Académique Documents
Professionnel Documents
Culture Documents
ch
Guide
concernant le systme de contrle interne des processus avec incidences financires dans ladministration fdrale
Directives et instructions pour lintroduction et la documentation du systme de contrle interne des units administratives
Dpartement Dpartement fdral des finances Inspection des finances (Finanzinspektorat) International Organization of Supreme Audit Institutions (Organisation internationale des institutions suprieures de contrle des finances publiques)
LOrganisation internationale des institutions suprieures de contrle des finances publiques est lorganisation fatire des organes de contrle externe des finances publiques. Depuis plus de 50 ans, elle offre aux institutions suprieures de contrle (ISC) un cadre institutionnalis servant au transfert et laccroissement du savoir travers le monde, afin de renforcer les comptences professionnelles, lautorit et linfluence des ISC dans les Etats concerns.
Loi sur le contrle des finances Loi sur les finances de la Confdration Manuel de gestion budgtaire et de tenue des comptes de la Confdration Nouveau modle comptable Ordonnance sur les finances de la Confdration Ordonnance concernant la tenue et la conservation des livres de comptes Systme de contrle interne Unit administrative
Introduction ...............................................................................................................................4 1 2 2.1 2.2 2.3 2.4 2.5 3 3.1 3.2 3.3 4 4.1 4.2 4.3 4.4 4.5 5 Rsum ......................................................................................................................6 Bases du SCI des processus avec incidences financires.........................................8 Bases juridiques sur le plan fdral .......................................................................8 Coordination avec la gestion des risques au sein de la Confdration .................9 Responsabilit du SCI dans ladministration fdrale..........................................11 Composantes dun systme de contrle interne ..................................................13 Bibliographie consacre aux systmes de contrle internes ...............................18 Directives contraignantes pour les units administratives ........................................19 Rsultats exigs...................................................................................................19 Dlais contraignants.............................................................................................20 Evaluation des risques .........................................................................................20 Instructions et aides..................................................................................................22 Aperu..................................................................................................................22 Mise en place dun projet, phase dintroduction ...................................................23 Evaluation des risques et mesures non spcifiques aux processus ....................24 Inventaire et description des processus avec incidences financires ..................25 Evaluation des risques et description des contrles ............................................27 Efficience du systme de contrle interne ................................................................32
-3-
Introduction
Structure du document
Chapitre 1 Porte Information Description Rsum Reprise des conclusions des chapitres 2 5 Bases du systme de contrle interne (SCI) - Bases juridiques sur le plan fdral - Coordination avec la gestion des risques au sein de la Confdration - Responsabilit du SCI dans ladministration fdrale - Composantes dun SCI
Information
Directive Directives contraignantes pour les units administratives (obligatoire) Directives que les units administratives sont tenues de remplir lors de lintroduction et de la documentation du SCI. Instructions Instructions et aides (facultatives) Instructions, questionnaires et matriel de prsentation conus pour aider les units administratives respecter les directives contraignantes susmentionnes. Directive Efficience du SCI (obligatoire) Directives obligatoires pour les units administratives, pour assurer un bon fonctionnement synonyme defficacit et dadquation permanentes du SCI. Modles de documents Tableaux remplir et complter par les UA (annexes 1 3). Aides Informations et documents dapprofondissement servant daide pour complter les modles de documents et de soutien pour la phase dintroduction (annexes 4 8).
Annexes
Des questions annoncent les thmes traits au dbut de chaque chapitre. Une brve rponse ces questions figure dans le rsum du chapitre 1. Par souci de lisibilit, le prsent guide nutilise que la forme masculine des personnes. Cette formulation inclut toujours le sexe fminin.
Destinataires
Le prsent document est destin aux directeurs des units administratives et aux responsables du SCI dsigns par eux. Il sadresse aussi tous les collaborateurs participant lintroduction et la mise en uvre dun SCI.
-4-
Limites
Mme si un bon SCI rduit efficacement les possibilits derreur et dabus, il noffre pas pour autant une scurit 100 %: - des erreurs de jugement, de mauvaises apprciations ou des interprtations errones font que les risques ne sont pas reconnus ou que des erreurs commises passent inaperues; - la ngligence ou le manque dattention au stade des contrles peuvent aboutir ce que des erreurs ne soient pas remarques; - si deux personnes ou davantage falsifient des informations, mme les contrles ayant fait leurs preuves deviennent inoprants.
