Le système de contrôle interne

et la gestion des risques

Philippe Godet
1
 Expérience professionnelle Autres expériences
Godet Conseils, Philippe Godet
antérieure
Président de la Conférence des
chefs des contrôles financiers des
cantons latins (2018-2022)
Consultant indépendant PWC, Ernst & Young 1985- 2002
Expert-comptable diplômé Membre de la commission
Conduite de mandats d’audit d'éthique professionnelle
Chef de projet
Conduite de mandats spéciaux d'EXPERTSuisse (2018- )
Administrateur indépendant Associé, directeur du siège de
Neuchâtel Intervenant au CAS en Outils de
Management public de la HEG-
Spécialités Contrôle cantonal des finances ARC et de l'UNINE (2020- )
Audits du canton de Neuchâtel 2002-
Gouvernance et organisation 2022 Intervenant en bachelor HEG-
Gestion de projets ARC (2006 - )
Finances et comptes publics Conduite de mandats d’audit
Gestion des risques et système de Conduite de mandats spéciaux Ancien président, membre de
contrôle interne Conseil l’Ordre Neuchâtelois et Jurassien
Normes comptables Directeur des Experts-comptables ONJEC
(2000 - )

Membre du comité de contrôle

des finances de la Ville de
Fribourg (2022- )
 SOMMAIRE
Concepts, définitions, normes, terminologie
Environnement interne
Fixation des objectifs
Identification des événements
Évaluation et traitement des risques
Activités de contrôle
Systèmes d’information et de communication
Pilotage
Documentation
Les projets d’optimisation
Cas pratiques – risques et contrôles

LE SCI ET LA GESTION DES RISQUES

3
 Qu’est-ce que le système de contrôle
interne ?

Qu’est ce que la gestion des risques ?

Similitudes ? Différences ?

LE SCI ET LA GESTION DES RISQUES 4

 3 concepts

Gestion Gestion de la
des risques SCI
qualité

Systèmes de gestion intégrés

Vision COSO et ISO

Gestion des risques

Gestion de la
qualité
SCI

LE SCI ET LA GESTION DES RISQUES 5

LE SCI ET LA GESTION DES RISQUES 6
LE SCI ET LA GESTION DES RISQUES 7
 COSO II Entreprise Risk Management

ISO 31000 : 2018 Management du risque

LE SCI ET LA GESTION DES RISQUES 8

Définitions, normes,
terminologie
De COSO I Report à COSO II Report
2013 2017

2007 2005

LE SCI ET LA GESTION DES RISQUES 9

 De quoi se compose un système de gestion des risques ?
Un système de gestion des risques (GDR) comprend généralement les
composantes suivantes :

▪ Une politique de gestion des risques qui définit les objectifs, les principes,
les responsabilités et le cadre de référence du système ;

▪ Une méthodologie de gestion des risques qui décrit les processus, les outils
et les techniques utilisés pour identifier, analyser, évaluer, traiter, surveiller
et communiquer les risques ;

▪ Une culture de gestion des risques qui favorise la sensibilisation, la

compréhension, l’acceptation et l’intégration des pratiques de gestion des
risques dans l’organisation ;

▪ Un système d’information de gestion des risques qui permet de collecter, de

stocker, de traiter, de diffuser et de rendre compte des données et des
informations relatives aux risques ;

▪ Un système de contrôle interne qui assure la mise en œuvre efficace et

efficiente
LE SCI ET LA GESTION DES RISQUES 10
 Pourquoi un système
«intégré» de GDR ?
« La gestion intégrée du risque favorise une démarche systématique, continue
et proactive, visant à comprendre, à gérer et à communiquer les risques du
point de vue de l'ensemble de l'organisation d'une manière cohérente et
structurée. Elle favorise la prise de décisions stratégiques qui contribuent à
l'atteinte des objectifs globaux de l'organisation….Les résultats regroupés
servent alors à donner fond aux décisions et aux pratiques de l'organisation »
Guide de gestion intégrée du risque, Secrétariat du Conseil du Trésor du Canada, 2016

Un système intégré de gestion des risques offre plusieurs avantages :

-Analyse et réduction des risques d’incohérences dans la gestion ;

-Optimisation des ressources par mutualisation ;
-Cohérence des décisions et actions grâce à une vision globale ;
-Gain de productivité par la fédération des activités d’un système de management unifié ;
-Renforcement de la confiance ;
-Amélioration des performances et de la résilience du système de gestion ;
-Protection de l’entité en réagissant efficacement au changement.

Ces avantages contribuent à assurer la sécurité de l’organisation et à la

protéger contre les dommages et les pertes potentiels.

LE SCI ET LA GESTION DES RISQUES 11

Politique de gestion
des risques
•Définitions
Conseil •Champ d’application
d’administration Politique de
•Buts
•Principes
/ Exécutif gestion des •Responsabilités
risques

•Précision de la politique de gestion des risques

•Définitions
•Tâches et responsabilités
Direction/ Directives de •Processus de gestion des risques (identification, évaluation,
Administration gestion des maîtrise, surveillance, reporting, communication)
risques

•Précisions des directives pour la mise en œuvre opérationnelle

•Méthodes
•Modèles
Responsable Guide,
•Formulaires
manuel3 •Interfaces
gestion des
risques

LE SCI ET LA GESTION DES RISQUES 12

PGDR – exemple canton de Berne
Bases légales Directives du Conseil-exécutif sur la gestion des risques du canton de Berne.

