Académique Documents
Professionnel Documents
Culture Documents
XC ew XC ew
PD F- F-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Une PCD est une procédure chargée de comptabiliser tous les dysfonction-
nements dont on veut surveiller l’apparition dans une tâche sensible ou à
propos d’un objet sensible.
Au moment de relever le compteur, celui-ci contient une valeur appelée
indicateur.
On rapproche alors la valeur de cet indicateur d’un barème de valeurs
classées en tranches de gravité croissantes de 0 à 4 :
– tranche 0 : la valeur oscille dans la plage « normale » de tolérance et il
n’y a rien à faire
– tranche 1 : la plage de valeurs atteinte demande une action (modérée)
– etc.
– tranche 4 : la plage de valeurs exige une réaction appropriée à l’impor-
tance de la dérive de sécurité constatée.
L’ensemble des plages et des réactions prédéterminées constitue le tableau
de bord de gestion de la sécurité pour la PCD associée à cette tâche
sensible ou à cet objet sensible.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Les CIH : Il s’agit des procédures de contrôle de type PCD effectuées par
l’encadrement sur les activités déléguées.
Ces procédures consistent généralement à :
– recevoir périodiquement des agrégats statistiques sur les dysfonctionne-
ments comptabilisés par les PCD de niveau inférieur (soit des CIO si le
niveau des collaborateurs est celui de l’opérationnel, soit d’autres
agrégats statistiques du CIH pratiqué par l’encadrement composant les
collaborateurs).
– analyser ces agrégats et appliquer les procédures de réactivité du tableau
de bord correspondant élaboré en accord avec la hiérarchie immédiate.
Les CIM : Il s’agit des procédures de contrôle de type PCD effectuées par
l’encadrement sur ses propres activités de management.
Ces procédures consistent généralement à analyser les performances de
management de l’encadrement ayant délégué des tâches réputées sensibles
(quelles sont les capacités organisationnelles ? quelle est la qualité des
délégations ? les moyens fournis aux collaborateurs sont-ils adéquats en
qualité quantité et efficience ? les besoins de formation des collabora-
teurs sont-ils correctement couverts ? la motivation traduit-elle une anima-
tion satisfaisante – notamment l’information est-elle satisfaisante et
adaptée, la communication ouvre-t-elle un dialogue satisfaisant ? la notion
de contrôle interne des activités déléguées est-elle optimale ? rend-on
compte soi-même convenablement ?)
Les RIH : dans le cas des procédures de CIH, les procédures de réactivité
contenues dans les tableaux de bord associés aux indicateurs résultants de
ces procédures CIH sont-elles fournies par l’encadrement concerné à
l’encadrement de niveau inférieur ?
Les RIM : dans le cas des procédures de CIM, les procédures de réactivité
contenues dans les tableaux de bord associés aux indicateurs résultants de
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Les CIF sont les procédures de contrôle interne similaires à celles des CIH
mais pratiquées par le responsable du projet (ou du sous-projet) auquel
participe celui qui est concerné ici par cette activité transversale.
De la même façon, le responsable de projet est chargé d’exécuter les
procédures CIM de management relatives à ce projet (à l’exclusion toute
fois des procédures de surveillance de la qualité des délégations, celles-ci
relevant exclusivement du hiérarchique direct de ce collaborateur).
Les RIF : dans le cas des procédures de CIF, les procédures de réactivité
contenues dans les tableaux de bord associés aux indicateurs résultants de
ces procédures CIF sont-elles fournies par le chef de projet ou par le
responsable technique intermédiaire de mise en œuvre ?
