DGFiP / MDCCIC

Echelle de maturité de la maîtrise des risques financiers et comptables

Explicitations des modalités de notation :

Palier Acteur Critères Éléments probants Notation

Niveau de maturité T = tout acteur Note attribuée

Preuves du niveau de
Description du palier
maturité
C = uniquement comptable

Services
n°1 n/c
n°2 n/c
n°3 n/c
n°4 n/c
n°5 n/c

728400342.xls novembre 2009 1 / 22

 Organisation de la fonction comptable et financière

Pilotage 0 Documentation des procédures financières et comptables

Traçabilité des acteurs et des opérations financières et comptables

Organisation de la fonction comptable et financière #DIV/0!

Documentation des procédures financières et comptables #DIV/0!

Traçabilité des acteurs et des opérations financières et comptables #DIV/0!

Pilotage #DIV/0!
 organisation
Périmètre

Sécurités physiques 3 Structuration du système d'information

Points de contrôle Attribution des tâches

Séparation des tâches

Palier Acteur Critères Éléments probants Notation n/c
Périmètre #DIV/0!
1. Périmètre : l’activité est complètement cartographiée et actualisée à chaque évolution des missions et
de l’activité. Tous les secteurs sont couverts par le contrôle interne, sous leurs aspects financier et
comptable, dans les domaines fonctionnel ou informatique. Le contrôle interne s’applique à toutes les
activités, dans tous les secteurs. Il n’existe pas d’acteurs et d’activités pouvant échapper au contrôle Cartographie des processus actualisée des
5 T
interne et déroger aux règles établies (contournement des procédures, créations de procédures non dernières évolutions intervenues.
normalisées). Les dispositifs mis en place sont respectés de façon permanente, interviennent en temps
utile, et couvrent toutes les opérations qu’ils sont destinés à maîtriser, et aboutissent à la correction des
erreurs.

1. Périmètre : l’activité est complètement cartographiée, mais n’est pas actualisée ou actualisée avec
4 T Dernière cartographie des processus.
délais.

3 T 1. Périmètre : l’activité est imparfaitement cartographiée. Dernière cartographie des processus.

1. Périmètre : le contrôle interne est censé couvrir l’ensemble de l’activité, mais l’activité n’est pas
2 T -
cartographiée.

1 T 1. Périmètre : le périmètre n’est pas significatif ou trop incertain. -

Structuration du système d'information #DIV/0!

2. Structuration du système d’information : le système d’information est parfaitement intégré (progiciel de Doctrine d’emploi des applications. Cartographie
5 T
gestion intégré ou interfaçage automatique entre applications). des applications (ou urbanisation du SI).

2. Structuration du système d’information : Les fichiers d’essai et les fichiers des données comptables et Doctrine d’emploi des applications. Cartographie
4 T
financières sont séparés. Le système d’information n’est néanmoins pas complètement intégré. des applications (ou urbanisation du SI).

2. Structuration du système d’information : un système d’information existe, fait l’objet d’une doctrine Doctrine d’emploi des applications. Cartographie
3 T
d’emploi, mais reste épars et sans connexion entre applications. des applications (ou urbanisation du SI).

2. Structuration du système d’information : un système d’information existe mais est épars et ne fait pas
2 T Documentation sur les applications employées.
l’objet d’une doctrine d’emploi.

2. Structuration du système d’information : Il n’y a pas de système d’information ou un système

1 T -
d’information construit à partir d’outils bureautiques sans interfaces automatiques.

Attribution des tâches #DIV/0!

3. Attribution des tâches : L’organisation est structurée, c’est-à-dire conçue de manière à ce que les
Organigramme fonctionnel avec l’organisation de
tâches soient clairement et précisément définies et attribuées aux opérationnels. L’attribution des tâches
5 T la suppléance. Liste des habilitations
correspond aux habilitations informatiques. Chaque tâche est attribuée à un opérationnel et à un ou
informatiques.
plusieurs suppléants lorsque cela est requis.

3. Attribution des tâches : L’organisation est structurée, c’est-à-dire conçue de manière à ce que les
tâches soient clairement et précisément définies et attribuées aux opérationnels. L’attribution des tâches Organigramme fonctionnel. Liste des habilitations
4 T
correspond aux habilitations informatiques. Cependant, chaque tâche n’est pas attribuée et à un ou informatiques.
plusieurs suppléants lorsque cela est requis.
 3. Attribution des tâches : L’attribution des tâches est définie et documentée. Absence de suppléances et
3 T Dernier organigramme fonctionnel.
de correspondance aux habilitations informatiques.