-5-
1 Rsum
La prsente section rsume le contenu des chapitres 2 5. Les affirmations qui suivent rpondent aux questions poses au dbut de chaque chapitre et sont dveloppes au chapitre correspondant. Bases juridiques en vigueur la Confdration (chapitre 2.1) Lart. 39 LFC charge le Conseil fdral de prendre les mesures permettant de protger la fortune de la Confdration, de prvenir ou dceler des erreurs et des irrgularits dans la tenue des comptes ainsi que de garantir la rgularit de ltablissement des comptes et la fiabilit des rapports. Selon lart. 36, al. 3, OFC, les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du systme de contrle dans leur domaine de comptence. Coordination avec la gestion des risques au sein de la Confdration (chapitre 2.2) La gestion des risques au sein de la Confdration recense les risques oprationnels ou stratgiques en six catgories et prvoit des mesures de contrle. Les risques financiers et conomiques jouent un rle au mme titre que les risques techniques, sociaux ou politiques. Le prsent guide se concentre toutefois sur la catgorie des risques financiers. Responsabilit du SCI au sein de ladministration fdrale (chapitre 2.3) Les dpartements coordonnent les finances dans leur domaine de comptence. Les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du systme de contrle dans leur office. Ils peuvent dlguer les tches lies au SCI une autre personne, en lui confiant les comptences ncessaires. Le responsable du SCI de lunit administrative sert dorgane de liaison entre lAFF et elle. Les collaborateurs des units administratives procdent aux activits de contrle et doivent par consquent comprendre les lments dun SCI. LAFF dicte les instructions pour la mise en place et lextension du SCI au sein de la Confdration. Elle soutient les responsables du SCI des offices, par le biais dactivits de formation. Le Contrle fdral des finances (CDF) et les inspections des finances vrifient, dans le cadre de leur activit, le SCI des units administratives. Elments dun systme de contrle interne (chapitre 2.4) Les lments du modle COSO interviennent dans llaboration du SCI. Un SCI complet doit prendre en compte lenvironnement de contrle, linformation et la communication, la supervision du SCI, lvaluation des risques ainsi que les activits de contrle. Rsultats exigs (chapitre 3.1) Lintroduction et la documentation du SCI doivent dboucher sur les rsultats suivants (la forme tant laisse au choix des units administratives): a. documentation des risques et mesures non spcifiques aux processus (p. ex. clart sur les tches, les comptences et les responsabilits; fonctionnement des changes dinformation entre services; valuation annuelle du SCI) b. inventaire des processus avec incidences financires c. description des processus avec incidences financires d. analyse des risques et description des contrles relatifs aux processus avec incidences financires.
-6-
Dlais impratifs (chapitre 3.2) Fin dc. 2007: mise en place du projet de SCI et dbut de son introduction Fin fv. 2008: valuation des risques et mesures non spcifiques aux processus Fin juin 2008: dtermination et description des processus avec incidences financires Fin sept. 2008: valuation des risques lis aux processus avec incidences financires et description des contrles Fin oct. 2008: mise en uvre du SCI dans les units administratives Evaluation des risques (chapitre 3.3) Les risques des processus avec incidences financires doivent tre classs comme faibles, moyens ou levs. Chaque unit administrative est libre de se fonder, pour cette valuation, sur la matrice des risques fournie ou de procder lestimation directe des risques. Dans tous les cas, le risque doit tre jug dans lhypothse o aucune activit de contrle ne serait mene (risque brut). Concrtement, il est ncessaire de dfinir des mesures de contrle pour les risques levs. Les risques moyens feront galement lobjet de contrles, mais une analyse du rapport cot-utilit peut dicter ladoption de procdures simplifies (p. ex. contrles par chantillon alatoire). Enfin, les risques mineurs peuvent tre ngligs. Instructions et aides (chapitre 4) LAFF met disposition des units administratives les modles suivants: questionnaire sur les risques et les mesures non spcifiques aux processus (annexe 1), inventaire des processus (annexe 2), matrice de contrle des risques lis aux processus (annexe 3). En outre, les units administratives disposent des aides suivantes: liste de contrle des tapes suivre (annexe 4), modle de prsentation du SCI (annexe 5), exemples servant complter lannexe 3 (annexe 6), directives sur le classement et larchivage des documents (annexe 7), rglement des signatures (annexe 8). Aperu des processus avec incidences financires (chapitre Fehler! Verweisquelle konnte nicht gefunden werden.) Les principaux processus avec incidences financires sont les suivants dans loptique du SCI: achat sans IP, vente sans IP (y c. moluments), caisse, placements, planification financire et budget, crdits, gestion des frais, personnel, stocks, clture et subventions. Elaboration ou lancement dun projet (chapitre 4.2) Il est ncessaire daccrotre dans les units administratives la sensibilit aux questions touchant au SCI. Do la recommandation de faire approuver par leur directeur une demande crite de projet, portant sur la mise en uvre dun SCI. Description des contrles (chapitre 4.5.2) Les donnes suivantes doivent tre consignes par crit chaque contrle: description du contrle, preuve de lexcution, renvoi des documents dapprofondissement, responsable du contrle, priodicit, genre de contrle et effets. Les units administratives disposent cet effet dun modle de document complter (matrice de contrle des risques lis aux processus (annexe 3). Efficience du SCI (chapitre 5) Les units administratives doivent remettre une fois par an un rapport sur le SCI leur directeur. Ce dernier confirme quun SCI efficient est en place, en signant la dclaration duniversalit lors de la clture des comptes annuels. Le questionnaire concernant les risques / mesures non spcifiques aux processus et la matrice de contrle des risques lis aux processus doivent tre actualiss chaque anne. En outre, les units administratives tiendront dment compte des ractions du FISP et/ou du CDF la suite daudits de SCI. LAFF coordonne les sances dinformation et le dveloppement du SCI au sein de la Confdration.