Normes de Normes usuelles, notamment ISO 31000

référence
Définition du Evénements et développements qui ont une certaine probabilité de se produire et qui entraînent des conséquences négatives
risque majeures d’ordre financier et non financier sur la réalisation des objectifs et l’exécution des tâches du canton.
Typologie des • Economiques et financiers.
risques • Juridiques/conformité.
• Matériels, techniques et liés aux éléments naturels.
• Liés au personnel et à l’organisation.
• Technologiques et scientifiques.
• Sociaux et politiques.
Champ Administration cantonale.
d’application
Buts • Réduire autant que possible le risque d’erreurs de décision, de dommages pour les personnes et les choses, de pertes
patrimoniales, d’atteintes à la réputation et d’écarts négatifs par rapport aux objectifs stratégiques, opérationnels et
financiers en lien avec l’exécution des tâches du canton.
• Identifier précocement et évaluer les risques
• Informer suffisamment tôt le Conseil-exécutif et l’administration cantonale des risques, évolutions inadéquates et écarts
par rapport aux objectifs revêtant une importance majeure.
• Garantir le bon fonctionnement du parlement, du gouvernement et de l’administration.
Principes les plus Instrument de conduite intégré aux processus de travail et de conduite.
importants L’identification, l’analyse, l’évaluation, la maîtrise et la surveillance des risques ainsi que le reporting correspondant obéissent
à une méthodologie uniforme basée sur les normes usuelles (notamment ISO 31000).
Les mesures visant à prévenir ou à atténuer les risques sont arrêtées et mises en œuvre par l’échelon hiérarchique
responsable, en fonction de la situation.
La gestion des risques doit être périodiquement réexaminée et développée.
Application IT Non (Excel)
Reporting Le Conseil-exécutif est informé annuellement des risques individuels et transversaux importants au niveau de l’Etat dans son
ensemble.
En vue de l’établissement du rapport à l’intention du Conseil-exécutif, les Directions et la Chancellerie d’Etat signalent à la
Direction des finances tous les risques qui atteignent les valeurs définies dans l’échelle d’évaluation de la matrice des risques.
La consolidation des risques du canton à l’intention du Conseil-exécutif est effectuée par la Direction des finances, en
collaboration avec le groupe de travail Gestion des risques.
Les rapports sur les risques des Directions et de la Chancellerie d’Etat reposent sur les principaux risques signalés par les
offices à leur niveau.
Définition des Conseil exécutif
responsabilités en Directions et Chancellerie d’Etat
matière de Direction des finances
gestion des Groupe de travail
risques Gestion des risques

LE SCI ET LA GESTION DES RISQUES 13

LE SCI ET LA GESTION DES RISQUES 14
 Définitions, normes,
terminologie

Exigences - Bases légales applicables (p. ex Loi sur les

légales finances)

- CO pour les sociétés ( y.c. les entreprises

publiques sous forme de sociétés)

- Réglementations spécifique pour des

domaines régulés (banques, assurances,
etc.)

Principes identiques mais portée variable

Par exemple, dans le cadre du contrôle ordinaire,

le CO n’impose que le contrôle du SCI financier.
LE SCI ET LA GESTION DES RISQUES 15
 Définitions, normes,
terminologie

Système de Processus mis en œuvre au sein d’une

contrôle organisation destiné à fournir une assurance
interne raisonnable quant à la réalisation des
objectifs suivants :

- Pertinence de la stratégie
- La réalisation et l’optimisation des
opérations
- La fiabilité des informations financières
- La conformité aux lois et réglementations
en vigueur

Source : COSO Report / COSO II Report

LE SCI ET LA GESTION DES RISQUES 16

 Définitions, normes,
terminologie
Management Processus mis en œuvre au sein d’une
des risques organisation, pris en compte dans la stratégie et
dans toutes les activités de l’organisation.
Conçu pour identifier les événements potentiels
susceptibles d’affecter l’organisation et pour
gérer les risques.
Vise à fournir une assurance raisonnable quant à
l’atteinte des objectifs de l’organisation.
(COSO II Report)

Activités coordonnées dans le but de diriger et

piloter un organisme vis-à-vis du risque.
(ISO 31000)

LE SCI ET LA GESTION DES RISQUES 17

 Définitions, normes, terminologie
NAS-CH 890 : SCI dit «financier»

Le SCI au sens de la NAS-CH 890 comprend uniquement les

processus et les mesures dans une entreprise qui garantissent une
tenue régulière de la comptabilité et un rapport financier
adéquat.

LE SCI ET LA GESTION DES RISQUES 18

 Définitions, normes, terminologie

NAS-CH 890 Tâches et responsabilités du conseil d’administration

Le conseil d’administration est responsable de la définition des

principes, de la mise en application et du maintien d’un SCI
pertinent et adéquat.

Cette obligation découle de l’obligation de concevoir la comptabilité

de la société de manière à respecter les principes de tenue
régulière de la comptabilité et de présentation des comptes

Le conseil d’administration doit veiller à ce que la direction mette en

place les mesures nécessaires pour appliquer le SCI

LE SCI ET LA GESTION DES RISQUES 19

 Définitions, normes, terminologie
NAS-CH 890 Tâches et responsabilités de la direction

La direction est responsable de la mise en place et du maintien des stratégies et

de la politique d’affaires; elle est donc généralement responsable, dans ce
contexte, de la mise en place du SCI pour autant que ces tâches ne soient pas
directement assumées par le conseil d’administration.