L’exemple le plus banal de ce type de procédures est celui des procédures
de contrôle de mise en œuvre du projet « contrôle interne » effectuées par
le (ou les) coordonnateurs du projet et les comités de pilotage et de mise en
œuvre.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Les objets sensibles existent aussi fréquemment sous plusieurs états (copie
de sauvegarde, collection d’archives, etc.). Cette existence d’autres états
entraîne souvent elle-même des reports de risques sur cet autre état. Aussi
l’analyse des protections d’un objet sensible portera toujours sur lui-même
et sur son duplicata éventuel :
ORIGINEL COPIE
– existence d’une procédure de contrôle de – existence d’une procédure de contrôle de la
cet objet confidentialité de cet autre état pendant toute la
• protection lors de la création (exemple : durée de sa détention
confidentialité aussi des éléments de saisie – connaissance précise de l’utilisateur respon-
d’un fichier confidentiel) sable de l’attribution des droits d’usage de cette
• protection lors du stockage contre un accès copie
volontaire ou accidentel – connaissance précise de l’utilisateur respon-
• protection lors du transfert sable de l’attribution des droits d’usage de cette
• protection lors de la transformation (exemple copie
un traitement informatique de donnée) – connaissance précise des règles de rela-
• protection lors de la destruction (volontaire tions entre l’utilisateur responsable et l’adminis-
ou accidentelle) trateur technique de gestion
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
ORIGINEL COPIE
• protection lors de l’attribution des droits – existence des indicateurs de gestion permet-
d’usage (possibilité d’usurpation) tant de construire un tableau de bord de suivi
• protection de garantie de suppression des des atteintes à la confidentialité de cette copie
droits d’usage périmés (risque d’amoncellement) (ou de la dégradation des protections et donc
– connaissance précise de l’utilisateur respon- de l’accroissement des risques)
sable de la délivrance des droits d’accès et des – existence éventuelle d’une couverture
règles de gestion avec l’administrateur éventuel d’assurances RC/PE pour les risques liés à la
– connaissance précise de l’administrateur perte de confidentialité sur cet autre état de
technique de gestion des droits d’accès (s’il est l’objet
différent de l’utilisateur responsable)
– existence d’indicateur(s) et de tableau(x) de
bord de suivi des atteintes à la non confidentia-
lité (ou de la dégradation des risques d’atteinte)
– existence éventuelle d’une couverture
d’assurances RC/PE pour les risques liés à la
perte de confidentialité sur cet objet
ORIGINEL COPIE
– existence d’une copie de sauvegarde externe, – connaissance précise et formalisée du
dans un lieu où elle ne peut raisonnablement être besoin de durée de conservation de cet état de
détruite en même temps que l’originel (ne pas se l’objet
contenter d’une protection locale) – disposition permanente dans le délai attendu
– assurance que les l’ensemble des mesures suivant l’exigence de l’originel
de sécurité prises sur cet objet et ses autres – assurance que les l’ensemble des mesures
états ne sont pas contradictoires entre elles par de sécurité prises sur cet objet et ses autres
rapport à d’autres objectifs de sécurité (par états ne sont pas contradictoires entre elles par
exemple l’existence d’une copie de sécurité rapport à d’autres objectifs de sécurité
contre l’indisponibilité n’entraîne-t-elle pas de – assurance que cet objet reste toujours
risque sur la confidentialité du fait de l’exis- disponible et que rien ni personne ne peut en
tence de la copie ?) contrarier l’accès (existence d’inventaire, etc.)
– assurance que cet objet reste toujours – assurance que cet objet reste toujours à
disponible et que rien ni personne ne peut en l’abri du sabotage (sondages périodiques de
contrarier l’accès (existence d’inventaire, etc.) l’intégrité, etc.)
– assurance que cet objet reste toujours à – assurance que cet objet est toujours exploi-
l’abri du sabotage (sondages périodiques de table depuis sa dernière vérification (à l’abri
l’intégrité, etc.) d’auto-dégradation : oxydation, moisissures,
– assurance que cet objet est toujours exploi- etc.)
table depuis sa dernière vérification (à l’abri – assurance que cet objet est toujours exploi-
d’auto-dégradation : oxydation, moisissures, table et techniquement compatible avec les
etc.) changements techniques intervenus depuis sa
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
ORIGINEL COPIE
– assurance que cet objet est toujours exploi- dernière vérification (est-il toujours utilisable
table et techniquement compatible avec les sur les mêmes machines ?)
changements techniques intervenus depuis sa – assurance que cet objet reste toujours
dernière vérification (est-il toujours utilisable exploitable et compatible avec les change-
sur les mêmes machines ?) ments d’organisation intervenus depuis sa
– assurance que cet objet reste toujours dernière vérification (peut-on toujours s’en
exploitable et compatible avec les change- servir ?)
ments d’organisation intervenus depuis sa – assurance que cet objet reste toujours
dernière vérification (peut-on toujours s’en compatible avec les changements de savoir-
servir ?) faire et de culture (sait-on toujours et veut-on
– assurance que cet objet reste toujours toujours s’en servir ?)
