme de contrle interne. Sa version remanie de 2007 tient compte de la refonte de la LFC. Cette brochure tmoigne dune approche plus globale que le prsent guide de lAFF, traitant lensemble des objectifs dun SCI, comme lefficacit de la supervision, la rentabilit dun projet ou le respect de la lgislation sur les marchs publics. De mme, tous les processus de ladministration fdrale y sont pris en compte. Le guide est tlchargeable sous www.efk.admin.ch. Lordonnance sur les finances de la Confdration (OFC, RS 611.01) prcise la nature des mesures prendre, ainsi que les comptences et responsabilits lies au SCI:

-8-

Art. 36 OFC: Systme de contrle interne (art. 39 LFC) Le systme de contrle interne comprend des mesures rglementaires, organisationnelles et techniques. LAdministration des finances dicte les directives ncessaires en accord avec le Contrle des finances et aprs consultation des dpartements. Les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du systme de contrle dans leur domaine de comptence.
3 2 1

Le manuel de gestion budgtaire et de tenue des comptes1 prcise les bases lgales. Ainsi, chaque unit administrative doit disposer dun SCI qui 1. soit largement marqu de lempreinte de la direction de lunit administrative et par lequel celle-ci se sente lie (cration dun environnement de contrle appropri reposant sur les lments suivants: philosophie de gestion, comptence, intgrit et valeurs thiques); 2. inclue une analyse crite des risques financiers gnraux et de ceux propres chaque processus auxquels lunit administrative est expose; 3. identifie et dcrive les mesures de contrle dordre rglementaire, organisationnel et technique permettant de grer ces risques (consistant notamment en une rglementation approprie des comptences, fonde sur la sparation des fonctions et incluant un concept doctroi des autorisations daccs aux systmes de traitement des donnes financires); 4. soit non seulement connu du personnel, mais encore dment appliqu et supervis; 5. dfinisse et assure la fourniture des prestations pralables des principaux partenaires de lunit administrative, en particulier des prestataires du secteur des technologies de linformation (IT); 6. englobe tout ce qui touche aux donnes financires autrement dit, outre le traitement des donnes proprement dit, les ventuels systmes en amont et les interfaces faisant partie intgrante du traitement des donnes financires.

2.2 Coordination avec la gestion des risques au sein de la Confdration


La gestion des risques au sein de la Confdration a pour objet diverses catgories de risques tant stratgiques quoprationnels. Le classement tabli comprend les risques financiers et conomiques; les risques juridiques ou de non-conformit (compliance); les risques matriels, techniques et lmentaires; les risques lis aux personnes et lorganisation; les risques technologiques et scientifiques; les risques sociaux et politiques. Les risques sont valus en premier lieu en fonction de leurs consquences financires (atteintes aux valeurs patrimoniales de la Confdration, prtentions en dommages-intrts, prtentions non lies la responsabilit civile, y compris les dommages corporels) et de leur
Voir www.accounting.admin.ch, chap. 4.8.4 Mise en place et exploitation dun SCI dans les units administratives
-91

probabilit doccurrence. Les critres subsidiaires dvaluation sont la perturbation du fonctionnement du gouvernement et de ladministration ou une atteinte la rputation. Le SCI en revanche ne soccupe que de risques oprationnels. Le prsent guide de lAFF se concentre ainsi sur les risques des processus avec incidences financires. Les valuations accordent certes une attention particulire aux risques financiers, mais incluent galement en partie les aspects conomiques et juridiques. La figure ci-dessous montre la dlimitation et les interfaces entre la gestion des risques et le systme de contrle interne.

Risques financiers et conomiques Risques juridiques ou de nonconformit (compliance ) Risques matriels, techniques et lmentaires Risques lis aux personnes et l'organisation Risques technologiques et scientifiques Risques sociaux et politiques

Guide sur le SCI de l'AFF

Fig. 1: Dlimitation et interfaces entre la gestion des risques et le SCI

La gestion des risques au sein de la Confdration se fonde sur la politique de gestion des risques dfinie par le Conseil fdral en dcembre 20042. Elle vise une gestion systmatique des divers risques auxquels ladministration fdrale est expose et dcrit les instruments et mesures permettant de rpertorier, dvaluer, de matriser et de surveiller les risques potentiels. Comme les deux thmes que sont la gestion des risques et le SCI ont des interfaces, des changes ou la collaboration sont indispensables entre le conseiller en gestion des risques et le responsable du SCI de lunit administrative. Chaque office dispose dj dun conseiller en gestion des risques.

Voir http://intranet.efv.admin.ch/d/dok_bv/risikopolitik/index.htm

- 10 -

2.3 Responsabilit du SCI dans ladministration fdrale 2.3.1 Dpartements


En vertu de lart. 56, art. 2, LFC, les dpartements planifient, dirigent et coordonnent la gestion financire dans leur domaine. Ils veillent en particulier la qualit de la comptabilit et mettent, au besoin, des directives complmentaires en vue de mettre en uvre les objectifs du Conseil fdral, du DFF et de lAFF.

2.3.2 Units administratives


En vertu de lart. 36, al. 3, OFC, les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du SCI dans leur domaine de comptence. Lefficacit dun SCI est troitement lie sa dfense active par le plus haut niveau de conduite et la fonction dexemple quil donne. Si la direction ne soutient pas les efforts en matire de SCI, il ne sera gure possible de le mettre en uvre. Do limportance que le directeur de lunit administrative appuie le responsable du SCI dans la coordination et llaboration dun tel systme. Le directeur de lunit administrative et le responsable du SCI ne peuvent eux seuls mettre en place un systme de contrle efficient. Une telle tche suppose la participation de tous les collaborateurs.

