3-3- Activités de contrôle
Les activités de contrôle correspondent à
l'ensemble des politiques et des procédures mises en place pour
maîtriser les risques et réaliser les objectifs de
l'organisation.
Pour être efficaces, les activités de
contrôle doivent être appropriées; fonctionner de
manière cohérente, conformément aux plans, tout au long de
la période; respecter un équilibre entre coût et
bénéfices; être exhaustives, raisonnables et directement
liées aux objectifs du contrôle.2
3-3-1- Typologie des activités de
contrôle
Il existe de nombreux types d'activités de contrôle,
qu'il s'agisse:
+ de contrôles orientés vers la prévention ou
vers la détection; + de contrôles manuels ou informatiques;
+ ou encore de contrôles
hiérarchiques.3
Le personnel effectue couramment et à tous les niveaux de
l'organisation les activités de contrôle qu'on peut
présenter comme suit:
a) Procédures d'autorisation et
d'approbation: Les transactions et autres
événements ne peuvent être respectivement autorisés
et exécutés que par les personnes qui y sont spécialement
habilitées. L'autorisation constitue le principal moyen de garantir que
seuls ont lieu des transactions et des événements valides,
conformes aux intentions de la direction. Les procédures
1 Coopers, Lybrand, 2002. La nouvelle pratique du Contrôle
Interne.Paris, édition d'organisation, pp 63-66.
2 Comité des normes de contrôle interne (Cour des
comptes de Belgique), Lignes directrices sur les normes de contrôle
interne à promouvoir dans le secteur public, p31.
3 Pricewaterhouse, IFACI, 2004.La pratique du Contrôle
Interne.Paris, édition d'organisation, p72.
d'autorisation, qui doivent être documentées et
clairement communiquées aux responsables et aux agents, doivent
prévoir les conditions et les termes à respecter pour que
l'autorisation soit accordée.
b) Séparation des tâches
(autorisation, traitement, enregistrement, analyse): afin de
réduire les risques d'erreurs, d'irrégularités et les
incompatibilités des fonctions, les taches sont reparties entre les
employés, aucun individu ou équipe ne doit pouvoir
contrôler toutes les étapes clés d'une transaction ou d'un
événement.
c) Contrôle de l'accès aux
ressources et aux documents: L'accès aux ressources et aux
documents doit être limité aux personnes habilitées, qui
ont à répondre de leur garde ou de leur utilisation. Pour rendre
compte de la garde, on peut s'appuyer sur l'existence de reçus,
inventaires ou toute autre note portant sur cette garde et reprenant le
transfert de garde.
d) Vérifications: Les
transactions et les événements importants doivent être
vérifiés avant et après leur traitement. Par exemple,
lorsque des biens sont livrés, le nombre fourni doit être
comparé au nombre commandé. Par la suite, le nombre de biens
facturés est comparé au nombre effectivement reçu. Le
stock peut aussi être contrôlé au moyen de sondages.
e) Réconciliations: Les
enregistrements sont comparés régulièrement aux documents
appropriés: par exemple, les pièces comptables relatives aux
comptes en banque sont comparées aux relevés bancaires
correspondants.
f) Analyses de performance
opérationnelle: La performance opérationnelle est
analysée régulièrement sur la base d'un ensemble de normes
permettant de mesurer l'efficacité et l'efficience. S'il ressort du
suivi des performances que les réalisations réelles ne
rencontrent pas les normes ou objectifs fixés, les processus et
activités établis pour atteindre les objectifs doivent être
revus pour déterminer quelles améliorations sont
nécessaires.