3. Attribution des tâches : L’attribution des tâches est définie mais de manière partielle ou informelle.
2 T Organigramme éventuellement existant.
Absence de suppléances et de correspondance aux habilitations informatiques.

3. Attribution des tâches : l’attribution des tâches n’est pas correctement ou clairement réalisée induisant
1 T des interrogations permanentes des acteurs : absence de consignes sur «qui fait quoi» ; absence de -
suppléances.
Séparation des tâches #DIV/0!

4. Séparation des tâches : la séparation des tâches (au moins deux acteurs en contrôle mutuel sur un
Organigramme fonctionnel. Liste des habilitations
même processus) est systématisée. Le système d’information est structuré selon cette séparation des
5 T informatiques. Documentation de l’organisation de
tâches (profils). La rotation périodique des attributions des acteurs, lorsque la taille et la nature des
la rotation.
missions le permet, est organisée.

4. Séparation des tâches : L’organisation prévoit une séparation des tâches entre des fonctions
incompatibles. La séparation des tâches (au moins deux acteurs en contrôle mutuel sur un même
processus) est systématisée. Les tâches relevant des utilisateurs et celles des acteurs du SI Organigramme fonctionnel. Liste des habilitations
4 T
(développement, administration…) sont séparées. Le système d’information n’est néanmoins pas informatiques.
structuré selon cette séparation des tâches (profils). La rotation périodique des attributions des acteurs,
lorsque la taille et la nature des missions le permet, n’est pas organisée.

4. Séparation des tâches : L’organisation prévoit une séparation des tâches entre des fonctions
3 T Dernier organigramme fonctionnel.
incompatibles mais celle-ci n’est pas suffisamment précise et formalisée.

4. Séparation des tâches : une séparation des tâches entre des fonctions incompatibles est prévue mais
2 T ne fait pas l’objet d’une documentation diffusée aux intéressés. La réalisation et la traçabilité de la Organigramme éventuellement existant.
supervision est laissée à l’initiative des seuls encadrants des services.

4. Séparation des tâches : les tâches ne sont pas séparées en fonction des processus ; la rotation des
1 T -
tâches n’est pas organisée lorsqu’elle s’y prête.

Points de contrôle #DIV/0!

5. Points de contrôle : L’entité est organisée de façon à se doter des points de contrôle qui assurent, en
permanence, la garantie de la qualité comptable et financière. L’entité doit donc disposer de dispositifs
permettant que seules les opérations régulières et appropriées sont autorisées et exécutées rapidement Guides de procédure et fiches de contrôle
5 T et correctement et que les erreurs de décision et d’exécution sont détectées dans les meilleurs délais. actualisées. Plan de contrôle interne. Plan
Les différents points et types de contrôle (automatisés, visa préalable, a posteriori, auto contrôles, d'action.
contrôle mutuels, contrôle de supervision, contrôles exhaustifs ou par sondage, rapprochements,
circularisation…) sont définis.

5 C Le contrôle hiérarchisé de la dépense est organisé et actualisé en fonction des risques et des enjeux. Plan CHD de l’exercice. Plan de contrôle interne.

5. Points de contrôle : les différents contrôles sont définis mais ne sont pas réorientés et actualisés en Guides de procédure et fiches de contrôle
4 T
fonction des risques et des enjeux. actualisées. Plan de contrôle interne. Plan d'action.

Le contrôle hiérarchisé de la dépense est organisé, mais n’est pas actualisé en fonction des risques et
4 C Plan CHD de l’exercice. Plan de contrôle interne.
des enjeux.
 5. Points de contrôle : Les différents points et types de contrôle sont partiellement définis et formalisés, Guides de procédure et fiches de contrôle
3 T
sans qu’ils soient adaptés aux risques et aux enjeux. actualisées.

3 C Le contrôle hiérarchisé de la dépense n’est pas organisé. Plan CHD de l’exercice.

5. Points de contrôle : Les points de contrôle sont mal définis ou de manière informelle. La plupart des
2 T Traces des contrôles.
contrôles dépendent des seuls acteurs dans leur réalisation et leur traçabilité.

