Article de reference

Auto-évaluation du contrôle

L'auto-évaluation du contrôle est une technique développée en 1987 et utilisée par de nombreuses organisations, notamment des sociétés, des organismes de bienfaisance et des min...

L'auto-évaluation du contrôle est une technique développée en 1987 et utilisée par de nombreuses organisations, notamment des sociétés, des organismes de bienfaisance et des ministères, pour évaluer l'efficacité de leurs processus de gestion des risques et de contrôle.

Un « processus de contrôle » est un contrôle ou un processus effectué pour réduire ou éliminer le risque d'erreur. Depuis son introduction, la technique a été largement adoptée aux États-Unis, dans l'Union européenne et dans d'autres pays. Il existe plusieurs façons de mettre en œuvre une auto-évaluation des contrôles, mais sa principale caractéristique est que, contrairement à un audit traditionnel , les tests et les contrôles sont effectués par le personnel dont les responsabilités quotidiennes normales se situent au sein de l'unité commerciale évaluée. Une auto-évaluation, en identifiant les processus à risque élevé au sein de l'organisation, permet aux auditeurs internes de planifier leur travail plus efficacement. Un certain nombre d'organisations gouvernementales exigent le recours à l'auto-évaluation des contrôles. Aux États-Unis, la FFIEC exige que des auto-évaluations des contrôles soient effectuées régulièrement sur les systèmes informatiques et les processus opérationnels. Les avantages revendiqués pour l'auto-évaluation des contrôles comprennent la création d'une ligne claire de responsabilité pour les contrôles, la réduction du risque de fraude et la création d'une organisation avec un profil de risque plus faible.

Dans certaines circonstances, l'auto-évaluation du contrôle n'est pas toujours efficace. Par exemple, elle peut être difficile à mettre en œuvre dans un environnement décentralisé, dans des organisations où le taux de rotation du personnel est élevé, où l'organisation connaît des changements fréquents ou lorsque la haute direction de l'organisation ne favorise pas une culture de communication ouverte.

Développement et adoption mondiale

L'autoévaluation des contrôles a été mise au point par Gulf Canada en 1987 lorsque le vérificateur général de la société , Bruce McCuaig, n'était pas satisfait des techniques d'audit standard utilisées à la suite de l'impact de l' affaire du Watergate sur la société mère, Gulf Oil Corporation . La décision de mettre pleinement en œuvre l'autoévaluation des contrôles chez Gulf Canada a été motivée par un certain nombre de facteurs, notamment la présence d'un décret de consentement exigeant que la société fasse rapport sur ses contrôles internes et les difficultés auxquelles elle était confrontée pour estimer ses réserves de pétrole et de gaz à l'aide de mesures d'audit plus traditionnelles.

Au cours des dix années suivantes, Gulf Canada a élaboré un cadre pour soutenir l'analyse et l'évaluation des processus de contrôle par le personnel opérationnel. Ce cadre comprenait le vote anonyme pour s'assurer que rien n'empêchait le personnel d'exprimer son point de vue. Cette approche a été publiée pour la première fois dans Internal Auditor en décembre 1990. Gulf Canada a abandonné cette approche de réunion facilitée en 1997, bien qu'elle ait continué à procéder à l'auto-évaluation du contrôle à l'aide de techniques différentes.

Après l'introduction de l'auto-évaluation des contrôles par Gulf Canada, de nombreuses organisations du secteur privé ont mis en œuvre des techniques similaires. Aux États-Unis, plusieurs États ont rendu obligatoires les examens fondés sur les pratiques d'auto-évaluation des contrôles, tout comme la Federal Deposit Insurance Corporation et la Société d'assurance-dépôts du Canada .

Au début, les auditeurs externes ont ignoré les avantages de l'auto-évaluation du contrôle, même si elle était efficace pour fournir des preuves d'audit autour des domaines « faibles » (tels que le moral du personnel) qui sont essentiels à l'efficacité des systèmes de contrôle interne.

Après plusieurs scandales financiers, notamment l'effondrement de l'empire d'édition de Robert Maxwell , le gouvernement britannique a chargé Adrian Cadbury de présider une enquête sur la gouvernance d'entreprise. La commission a publié son rapport The Financial Aspects of Corporate Governance en 1992. Dans la section 4, Reporting and Controls, Cadbury a formulé un certain nombre de recommandations qui ont conduit à une adoption accrue de l'auto-évaluation des contrôles au Royaume-Uni. En particulier, la section 4.5 du Code de pratique contenue dans le rapport exigeait que les administrateurs d'une société rendent compte de l'efficacité du système de contrôle interne de la société dans chaque rapport annuel .