compatible avec les changements de savoir- – assurance que les attributs de cet objet sont
faire et de culture (sait-on toujours et veut-on toujours et facilement accessibles au sein de
toujours s’en servir ?) cet objet (exemple le informations au sein d’un
– assurance que les attributs de cet objet sont fichier)
toujours et facilement accessibles au sein de – connaissance précise de l’utilisateur respon-
cet objet (exemple le informations au sein d’un sable de la délivrance des droits d’accès (et
fichier) des règles de gestion avec l’administrateur
– connaissance précise de l’utilisateur respon- éventuel)
sable de la délivrance des droits d’accès (et – connaissance précise de l’administrateur
des règles de gestion avec l’administrateur technique de gestion des droits d’accès (s’il est
éventuel) différent de l’utilisateur responsable)
– connaissance précise de l’administrateur – existence d’indicateur(s) et de tableau(x) de
technique de gestion des droits d’accès (s’il est bord de suivi des atteintes à la non disponibilité
différent de l’utilisateur responsable) (ou de la dégradation des risques d’atteinte)
– existence d’indicateur(s) et de tableau(x) de – existence éventuelle d’une couverture
bord de suivi des atteintes à la non disponibilité d’assurances RC/PE pour les risques liés à la
(ou de la dégradation des risques d’atteinte) perte de disponibilité sur cet objet
– existence éventuelle d’une couverture
d’assurances RC/PE pour les risques liés à la
perte de disponibilité sur cet objet
ORIGINEL COPIE
– existence d’une procédure de contrôle de – existence d’une procédure de contrôle de
l’intégrité de cet objet : l’intégrité de cet autre état pendant toute la
• protection lors de la création (exemple erreur durée de sa détention
de saisie, etc.) – connaissance précise de l’utilisateur respon-
• protection lors du stockage (détérioration sable de l’attribution des droits d’usage de cette
volontaire ou accidentelle) copie
• protection lors du transfert – connaissance précise de l’utilisateur respon-
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
ORIGINEL COPIE
• protection lors de la transformation (exemple sable de l’attribution des droits d’usage de cette
dans le traitement d’une information) copie
• protection lors de l’accès et de l’usage – connaissance précise des régles de rela-
• protection lors de l’attribution des droits tions entre l’utilisateur responsable et l’adminis-
d’usage (risque d’usurpation) trateur technique de gestion
• protection de garantie de suppression des – existence des indicateurs de gestion permet-
droits périmés (risque d’amoncellement) tant de construire un tableau de bord de suivi
– connaissance précise de l’utilisateur respon- des atteintes à l’intégrité de cette copie (ou de
sable de la délivrance des droits d’accès (et la dégradation des protections et donc de
des règles de gestion avec l’administrateur l’accroissement des risques)
éventuel) – existence éventuelle d’une couverture
– connaissance précise de l’administrateur d’assurances RC/PE pour les risques liés à la
technique de gestion des droits d’accès (s’il est perte d’intégrité sur cet autre état de l’objet
différent de l’utilisateur responsable)
– existence d’indicateur(s) et de tableau(x) de
bord de suivi des atteintes à l’intégrité (ou de la
dégradation des risques d’atteinte)
– existence éventuelle d’une couverture
d’assurances RC/PE pour les risques liés à la
perte d’intégrité sur cet objet
Cette procédure est à envisager chaque fois qu’une tâche sensible met en
jeu un ou plusieurs automates pour sa réalisation (outil informatique, etc.).
Pour chaque outil intervenant dans ce processus, on considérera les
scénarios d’indisponibilité totale ou partielle.
Pour chacun de ces scénarios on définira les besoins spécifiques des tâches
de substitution qui permettront de palier totalement ou partiellement à
l’indisponibilité envisagée pour cet automate dans ce scénario.
Une procédure dégradée s’attachant généralement à une tâche sensible, est
de ce fait elle-même soumise aux mêmes procédures de contrôle que la
tâche sensible elle-même (PCD, etc.).
Cette procédure est aussi à envisager pour chaque activité mettant en jeu
une ressource importante (ressource humaine, matière première, énergie,
immobilier, etc.).
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Ces contrôles sont très proches des précédents ; sauf qu’il ne peut y avoir
de contrôle des délégations, acte purement hiérarchique.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
v Le contexte
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
v L’organisation locale
Des questionnaires ont été rédigés en fonction des processus clés identifiés.
Les questionnaires sont publiés et rendus disponibles sur le serveur d’une
solution technologique et sont soumis aux opérationnels (entité soumise aux
questionnaires d’évaluation) de manière individualisée.
L’accès aux questionnaires et la saisie des réponses apportées s’effectuent
en ligne directement par les opérationnels via intranet.
La mise à jour des informations fournies par les opérationnels s’effectue
en temps réel, de même que les traitements des données et leurs restitu-
tions, ce qui permet une véritable interactivité entre les utilisateurs et
l’organe central gérant l’application.
Des campagnes d’évaluation ont été programmées une fois par an, indivi-
duellement ou pour un groupe d’opérationnels et pour un questionnaire
unique ou un ensemble de questionnaires.
Le temps de réponse accordé aux opérationnels pour remplir les question-
naires a été planifié rigoureusement en fixant la période de la campagne
– date d’ouverture et date de clôture. Ce délai a été important la première
année afin de laisser aux opérationnels le temps de s’approprier l’outil.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
« Je certifie :
Choix nº 1 :
que la structure et le fonctionnement en place sont adéquats et de nature à assurer la
maîtrise des opérations.