-7-
Le Conseil fdral prend les mesures permettant de: a. b. c. d. protger la fortune de la Confdration; garantir lutilisation adquate des fonds conformment aux principes noncs lart. 12, al. 4; prvenir ou dceler des erreurs et des irrgularits dans la tenue des comptes; garantir la rgularit de la tenue des comptes et la fiabilit des rapports.
Les bases juridiques figurant dans la LFC se rfrent aux aspects ayant des incidences financires. Par consquent, la mise en place ou lextension dun SCI pour les processus avec incidences financires auront pour principaux objectifs la protection de la fortune de la Confdration, la tenue correcte des comptes, la rgularit de ltablissement des comptes et la fiabilit des rapports. Le CDF a dict en 2003 un guide pour la mise en place dun systme de contrle interne. Sa version remanie de 2007 tient compte de la refonte de la LFC. Cette brochure tmoigne dune approche plus globale que le prsent guide de lAFF, traitant lensemble des objectifs dun SCI, comme lefficacit de la supervision, la rentabilit dun projet ou le respect de la lgislation sur les marchs publics. De mme, tous les processus de ladministration fdrale y sont pris en compte. Le guide est tlchargeable sous www.efk.admin.ch. Lordonnance sur les finances de la Confdration (OFC, RS 611.01) prcise la nature des mesures prendre, ainsi que les comptences et responsabilits lies au SCI:
-8-
Art. 36 OFC: Systme de contrle interne (art. 39 LFC) Le systme de contrle interne comprend des mesures rglementaires, organisationnelles et techniques. LAdministration des finances dicte les directives ncessaires en accord avec le Contrle des finances et aprs consultation des dpartements. Les directeurs des units administratives sont responsables de lintroduction, de lutilisation et de la supervision du systme de contrle dans leur domaine de comptence.
3 2 1
Le manuel de gestion budgtaire et de tenue des comptes1 prcise les bases lgales. Ainsi, chaque unit administrative doit disposer dun SCI qui 1. soit largement marqu de lempreinte de la direction de lunit administrative et par lequel celle-ci se sente lie (cration dun environnement de contrle appropri reposant sur les lments suivants: philosophie de gestion, comptence, intgrit et valeurs thiques); 2. inclue une analyse crite des risques financiers gnraux et de ceux propres chaque processus auxquels lunit administrative est expose; 3. identifie et dcrive les mesures de contrle dordre rglementaire, organisationnel et technique permettant de grer ces risques (consistant notamment en une rglementation approprie des comptences, fonde sur la sparation des fonctions et incluant un concept doctroi des autorisations daccs aux systmes de traitement des donnes financires); 4. soit non seulement connu du personnel, mais encore dment appliqu et supervis; 5. dfinisse et assure la fourniture des prestations pralables des principaux partenaires de lunit administrative, en particulier des prestataires du secteur des technologies de linformation (IT); 6. englobe tout ce qui touche aux donnes financires autrement dit, outre le traitement des donnes proprement dit, les ventuels systmes en amont et les interfaces faisant partie intgrante du traitement des donnes financires.
probabilit doccurrence. Les critres subsidiaires dvaluation sont la perturbation du fonctionnement du gouvernement et de ladministration ou une atteinte la rputation. Le SCI en revanche ne soccupe que de risques oprationnels. Le prsent guide de lAFF se concentre ainsi sur les risques des processus avec incidences financires. Les valuations accordent certes une attention particulire aux risques financiers, mais incluent galement en partie les aspects conomiques et juridiques. La figure ci-dessous montre la dlimitation et les interfaces entre la gestion des risques et le systme de contrle interne.