• développer des processus adéquats pour identifier, apprécier et surveiller les

risques encourus;
• maintenir et de documenter une structure d’organisation qui fixe les
responsabilités, les compétences et les flux d’information;
• identifier les contrôles clés et de les surveiller ainsi que de veiller à la mise
en place de mesures de correction;
• garantir l’exécution des tâches déléguées.

LE SCI ET LA GESTION DES RISQUES 20

 Définitions, normes, terminologie
NAS-CH 890 Tâches et responsabilités de l’auditeur

Lorsqu’il détermine l’étendue et les procédures d’audit, l’auditeur tient compte du

SCI pour définir les secteurs des états financiers qu’il veut soumettre à des
contrôles de substance ou à des tests de procédures (art. 728a, al. 2, CO).
• L’auditeur vérifie, conformément à l’art. 728a, al. 1, ch. 3, CO, si le SCI défini
par le conseil d’administration existe pour le rapport financier.
• Il établit ensuite, à l’attention de l’assemblée générale, un rapport écrit qui
résume les résultats de la révision (art. 728b, al. 2, CO).
• De plus, il établit à l’attention du conseil d’administration un rapport détaillé
contenant notamment les constatations relatives au SCI (art. 728b, al. 1, CO).

LE SCI ET LA GESTION DES RISQUES 21

 Définitions, normes, terminologie
Composante du SCI selon NAS –CH 890
Environnement de contrôle
Processus d’évaluation des risques de l’entreprise
Systèmes d’information et communication
Activités de contrôle
Surveillance des contrôles

Exigences selon NAS-CH 890

SCI concrétisé et vérifiable (c’est-à-dire documenté);
SCI adapté aux risques et à l’activité
SCI connu des collaborateurs
SCI appliqué
Existence d’une sensibilité au contrôle

LE SCI ET LA GESTION DES RISQUES 22

 Définitions, normes, terminologie
Risque Effet de l’incertitude sur les objectifs de
l’organisation. (ISO 31000)

Un risque représente la possibilité qu’un

événement survienne et nuise à l’atteinte
d’objectifs. (COSO II Report)

Tout événement ou action pouvant empêcher

d'atteindre les objectifs fixés ou d'appliquer la
stratégie d'entreprise est considéré comme un
risque. (Portail PME)

LE SCI ET LA GESTION DES RISQUES 23

 Risque : exemples
Financier Perte financière, p. ex. pertes sur débiteurs
Erreurs comptables, [Link] sous-évaluation d’une
provision

Opérationnel Impossibilité d’effectuer une prestation, [Link]

panne informatique au guichet
Prestation fournie de manière non qualitative,
[Link] impossibilité d’atteindre le service des
contributions
Utilisation exagérée de ressources (inefficiences)

Conformité Décision non conforme à la base légale, [Link]

octroi d’un permis de construire en zone non
constructible

LE SCI ET LA GESTION DES RISQUES 24

 Définitions, normes,
terminologie

Evénement Occurrence ou changement d’un ensemble

(= «cause particulier de circonstances.
du risque») Un événement peut être unique ou se reproduire
et peut avoir plusieurs causes et plusieurs
conséquences.
Un événement peut être quelque chose qui est
attendu, mais qui ne se produit pas, ou quelque
chose auquel on ne s’attend pas, mais qui se
produit.
Un événement peut être une source de risque.
(ISO 31000)

LE SCI ET LA GESTION DES RISQUES 25

 Evénements : exemples
Événements Pannes informatiques
Pannes électriques
Absences
Manque de fournitures

LE SCI ET LA GESTION DES RISQUES 26

 Définitions, normes, terminologie

Conséquence Effet d’un événement affectant les objectifs.

Une conséquence peut être certaine ou
= impact incertaine et peut avoir des effets positifs ou
négatifs, directs ou indirects, sur l’atteinte des
objectifs.
Les conséquences peuvent être exprimées de
façon qualitative ou quantitative.
Toute conséquence peut déclencher des effets
en cascade et cumulatifs.
(ISO 31000)

LE SCI ET LA GESTION DES RISQUES 27

 Définitions, normes, terminologie

Vraisemblance Possibilité que quelque chose se produise, que

cette possibilité soit définie, mesurée ou
= probabilité déterminée de façon objective ou subjective,
d’occurence qualitative ou quantitative, et qu’elle soit
décrite au moyen de termes généraux ou
mathématiques (telles une probabilité ou une
fréquence sur une période donnée).
(ISO 31000)

LE SCI ET LA GESTION DES RISQUES 28

 Définitions, normes, terminologie

Moyen de …tout processus, politique, dispositif au autres

maîtrise actions qui modifient un risque
(ISO 31000)
= contrôle

LE SCI ET LA GESTION DES RISQUES 29

Les 17 principes du
contrôle interne

Référentiel intégré
de contrôle interne,
COSO, 2013

LE SCI ET LA GESTION DES RISQUES 30

 Les 5 composantes
du SCI (COSO 2013)

LE SCI ET LA GESTION DES RISQUES 31

 Environnement interne
(= environnement de contrôle)

Englobe la culture et l’esprit de l’entité,

indépendamment des processus

Intégrité et valeurs éthiques

Style de direction
Structure organisationnelle
Environnement
interne Politique RH
Gestion des risques
Processus
Processus

Processus

Processus

Processus

LE SCI ET LA GESTION DES RISQUES 32

 Environnement interne
(= environnement de contrôle)

Intégrité et La manière dont les questions d'intégrité et

valeurs d'éthique sont communiquées, vécues,
éthiques appliquées et surveillées dans le cadre de
l’activité revêt une importance primordiale.