Responsabilit du SCI dans ladministration fdrale

D re l co sp ga m on tio p sa n te bil de nc it t es s ch et e s,

Directeur
Reconnaissance

Responsabilit globale de lintroduction, de lutilisation et de la supervision du SCI


D r e l g sp at co o io mp ns n t abi de e n li t t ce s ch et es s ,

Utilit du SCI

Responsable SCI

Sensibilisation

Mise en application

Collaborateurs

Dfinition des processus Spcification des directives Mise en place et utilisation des instruments et des processus de contrle Rle de contact pour la formation au SCI au sein de lUS

Participation la mise en place Excution des activits de contrle

Fig. 2: Responsabilits au sein des units administratives

- 11 -

2.3.3 Administration fdrale des finances


En vertu de lart. 36, al. 2, OFC, lAFF est charge ddicter les directives ncessaires la mise sur pied et au dveloppement du SCI lchelle de la Confdration, en accord avec le CDF et aprs consultation des dpartements. Lintroduction dun SCI efficient, son utilisation et sa supervision relvent en premier lieu de la responsabilit des units administratives. Les prsentes instructions et les aides qui en font partie visent faciliter lintroduction et la documentation du SCI dans les offices. En outre, lAFF organise des formations, lintention notamment des responsables du SCI, sur lintroduction de systmes de contrle dans les units administratives. Ds quune premire structure de SCI aura t dfinie au sein de la Confdration, lAFF accompagnera les units administratives en vue du maintien et du dveloppement de leur SCI (voir chapitre 5 Efficience du systme de contrle interne). Outre ces activits spcifiques, lAFF prcise le SCI, dans le cadre de ses tches gnrales, travers les activits suivantes: Documentation des prescriptions sur la tenue des comptes, des processus standard et de toutes les oprations, plan comptable uniforme pour ladministration gnrale, publi dans le manuel de gestion budgtaire et de tenue des comptes tlchargeable sous http://www.accounting.admin.ch Mise en place de nombreux contrles techniques dans le systme SAP (concept dautorisations au niveau de la Confdration, validations, rconciliations sous forme de rapports) Publication dinstructions sur des thmes spcifiques (p. ex. clture mensuelle, tenue des justificatifs, etc.) Contrles centraux lis aux rapports.

2.3.4 Contrle fdral des finances


En sa qualit dorgane suprme des finances de la Confdration, le Contrle fdral des finances doit donner son accord aux directives ncessaires au contrle interne dictes par lAFF (voir art. 36, al. 2, OFC). Le CDF vrifie les systmes de contrle interne des units administratives (voir art. 6, let. d, LCF, 614.0) et rend ces dernires attentives aux lacunes de mise en uvre. Le CDF assume encore des fonctions de formation et de formation continue dans le contexte des inspections des finances (services de rvision interne) (voir art. 11 LFC), lesquelles remplissent des tches de surveillance dans le domaine du contrle interne.

2.3.5 Inspections des finances des dpartements ou des units administratives


En vertu de lart. 11, al. 1, LCF, les inspections des finances sont responsables du contrle de la gestion financire dans leur champ dactivit. Leur tche implique notamment de vrifier la fiabilit et lintgrit des informations financires ainsi que des instruments servant tablir, mesurer, classifier et diffuser de telles informations. A ce titre, les FISP examinent les carences ventuelles des SCI des units administratives dont ils assurent la surveillance.
- 12 -

2.3.6 Fournisseurs de prestations


Le SCI mrite une attention spciale en cas de dlgation dactivits une autre unit administrative (fournisseur de prestations), par exemple lors de la mise en place dun centre de services partags ou du recours un prestataire informatique. Les tches dlgues seront intgres dans le SCI du bnficiaire de prestations. Lunit administrative doit obtenir du fournisseur de prestations, par voie de contrat, les droits utiles droit de consulter les documents, de donner des instructions ainsi que de contrle. Le bnficiaire des prestations demeure responsable du domaine dlgu. Les exigences de scurit seront dfinies avec le fournisseur de prestations. Lunit administrative veillera avec lui la confidentialit des donnes, leur disponibilit et leur vracit. En outre, les donnes doivent tre protges contre leur destruction accidentelle ou non autorise, contre les erreurs techniques, la falsification, le vol ou une utilisation illicite. Le bnficiaire de prestations et ses organes de rvision doivent avoir, en tout temps et sans quil leur soit oppos dobstacles, accs au domaine dlgu et tre en mesure de lexaminer intgralement. Un contrat crit sera expressment conclu sur tous ces points entre le bnficiaire et le fournisseur de prestations (accord de niveau de service).

2.4 Composantes dun systme de contrle interne


La littrature spcialise consacre au systme de contrle interne fait une large place au modle COSO. Reconnu dans le monde entier, il intgre dans un concept de base les divers concepts et dfinitions du contrle interne. Compte tenu de cette large acceptation, lAFF a repris les lments du modle COSO pour dfinir le SCI de la Confdration en ce qui concerne les processus avec incidences financires. La figure ci-dessous montre larticulation des diverses composantes du SCI.

Evaluation des risques Activits de contrle


Processus 5 Processus 3 Processus 1 Processus 2 Processus 4 Processus n

Evaluation des risques et activits de contrle des processus avec incidences financires

Processus avec incidences financires

Environnement de contrle Information et communication Surveillance du SCI


Fig. 3: Composantes dun systme de contrle interne

Elments non spcifiques aux processus

Pour pouvoir atteindre les objectifs indiqus lart. 39 LFC (protection de la fortune de la
- 13 -

Confdration, tenue correcte des comptes, rgularit de ltablissement des comptes et fiabilit des rapports), il est important de prendre dment en compte tous les lments dun SCI. A cet effet, il faut viser une combinaison optimale des activits de contrle, quelles soient dordre rgulateur (instructions et directives), organisationnel (organisation de la structure et des processus) ou technique (technologies de linformation). Les sous-chapitres qui suivent dcrivent les composantes dun SCI.