g) Analyses des opérations, des processus
et des activités : Les opérations, les processus et
les activités doivent être périodiquement analysés
pour s'assurer qu'ils sont en accord avec les réglementations,
politiques, procédures et autres exigences actuelles. Ce type d'analyse
des opérations réalisées effectivement par une
organisation est à distinguer clairement du suivi du contrôle
interne,
h) Supervision (affectation, analyse et
approbation, lignes directrices et formation) : La
réalisation des objectifs du contrôle interne suppose
également que les superviseurs soient qualifiés. Pour confier un
travail à un agent, le vérifier et l'approuver, il est
nécessaire de :
· communiquer clairement à chaque membre du
personnel les fonctions, les responsabilités et les obligations de
rendre compte qui lui sont assignés;
· vérifier systématiquement, au degré
qui convient, le travail de chaque membre du personnel;
· approuver le travail à des moments clés
pour s'assurer qu'il se déroule comme prévu. 1
3-3-2- Normes et procédures
Les activités de contrôles reposent habituellement
sur deux éléments : - des normes qui définissent ce qui
doit être fait (objectifs);
- des procédures pour réaliser ces objectifs.
3-3-3- Intégration des activités de
contrôle à l'évaluation des risques
Les activités de contrôle font partie
intégrante du processus par lequel l'entreprise s'efforce d'atteindre
ses objectifs, Parallèlement à l'évaluation des risques,
le management doit déterminer et mettre en oeuvre le plan d'action
destiné à les maitriser. Une fois déterminées, ces
actions devront également servir à définir les
opérations de contrôle qui seront mises en oeuvre pour garantir
leur exécution correcte et en temps voulu.
3-3-4-Activités de contrôle relatives
à la technologie de l'information
Les systèmes d'information jouent un rôle
croissant et très important dans la gestion de l'entreprise, qu'ils
s'agissent des systèmes d'informations manuels ou bien des
systèmes informatiques qui gèrent et traitent les
informations.
Les opérations de contrôle sur ces domaines
précités peuvent être reparties en deux groupes:
3-3-4-1- Contrôles globaux
Ils s'appliquent à l'ensemble des systèmes, qu'ils
s'agissent des ordinateurs centraux, des mini-ordinateurs ou de l'environnement
utilisateur.
Ces contrôles globaux portent habituellement sur:
+ Contrôles sur les opérations du
centre de traitement: les contrôles portent sur
l'organisation et la planification des travaux, les interventions des
operateurs, les procédures de sauvegardes.
+ Contrôles sur les logiciels
d'exploitation: les contrôles portent sur l'acquisition,
l'installation et la maintenance des logiciels nécessaires au
fonctionnement de l'ensemble du système et à l'exécution
des applications (système d'exploitation, système de gestion de
base de données...).
+ Contrôles d'accès:
ils limitent ou détectent l'accès aux actifs
informatiques (données, programmes, équipements et
infrastructures), préservant ainsi ces ressources contre toute
modification, perte ou divulgation non autorisées.
+ Contrôles sur le développement et
la maintenance des applications: ils empêchent
l'introduction non autorisée de programmes nouveaux ou de modifications
aux programmes existants.
3-3-4-2- Contrôles applicatifs
Ils sont conçus pour contrôler le fonctionnement
des applications, ils permettent d'assurer l'exhaustivité et
l'exactitude des traitements, des transactions, leur autorisation et leur
validité.
Ils sont constitués par la structure, les politiques et
les procédures liées à des systèmes d'application
individuels distincts - telles que le traitement des dettes fournisseurs, du
stock, la gestion des salaires, les procédures de subventions ou de
prêts - et sont conçus pour couvrir le traitement des
données dans le cadre d'applications informatiques
spécifiques.
3-3-4-3- Relation entre contrôles globaux et
contrôles applicatifs
Ces deux catégories de contrôles du
système informatique sont interdépendantes et les deux sont
nécessaires pour assurer un traitement exhaustif et correct des
données.
L'efficacité des contrôles globaux est
déterminante pour l'efficacité des contrôles applicatifs
qui dépendent de la fiabilité des traitements informatiques.
A noter que par rapport aux changements rapides des
technologies de l'information, les contrôles dont elles font l'objet
doivent eux aussi évoluer constamment pour rester efficaces.
| 