5. Points de contrôle : Contrôles inexistants, ou non pertinents, ou mal positionnés ou redondants.

1 T -
Absence de supervision.

Sécurités physiques #DIV/0!

6. Sécurités physiques : Les fonds, valeurs et biens corporels ou incorporels, mobiliers ou immobiliers, de
l’entité font l’objet d’un recensement et d’une protection, répondent aux règles de sécurité, en fonction de
Consignes de sécurité. Traces des exercices
5 T leur montant. Les conditions de conservation des biens, fonds, valeurs et documents sont documentées.
d’alarme.
Un dispositif de filtrage des entrées et des sorties (notamment du public) est mis en place. Des exercices
d’alarmes sont régulièrement exécutés.

6. Sécurités physiques : Les conditions de conservation des biens, fonds, valeurs et documents sont
4 T définies (acteurs, recensement et suivi) et répondent aux règles de sécurité (coffre, chambre forte, Consignes de sécurité.
magasin gardé…, en fonction de leur sensibilité).

6. Sécurités physiques : Les conditions de conservation des biens, fonds, valeurs et documents sont
3 T Consignes de sécurité.
partiellement définies et répondent pour partie aux règles de sécurité.

6. Sécurités physiques : Les conditions de conservation des biens, fonds, valeurs et documents ne sont
2 T -
pas définies de manière formelle, ni documentées.

1 T 6. Sécurités physiques : Conservation des fonds et valeurs : Absence de sécurité physique. -

Organisation de la fonction comptable et financière

#DIV/0!
n/c n/c n/c n/c
 documentation

Documentation sur les risques

Système d'information 3 Accès à la réglementation et aux instructions et circulaires

Formation Guides de procédure

Organigramme fonctionnel
Palier Acteur Critères Éléments probants Notation n/c
Documentation sur les risques #DIV/0!
1. Documentation sur les risques : un cadre de référence explicite les objectifs du contrôle interne, la
méthodologie et les acteurs. Le référentiel de contrôle interne définit et norme le contrôle interne de
Cadre de référence. Référentiel de contrôle interne
5 T l’établissement. Il décrit les risques et précise les mesures de contrôle interne attendues pour
complet et actualisé. Dispositif d’alerte.
l’ensemble de l’activité. Les nouveaux risques font l’objet d’une alerte auprès des acteurs intéressés
(newsletters…).

1. Documentation sur les risques : Un référentiel de contrôle interne définit et norme le contrôle interne Référentiel de contrôle interne complet et
4 T
de l’ensemble de l’activité de l’entité. actualisé.
1. Documentation sur les risques : Un référentiel de contrôle interne définit et norme le contrôle interne
3 T Référentiel de contrôle interne.
de l’ensemble de l’activité de l’entité, mais est incomplet et/ou non actualisé.
1. Documentation sur les risques : une documentation sur les risques existe mais est éparse et
2 T Documentation sur les risques existante.
obsolète.
1 T 1. Documentation sur les risques : absence de documentation sur les risques. -
Accès à la réglementation et aux instructions et circulaires #DIV/0!
2. Accès à la réglementation et aux instructions et circulaires : Les instructions, notes, directives sont
Documentation complète et actualisée à
classées, actualisées et à la disposition du personnel, et publiées sur un Intranet ou un dispositif
5 T disposition. Intranet ou dispositif similaire.
similaire. Les nouveautés sont sélectionnées et font l’objet d’une alerte auprès des acteurs intéressés
Dispositif d’alerte.
(newsletters…).

2. Accès à la réglementation et aux instructions et circulaires : Les instructions, notes, directives sont
Documentation complète et actualisée à
4 T classées, actualisées et à la disposition du personnel, couvrent l’ensemble de l’activité. Elles ne sont
disposition.
pas sélectionnées et ne font pas l'objet d'alerte auprès des acteurs.

2. Accès à la réglementation et aux instructions et circulaires : La documentation de référence est

3 T Documentation à disposition.
incomplète et/ou non actualisée. Elle est utilisée partiellement par les acteurs.

2. Accès à la réglementation et aux instructions et circulaires : La documentation de référence n’est

2 T Documentation réglementaire existante.
pas complète ni actualisée. La documentation existante est dès lors inutilisable.