En mars 2000, la Commission européenne a approuvé un livre blanc sur la réforme qui a entraîné un changement majeur dans la manière dont la Commission était gérée. Ces changements comprenaient des recommandations pour que chaque département mette en place un système de contrôle interne efficace. Pour soutenir la mise en œuvre des contrôles internes, le service financier central de la direction générale du budget a élaboré un processus d'auto-évaluation des contrôles. Cette première auto-évaluation des contrôles a identifié plusieurs domaines d'amélioration du contrôle interne dans l'ensemble de la Commission, notamment la nécessité de mettre en œuvre une approche plus systématique de la gestion des risques. Le résultat de cette première auto-évaluation a été la mise en œuvre de l'obligation pour chaque direction générale de procéder à une auto-évaluation annuelle des contrôles et des risques.

En 2007, les États-Unis ont mis en œuvre la loi Sarbanes-Oxley . Afin de se conformer à l'article 404 de la loi, l'entreprise a dû effectuer une évaluation des risques de haut en bas qui a nécessité la production d'un « rapport de contrôle interne » qui a affirmé « la responsabilité de la direction d'établir et de maintenir une structure et des procédures de contrôle interne adéquates pour l'information financière ». 15 USC § 7262(a) . Ce rapport doit inclure une évaluation de l'efficacité des contrôles et procédures internes liés à l'information financière. Pour satisfaire à cette exigence, les organisations ont commencé de plus en plus à effectuer une auto-évaluation des contrôles en utilisant une méthodologie standard reconnue. Les auditeurs externes de l'organisation, qui sont tenus de signer le rapport de contrôle interne, se sont généralement impliqués plus profondément dans le processus d'auto-évaluation des contrôles, car cela a facilité leur examen ultérieur du rapport de contrôle interne.

En 2011, la Financial Services Authority (FSA) du Royaume-Uni a reconnu dans ses recommandations pour l'amélioration de la gestion des risques opérationnels que l'évaluation des risques par le biais d'une auto-évaluation des contrôles pouvait être un moyen important d'identifier les risques. Elle a également noté que pour que l'évaluation soit pleinement efficace, elle devait être pleinement intégrée au processus de gestion des risques de l'organisation financière.

Réaliser l'auto-évaluation du contrôle

Section 1 du formulaire d'auto-évaluation de contrôle utilisé par la Federal Transit Administration

La première étape de l'auto-évaluation des contrôles consiste à documenter les processus de contrôle de l'organisation dans le but d'identifier les moyens appropriés de mesurer ou de tester chaque contrôle. Les tests réels des contrôles sont effectués par le personnel dont le rôle quotidien se situe dans le domaine de l'organisation examiné, car il possède la meilleure connaissance du fonctionnement des processus. Les deux techniques courantes pour effectuer les évaluations sont les suivantes :

  • Ateliers, qui peuvent être, mais ne doivent pas nécessairement être, animés de manière indépendante, impliquant une partie ou la totalité du personnel de l'unité commerciale testée ;
  • Enquêtes ou questionnaires complétés de manière autonome par le personnel.

Ces deux approches sont à l’opposé des audits formels où ce sont les auditeurs , et non le personnel de l’unité commerciale, qui effectueront l’évaluation.

Une fois l'évaluation terminée, chaque contrôle peut être noté en fonction des réponses reçues afin de déterminer la probabilité de son échec et l'impact en cas d'échec. Ces notes peuvent être cartographiées pour produire une carte thermique montrant les zones potentielles de vulnérabilité.

Méthodologies

Une carte thermique produite à partir des informations recueillies lors d'une auto-évaluation des contrôles. Le groupe de problèmes dans les sections rouge et orange de la carte thermique indique qu'il s'agit d'un domaine à haut risque et qu'il est probablement nécessaire de mettre en place de nouveaux processus de contrôle ou de les modifier.