2.4.1 Environnement de contrle


Il est crucial pour lenvironnement de contrle que la direction soit consciente de limportance du SCI et quelle lui accorde au sein de lunit le statut requis par sa fonction. Un autre facteur important tient aux collaborateurs leurs qualits personnelles, y compris leur intgrit, leur comportement au travail, leur conscience du contrle, leurs valeurs thiques et leur comptence et lenvironnement o ils travaillent. Tout bon SCI suppose un environnement de contrle efficient. Plusieurs thmes se rapportant lenvironnement de contrle sont indiqus ci-dessous, titre dexemple: Attitude de la direction de lunit administrative La direction doit montrer lexemple, en soutenant lexcution des contrles internes et, par son style de conduite au quotidien, en favorisant dans lunit une attitude durable et positive lgard du SCI. Structure organisationnelle Les tches, comptences et responsabilits figurant dans la structure organisationnelle ont un caractre contraignant. Comptences techniques des collaborateurs La direction de lunit administrative et les collaborateurs veilleront ladoption de mesures visant lacquisition ou au dveloppement des comptences techniques du personnel. Conflits dintrt Les fonctions exerces au sein dautres organisations doivent tre signales, et les ventuels conflits dintrts rsolus.

2.4.2 Information et communication


Outre les activits de contrle proprement parler, il faut mettre en place des systmes dinformation et de communication adquats. Cest un point essentiel pour que tous les collaborateurs reoivent temps les informations ncessaires et puissent ainsi excuter leurs tches (contrles compris) et assumer leurs responsabilits. Les carences, erreurs ou abus constats doivent tre rendus publics, pour permettre ladoption des mesures damlioration ncessaires. En particulier, il faut rendre les collaborateurs attentifs leur responsabilit lgard du SCI. Les changes dinformation entre le conseiller en gestion des risques, le responsable des autorisations, le responsable du SCI et, le cas chant, les autres acteurs impliqus dans lunit administrative contribuent de faon dterminante la qualit dun SCI.

- 14 -

Les informations doivent tre: adquates (les informations ncessaires sont-elles disponibles?) fournies dans les dlais (sont-elles disponibles quand on en a besoin?) actuelles (sagit-il bien de la plus rcente version disponible?) correctes (sont-elles exemptes derreur?) accessibles (sont-elles facilement accessibles aux personnes concernes?).

2.4.3 Supervision du systme de contrle interne


Lefficacit du SCI doit tre contrle en permanence. Il sagit de tenir compte de lvolution des conditions tant internes quexternes, pour viter lapparition de failles non dtectes dans les contrles la suite de transformations (changement des bases lgales ou rglementaires, nouveaux systmes dinformation, restructuration de lorganisation, etc.) . Supervision permanente La supervision permanente des contrles internes doit faire partie intgrante des processus de travail et dexploitation ordinaires. Elle inclura des mesures cibles, pour viter que les contrles internes ne soient contraires aux prescriptions ou lthique, ruineux, inadquats et inefficaces. Le directeur de lunit administrative est par exemple amen constater, dans son activit de conduite, si les contrles internes fonctionnent. Comme indiqu propos de linformation et de la communication, il importe de rendre publics les carences, erreurs ou abus dcouverts, pour permettre de procder aux amliorations ncessaires. Des structures organisationnelles adquates offrent galement une possibilit didentifier les manquements. Ainsi le principe des quatre yeux amne les collaborateurs se contrler les uns les autres, et donc les irrgularits tre identifies lors des contrles internes. Evaluation supplmentaire Des valuations supplmentaires peuvent tre effectues, afin de juger de lefficacit du SCI et de garantir que les mthodes ou procdures prescrites mnent aux rsultats souhaits. Un rapport annuel au directeur de lunit administrative permettra dindiquer les rsultats et les mesures conscutives la mise en place du SCI ou son extension. En outre, les recommandations formules lors des examens de rvision doivent tre intgres dans les activits du SCI.

2.4.4 Evaluation des risques


Lunit administrative doit tre consciente des risques menaant la rgularit de la tenue des comptes et des rapports. Lidentification des risques, leur apprciation et leur traitement servent de base la planification et lexcution dactivits de contrle efficientes et efficaces. Lidentification des risques doit tre un processus permanent, caractre priodique, linstar de la supervision permanente (voir chapitre 2.4.3). Dans loptique du SCI, une distinction simpose entre deux catgories de risques:

1.

Risques non spcifiques aux processus Ces risques napparaissent pas directement en cours de processus, ce qui conduit

- 15 -

lenvironnement de contrle, linformation et la communication, ainsi que la supervision du SCI les sous-estimer. Un risque non spcifique aux processus apparat par exemple quand les collaborateurs mconnaissent ou assument mal leurs comptences et leurs responsabilits, et quil nest plus possible de garantir la qualit vise et ncessaire pour les donnes. 2. Risques spcifiques aux processus De tels risques surgissent au cours mme dun processus. Les contrles en place permettent den rduire dimpact. La nature des contrles, leur fonctionnement et la responsabilit de leur excution doivent tre documents par crit. Un risque spcifique aux processus apparat par exemple quand la procdure en place permet de comptabiliser et payer une facture sans contrle matriel ou formel pralable. En principe, diffrentes mesures permettent de rduire un risque: il peut tre rpercut sur un tiers (p. ex. conclusion dune assurance), dment accept ou vit (par labandon de lactivit correspondante). Mais dans la plupart des cas et cest l quintervient le SCI le risque existant sera limit au minimum par lexcution dun contrle.