1 T 2. Accès à la réglementation et aux instructions et circulaires : Documentation inexistante. -

Guides de procédure #DIV/0!

3. Guides de procédures : des guides de procédures complets et actualisés décrivent les tâches
financières et comptables à mettre en œuvre (y compris sur le plan informatique). Des fiches de Programme de documentation des procédures.
5 T contrôle complètent ces guides de procédures comptables en ce qu’elles précisent les modalités Guides de procédure et fiches de contrôle
d’exécution des contrôles. Ils sont publiés sur un intranet ou un dispositif similaire. Les nouveautés complets et actualisés. Dispositif d’alerte.
font l’objet d’une alerte auprès des acteurs intéressés (newsletters…).

Programme de documentation des procédures.

3. Guides de procédures : les procédures financières et comptables (y compris sur le plan
4 T Guides de procédure et fiches de contrôle
informatique) sont documentées dans leur totalité et actualisées.
complets et actualisés.

3. Guides de procédures : si elle fait l’objet d’un plan d’ensemble, la documentation des procédures Programme de documentation des procédures.
3 T
financières et comptables est incomplète et/ou non actualisées. Guides de procédure et fiches de contrôle.

3. Guides de procédures : la documentation des procédures est laissée à l’initiative des opérationnels
2 T Documentation existante sur les procédures.
sans plan d’ensemble.
1 T 3. Guides de procédures : Absence de documentation de référence. -
Organigramme fonctionnel #DIV/0!
 4. Organigramme fonctionnel : L’organisation est décrite dans le cadre d’un organigramme fonctionnel
actualisé précisant, en tant que de besoin, les tâches, les titulaires, les suppléants, les délégations
5 T Organigramme fonctionnel complet et actualisé.
accordées, les applications informatiques utilisées, les habilitations informatiques, les comptes
mouvementés. Il est diffusé à l'intérieur de l'entité et est susceptible d'être produit à un auditeur.

4. Organigramme fonctionnel : L’organisation est décrite de manière formelle dans le cadre d’un
4 T organigramme fonctionnel complet et actualisé. Il n’est pas diffusé ou accessible à tous les acteurs, Organigramme fonctionnel complet et actualisé.
internes et extérieurs (auditeurs) à l’entité.
4. Organigramme fonctionnel : L’organisation est décrite de manière formelle dans le cadre d’un
3 T Organigramme fonctionnel.
organigramme fonctionnel mais de manière incomplète et/ou non actualisée.
2 T 4. Organigramme fonctionnel : seul existe un organigramme hiérarchique. Organigramme hiérarchique.
1 T 4. Organigramme fonctionnel : absence d’organigramme fonctionnel ou hiérarchique. -
Formation #DIV/0!
5. Formation : La formation aux normes et procédures comptables et la sensibilisation de tous les
Modules de formation actualisés. Plan de
5 T acteurs au contrôle interne est programmée dans un plan de formation annuel après un bilan
formation annuel.
exploitable auprès de chaque acteur.

5. Formation : Un dispositif de formation est organisé pour que le personnel s’approprie la

4 T réglementation et les outils mis à disposition. Les nouvelles procédures sont communiquées aux Modules de formation actualisés.
acteurs, avec une formation adéquate, sans nécessairement cibler les acteurs directement concernés.

5. Formation : Un dispositif de formation existe pour que le personnel s’approprie la réglementation et

3 T les outils mis à disposition mais il n’est pas organisé (absence de relais efficace pour former les Modules de formation.
acteurs concernés, pas de recensement systématique des besoins...).

Formation : un dispositif de formation pour que le personnel s'approprie la réglementation et les outils
2 T mis à disposition n’existe pas. Les opérations sont réalisées selon les connaissances acquises des -
acteurs, apprises « sur le tas », sans nécessairement être complètes, actualisées ni pertinentes.

5. Formation : Aucun dispositif de formation n’est organisé pour que le personnel s’approprie la
1 T -
réglementation et les outils mis à disposition.
Système d'information #DIV/0!
6. Système d’information : l’ensemble des choix, développements et recettes en matière de système
5 T Documentation sur le SI.
d’information est documenté et recensé de manière à être directement accessible.

6. Système d’information : l’ensemble des choix, développements et recettes en matière de système

4 T Documentation accessible.
d’information est documenté mais n’est pas correctement recensé pour être directement accessible.