Risques financiers et conomiques Risques juridiques ou de nonconformit (compliance ) Risques matriels, techniques et lmentaires Risques lis aux personnes et l'organisation Risques technologiques et scientifiques Risques sociaux et politiques
La gestion des risques au sein de la Confdration se fonde sur la politique de gestion des risques dfinie par le Conseil fdral en dcembre 20042. Elle vise une gestion systmatique des divers risques auxquels ladministration fdrale est expose et dcrit les instruments et mesures permettant de rpertorier, dvaluer, de matriser et de surveiller les risques potentiels. Comme les deux thmes que sont la gestion des risques et le SCI ont des interfaces, des changes ou la collaboration sont indispensables entre le conseiller en gestion des risques et le responsable du SCI de lunit administrative. Chaque office dispose dj dun conseiller en gestion des risques.
Voir http://intranet.efv.admin.ch/d/dok_bv/risikopolitik/index.htm
- 10 -
D re l co sp ga m on tio p sa n te bil de nc it t es s ch et e s,
Directeur
Reconnaissance
Utilit du SCI
Responsable SCI
Sensibilisation
Mise en application
Collaborateurs
Dfinition des processus Spcification des directives Mise en place et utilisation des instruments et des processus de contrle Rle de contact pour la formation au SCI au sein de lUS
- 11 -
Evaluation des risques et activits de contrle des processus avec incidences financires
Pour pouvoir atteindre les objectifs indiqus lart. 39 LFC (protection de la fortune de la
- 13 -
Confdration, tenue correcte des comptes, rgularit de ltablissement des comptes et fiabilit des rapports), il est important de prendre dment en compte tous les lments dun SCI. A cet effet, il faut viser une combinaison optimale des activits de contrle, quelles soient dordre rgulateur (instructions et directives), organisationnel (organisation de la structure et des processus) ou technique (technologies de linformation). Les sous-chapitres qui suivent dcrivent les composantes dun SCI.
- 14 -
Les informations doivent tre: adquates (les informations ncessaires sont-elles disponibles?) fournies dans les dlais (sont-elles disponibles quand on en a besoin?) actuelles (sagit-il bien de la plus rcente version disponible?) correctes (sont-elles exemptes derreur?) accessibles (sont-elles facilement accessibles aux personnes concernes?).
1.
Risques non spcifiques aux processus Ces risques napparaissent pas directement en cours de processus, ce qui conduit
- 15 -
lenvironnement de contrle, linformation et la communication, ainsi que la supervision du SCI les sous-estimer. Un risque non spcifique aux processus apparat par exemple quand les collaborateurs mconnaissent ou assument mal leurs comptences et leurs responsabilits, et quil nest plus possible de garantir la qualit vise et ncessaire pour les donnes. 2. Risques spcifiques aux processus De tels risques surgissent au cours mme dun processus. Les contrles en place permettent den rduire dimpact. La nature des contrles, leur fonctionnement et la responsabilit de leur excution doivent tre documents par crit. Un risque spcifique aux processus apparat par exemple quand la procdure en place permet de comptabiliser et payer une facture sans contrle matriel ou formel pralable. En principe, diffrentes mesures permettent de rduire un risque: il peut tre rpercut sur un tiers (p. ex. conclusion dune assurance), dment accept ou vit (par labandon de lactivit correspondante). Mais dans la plupart des cas et cest l quintervient le SCI le risque existant sera limit au minimum par lexcution dun contrle.
Lors de la dfinition des activits de contrle, laccent sera mis autant que possible sur les contrles prventifs automatiss, qui dploient deux-mmes leurs effets et prviennent lapparition dune erreur. En outre, il convient de veiller ce que les activits de contrle soient adquates, sans retarder par des processus inefficaces le droulement des oprations; limiter par des procdures complexes laptitude rsoudre les problmes; empcher la fourniture dans les dlais des services demands; gnrer des cots qui excdent lutilit procure.
La figure ci-dessous montre que tant lorganisation structurelle dune unit administrative que les systmes et applications en place permettent de soutenir, contrler et surveiller les processus.
