Le contrôle interne vs les risques applicatifs

Le contrôle interne vs les risques applicatifs

La mise en place du contrôle interne lors de l’implantation de nouvelles solutions financières constitue une dimension importante de l’implantation. Pourquoi ? Puisque, d’une part, les contrôles engendrent des coûts. D’autre part, le manque de contrôles peut aussi générer des coûts directs et indirects substantiels.

 

Ce qui importe, c’est de garder un équilibre entre les ressources affectées aux contrôles et le risque. Il faut aussi s’assurer que les contrôles sont maintenus, évalués et même, améliorés de façon continue après leur mise en place. Pour ce faire, nous avons conçu une démarche inspirée de la méthodologie CoSO (Committee of Sponsoring Organisations), en intégrant les trois axes suivants : processus, risques, contrôles. Comment réduire les risques applicatifs d’une solution grâce au contrôle interne ?

 

Contrôle interne vs risques applicatifs : l’approche PlanAxion 

Les prochaines lignes vous présentent notre démarche pour réduire les risques applicatifs d’une solution grâce à des contrôles internes. En suivant les étapes de notre approche, vous serez en mesure de maximiser et de faciliter l’implantation de votre solution.

 

1 — Déterminez les processus d’affaires inclus dans la démarche. 

 

2 — Établissez les objectifs de contrôle recherchés, tels que :

  • La disponibilité de l’information
  • L’intégrité de l’information
  • La confidentialité de l’information
  • La préservation des actifs
  • La conformité aux normes et aux règlements
  • Etc.

 

3 – Effectuez une association entre les processus et les objectifs de contrôle applicables à chacun de ceux-ci.

 

4 – Pour chacune des associations processus/objectif de contrôle, déterminez les risques, sans toutefois considérer les contrôles en place.

 

5 – Pour chacun des risques, déterminez et qualifiez les contrôles en place ou à mettre en place. Les contrôles sont qualifiés selon les critères suivants :

  • Clé/secondaire
  • Manuel/semi-automatisé/automatisé
  • Détection/prévention
  • Centralisé/décentralisé

 

6 – Évaluez chacun des risques identifiés. Cette évaluation est effectuée de la manière suivante : risque calculé = probabilité d’occurrence × impact et appliquée à chacun des risques en considérant l’évaluation des contrôles en place.

 

Aux fins d’illustration, prenons l’exemple du risque d’incendie. D’une part, l’interdiction de fumer a pour but de réduire le risque d’occurrence sans pour autant réduire l’impact des dommages potentiels. D’autre part, la mise en place de gicleurs ne réduit pas la probabilité d’occurrence, mais plutôt l’impact des dommages éventuels.

 

Exemple d’application du risque calculé

 

Contrôle interne vs risque calculé

 

7 – Passez en mode « Amélioration continue »

  • Mettez en place un processus d’évaluation périodique des risques
  • Apportez des améliorations aux contrôles en tenant compte des coûts afférents de mise en place par rapport au risque calculé.

 

En faisant preuve de prévoyance, il est possible de réduire les risques applicatifs en mettant en place des contrôles internes. Notre démarche éprouvée nous permet de connaitre beaucoup de succès dans l’implantation de solutions (d’affaires, ERP, Oracle, etc.).