2.4.5 Activits de contrle


Le bon droulement des oprations passe par la dfinition et la mise en place de procdures de contrle. Ces dernires garantissent que les objectifs dfinis pour le SCI puissent tre atteints, savoir la protection de la fortune, la tenue correcte des comptes, la rgularit de leur tablissement et des rapports fiables. Les activits de contrle agissent tantt seules, tantt en combinaison, en rduisant les risques existants. La classification des contrles peut se baser sur de nombreux critres. Deux des distinctions les plus courantes concernent: les contrles automatiss ou manuels (le contrle tant excut sur la base dune application ou manuellement); les contrles de dtection et les contrles prventifs (visant soit dcouvrir les erreurs commises, soit prvenir les erreurs).

Lors de la dfinition des activits de contrle, laccent sera mis autant que possible sur les contrles prventifs automatiss, qui dploient deux-mmes leurs effets et prviennent lapparition dune erreur. En outre, il convient de veiller ce que les activits de contrle soient adquates, sans retarder par des processus inefficaces le droulement des oprations; limiter par des procdures complexes laptitude rsoudre les problmes; empcher la fourniture dans les dlais des services demands; gnrer des cots qui excdent lutilit procure.

La figure ci-dessous montre que tant lorganisation structurelle dune unit administrative que les systmes et applications en place permettent de soutenir, contrler et surveiller les processus.

- 16 -

Organisation de lunit administrative

Lorganisation dune unit administrative soutient les processus. contrles manuels (p. ex. rconciliation des rapports SAP BW, contrle matriel dune facture, rconciliation de lextrait du compte postal avec le compte postal dans SAP, sparation des tches)
Systmes, applications, interfaces

processus avec incidences financires

application Les systmes, applications et interfaces soutiennent les processus. application application contrles automatiss (p. ex. mise en place dautorisations au niveau des systmes, applications, interfaces, validations dans les applications (p. ex. chiffre de contrle du n de rfrence du BVR), cration de champs de saisie obligatoires)

banque banque de de donnes donnes

Fig. 4: Soutien des processus par lorganisation de lUA et par les technologies de linformation

La figure recense et classe les activits de contrle possibles, dont la description suit.

2.4.5.1 Contrles automatiss


Autorisations Des autorisations fiables permettent dempcher toute inscription ou modification non autorise des donnes fixes ou variables et des programmes. De tels rglages du systme rduisent sensiblement lampleur des contrles manuels ncessaires. Les units administratives se doteront dun manuel des autorisations bas sur le concept dtaill des autorisations de la Confdration (NMC). Ce manuel doit rgler clairement les autorisations ainsi que les processus de mutation (quel collaborateur est autoris muter les autorisations). Les manuels des autorisations des UA forment un volet primordial dun SCI efficient. Chaque unit administrative dsignera un responsable des autorisations, lors de la cration de son manuel. Comme elles forment une composante importante des activits de contrle, la collaboration simpose cet effet entre le responsable des autorisations et celui du SCI. Le concept dtaill des autorisations de la Confdration (NMC), le catalogue standard des postes budgtaires du NMC ainsi que le concept sur le rle des autorisations dans SAP sont tlchargeables dans le MGB+TC3. Le mme site contient un modle de manuel des autorisations pour les units administratives. Le recours un concept dautorisations efficient permet par exemple de garantir la sparation des tches, au cours dun contrle automatis. Cette notion dsigne la

www.accounting.admin.ch, chapitre Application systme / Autorisations des processus de support FI


- 17 -

dissociation des responsabilits dordonner des transactions, de les excuter ou de les approuver. Les tches et les comptences feraient ainsi lobjet dune rpartition systmatique entre un nombre limit dindividus, au-del des groupes spcialiss, pour garantir lefficacit des contrles mutuels. Une telle approche permet de rduire le risque derreurs, de gaspillage ou dactivits illgales, ou du moins le risque de voir de tels problmes rester inaperus. Validations Les validations jouent un rle important pour garantir que la tenue des comptes et les rapports seffectuent correctement. La validation consiste contrler que les donnes saisies se situent dans une fourchette de valeurs donne. Diverses rgles reconnaissent les erreurs logiques des critures et les signalent lutilisateur. En outre, des rgles de validation permettent de sassurer que toutes les donnes ncessaires au traitement correct ou la bonne comptabilisation aient t enregistres.

2.4.5.2 Contrles manuels


Comparaison de conformit Il faut entendre par l une rconciliation de divers fichiers (rapports SAP BW, extraits de comptes, etc.) ainsi que lanalyse des carts constats. Vrification / tests de plausibilit Lanalyse de documents pour identifier des anomalies (comme des transactions inhabituelles), lanalyse dindicateurs spciaux, les valuations de tendance, etc. sont vises. Restrictions de laccs aux ressources et aux documents Laccs physique aux ressources et aux documents doit tre limit un cercle de personnes autorises, qui auront la responsabilit de leur conservation et/ou de leur bonne utilisation.

2.5 Bibliographie consacre aux systmes de contrle internes


- Mise en place dun systme de contrle interne. Contrle fdral des finances. 2007. www.efk.admin.ch - Lignes directrices sur les normes de contrle interne promouvoir dans le secteur public. Intosai. http://www.intosai.org/fr/portal/ - Contrle interne. D. Widmer et H.-U. Pfyffer. Corporate Governance. KPMG. septembre 2004 - Le contrle interne dans la pratique suisse actuelle. Enqute de KPMG Suisse ralise en collaboration avec lIRC de lUniversit de Zurich, 2005 - Contrle interne sur linformation financire lignes directrices lintention des petites socits ouvertes. Volume I: Rsum. Committee of Sponsoring Organizations of the Treadway Commission. 2006. www.coso.org/publications.htm - Systme de contrle interne: un outil PricewaterhouseCoopers. 2007. www.pwc.com de gestion en pleine mutation.

- 18 -

3 Directives contraignantes pour les units administratives


Le chapitre 3 rpond aux questions suivantes: Quels sont les rsultats que lintroduction du SCI doit permettre datteindre dans les units administratives, sur le plan des processus? Quels sont les dlais contraignants pour lintroduction du SCI dans les units administratives? Comment lunit administrative doit-elle mener lvaluation des risques?