- 16 -
Lorganisation dune unit administrative soutient les processus. contrles manuels (p. ex. rconciliation des rapports SAP BW, contrle matriel dune facture, rconciliation de lextrait du compte postal avec le compte postal dans SAP, sparation des tches)
Systmes, applications, interfaces
application Les systmes, applications et interfaces soutiennent les processus. application application contrles automatiss (p. ex. mise en place dautorisations au niveau des systmes, applications, interfaces, validations dans les applications (p. ex. chiffre de contrle du n de rfrence du BVR), cration de champs de saisie obligatoires)
Fig. 4: Soutien des processus par lorganisation de lUA et par les technologies de linformation
La figure recense et classe les activits de contrle possibles, dont la description suit.
dissociation des responsabilits dordonner des transactions, de les excuter ou de les approuver. Les tches et les comptences feraient ainsi lobjet dune rpartition systmatique entre un nombre limit dindividus, au-del des groupes spcialiss, pour garantir lefficacit des contrles mutuels. Une telle approche permet de rduire le risque derreurs, de gaspillage ou dactivits illgales, ou du moins le risque de voir de tels problmes rester inaperus. Validations Les validations jouent un rle important pour garantir que la tenue des comptes et les rapports seffectuent correctement. La validation consiste contrler que les donnes saisies se situent dans une fourchette de valeurs donne. Diverses rgles reconnaissent les erreurs logiques des critures et les signalent lutilisateur. En outre, des rgles de validation permettent de sassurer que toutes les donnes ncessaires au traitement correct ou la bonne comptabilisation aient t enregistres.
- 18 -
La LFC, lOFC et le MGB+TC contiennent diverses exigences que les units administratives doivent prendre en compte lors de lintroduction et de la documentation de leur SCI. Outre ces bases juridiques, elles sont soumises dautres directives, qui font lobjet du prsent chapitre.
- 19 -
octobre 2008
LAFF recueillera auprs des units administratives, aux chances indiques, le statut des activits susmentionnes. Pendant la phase de mise en place ou dextension du systme de contrle interne, les units administratives doivent sassurer au moins du maintien de ltendue des activits dj en place du SCI.
- 20 -
Probabilit doccurrence
4
certaine
12
16
3
trs probable
12
2
probable
4 R2
6 R3 3
1
peu probable
R1
3
significative
4
grave
insignifiante modre
Lvaluation des risques montre quels sont les risques pertinents, donc couvrir. La rgle est la suivante: R1: On peut penser au risque que du matriel de bureau ne disparaisse du service. Lunit administrative a attribu un 1 (peu probable) la probabilit doccurrence et un 2 (modre) ltendue des dommages. Le risque brut (multiplication de la probabilit doccurrence par ltendue des dommages) est ici de 2 (faible risque). Do linutilit en pareil cas de prendre des mesures spciales ou de procder des contrles. A lavenir non plus, il ne faudra pas enfermer sous cl le matriel de bureau. R2: Comme exemple de risque, il se peut que des collaborateurs parviennent ouvrir et muter des donnes de base des dbiteurs. Lunit administrative a attribu la probabilit doccurrence un 2 (probable) et ltendue des dommages un 3 (significative). Do un risque brut de 6 (moyen). Des contrles simposent. Une analyse cot-utilit pourrait toutefois justifier ladoption de procdures simplifies (contrles par chantillons alatoires). R3: A titre dexemple, des factures risquent dtre payes sans quaucune prestation nait t reue. Lunit administrative a rang dans la classe 2 (probable) la probabilit doccurrence et dans la classe 4 (grave) ltendue des dommages. Do un risque brut de 8 (lev). La formulation et la mise en place dun contrle simposent (p. ex. principe des quatre yeux, avec contrle matriel et formel pralable lautorisation de payer la facture). Option 2 Les units administratives peuvent galement procder une valuation simplifie du risque, en le classant comme faible, moyen ou lev. Mme dans cette option, il faudrait au moins garder lesprit la probabilit doccurrence et ltendue des dommages dans lvaluation des risques. La matrice de contrle des risques lis aux processus (annexe 3) permet aux units administratives de classer le risque en consquence (voir chapitre 4.5.1).
- 21 -
4 Instructions et aides
Le chapitre 4 rpond aux questions suivantes: Quels sont les modles de documents et les aides mis disposition des units administratives en vue de lintroduction et de la documentation du SCI? Quels sont les processus que lAFF a pralablement identifis comme ayant des incidences financires? Comment un tel projet de SCI peut-il tre mis en place dans lunit administrative? Comment les contrles sont-ils dcrits?