Domaine Éléments
Leadership et Démontrer Éthique et Valeurs
stratégie Communiquer sur missions et objectifs
RH et Engagement de compétence
communication Partage de l’information et du savoir
Responsabilité et Structure opérationnelle
support Évaluation et rétribution de la performance
Management des Évaluation et mesure du risque
risques et référentiel Accès et sécurité des systèmes
COSO II Report

LE SCI ET LA GESTION DES RISQUES 33

 Affirmation Inexistant Insuffisant Suffisant Bon

1.1. Il existe, au niveau de l'Etat ou de l'entité, Il existe des règles Tous les domaines
des règles de conduite et d'éthique écrites à Il n'y a pas de règles écrites disparates essentiels sont Il existe un véritable
appliquer dans le travail et qui permettent écrites couvrant certains couverts par des règles code d'éthique
d'éviter ou de gérer les conflits d'intérêt. domaines écrites disparates
Le respect des règles
Les problèmes de Le respect des règles éthiques fait partie de
1.2. La direction encourage l'intégrité et l'éthique
respect des règles éthiques fait partie des la culture de l'entité et
au travail et s'assure que les règles sont Rien n'est entrepris
éthiques sont traités objectifs personnels est intégré dans les
correctement appliquées.
lorsqu'ils apparaissent des collaborateurs processus
opérationnels
1.3. Les membres du personnel doivent-ils Le point est abordé Un formulaire de
Le contrat de travail
confirmer qu'ils ont pris connaissance des oralement lors de confirmation est signé
Rien n'est entrepris type contient mention
règles d'éthique et qu'ils les ont comprises ? l'engagement des par tous les
de l'existence de règles
(répondre inexistant si inexistant au point 1.1) collaborateurs collaborateurs
1.4. Les collaborateurs comprennent quel
En cas de problème, L'interprétation des Les directives sont
comportement est accepté ou ne l’est pas selon
les collaborateurs principes et directives explicites et traitent en
les principes et directives applicables à l'entité. Rien n'est entrepris
peuvent informer leur permet d'agir détail des actions à
Ils savent ce qu’il faut faire lorsqu’ils sont en
supérieur correctement entreprendre
présence d’un comportement „incorrect“.
Les actions à
Tous les cas graves
1.5. En cas de manquement aux règles en Certains cas font l'objet entreprendre sont
font l'objet de mesures
vigueur, des mesures disciplinaires Il n'y a jamais de de mesures mais ne documentées dans un
appropriées,
appropriées sont (ou seraient) prises et sanction sont pas processus, qui prévoit
communiquées au
communiquées au personnel. communiqués aussi la
personnel du service
communication
C'est possible aux
1.6. Des mandats et/ou des travaux peuvent-ils Il n'y a pas de règles
Il n'y a aucune conditions du marché C'est interdit dans tous
être attribués à des proches ou à des membres écrites, mais on évite
restriction avec l'approbation du les cas
de la famille des collaborateurs. en principe de le faire
chef de l'entité

La manière de traiter
Dans les cas Dans tous les cas, il y les dérogations est
1.7. Les dérogations prises sur le système de Il n'y a pas de
importants, il y a une a une motivation prévue dans un
contrôle interne sont dûment motivées et documentation des
trace dans les explicite dans les processus, y compris
documentées dérogations
documents de l'entité documents de l'entité leur documentation
correcte

LE SCI ET LA GESTION DES RISQUES 34

 Environnement interne
(= environnement de contrôle)

Style de La philosophie et le style de direction ont une

direction influence sur la manière dont une entité exerce
ses activités et sur la décision de prendre ou
non des risques. La direction est responsable de
la conduite et de la surveillance des activités de
l’entité, ainsi que de l’élaboration, de la
communication et de la mise en œuvre des
principes et directives. Elle doit donc accorder
une attention toute particulière aux activités de
contrôle à tous les niveaux de fonction et
garantir ainsi une prise de conscience dans ce
domaine.

LE SCI ET LA GESTION DES RISQUES 35

 Affirmation Inexistant Insuffisant Suffisant Bon
2.1. Des réunions des cadres Il n'y a jamais de réunion qui Des réunions sont Des réunions sont Des réunions régulières sont
sur la réalisation ou traite des objectifs de l'entité organisées sporadiquement organisées en fonction des planifiées
l’évaluation des objectifs de besoins
l’entité ont lieu régulièrement.

2.2. La direction agit avec Il n'y a pas d'analyse des Certains risques et avantages Les risques et avantages Un concept d'analyse et de
prudence, après avoir analysé avantages et inconvénients importants sont analysés de importants sont analysés et traitements des risques des
les risques et évalué les des projets manière informelle les décisions sont projets existe et est appliqué
avantages d'un projet. Elle documentées
accepte de courir certains afin
de réaliser les objectifs de
l’entreprise.

2.3. Il n'y a pas de rotation Il y a une très grande rotation Il y a une certaine rotation Il y a peu de rotation Il n'y a presque pas de
importante du personnel au (plus que normale) (normale) rotation (moins que normale)
niveau des postes
comptables ou administratifs.