6. Système d’information : les choix, développements et recettes en matière de système d’information

3 T Documentation existante.
sont partiellement documentés.
6. Système d’information : les choix, développements et recettes du système d’information sont tracés
2 T partiellement et laissés à l’initiative des seuls acteurs. Il est difficile de pouvoir remonter à l’origine des Documentation existante.
choix en matière de SI et des développements.
6. Système d’information : aucune documentation n’est établie sur les choix, développements et
1 T -
recettes du système d’information.
Documentation des procédures financières et comptables #DIV/0!
#DIV/0!
n/c n/c n/c n/c
 traçabilité

Identification des acteurs

3
Système d'information 2 Traçabilité des opérations et des écritures

Archivage et sauvegardes des données comptables et des justifications Traçabilité des contrôles
Palier Acteur Critères Éléments probants Notation n/c n/c n/c
Identification des acteurs #DIV/0!
1. Identification des acteurs : La traçabilité permet l’identification directe des
Traces des acteurs. Règles d’accès au SI. Revues
5 T acteurs, sur papier ou dans le système d’information. Des revues d’habilitations
d’habilitation.
sont périodiquement organisées.

1. Identification des acteurs : la traçabilité des acteurs sur des documents

4 T papier est organisée et effective. L’accès au système d’information est Traces des acteurs. Règles d’accès au SI.
sécurisée sur le plan technique et les règles d’accès sont respectées.

1. Identification des acteurs : la traçabilité des acteurs sur des documents

papier est organisée mais insuffisamment effective. L’accès au système
3 T Traces des acteurs. Règles d’accès au SI.
d’information est sécurisée sur le plan technique, mais les règles d’accès
(identifiant personnel et authentifiant confidentiel) ne sont pas respectées.

1. Identification des acteurs : la traçabilité des acteurs sur des documents

2 T papier est laissée à leur initiative. L’accès au système d’information n’est pas Traces existantes.
sécurisée sur le plan technique.
1. Identification des acteurs : Absence de traçabilité papiers ou de respect des
1 T -
règles d’accès au système d’information.
Traçabilité des opérations et des écritures #DIV/0!

2. Traçabilité des opérations/écritures : La traçabilité des opérations de

traitement de l’information financière et comptable se concrétise par des
documents comptables, des pièces justificatives (sous forme papier ou sur Livres comptables. Documentation sur la sécurité
5 T
support numérique). Le chemin de révision est assuré. Le système du SI.
d’information permet l’intégrité, la preuve et, selon les nécessités, la
confidentialité des données.

2. Traçabilité des opérations/écritures : La traçabilité des opérations/écritures

est organisée, respectée mais incomplète sur le plan du chemin de révision. Le Livres comptables. Documentation sur la sécurité
4 T
système d’information permet l’intégrité, la preuve et, selon les nécessités, la du SI.
confidentialité des données.

2. Traçabilité des opérations/écritures : La traçabilité des opérations/écritures

est organisée, respectée mais incomplète sur le plan du chemin de révision
3 T (carence dans les possibilité de réconciliation des opérations en amont et en Livres comptables.
aval des processus). Le système d’information ne permet pas l’intégrité, la
preuve et, selon les nécessités, la confidentialité des données.

2. Traçabilité des opérations/écritures : des carences persistent en matière de

traçabilité des écritures en matière de libellé, de rectifications et de chemin de
2 T Livres comptables.
révision (carence dans les possibilités de réconciliation des opérations en
amont et en aval des processus).

2. Traçabilité des opérations/écritures : carence dans la traces des écritures et

1 T des opérations financières avec libellé absent et pertes de l’origine de Livres comptables.
l’opération ou de référence à une pièce justificative.
Traçabilité des contrôles #DIV/0!
3. Traçabilité des contrôles : La traçabilité des contrôles est organisée,
Traces des contrôles. Documentation sur la
5 T respectée et complète. Le système d’information permet l’intégrité, la preuve et,
sécurité du SI.
selon les nécessités, la confidentialité des données.
 3. Traçabilité des contrôles : Le dossier de révision des comptes retrace la mise
en œuvre du plan de contrôle interne sur un exercice comptable donné. Le Dossier de révision. Traces des contrôles.
5 C
système d’information permet l’intégrité, la preuve et, selon les nécessités, la Documentation sur la sécurité du SI.
confidentialité des données.