4.1 Aperu
Le tableau qui suit donne un aperu des diverses tapes, de leurs rsultats et des aides ou modles de documents existants. Les documents mis disposition doivent aider lunit administrative atteindre les rsultats exigs delle. Des complments dinformation sont donns sur chaque tape et sur les modles proposs (voir les sous-chapitres indiqus dans le tableau).
Echance:
dc. 2007
oct. 2008
Etape:
a) Documentation b) Inventaire c) Description des risques et mesures des processus des processus non spcifiques avec incidences avec incidences financires aux processus financires 1: Questionnaire sur les risques et mesures non spcifiques aux processus 2: Inventaire des processus
d) Analyse des risques et description des contrles concernant les processus avec incidences financires
Aides:
ANNEXES 48
6: Exemples servant complter lannexe 3 7: Directives sur le classement et larchivage des documents 8: Exemple de rglementation des signatures
chapitre 4.2
chapitre 4.3
chapitre 4.4
chapitre 4.5.1
chapitre 4.5.2
Fig. 5: Aperu global des dlais, des tapes, des rsultats et des annexes
- 22 -
LAFF a prslectionn les processus avec incidences financires les plus importants ses yeux, comme base pour la structure et le contenu des modles de documents Inventaire des processus et Matrice de contrle des risques lis aux processus. Les onze processus ci-dessous ont t identifis cette occasion:
Achats sans IP Vente sans IP (y c. moluments) Caisse Placements Planification financire et budget Crdits
- Chacun de ces processus a conduit formuler des questions, risques ou exemples de contrle spcifiques aux processus (= annexe 6: Exemples servant complter lannexe 3). - Mme si ce modle a t labor avec le concours de collaborateurs des offices, chaque unit administrative demeure responsable de contrler lexhaustivit et le degr de dtail des directives, et de les complter le cas chant. - Si une unit administrative juge dautres processus essentiels, elle devra galement les enregistrer, les documenter et les valuer.
Modle de prsentation La direction dUA et les collaborateurs sont informs sur le SCI Annexe 5 Organisation de projet
Dfinir une organisation de projet Formuler des tches et des objectifs Fixer le calendrier et les tapes Formuler une proposition de projet
4 5
Calendrier Mandat de projet accept par le directeur de lUA Dlai: dcembre 2007
- 23 -
N 6
Annexe
Description dactivits spcifiques 1 Une prise de conscience concernant le SCI simpose dans les units administratives. Il est important, pour pouvoir mener correctement les activits venir et, le cas chant, coordonner les projets en cours (p. ex. optimisation des processus, gestion des risques, concept relatif aux autorisations, etc.) dorganiser une sance dinformation au niveau de la direction de chaque unit administrative. Le modle de prsentation mis disposition par lAFF peut se rvler utile cet effet. Par ailleurs, lunit administrative a besoin dune organisation de projet adapte sa taille et sa complexit, qui coordonne et gre- les activits venir. Comme selon lart. 36, al. 3, OFC, les directeurs des units administratives sont responsables de lintroduction du SCI, de son utilisation et de sa supervision, il importe quils soient galement les mandants du projet. Au cas o une quipe serait mise en place, elle comprendra le responsable du SCI, le conseiller en gestion des risques, le responsable des autorisations, le contrleur ainsi que les spcialistes du domaine. Le directeur de lunit administrative approuve la proposition crite de projet. Ce document indiquera au moins les tches, les objectifs, ainsi que lorganisation de projet et le calendrier / les tapes.
4.3 Evaluation des risques et mesures non spcifiques aux processus (annexe 1)
Le tableau ci-dessous indique les diverses activits lies ltape dvaluation des risques et mesures non spcifiques aux processus.
N 1 Activits Rpondre aux questions concernant les risques / mesures non spcifiques aux processus. Annexe Questionnaire sur les risques / mesures non spcifiques aux processus Annexe 1 Rsultat Questionnaire complt sur les risques / mesures non spcifiques aux processus Rsultat exig (a) (selon chapitre 3.1) Dlai: fvrier 2008
O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila
Description dactivits spcifiques 1. Outre les processus proprement dits, un SCI complet contient dautres composantes, savoir lenvironnement de contrle, linformation et la communication, ainsi que la supervision du SCI. Un questionnaire concernant les risques et mesures non spcifiques aux processus est mis disposition des units administratives, pour leur permettre de procder une autovaluation:
- 24 -
Fig. 6: Modle pour le document Questionnaire sur les risques / mesures non lis aux processus
Colonne C:
Justification des mesures adoptes dans les UA Si la rponse est oui: description des mesures menes par lUA. Sinon: expos des motifs faisant que lUA na encore introduit aucune mesure sur ce thme ou description des mesures prvues et restant introduire, pour qu lavenir la rponse soit oui. Renvoi aux documents existants Indication du lieu de classement (v. avec lien). Service responsable Indication du rle ayant la responsabilit des mesures dans lUA. Les rles standard du NMC apparaissent comme champs slectionner. Les units administratives sont toutefois libres de choisir dautres dsignations de fonctions.