2.4. Les budgets sont L'historique récent démontre L'historique récent démontre L'historique récent démontre L'historique récent démontre
élaborés par l'entité de façon que les budgets n'étaient pas que certaines positions du que la plupart des positions que toutes les positions du
réaliste. réalistes, avec des grands budget n'étaient pas réalistes, du budget étaient réalistes budget étaient réalistes
écarts avec des grands écarts

2.5. Aucune personne clé n’a Il y a un grand taux de Il y a un taux de fluctuation Le taux de fluctuation est Le taux de fluctuation est
démissionné de manière fluctuation et des départs supérieur à la moyenne et conforme à la moyenne et il inférieur à la moyenne et il n'y
inattendue ou avec effet précipités de personnes clés des départs précipités ont été n'y a pas eu de départ a pas de départs précipités.
immédiat. De plus, le taux de ont été observés observés précipité de personnes clés
fluctuation n’est pas
extraordinairement élevé.

2.6. Les actifs d'une certaine Il n'y a aucune mesure de Quelques mesures de Des directives existent et tous Un concept existe et tous les
valeur et les informations protection protection sont prises à les éléments essentiels sont éléments sont efficacement
importantes ou l'initiative des collaborateurs efficacement protégés protégés
confidentielles sont
efficacement protégés contre
tout accès et utilisation non
autorisée.

LE SCI ET LA GESTION DES RISQUES 36

 Environnement interne
(= environnement de contrôle)

Structure La structure organisationnelle représente

organisationnelle le cadre dans lequel s’inscrit la réalisation
des objectifs de l’entité et doit si possible
correspondre à ses besoins.

LE SCI ET LA GESTION DES RISQUES 37

 Affirmation Inexistant Insuffisant Suffisant Bon

3.1. Il existe un organigramme Il n'y a pas Il y a un organigramme Il y a un organigramme Il y a un organigramme

hiérarchique et fonctionnel de l'entité, à d'organigramme partiel, qui n'est pas à qui contient les éléments complet et à jour
jour. jour essentiels à jour

3.2. La structure des responsabilités Il n'y a aucune définition La structure des Les éléments essentiels La structure des
est définie de manière adéquate et des responsabilités responsabilités est plus de la structure des responsabilités est
clairement comprise par les intéressés. ou moins connue mais responsabilités sont définie en détail par écrit
n'est pas définie par écrit définis par écrit et et comprise des
compris des intéressés intéressés

3.3. La structure organisationnelle A cause de la structure A cause de la structure La communication La communication

permet une communication adéquate. organisationnelle, la organisationnelle, la fonctionne globalement fonctionne de manière
communication communication bien, dans et entre la optimale dans et entre
fonctionne globalement fonctionne mal dans plupart des secteurs tous les secteurs
mal certains ou entre certains
secteurs

3.4. Des évaluations périodiques sont Il n'y a jamais Il y a une évaluation en Il y a une évaluation Une évaluation
effectuées afin de vérifier l'adéquation d'évaluation cas de changement périodique axée sur les périodique traite
de la structure avec les changements majeur changements essentiels systématiquement tous
intervenus dans l'environnement. les changements
intervenus
3.5. Le thème de la communication est Le thème de la Le thème de la Le thème de la Le thème de la
traité régulièrement dans les directives communication est communication est communication est traité communication est traité
internes. négligé parfois traité dans la plupart des de manière systématique
directives internes
3.6. Tous les collaborateurs ont accès à Le supérieur n'est Le supérieur est parfois Le supérieur est toujours Le supérieur est très
leurs supérieurs pour traiter de sujets presque jamais accessible pour les accessible pour les accessible
importants. accessible sujets majeurs sujets importants

LE SCI ET LA GESTION DES RISQUES 38

 Environnement interne
(= environnement de contrôle)

Politique RH Pour les postes et les tâches importants, les

descriptions de fonctions et de compétences
doivent être définies et communiquées. Ce
faisant, la formation individuelle et l’expérience
jouent un rôle capital. Les pratiques et
procédures en matière de ressources humaines
telles que l’embauche, l’information, la
formation, l’évaluation, la promotion, la
rémunération et les prestations sociales sont des
signaux adressés aux collaborateurs quant à
l’intégrité attendue, le comportement éthique et
les compétences. Un indicateur important est la
satisfaction des collaborateurs.

LE SCI ET LA GESTION DES RISQUES 39

 Affirmation Inexistant Insuffisant Suffisant Bon
4.1. Les des criptions de fonctions exis tent Il n' y a pas de Les collaborateurs Tous les Tous les
pour chaque collaborateur. Ils s ont tenus à des criptions de ont une des cription de collaborateurs ont collaborateurs ont
jour régulièrem ent. fonctions fonctions . Elles ne une des cription de une des cription de
s ont pas m is es à jour fonctions m is e à jour fonctions m is e à jour
en cas de régulièrem ent
changem ent
im portant
4.2. Une procédure form elle es t appliquée Il n'y a pas Il n'y a pas Il y a une attribution Il y a une procédure
pour l’attribution des tâches , des d'attribution de d'attribution form elle form elle de tâches , d'attribution form elle
com pétences et des res pons abilités . Ains i, tâches , com pétences de tâches , com pétences et de tâches ,
les collaborateurs com prennent les tâches et res pons abilités com pétences et res pons abilités com pétences et
fais ant partie de leurs fonctions /leur dom aine res pons abilités im portantes res pons abilités
de res pons abilité.

4.3. Les objectifs individuels s ont axés à la Il n'y a pas d'objectifs Des objectifs exis tent Les objectifs Les objectifs
fois s ur le court et le long term e. Ils repos ent m ais ne repos ent s ur individuels s ont fixés individuels s ont axés
s ur divers critères d’évaluation. aucun critère s ur la bas e de à la fois s ur le court et
critères connus au le long term e. Ils
s ein de l'entité repos ent s ur divers
critères d’évaluation.