La LFC, lOFC et le MGB+TC contiennent diverses exigences que les units administratives doivent prendre en compte lors de lintroduction et de la documentation de leur SCI. Outre ces bases juridiques, elles sont soumises dautres directives, qui font lobjet du prsent chapitre.

3.1 Rsultats exigs


Lintroduction et la documentation du SCI visent lobtention des rsultats suivants (la forme tant laisse au choix des units administratives): a. Documentation des risques et mesures non spcifiques aux processus (environnement de contrle, information et communication, supervision du SCI) b. Inventaire des processus avec incidences financires c. Description des processus avec incidences financires d. Analyse des risques et description du contrle des processus avec incidences financires Des aides et des modles de documents ont t crs pour aider les units administratives recueillir ces rsultats. La manire de sen servir est dcrite au chapitre 4. Chaque UA est libre dutiliser ces documents. Chaque fois que cest possible, les units administratives devraient travailler avec des documents qui existent dj. Aussi lAFF ne prvoit-elle aucune disposition obligatoire quant la forme de la documentation. De mme, aucun outil nest fourni de manire centrale pour la documentation des processus. Les aspects suivants sont toutefois dterminants pour la documentation et lvaluation des processus avec incidences financires: 1. Les processus spcifiques ladministration ne doivent pas contredire sur le plan matriel les processus du NMC. 2. Les contrles (essentiels) doivent apparatre dans la description des processus. 3. Les rsultats recueillis doivent tre comprhensibles pour un tiers, tre au moins aussi dtaills que les modles de documents et prouver suffisamment ladquation et lefficacit du SCI.

- 19 -

3.2 Dlais contraignants


En signant la dclaration duniversalit en fin dexercice, les directeurs des units administratives confirment la rgularit des comptes annuels. En 2008, ils auront confirmer pour la premire fois la prsence dun SCI efficient dans leur domaine de comptence. Les dlais suivants ont t fixs pour les processus avec incidences financires: Activit au sein de lunit administrative - Mise en place du projet de SCI, dbut de llaboration ou de lextension du SCI - Evaluation des risques et mesures non spcifiques aux processus - Inventaire et description des processus avec incidences financires - Evaluation des risques lis aux processus et description des contrles portant sur les processus - Mise en uvre du SCI dans lunit administrative Dernier dlai fin dcembre 2007

fin fvrier 2008

fin juin 2008

fin septembre 2008

octobre 2008

LAFF recueillera auprs des units administratives, aux chances indiques, le statut des activits susmentionnes. Pendant la phase de mise en place ou dextension du systme de contrle interne, les units administratives doivent sassurer au moins du maintien de ltendue des activits dj en place du SCI.

3.3 Evaluation des risques


Tous les risques oprationnels lis aux processus avec incidences financires doivent tre valus quant leur importance. Do leur classification en risques faibles, moyens ou levs. Cette valuation sert de base pour tablir des priorits entre les mesures servant rduire au minimum les risques. Les units administratives ont le choix entre deux options pour mener lvaluation des risques. Ces deux variantes sont dcrites ci-dessous. Dans chaque cas, lvaluation porte sur le risque brut. Autrement dit, le risque est valu dans lhypothse o aucune activit de contrle ne serait dploye. Option 1 Cette option tendue examine sparment, pour valuer un risque, la probabilit doccurrence et lampleur potentielle des dommages causs (p. ex. impact financier et atteinte la rputation). La matrice dvaluation des risques montre de faon exemplaire comment lon pourrait procder lvaluation des risques. Les UA sont libres dutiliser ce barme ou un autre. La matrice de contrle des risques lis aux processus (annexe 3) donne aux UA la possibilit de juger sparment, pour chaque risque, les effets ainsi que la probabilit doccurrence selon la matrice suivante (voir chapitre 4.5.1).

- 20 -

Probabilit doccurrence

4
certaine

12

16

3
trs probable

12

2
probable

4 R2

6 R3 3

1
peu probable

R1

vert = faible risque jaune = risque moyen rouge = risque lev

3
significative

4
grave

insignifiante modre

tendue des dommages

Tableau 1: Matrice dvaluation des risques

Lvaluation des risques montre quels sont les risques pertinents, donc couvrir. La rgle est la suivante: R1: On peut penser au risque que du matriel de bureau ne disparaisse du service. Lunit administrative a attribu un 1 (peu probable) la probabilit doccurrence et un 2 (modre) ltendue des dommages. Le risque brut (multiplication de la probabilit doccurrence par ltendue des dommages) est ici de 2 (faible risque). Do linutilit en pareil cas de prendre des mesures spciales ou de procder des contrles. A lavenir non plus, il ne faudra pas enfermer sous cl le matriel de bureau. R2: Comme exemple de risque, il se peut que des collaborateurs parviennent ouvrir et muter des donnes de base des dbiteurs. Lunit administrative a attribu la probabilit doccurrence un 2 (probable) et ltendue des dommages un 3 (significative). Do un risque brut de 6 (moyen). Des contrles simposent. Une analyse cot-utilit pourrait toutefois justifier ladoption de procdures simplifies (contrles par chantillons alatoires). R3: A titre dexemple, des factures risquent dtre payes sans quaucune prestation nait t reue. Lunit administrative a rang dans la classe 2 (probable) la probabilit doccurrence et dans la classe 4 (grave) ltendue des dommages. Do un risque brut de 8 (lev). La formulation et la mise en place dun contrle simposent (p. ex. principe des quatre yeux, avec contrle matriel et formel pralable lautorisation de payer la facture). Option 2 Les units administratives peuvent galement procder une valuation simplifie du risque, en le classant comme faible, moyen ou lev. Mme dans cette option, il faudrait au moins garder lesprit la probabilit doccurrence et ltendue des dommages dans lvaluation des risques. La matrice de contrle des risques lis aux processus (annexe 3) permet aux units administratives de classer le risque en consquence (voir chapitre 4.5.1).