Colonne D:
Colonne E:
- 25 -
Description des processus Rsultat exig (c) (selon chapitre 3.1) Dlai: juin 2008
Description dactivits spcifiques 1. Il importe dindiquer lesquels des onze processus indiqus sont pertinents pour lunit administrative (Fig. 7, colonnes D et E) et qui porte la responsabilit des processus (colonne C). Lunit administrative devra complter par la suite, pour tous ces processus, lannexe 3 Matrice de contrle des risques lis aux processus, en ajoutant les prcisions ncessaires. Lunit administrative indiquera dans les colonnes F et G si elle dispose ou non dune description des processus. Si tous les processus avec incidences financires dune unit administrative napparaissent pas dans le modle de document fourni Inventaire des processus, la liste sera complte en consquence (lignes 97 ss).
- 26 -
2.
Lunit administrative dcrit les processus pertinents pour elle selon linventaire des processus (Fig. 7, colonne G), ou vrifie que les descriptions existantes soient actuelles (colonne F). Le cas chant, elle adaptera les descriptions qui ne sont pas dactualit. Lunit administrative se rfrera autant que possible aux documentations de processus qui existent dj.
4.5 Evaluation des risques et description des contrles (annexe 3) 4.5.1 Evaluation des risques lis aux processus
Le tableau ci-dessous recense les diverses activits de ltape Evaluation des risques lis aux processus.
N 1 Activits Rpondre aux questions sur les processus obligatoires avec incidences financires Evaluer les risques existants lis aux processus Annexe Matrice de contrle des risques lis aux processus Annexe 3 Rsultat Analyse des risques lis aux processus Rsultat exig (d) (selon chapitre 3.1) Dlai: septembre 2008 3 Complter et valuer les risques spcifiques lUA pour les processus existants Complter et valuer les processus spcifiques lUA, y c. les questions et les risques
O:\Fr-daten\NRM\ IKS\30 Leitfaden\Beila
Analyse des risques lis aux processus, tendue en fonction des risques spcifiques lUA Analyse des risques lis aux processus, tendue en fonction des processus spcifiques lUA
Description dactivits spcifiques 1. A partir de linventaire des processus tabli par ses soins, lunit administrative dduit pour quels processus la matrice de contrle des risques doit tre remplie (annexe 3). La matrice de contrle des risques comporte une feuille de tableau par processus, la dernire feuille tant laisse vide. La Fig. 8 montre titre dexemple quelques-unes des questions du processus Achat sans IP. Lunit administrative rpondra aux questions sous forme dautovaluation (voir Fig. 8, colonne B). La rponse peut tre slectionne dans un menu droulant. Les possibilits proposes sont: oui (c.--d. notre unit administrative garantit que ) non (c.--d. notre unit administrative ne peut garantir que ) ne sapplique pas (la question nest pas pertinente pour notre office)
- 27 -
Fig. 8: Modle pour le document Matrice de contrle des risques lis aux processus
2. Les risques possibles sont dfinis davance (colonne C) et doivent tre valus. Les UA ont deux options cet effet. Option 1 (voir lignes 19 21): la probabilit doccurrence (colonne D) et ltendue potentielle des dommages (colonne E) font lobjet dvaluations spares. Le produit de ces deux estimations dtermine le risque (colonne F, calcul automatis), reprsent dans les couleurs verte (= faible risque), jaune (= risque moyen) ou rouge (= risque lev). Option 2 (voir lignes 22 et 23): le risque est valu lors dune tape unique. LUA dcide directement sil sagit dun risque faible, moyen ou lev (colonne G). Lvaluation des risques sert de base pour dcider contre quels risques il faut prendre des mesures de contrle (voir chapitre 3.3 Evaluation des ris). 3. Lunit administrative compltera lannexe 3 Matrice de contrle des risques lis aux processus si ses yeux des risques manquent. 4. Si lunit administrative juge que des processus avec incidences financires particulirement importants ont t omis (la base tant linventaire des processus), elle compltera par de nouvelles feuilles la matrice de contrle des risques lis aux processus figurant lannexe 3. Elle peut utiliser cet effet la feuille vide.