4.4. Les procédures actuelles (exam en des Il n'y a pas de Les procédures ne Pour la plupart des Pour toutes des
candidatures , engagem ent, entretien de procédure perm ettent pas fonctions , s urtout les fonctions , les
développem ent, form ation, etc.) perm ettent d'as s urer qu'un plus im portantes , les procédures as s urent
de recruter et d’as s urer le développem ent pers onnel com pétent procédures as s urent qu'un pers onnel
d’un pers onnel com pétent et digne de es t en fonction qu'un pers onnel com pétent es t en
confiance afin de réalis er les objectifs de com pétent es t en place
l’entité. place

4.5. Les em ployés dis pos ent des Le niveau de Certains La plupart des Tous les
qualifications et des aptitudes requis es pour qualification es t collaborateurs ne collaborateurs , collaborateurs
le pos te qu'ils occupent. globalem ent dis pos ent pas des s urtout pour les dis pos ent des
ins uffis ant aptitudes requis es fonctions aptitudes requis es
es s entielles ,
dis pos ent des
aptitudes requis es
4.6. Les s upérieurs ont périodiquem ent des Il n'y a jam ais Il y a un entretien Il y a un entretien Il y a un entretien
entretiens avec leurs collaborateurs , au d'entretien de annuel de annuel de annuel de
cours des quels le travail es t évalué et les développem ent développem ent développem ent développem ent
pos s ibilités d’am élioration s ont évoquées . inform el form el form el avec un plan
d'actions et un s uivi
périodique
4.7. Les critères en m atière de prom otion et Il n'y a aucun critère Certains critères s ont Les critères s ont fixés Les critères s ont fixés
d'augm entation de s alaire s ont clairem ent fixés , m ais ne s ont clairem ent par écrit clairem ent par écrit et
définis (conditions à rem plir, évolution, pris e pas très clairs de m anière détaillée
en com pte du renchéris s em ent, etc.).

LE SCI ET LA GESTION DES RISQUES 40

 Processus

Environnement
interne
Processus

Processus

Processus

Processus

Processus

LE SCI ET LA GESTION DES RISQUES 41

 Fixation des objectifs

La fixation des objectifs est une condition

préalable à l’identification d’événements,
l’évaluation des risques et le traitement des
risques.
COSO II Report

Rappel :
Un risque représente la possibilité
qu’un événement survienne et nuise
à l’atteinte d’objectifs. (COSO II
Report)

LE SCI ET LA GESTION DES RISQUES 42

 Objectifs

Stratégiques En ligne avec la mission de l’entité et la

supportent

Opérationnels Utilisation efficace et efficience des ressources

Information Fiabilité du reporting financier

financière

Conformité Respect par l’entité des lois et des

règlementations en vigueur

LE SCI ET LA GESTION DES RISQUES 43

 Fixation des objectifs

Les objectifs doivent être aisément

compréhensibles et mesurables. Tous les
collaborateurs doivent acquérir une bonne
compréhension des objectifs de l’organisation
qui se rapportent à leur périmètre d’activité.
COSO II Report

LE SCI ET LA GESTION DES RISQUES 44

 Identification des événements

Un événement est un incident ou une

occurrence, d’origine interne ou externe, qui
affecte la mise en œuvre de la stratégie ou
l’atteinte des objectifs. Les événements peuvent
avoir un impact positif, négatif ou les deux.
COSO II Report

LE SCI ET LA GESTION DES RISQUES 45

 Identification des événements

Les techniques d’identification d’événements

Bibliothèques d’événements
Analyse interne
Seuils de déclenchement ou de remontée de l’information
Groupes de travail et entretiens
Analyse du déroulement des processus
Indicateurs d’événements clés
Bases de données sur les pertes
COSO II Report

LE SCI ET LA GESTION DES RISQUES 46

 Identification des événements

Économiques

Environnementaux
Facteurs externes

Politiques

Sociaux

Technologiques

COSO II Report

LE SCI ET LA GESTION DES RISQUES 47

 Identification des événements

Infrastructure
Facteurs internes

Personnel

Processus

Technologie
COSO II Report

LE SCI ET LA GESTION DES RISQUES 48

 Évaluation des risques

L’évaluation des risques consiste à déterminer

dans quelles mesure des événements potentiels
sont susceptibles d’avoir un impact sur la
réalisation des objectifs.

Probabilité d’occurrence et impact (criticité)

Évaluation des risques inhérents et résiduels

COSO II Report

LE SCI ET LA GESTION DES RISQUES 49

 Évaluation des risques

Inhérent Exposition en l’absence de mesure pour modifier

la probabilité d’occurrence et l’impact

Résiduel Exposition après la prise en compte de mesures

COSO II Report

LE SCI ET LA GESTION DES RISQUES 50

 Évaluation des risques

Vraisemblance Possibilité que quelque chose se produise,

(ISO 31000) définie en terme de probabilité ou de
fréquence
= Probabilité
d’occurrence
(COSO II report)

(P) : ité de
currence e probabil
pro ba bilité d'oc é d e Mesure d nc e
L a Probabil it surv en a
surv enan
ce puisse se
Niv eau
st p o ss ible que cela
u Il e
Faible (pe n jour
b le ) produire u
1 proba
ible
ment poss
Moyen Technique
n
(probable) ainement u
2
C e la a rrivera cert
Élevé (très utre
jour ou l'a
probable) nt à court
3
e la a rriv era sûreme Source : inconnue, recherche internet
C
Très élevé terme
a in e ) ou moyen
4 (ce rt

LE SCI ET LA GESTION DES RISQUES 51

 Évaluation des risques

Conséquence Évaluation de la conséquence d’un événement

(ISO 31000) sur les objectifs.
Angle variable en fonction du type d’objectif :
= Impact - Financier (montant, %)
(COSO II - Santé/sécurité (mortalité, blessures, …)
report) - Image (portée médiatique, réseaux sociaux)
- …..