Six méthodologies de base pour l’auto-évaluation du contrôle ont été définies :

  • Auto-audit par questionnaire de contrôle interne (ICQ)
  • Questionnaires personnalisés
  • Guides de contrôle
  • Techniques d'entretien
  • Ateliers sur les modèles de contrôle
  • Ateliers interactifs

La méthodologie d'auto-évaluation des contrôles du National Institute of Standards and Technology repose sur des questionnaires personnalisés. Il s'agit d'une méthodologie axée sur les technologies de l'information, adaptée à l'évaluation des contrôles basés sur les systèmes. Elle fournit une technique rentable pour déterminer l'état des contrôles de sécurité de l'information, identifier les faiblesses et, si nécessaire, définir un plan d'amélioration. La méthodologie utilise un questionnaire qui contient des objectifs et des techniques de contrôle spécifiques sur un système ou un groupe de systèmes qui peuvent être testés et mesurés. La méthodologie a été conçue pour les agences fédérales des États-Unis, mais peut également être utile pour les organisations du secteur privé.

La méthodologie COBIT peut être utilisée pour l'auto-évaluation du contrôle ; comme la méthodologie NIST, elle a été conçue pour les évaluations axées sur les technologies de l'information. Le composant Description des processus de COBIT fournit un modèle de référence des processus d'une organisation et de leur propriété. Son composant Objectifs de contrôle fournit un ensemble d'exigences considérées comme nécessaires pour un contrôle efficace de chaque processus informatique de l'organisation. L'évaluation de ces composants à l'aide du composant Lignes directrices de gestion fournit un mécanisme d'évaluation qui génère un modèle de maturité indiquant si l'organisation atteint ses objectifs de contrôle.

L' Institut des auditeurs internes a fondé sa méthodologie d'auto-évaluation du contrôle sur les approches de gestion de la qualité totale des années 1990 ainsi que sur le cadre du COSO . La méthodologie a été intégrée aux Normes internationales pour la pratique professionnelle de l'audit interne et a été adoptée par un grand nombre de grandes organisations.

Un certain nombre d’autres méthodologies visant à normaliser l’auto-évaluation du contrôle ont été publiées. L’Institut des auditeurs internes propose une certification en pratique d’auto-évaluation du contrôle.

Outils logiciels

Il existe un certain nombre de logiciels permettant de soutenir le processus d'auto-évaluation des contrôles. Il s'agit généralement de versions modifiées de logiciels développés à l'origine pour un usage interne par des cabinets d'audit et d'expertise comptable tels que Deloitte ou par des fournisseurs spécialisés dans les outils de gestion commerciale ou financière.

Avantages

L'auto-évaluation des contrôles crée une ligne claire de responsabilité pour les contrôles, réduit le risque de fraude (en examinant les données qui peuvent signaler des modèles de transactions inhabituels) et aboutit à une organisation avec un profil de risque plus faible.

Les organisations qui procèdent à une auto-évaluation de leurs contrôles bénéficient également d'un certain nombre d'autres avantages indirects, notamment une meilleure compréhension des opérations commerciales (par la direction et le personnel opérationnel) ; une meilleure connaissance des pratiques en matière de risques ; un régime de gouvernance d'entreprise renforcé et des améliorations de l'efficacité de l'audit interne.

Critique

Certains chercheurs ont critiqué l’auto-évaluation du contrôle comme étant une approche défectueuse, car la manière dont le risque est défini et mesuré n’est pas sophistiquée. En particulier, l’auto-évaluation du contrôle peut sous-estimer le risque en n’identifiant pas le risque de baisse extrême. Un risque de baisse extrême est un événement hautement improbable qui aurait des conséquences catastrophiques s’il se produisait. Ces risques devraient avoir un score de risque global élevé (généralement calculé comme le produit de la probabilité d’occurrence d’un risque et de l’impact s’il se produit sur une échelle de 1 à 5). Les personnes effectuant l’auto-évaluation du contrôle sont par conséquent incapables de différencier de manière significative les risques, ce qui conduit les risques de probabilité extrêmement faible à être exclus de l’analyse ou regroupés avec d’autres risques plus probables (mais toujours improbables) qui ont un impact moins grave.

L'accent permanent mis sur l'élimination des risques, auquel peut conduire une auto-évaluation des contrôles, a également été critiqué. Le processus d'évaluation continue des risques et l'élaboration de plans pour les atténuer et les éliminer peuvent conduire à une culture d'entreprise déséquilibrée dans laquelle les risques sont éliminés en ignorant le rapport risque/rendement des différents choix commerciaux.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index