3. Traçabilité des contrôles : Il existe une organisation de la traçabilité des

contrôles, complète dans sa conception mais pas effective. Le système
Traces des contrôles. Documentation sur la
4 T d’information permet l’intégrité, la preuve et, selon les nécessités, la
sécurité du SI.
confidentialité des données. Hors SI, la traçabilité des contrôles est organisée
mais n’est pas complètement respectée.

3. Traçabilité des contrôles : Le dossier de révision des comptes retrace la mise

en œuvre du plan de contrôle interne sur un exercice comptable donné. Le
Dossier de révision. Traces des contrôles.
4 C système d’information permet l’intégrité, la preuve et, selon les nécessités, la
Documentation sur la sécurité du SI.
confidentialité des données. Hors SI, la traçabilité des contrôles est organisée
mais n’est pas complètement respectée.

3. Traçabilité des contrôles : Il existe une organisation de la traçabilité des

contrôles, mais qui reste incomplète soit dans sa conception, soit dans son
3 T effectivité. Le système d’information ne permet pas l’intégrité, la preuve et, Traces des contrôles.
selon les nécessités, la confidentialité des données. Hors SI, la traçabilité des
contrôles est organisée mais n’est pas complètement respectée.

3. Traçabilité des contrôles : Le dossier de révision des comptes existe mais il

est incomplet. Le système d’information ne permet pas l’intégrité, la preuve et,
3 C Dossier de révision. Traces des contrôles.
selon les nécessités, la confidentialité des données. Hors SI, la traçabilité des
contrôles est organisée mais n’est pas complètement respectée.

3. Traçabilité des contrôles : La traçabilité de la plupart des contrôles dépend

2 T Traces des contrôles.
des seuls acteurs.
3. Traçabilité des contrôles : Carences dans le dossier de révision. La traçabilité
2 C Traces des contrôles.
de la plupart des contrôles dépend des seuls acteurs.
3. Traçabilité des contrôles : Absence de traçabilité des contrôles. Absence de
1 T -
dossier de révision.

Archivage et sauvegardes des données comptables et des justifications #DIV/0!

4. Archivage et sauvegardes des données comptables et des justifications : Le

dispositif d’archivage et de sauvegarde est organisé. Le compte financier et le
dossier de clôture respectent les prescriptions réglementaires. La cartographie
5 T des risques, le plan d’action, le plan de contrôle interne, la documentation sur États financiers et dossier de clôture. Archives.
les risques et les procédures, les organigrammes fonctionnels, le
développement, la recette, l’administration et le paramétrage du système
d’information… sont archivés dans leur version successive.

4. Archivage et sauvegardes des données comptables et des justifications : Le

4 T dispositif d’archivage et de sauvegarde est organisé et effectif. Mais il ne traite États financiers et dossier de clôture. Archives.
pas de l’ensemble des documents dans leur version successive.
 4. Archivage et sauvegardes des données comptables et des justifications : Le
dispositif d’archivage et de sauvegarde est organisé mais n’est pas dans tous
3 T États financiers et dossier de clôture. Archives.
les cas effectif. Les états financiers et le dossier de clôture respectent les
prescriptions réglementaires.

4. Archivage et sauvegardes des données comptables et des justifications : Le

dispositif d’archivage et de sauvegarde existe pour partie mais n’est pas
2 T États financiers et dossier de clôture. Archives.
organisé, ni réellement effectif. Les états financiers et le dossier de clôture
respectent les prescriptions réglementaires.

4. Archivage et sauvegardes des données comptables et des justifications :

1 T Absence d’archivage et de sauvegarde. Carence dans l’établissement des états États financiers et dossier de clôture.
financiers et du dossier de clôture.
Système d'information #DIV/0!
5. Système d’information : le système d’information fait l’objet d’un plan de
5 T Plan de continuité de l’activité. Tests réalisés.
continuité de l’activité dans un délai réduit (ex : 48 H).
5. Système d’information : le plan de continuité s’applique pour l’ensemble du
4 T Plan de continuité de l’activité. Tests réalisés.
système d’information et a été testé.