- 21 -

4 Instructions et aides
Le chapitre 4 rpond aux questions suivantes: Quels sont les modles de documents et les aides mis disposition des units administratives en vue de lintroduction et de la documentation du SCI? Quels sont les processus que lAFF a pralablement identifis comme ayant des incidences financires? Comment un tel projet de SCI peut-il tre mis en place dans lunit administrative? Comment les contrles sont-ils dcrits?

4.1 Aperu
Le tableau qui suit donne un aperu des diverses tapes, de leurs rsultats et des aides ou modles de documents existants. Les documents mis disposition doivent aider lunit administrative atteindre les rsultats exigs delle. Des complments dinformation sont donns sur chaque tape et sur les modles proposs (voir les sous-chapitres indiqus dans le tableau).

Echance:

dc. 2007

janv. / fv. 2008

mars juin 2008

juillet sept. 2008

oct. 2008

Etape:

Mise en place du projet, phase dintroduction

Evaluation des risques et mesures non spcifiques aux processus

Inventaire et description des processus avec incidences financires

Evaluation des risques lis aux processus

Description des contrles portant sur les processus

Confirmation de la mise en oeuvre

Rsultats exigs: Modles de documents:


ANNEXES 13

a) Documentation b) Inventaire c) Description des risques et mesures des processus des processus non spcifiques avec incidences avec incidences financires aux processus financires 1: Questionnaire sur les risques et mesures non spcifiques aux processus 2: Inventaire des processus

d) Analyse des risques et description des contrles concernant les processus avec incidences financires

3: Matrice de contrle des risques lis aux processus

4: Liste de contrle des tapes

Aides:
ANNEXES 48

5: Modle de prsentation sur le SCI

6: Exemples servant complter lannexe 3 7: Directives sur le classement et larchivage des documents 8: Exemple de rglementation des signatures

Description des tapes et des aides / des modles de documents

chapitre 4.2

chapitre 4.3

chapitre 4.4

chapitre 4.5.1

chapitre 4.5.2

Annonce du statut lAFF:

Fig. 5: Aperu global des dlais, des tapes, des rsultats et des annexes

- 22 -

LAFF a prslectionn les processus avec incidences financires les plus importants ses yeux, comme base pour la structure et le contenu des modles de documents Inventaire des processus et Matrice de contrle des risques lis aux processus. Les onze processus ci-dessous ont t identifis cette occasion:

Achats sans IP Vente sans IP (y c. moluments) Caisse Placements Planification financire et budget Crdits

Gestion des frais Personnel Dpt Clture Subventions

- Chacun de ces processus a conduit formuler des questions, risques ou exemples de contrle spcifiques aux processus (= annexe 6: Exemples servant complter lannexe 3). - Mme si ce modle a t labor avec le concours de collaborateurs des offices, chaque unit administrative demeure responsable de contrler lexhaustivit et le degr de dtail des directives, et de les complter le cas chant. - Si une unit administrative juge dautres processus essentiels, elle devra galement les enregistrer, les documenter et les valuer.

4.2 Mise en place dun projet, phase dintroduction


Le tableau ci-dessous indique les tapes possibles, si lunit administrative dcide de mettre en place ou dtendre son SCI dans le cadre dun projet. Des complments dinformation sur la gestion de projet figurent au chapitre 5.3 du manuel Hermes (www.hermes.admin.ch). Le projet de SCI peut tre men au niveau dpartemental.
N 1 Activits Informer au sein de lUA Annexe Rsultat

Modle de prsentation La direction dUA et les collaborateurs sont informs sur le SCI Annexe 5 Organisation de projet

Dfinir une organisation de projet Formuler des tches et des objectifs Fixer le calendrier et les tapes Formuler une proposition de projet

Tches et objectifs formuls

4 5

Calendrier Mandat de projet accept par le directeur de lUA Dlai: dcembre 2007

- 23 -

N 6

Activits Rcolter et compiler les documents relatifs au SCI

Annexe

Rsultat Documentation des instructions / directives internes existantes

Description dactivits spcifiques 1 Une prise de conscience concernant le SCI simpose dans les units administratives. Il est important, pour pouvoir mener correctement les activits venir et, le cas chant, coordonner les projets en cours (p. ex. optimisation des processus, gestion des risques, concept relatif aux autorisations, etc.) dorganiser une sance dinformation au niveau de la direction de chaque unit administrative. Le modle de prsentation mis disposition par lAFF peut se rvler utile cet effet. Par ailleurs, lunit administrative a besoin dune organisation de projet adapte sa taille et sa complexit, qui coordonne et gre- les activits venir. Comme selon lart. 36, al. 3, OFC, les directeurs des units administratives sont responsables de lintroduction du SCI, de son utilisation et de sa supervision, il importe quils soient galement les mandants du projet. Au cas o une quipe serait mise en place, elle comprendra le responsable du SCI, le conseiller en gestion des risques, le responsable des autorisations, le contrleur ainsi que les spcialistes du domaine. Le directeur de lunit administrative approuve la proposition crite de projet. Ce document indiquera au moins les tches, les objectifs, ainsi que lorganisation de projet et le calendrier / les tapes.