LE SCI ET LA GESTION DES RISQUES 52

 Évaluation des risques

L'impact (I) :
Notion Mesure de l'impact
Niv eau d'impact reste
Porte à conséquence, mais
1 Insignifiant tolérable
dans un
Ne peut être toléré que
ps (à titre
Modéré premier tem
2
provisoire)
la
Ne met pas vraiment
plet, mais
commune en péril com
3 Significatif est très grave et doit
traité
impérativement être
l'éq uilibre de la commune
Met
4 Grave en cause

Source : inconnue, recherche internet

LE SCI ET LA GESTION DES RISQUES 53

 Évaluation des risques

Matrice de La criticité est la combinaison de la probabilité

criticité d’occurrence et de l’impact
Matrice d
'évaluatio
n du risq
ue Impact
Faible
Moyen

e nc e
Probable Significa

ité
tif

Probabil
d'occurr
Possible

Peu prob
able

Source : inconnue, recherche internet

LE SCI ET LA GESTION DES RISQUES 54

 Traitement des risques

Mesures de Évitement : renonciation l’activité à l’origine du

traitement risque

Réduction : mesures visant à réduire la

probabilité et/ou l’impact de l’événement

Partage (ou transfert) : assurance,

couvertures, externalisation

Acceptation : ne prendre aucune mesure, sur

la base d’une décision éclairée

COSO II Report

LE SCI ET LA GESTION DES RISQUES 55

 COSO II Report

LE SCI ET LA GESTION DES RISQUES 56

 Traitement des risques

Le canton de X a identifié le risque que le programme

informatique de dépouillement des élections ne soit pas
disponible le jour J, en raison d’une panne et que les résultats
ne puissent pas être communiqués le jour même.
Quelle mesure prendre dans les 4 catégories ?

Catégorie Exemple de mesure

Évitement
Réduction

Partage
Acceptation

LE SCI ET LA GESTION DES RISQUES 57

 Activités de contrôle

Activité de Politiques et procédures permettant de

contrôle s’assurer que les traitements des risques
souhaités par la direction sont effectivement
mis en place :

- Revues du management
- Supervision d’une activité ou d’une fonction
- Traitement de l’information
- Contrôles physiques
- Indicateurs de performance
- Séparation des tâches
- Contrôles informatiques généraux et
applicatifs
COSO II Report

LE SCI ET LA GESTION DES RISQUES 58

 Activités de contrôle

Type de contrôle Exemple

Action humaine
(autocontrôle, 4 yeux,
externe)
Action mécanique

Action informatique

Règle organisationnelle

Document interne

Objet
Assurance

LE SCI ET LA GESTION DES RISQUES 59

 Activités de contrôle

Caractéristiques
Fréquence Quotidien, hebdomadaire,
mensuel, annuel, ad hoc
Type Préventif, détectif
Efficience Manuel, automatisé

Évaluation
Efficacité Couverture du risque, partielle,
totale
Traçabilité Traçabilité du contrôle effective
ou pas
Conclusion Contrôle suffisant ou mesure à
prendre
LE SCI ET LA GESTION DES RISQUES 60
 Activités de contrôle

Risques Actions humaines de Autres moyens

contrôle
Incendie

Fraude
électorale
Vol de matériel

LE SCI ET LA GESTION DES RISQUES 61

 Information et communication
Information et «Les informations pertinentes sont identifiées,
communication
saisies et communiquées dans un format et
dans des délais permettant à chacun de
s’acquitter de ses responsabilités»

«Pour être efficace, la circulation doit être

multidirectionnelle, ascendante, descendante, et
transversale au sein d’une organisation»

«Les collaborateurs comprennent le rôle qu’ils

ont à jouer dans le dispositif de management
des risques et les interactions entre leurs
activités et celles de autres membres du
personnel».
COSO II Report

LE SCI ET LA GESTION DES RISQUES 62

 Information et communication

Exemples de moyens de communication

Descriptions de processus Tutoriels / marches à suivre
Notes internes / directives Séances, colloques
Messages Manuels
Journal d’entreprise Avis affichés
Internet / Intranet Vidéos
Logiciels de gestion Manifestations / pauses
Forum de discussion FAQ

LE SCI ET LA GESTION DES RISQUES 63

 Pilotage

Pilotage Le dispositif fait l’objet d’un pilotage qui repose

sur l’évaluation de l’existence et du
fonctionnement de ses éléments au fil du temps
par le biais d’opérations courantes de pilotage
et/d’évaluations spécifiques par le management.