5. Système d’information : le plan de continuité s’applique pour l’ensemble du

3 T Plan de continuité.
système d’information mais n’a pas été testé ou partiellement testé.

5. Système d’information : les plans de continuité ne s’appliquent que

2 T Documentation existante.
partiellement et pour certaines applications.

1 T 5. Système d’information : aucun plan de continuité de l’activité n’est prévu. -

Traçabilité des acteurs et des opérations financières et comptables #DIV/0!

#DIV/0!
n/c n/c
 pilotage

Structures de gouvernance, de pilotage et d'animation

Exploitation des résultats du reporting 2 Cartographie des risques

Évaluation périodique et reporting Plan d'action

Palier Acteur Critères Éléments probants Notation n/c n/c
Structures de gouvernance, de pilotage et d'animation #DIV/0!

Documentation sur l’organisation, la méthodologie

1. Structures de gouvernance : une structure de gouvernance est mise en place, couvre et le périmètre de la structure de gouvernance.
5 T l’ensemble de l’activité de l’entité et est relayée de manière permanente au niveau des Comptes rendus de la structure de gouvernance et
services opérationnels par des acteurs de pilotage (référent, « 2ème niveau). des autres acteurs du pilotage. Documentation sur
les acteurs du pilotage.

1. Structures de gouvernance : une structure de gouvernance est mise en place et couvre Documentation sur l’organisation, la méthodologie
4 T l’ensemble de l’activité de l’entité. Elle n’est pas relayée de manière permanente au niveau et le périmètre de la structure de gouvernance.
des services opérationnels par des acteurs de pilotage (référent, « 2ème niveau »). Comptes rendus de la structure de gouvernance.

1. Structures de gouvernance : une structure de gouvernance est mise en place, avec une
Documentation sur l’organisation, la méthodologie
méthodologie de traitement des risques, mais son périmètre reste lacunaire. Elle n’est pas
3 T et le périmètre de la structure de gouvernance.
relayée de manière permanente au niveau des services opérationnels par des acteurs de
Comptes rendus de la structure de gouvernance.
pilotage (référent, « 2ème niveau).

1. Structures de gouvernance : la structure de gouvernance ne repose que sur la seule

Comptes rendus de direction traitant de la gestion
2 T direction, sans associer d’autres acteurs. Son périmètre reste lacunaire. Sa méthode de
des risques.
traitement des risques est empirique et non documentée.
1 T 1. Structures de gouvernance : aucune gouvernance n’est installée ou effective. -
Cartographie des risques #DIV/0!

2. Cartographie des risques : les risques sont évalués et hiérarchisés pour toutes ses Cartographie des risques actualisée recensant et
5 T
activités et dispose d’une cartographie des risques actualisée comme outil de pilotage . hiérarchisant les risques.

2. Cartographie des risques : l’entité dispose d’une cartographie des risques comme outil
Cartographie des risques recensant et
4 T de pilotage de ses activités, qui intègre l’ensemble des sources de risques. Elle n’est
hiérarchisant les risques.
néanmoins pas systématiquement actualisée et/ou ne couvre pas toutes ses activités.

2. Cartographie des risques : l’entité a initié une démarche d’évaluation des risques et
dispose d’une cartographie des risques comme outils de pilotage de ses activités.
L’ensemble des sources (acteurs, audits internes et externes, connaissances de la
3 T Cartographie des risques.
direction sur les orientations stratégiques et les projets informatiques…) ne sont
néanmoins pas intégrées dans la cartographie des risques. Elle n’est par ailleurs pas
systématiquement actualisée et/ou ne couvre pas toutes ses activités.

2. Cartographie des risques : le recensement et la hiérarchisation des risques est

2 T Documents sur les risques détectés.
lacunaires, inorganisés et non formalisés.
2. Cartographie des risques : L’établissement n’a pas de connaissance de ses risques en
1 T -
l’absence d’évaluation de des processus.
Plan d'action #DIV/0!

3. Plan d’action : Le recensement et la hiérarchisation des risques aboutissent à un plan

5 T d’action actualisé et suivi fixant un programme pluriannuel d’amélioration du contrôle Plan d’action actualisé.
interne en hiérarchisant les actions à mettre en œuvre pour toutes ses activités.