4.3 Evaluation des risques et mesures non spcifiques aux processus (annexe 1)
Le tableau ci-dessous indique les diverses activits lies ltape dvaluation des risques et mesures non spcifiques aux processus.
N 1 Activits Rpondre aux questions concernant les risques / mesures non spcifiques aux processus. Annexe Questionnaire sur les risques / mesures non spcifiques aux processus Annexe 1 Rsultat Questionnaire complt sur les risques / mesures non spcifiques aux processus Rsultat exig (a) (selon chapitre 3.1) Dlai: fvrier 2008
O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Description dactivits spcifiques 1. Outre les processus proprement dits, un SCI complet contient dautres composantes, savoir lenvironnement de contrle, linformation et la communication, ainsi que la supervision du SCI. Un questionnaire concernant les risques et mesures non spcifiques aux processus est mis disposition des units administratives, pour leur permettre de procder une autovaluation:

- 24 -

Fig. 6: Modle pour le document Questionnaire sur les risques / mesures non lis aux processus

Colonne C:

Justification des mesures adoptes dans les UA Si la rponse est oui: description des mesures menes par lUA. Sinon: expos des motifs faisant que lUA na encore introduit aucune mesure sur ce thme ou description des mesures prvues et restant introduire, pour qu lavenir la rponse soit oui. Renvoi aux documents existants Indication du lieu de classement (v. avec lien). Service responsable Indication du rle ayant la responsabilit des mesures dans lUA. Les rles standard du NMC apparaissent comme champs slectionner. Les units administratives sont toutefois libres de choisir dautres dsignations de fonctions.

Colonne D:

Colonne E:

4.4 Inventaire et description des processus avec incidences financires (annexe 2)


Le tableau qui suit indique les diverses activits de ltape dinventaire et description des processus avec incidences financires.
N 1 Activits Dterminer les processus avec incidences financires Annexe Inventaire des processus Annexe 2 Rsultat Inventaire des processus Rsultat exig (b) (selon chapitre 3.1)

- 25 -

Dlai: juin 2008


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Dcrire les processus (v. adaptation des documents dj disponibles)

Description des processus Rsultat exig (c) (selon chapitre 3.1) Dlai: juin 2008

Description dactivits spcifiques 1. Il importe dindiquer lesquels des onze processus indiqus sont pertinents pour lunit administrative (Fig. 7, colonnes D et E) et qui porte la responsabilit des processus (colonne C). Lunit administrative devra complter par la suite, pour tous ces processus, lannexe 3 Matrice de contrle des risques lis aux processus, en ajoutant les prcisions ncessaires. Lunit administrative indiquera dans les colonnes F et G si elle dispose ou non dune description des processus. Si tous les processus avec incidences financires dune unit administrative napparaissent pas dans le modle de document fourni Inventaire des processus, la liste sera complte en consquence (lignes 97 ss).

Fig. 7: Modle de document Inventaire des processus

- 26 -

2.

Lunit administrative dcrit les processus pertinents pour elle selon linventaire des processus (Fig. 7, colonne G), ou vrifie que les descriptions existantes soient actuelles (colonne F). Le cas chant, elle adaptera les descriptions qui ne sont pas dactualit. Lunit administrative se rfrera autant que possible aux documentations de processus qui existent dj.

4.5 Evaluation des risques et description des contrles (annexe 3) 4.5.1 Evaluation des risques lis aux processus
Le tableau ci-dessous recense les diverses activits de ltape Evaluation des risques lis aux processus.
N 1 Activits Rpondre aux questions sur les processus obligatoires avec incidences financires Evaluer les risques existants lis aux processus Annexe Matrice de contrle des risques lis aux processus Annexe 3 Rsultat Analyse des risques lis aux processus Rsultat exig (d) (selon chapitre 3.1) Dlai: septembre 2008 3 Complter et valuer les risques spcifiques lUA pour les processus existants Complter et valuer les processus spcifiques lUA, y c. les questions et les risques
O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Analyse des risques lis aux processus, tendue en fonction des risques spcifiques lUA Analyse des risques lis aux processus, tendue en fonction des processus spcifiques lUA

Description dactivits spcifiques 1. A partir de linventaire des processus tabli par ses soins, lunit administrative dduit pour quels processus la matrice de contrle des risques doit tre remplie (annexe 3). La matrice de contrle des risques comporte une feuille de tableau par processus, la dernire feuille tant laisse vide. La Fig. 8 montre titre dexemple quelques-unes des questions du processus Achat sans IP. Lunit administrative rpondra aux questions sous forme dautovaluation (voir Fig. 8, colonne B). La rponse peut tre slectionne dans un menu droulant. Les possibilits proposes sont: oui (c.--d. notre unit administrative garantit que ) non (c.--d. notre unit administrative ne peut garantir que ) ne sapplique pas (la question nest pas pertinente pour notre office)

- 27 -

Fig. 8: Modle pour le document Matrice de contrle des risques lis aux processus

2. Les risques possibles sont dfinis davance (colonne C) et doivent tre valus. Les UA ont deux options cet effet. Option 1 (voir lignes 19 21): la probabilit doccurrence (colonne D) et ltendue potentielle des dommages (colonne E) font lobjet dvaluations spares. Le produit de ces deux estimations dtermine le risque (colonne F, calcul automatis), reprsent dans les couleurs verte (= faible risque), jaune (= risque moyen) ou rouge (= risque lev). Option 2 (voir lignes 22 et 23): le risque est valu lors dune tape unique. LUA dcide directement sil sagit dun risque faible, moyen ou lev (colonne G). Lvaluation des risques sert de base pour dcider contre quels risques il faut prendre des mesures de contrle (voir chapitre 3.3 Evaluation des ris). 3. Lunit administrative compltera lannexe 3 Matrice de contrle des risques lis aux processus si ses yeux des risques manquent. 4. Si lunit administrative juge que des processus avec incidences financires particulirement importants ont t omis (la base tant linventaire des processus), elle compltera par de nouvelles feuilles la matrice de contrle des risques lis aux processus figurant lannexe 3. Elle peut utiliser cet effet la feuille vide.
- 28 -