Choix nº 2 :
que la structure et le fonctionnement en place présentent certaines faiblesses identi-
fiées et que des actions correctrices seront mises en place dans le courant de
l’année. »
À l’issue des évaluations, les résultats du Groupe sont présentés dans des
tableaux de bord récapitulatifs pour l’ensemble des participants.
L’approche retenue par le Groupe permet de présenter un observatoire du
Contrôle Interne selon les formats désirés (plus de 10) mais trois formats
nous semblent indispensables :
• vision globale de tous les participants : donner une image du niveau
de satisfaction du Contrôle Interne aux bornes du Groupe et de ses
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
L’ensemble des plans d’actions saisis au cours des évaluations peut être
restitué dans des tableaux récapitulatifs listant les plans d’actions selon de
nombreux éléments : par questionnaire, par question, par intitulé de plan
d’action, etc. avec des indications telles que le nom du responsable en
charge de la mise en œuvre, le délai de mise œuvre et les statuts pour
chaque plan d’action : à faire, en cours, fait.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
En conclusion :
à partir des éléments de restitution :
• l’observatoire du Contrôle Interne,
• la cartographie des risques au niveau Groupe et au niveau des filiales,
• les plans d’action,
• les documents attachés (procédures, documents justificatifs, bonnes pratiques,
organigramme…)
le chef de projet et/ou le Directeur de l’Audit Interne ou le Directeur du Contrôle Interne
ou le Directeur des risques ou le Compliance Officer ou le CCS ou le CLS a une vision
globale du dispositif de Contrôle Interne et a la possibilité d’identifier :
• les zones de faiblesses au sein du Groupe,
• les missions d’Audit Interne à réaliser en priorité pour circonscrire certains risques,
• les procédures et/ou bonnes pratiques à amender et/ou à créer.
Il peut donc exercer un pilotage efficace du dispositif de Contrôle Interne au niveau
du Groupe, des fonctions expertes, mais également aux niveaux des filiales, des
opérationnels, etc.
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
VI
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
PD
er
er
!
!
W
W
O
O
N
N
y
y
bu
bu
to
to
k
k
lic
lic
C
C
w
w
m
m
w w
w
w
o
o
.d o .c .d o .c
c u -tr a c k c u -tr a c k
Par ailleurs toute notre culture (au moins occidentale) nous influence plus
ou moins consciemment à considérer l’être humain de façon dichoto-
mique en séparant le corps de l’esprit (ou de l’âme), l’émotion de la raison
(le cœur à ses raisons que la raison ne connaît pas…).
Il en résulte souvent une grande difficulté pour l’acteur à faire lui-même la
synthèse entre ces actions de changement. Cela lui est d’autant plus diffi-
cile que le stress de la production quotidienne ne lui laisse pratiquement
jamais ni le temps ni l’occasion de recul nécessaire.
Le but du Contrôle Interne est de mettre justement les acteurs en
situation de faire ce qu’ils ont à faire, là où ils doivent le faire, quand
ils doivent le faire (même de manière dégradée si c’est nécessaire).
L’intérêt du Contrôle Interne est que c’est une démarche naturelle
qui ne cherche pas à privilégier a priori un facteur de changement plus
qu’un autre, ce qui évite de se demander, après, comment faire pour
« ajuster ».
Le Contrôle Interne n’a pas pour objectif d’améliorer la sécurité de fonc-
tionnement du système, ni sa qualité, ni son organisation, ni ses outils, ni
même les comportements des acteurs, mais simplement d’identifier les
vrais besoins de l’un ou l’autre de ces changements, là où ils se présen-
tent, et d’y répondre uniquement dans la mesure où ils apparaissent. C’est
le contraire de la volonté a priori de « faire » de la qualité ou de la sécurité
ou n’importe quoi d’autre.
Aussi, toute la plus value de la démarche de Contrôle Interne repose sur
le fait que les trois changements interfèrent l’un sur l’autre, en donnant la
maîtrise du tout tantôt à l’un tantôt à l’autre suivant le besoin découvert.
À ce niveau, rappelons que la différence de comportement entre l’expert et
le conseil est fondamentale puisqu’il ne s’agit en aucun cas de privilégier
une discipline plutôt qu’une autre. En revanche, les experts sont appelés au
coup par coup suivant les besoins éventuels pour des réponses précises et
spécifiques. Mais ce ne sont pas des experts qui conduisent le changement,
quel qu’il soit.
Chacun devra donc assumer son propre changement dans son propre
métier.
Par exemple, pour l’encadrement, la démarche apportera de nouveaux
indicateurs (il ne s’agit pas d’en ajouter d’autres à une somme peut-être