- 28 -
Description dactivits spcifiques 1. La majorit des units administratives mnent dj des activits efficaces dans le cadre de leur SCI. Ces activits sont dsormais systmatiquement enregistres et documentes dans la matrice de contrle des risques lis aux processus. Les units administratives doivent y dcrire leurs activits de contrle de la faon suivante:
- 29 -
Fig. 9: Modle pour le document Matrice de contrle des risques lis aux processus
Colonne H:
Contrle visant minimiser le risque Description par mots-cls du contrle ou justification de labsence de contrle. A titre daide, lunit administrative peut sappuyer sur les exemples servant complter lannexe 3 (Annexe 6). Ce document dcrit en dtail les contrles possibles. Preuve de lexcution du contrle Liste / Enumration des preuves de lexcution du contrle. L encore, lunit administrative trouvera lannexe 6 des exemples possibles de preuves de lexcution du contrle. Renvoi des documents dapprofondissement Indication du lieu de classement (v. avec lien). Responsable de lexcution du contrle Les rles standard du NMC sont indiqus dans un menu droulant. Les units administratives peuvent dsigner diffremment les fonctions concernes. Priodicit Tous les contrles ne doivent / peuvent tre effectus avec la mme frquence. Si certains ne se justifient que dans le flux quotidien du travail, dautres seront mens par exemple chaque semaine ou chaque mois. Un menu droulant permet de choisir la priodicit. Genre de contrle Le contrle automatis ou programm (p. ex. autorisations, validation des donnes) est institutionnalis dans le systme. Il a lavantage dtre men chaque fois. Les contrles manuels (p. ex. rconciliations, principe des quatre yeux) compltent les contrles automatiss. Le menu droulant permet de slectionner le genre de contrle.
Colonne I:
Colonne J:
Colonne K:
Colonne L:
Colonne M:
- 30 -
Colonne N:
Effet Les contrles prventifs visent empcher les erreurs dtre commises. Ils peuvent tre effectus sous forme manuelle ou automatise. Les contrles de dtection sont indiqus si lexamen des contrles prventifs rvle des erreurs trop frquentes, ou si les contrles prventifs ne sont pas possibles. De tels contrles amnent faire connatre aux autres personnes les erreurs constates. Un menu droulant permet de choisir leffet souhait.
- 31 -
N
1
Activits
Raliser le rapport
Comptence
Responsable SCI de lUA
Destinataire
Direction de lUA et conseiller en gestion des risques de lUA Responsable SCI de lUA
Priodicit
annuelle
Actualiser le questionnaire des risques / mesures non spcifiques aux processus et la matrice de contrle des risques lis aux processus Tenir dment compte des ractions formules par la rvision suite lexamen du SCI Confirmer, par la dclaration duniversalit signe la clture des comptes annuels, la prsence dun SCI efficient Mener un change dexprience au niveau du dpartement Mener un change dexprience au niveau de la Confdration Crer une lettre dinformation Mettre en place un service SCI
annuelle
Direction dUA
annuelle
Directeur de lUA
AFF, CDF
annuelle
DEP
UA
annuelle
AFF
7 8
AFF AFF
Description dactivits spcifiques 1. Chaque directeur dunit administrative est responsable de lintroduction du SCI, de lutilisation qui en est faite et de sa supervision dans son domaine de comptence. Le rapport annuel du responsable du SCI, renseignant sur les progrs raliss, les carences, les activits et les rsultats aide le directeur de lUA confirmer, dans sa dclaration duniversalit, lefficience du SCI. La supervision du SCI comprend le rexamen priodique des processus, risques et contrles, sous langle de luniversalit, de la vracit ainsi que de la validit. Pour confirmer que la vrification a eu lieu, les units administratives sont invites rexaminer chaque anne le questionnaire sur les risques / mesures non spcifiques aux processus et la matrice de contrle des risques lis aux processus et les adapter le cas chant.
2.
- 32 -
3.
Il se pourrait que la supervision constante ou les examens mens par le FISP ou le CDF mettent en lumire des carences et des faiblesses du SCI. En pareil cas, il faudra inclure des contrles supplmentaires ou adapter les contrles inefficaces.
- 33 -
AIDES
- 34 -