4.5.2 Description des contrles des processus


Le tableau ci-dessous indique les diverses activits de ltape de description des contrles portant sur les processus. Les units administratives trouveront comme aide lannexe 6, pour les onze processus retenus, une srie dexemples, preuves et critres de contrle. Des renvois des documents de base (sous-chapitres du manuel, oprations, bases juridiques, etc.) y figurent galement.
N 1 Activits Dcrire les contrles Annexe Matrice de contrle des risques lis aux processus Annexe 3 Rsultat Description des contrles des processus Rsultat exig (d) selon chap. 3.1) Dlai: septembre 2008

O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Exemples servant complter lannexe 3 Annexe 6

O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Directives sur le classement et larchivage des documents Annexe 7

O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Exemple de rglement des signatures Annexe 8

O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

Description dactivits spcifiques 1. La majorit des units administratives mnent dj des activits efficaces dans le cadre de leur SCI. Ces activits sont dsormais systmatiquement enregistres et documentes dans la matrice de contrle des risques lis aux processus. Les units administratives doivent y dcrire leurs activits de contrle de la faon suivante:

- 29 -

Fig. 9: Modle pour le document Matrice de contrle des risques lis aux processus

Colonne H:

Contrle visant minimiser le risque Description par mots-cls du contrle ou justification de labsence de contrle. A titre daide, lunit administrative peut sappuyer sur les exemples servant complter lannexe 3 (Annexe 6). Ce document dcrit en dtail les contrles possibles. Preuve de lexcution du contrle Liste / Enumration des preuves de lexcution du contrle. L encore, lunit administrative trouvera lannexe 6 des exemples possibles de preuves de lexcution du contrle. Renvoi des documents dapprofondissement Indication du lieu de classement (v. avec lien). Responsable de lexcution du contrle Les rles standard du NMC sont indiqus dans un menu droulant. Les units administratives peuvent dsigner diffremment les fonctions concernes. Priodicit Tous les contrles ne doivent / peuvent tre effectus avec la mme frquence. Si certains ne se justifient que dans le flux quotidien du travail, dautres seront mens par exemple chaque semaine ou chaque mois. Un menu droulant permet de choisir la priodicit. Genre de contrle Le contrle automatis ou programm (p. ex. autorisations, validation des donnes) est institutionnalis dans le systme. Il a lavantage dtre men chaque fois. Les contrles manuels (p. ex. rconciliations, principe des quatre yeux) compltent les contrles automatiss. Le menu droulant permet de slectionner le genre de contrle.

Colonne I:

Colonne J:

Colonne K:

Colonne L:

Colonne M:

- 30 -

Colonne N:

Effet Les contrles prventifs visent empcher les erreurs dtre commises. Ils peuvent tre effectus sous forme manuelle ou automatise. Les contrles de dtection sont indiqus si lexamen des contrles prventifs rvle des erreurs trop frquentes, ou si les contrles prventifs ne sont pas possibles. De tels contrles amnent faire connatre aux autres personnes les erreurs constates. Un menu droulant permet de choisir leffet souhait.

- 31 -

5 Efficience du systme de contrle interne


Le chapitre 5 rpond aux questions suivantes: Quelles sont les tches qui incombent aux units administratives, dans loptique de la supervision du SCI et de son dveloppement? Comment lAFF encourage-t-elle le dveloppement du SCI?

N
1

Activits
Raliser le rapport

Comptence
Responsable SCI de lUA

Destinataire
Direction de lUA et conseiller en gestion des risques de lUA Responsable SCI de lUA

Priodicit
annuelle

Actualiser le questionnaire des risques / mesures non spcifiques aux processus et la matrice de contrle des risques lis aux processus Tenir dment compte des ractions formules par la rvision suite lexamen du SCI Confirmer, par la dclaration duniversalit signe la clture des comptes annuels, la prsence dun SCI efficient Mener un change dexprience au niveau du dpartement Mener un change dexprience au niveau de la Confdration Crer une lettre dinformation Mettre en place un service SCI

Responsable SCI de lUA

annuelle

Responsable SCI de lUA

Direction dUA

annuelle

Directeur de lUA

AFF, CDF

annuelle

DEP

UA

annuelle

AFF

DEP et UA spcia- annuelle lement choisies UA UA, DEP annuelle permanente

7 8

AFF AFF

Description dactivits spcifiques 1. Chaque directeur dunit administrative est responsable de lintroduction du SCI, de lutilisation qui en est faite et de sa supervision dans son domaine de comptence. Le rapport annuel du responsable du SCI, renseignant sur les progrs raliss, les carences, les activits et les rsultats aide le directeur de lUA confirmer, dans sa dclaration duniversalit, lefficience du SCI. La supervision du SCI comprend le rexamen priodique des processus, risques et contrles, sous langle de luniversalit, de la vracit ainsi que de la validit. Pour confirmer que la vrification a eu lieu, les units administratives sont invites rexaminer chaque anne le questionnaire sur les risques / mesures non spcifiques aux processus et la matrice de contrle des risques lis aux processus et les adapter le cas chant.

2.

- 32 -

3.

Il se pourrait que la supervision constante ou les examens mens par le FISP ou le CDF mettent en lumire des carences et des faiblesses du SCI. En pareil cas, il faudra inclure des contrles supplmentaires ou adapter les contrles inefficaces.

- 33 -

Liste des annexes


MODLES DE DOCUMENTS 1. Questionnaire sur les risques / mesures non spcifiques aux processus
O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

2. Inventaire des processus


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

3. Matrice de contrle des risques lis aux processus


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

AIDES

4. Liste de contrle des tapes suivre


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

5. Modle de prsentation du SCI


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Druc

6. Exemples servant complter lannexe 3


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

7. Directives sur le classement et larchivage des documents


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

8. Exemple de rglement des signatures


O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila

- 34 -

Vous aimerez peut-être aussi