3. La politique de contrôle interne est matérialisée par un plan de contrôle interne adapté
5 C Plan de contrôle interne annuel.
chaque année aux enjeux et aux risques.
 3. Plan d’action : l’entité a mis en place un plan d’actions pour et un plan de contrôle
4 T interne afin de piloter et de suivre la mise en œuvre des actions d’amélioration. Il n’est Plan d’action.
néanmoins pas systématiquement actualisé et/ou ne couvre pas toutes ses activités.

3. La politique de contrôle interne est matérialisée par un plan de contrôle interne reconduit
4 C Plan de contrôle interne annuel.
chaque année sans le faire évoluer en fonction des risques et enjeux.
3. Plan d’action : l’entité a initié une démarche de pilotage avec un plan d’action
3 T pluriannuel, qui reste lacunaire, insuffisamment actualisé et ne couvre pas toutes ses Plan d’action.
activités.
3. Plan d’action : les actions sont décidées sans plan d’ensemble, ni cohérence et en
2 T Documents sur les actions éventuelles.
fonction de l’urgence. Aucun plan d’action n’est formalisé.
3. Plan d’action : aucun plan d’action (ou dispositif similaire lorsqu'un plan d'action
1 T -
formalisé n'est pas requis) n’est mis en place.
Évaluation périodique et reporting #DIV/0!
4. Évaluation périodique et reporting : l’évaluation est organisée (auto-évaluation des
acteurs), programmée en fonction des risques et enjeux et articulée avec les missions Référentiel de l’audit interne. Documentation sur
5 T
d’audit interne et les indicateurs. L’ensemble des résultats est transmis à la structure de les indicateurs. Résultats des auto-évaluations.
gouvernance.

4. Évaluation périodique et reporting : l’évaluation est organisée (auto-évaluation des

acteurs) et articulée avec les missions d’audit interne et les indicateurs. L’ensemble des Référentiel de l’audit interne. Documentation sur
4 T
résultats est transmis à la structure de gouvernance. Cette évaluation n’est néanmoins pas les indicateurs. Résultats des auto-évaluations.
programmée en fonction des risques et enjeux.

4. Évaluation périodique et reporting : un service d’audit interne et des indicateurs de

Référentiel de l’audit interne. Documentation sur
3 T qualité comptable et financière sont mis en place, mais l’auto-évaluation des acteurs est
les indicateurs.
lacunaire. Seuls les résultats de l’audit interne remonte à la structure de gouvernance.

4. Évaluation périodique et reporting : l’évaluation ne repose que sur des remontées

2 T Données remontées des acteurs à la direction.
partielles et erratiques des acteurs et à leur seule initiative.
4. Évaluation périodique et reporting : Aucune évaluation ne permet de s’assurer de la
1 T -
qualité du contrôle interne.
Exploitation des résultats du reporting #DIV/0!
5. Exploitation des résultats du reporting : L’ensemble de la démarche fait l’objet d’un
Rapport sur le contrôle interne. Résultats des
5 T rapport annuel sur la maîtrise des risques à caractère financier et comptable et débouche
évaluations. Restitutions aux acteurs.
sur une déclaration d’assurance de la direction de l’entité.

5. Exploitation des résultats du reporting : les résultats des évaluations sont exploités et
analysés par rapport aux indicateurs. Les résultats des contrôles sont exploités. Tout
particulièrement, les contrôles du comptable dans le cadre du contrôle mutuel des Résultats des évaluations. Restitutions aux
4 T
opérations des gestionnaires (contrôles réalisés sur les actes de dépense dans le cadre du acteurs.
contrôle hiérarchisé de la dépense, contrôles des opérations d’inventaires…) sont
exploités.

5. Exploitation des résultats du reporting : les résultats des évaluations sont exploités, sauf
Résultats des évaluations. Restitutions aux
3 T les contrôles des acteurs. L’exploitation des résultats ne fait pas l’objet d’une
acteurs.
communication claire et rapide aux acteurs, ni d’une analyse par rapport aux indicateurs.

5. Exploitation des résultats du reporting : l’exploitation des résultats du reporting, qui

2 T repose sur une évaluation lacunaire, n’est pas opérationnelle, ni efficace. Il n’existe pas Documents d’exploitation.
d’indicateur.
 5. Exploitation des résultats du reporting : aucune exploitation n’est mise en place,
1 T -
notamment des contrôles des acteurs, dont ceux du comptable. Il n’existe pas d’indicateur.

Pilotage #DIV/0!
#DIV/0!
n/c n/c n/c