Les défaillances du système de management des

risques ont remontées au niveau approprié
(système de reporting) et font l’objet d’un
traitement documenté

LE SCI ET LA GESTION DES RISQUES 64

 Pilotage
Opérations courantes de pilotage
Revues de rapports
Suivi d’indicateurs
Contrôle de transactions particulières signalées
Analyse d’événements
Suivi de planning
Suivi de projets

LE SCI ET LA GESTION DES RISQUES 65

 Pilotage
Evaluations spécifiques
Fréquence Trimestrielle, semestrielle,
annuelle
Portée Globale, partielle
Évaluateur Direction, audit interne

Exemples d’outils
Diagrammes de flux Ateliers
Matrices des risques et Questionnaires
des contrôles
Manuels de référence Benchmarks

LE SCI ET LA GESTION DES RISQUES 66

 Pilotage
Documentation examinée
Organigrammes
Descriptions de fonctions, délégations
Manuels de principes et politiques
Procédures opérationnelles
Diagramme de flux
Contrôles et responsabilités
Indicateurs clés de performance
Risques clés identifiés
Mesures des risques clés

LE SCI ET LA GESTION DES RISQUES 67

 Documentation
Documentation ✓ La mise en place et l’application d’un SCI sont une
condition centrale de son existence. Les éléments
essentiels doivent être documentés.

✓ L’appréciation de l’étendue et du degré de détail de la

documentation doivent être adaptés à la taille, à la
complexité et au profil de risque de l’entité.

✓ Les processus essentiels doivent pouvoir être retracés.

✓ Les risques significatifs et les contrôles-clés qui leurs

sont attribués, ainsi que l’exécution des contrôles-clés
doivent être documentés. L’élément probant
permettant de conclure à l’exécution contient des
informations telles que la personne exécutante, les
constatations et les mesures de correction.

✓ La documentation des risques significatifs et des

contrôles-clés correspondants doit être adaptée à des
nouvelles situations
NAS-CH 890

LE SCI ET LA GESTION DES RISQUES 68

 SOMMAIRE
Concepts, définitions, normes,
terminologie
Environnement interne
Fixation des objectifs
Identification des événements
Évaluation et traitement des
risques
Activités de contrôle
Systèmes d’information et de
communication
Pilotage
Documentation
Les projets d’optimisation
Cas pratiques – risques et
contrôles

LE SCI ET LA GESTION DES RISQUES 69

 Les étapes typiques
d’un projet de mise
en œuvre de GDR

LE SCI ET LA GESTION DES RISQUES 70

 Les étapes typiques
d’un projet
d’optimisation
Phases Étapes
Définition du périmètre
Auto-évaluation de l’environnement de contrôle
Évaluation et ciblage Identification des activités - ciblage
Documenter les processus essentiels (le cas échéant)

Identifier et évaluer les risques

Analyse et détermination des Identifier et évaluer les contrôles

besoins d’optimisation
Définir le traitement des risques et les besoins
d’optimisation
Mettre en place les contrôles clés

Actualiser la documentation
Pilotage (mise en œuvre et
Informer / former le personnel
surveillance)
Mise en œuvre et documentation des contrôles

Surveillance et information

LE SCI ET LA GESTION DES RISQUES 71

 Définir le périmètre du SCI

En fonction des normes ou des lois applicables, en

selon le domaine d’activité de l’entité, le SCI aura
une portée différente

Domaines
Financier Sécurité de l’information
États financiers Image
Opérationnel Santé des personnes
Stratégique Environnement
Légalité

LE SCI ET LA GESTION DES RISQUES 72

 Procéder à une
auto-évaluation
L’environnement de contrôle influe sur la qualité du SCI et
couvre toutes les activités et processus. Il est primordial
d’évaluer son environnement de contrôle afin de
déterminer ultérieurement les besoins d’optimisation

Le COSO report contient des

listes de points à aborder dans
le cadre de cette évaluation

LE SCI ET LA GESTION DES RISQUES 73

 Affirmation Inexistant Insuffisant Suffisant Bon

1.1. Il existe, au niveau de l'Etat ou de l'entité, Il existe des règles Tous les domaines
des règles de conduite et d'éthique écrites à Il n'y a pas de règles écrites disparates essentiels sont Il existe un véritable
appliquer dans le travail et qui permettent écrites couvrant certains couverts par des règles code d'éthique
d'éviter ou de gérer les conflits d'intérêt. domaines écrites disparates
Le respect des règles
Les problèmes de Le respect des règles éthiques fait partie de
1.2. La direction encourage l'intégrité et l'éthique
respect des règles éthiques fait partie des la culture de l'entité et
au travail et s'assure que les règles sont Rien n'est entrepris
éthiques sont traités objectifs personnels est intégré dans les
correctement appliquées.
lorsqu'ils apparaissent des collaborateurs processus
opérationnels
1.3. Les membres du personnel doivent-ils Le point est abordé Un formulaire de
Le contrat de travail
confirmer qu'ils ont pris connaissance des oralement lors de confirmation est signé
Rien n'est entrepris type contient mention
règles d'éthique et qu'ils les ont comprises ? l'engagement des par tous les
de l'existence de règles
(répondre inexistant si inexistant au point 1.1) collaborateurs collaborateurs
1.4. Les collaborateurs comprennent quel
En cas de problème, L'interprétation des Les directives sont
comportement est accepté ou ne l’est pas selon
les collaborateurs principes et directives explicites et traitent en
les principes et directives applicables à l'entité. Rien n'est entrepris
peuvent informer leur permet d'agir détail des actions à
Ils savent ce qu’il faut faire lorsqu’ils sont en
supérieur correctement entreprendre
présence d’un comportement „incorrect“.
Les actions à
Tous les cas graves
1.5. En cas de manquement aux règles en Certains cas font l'objet entreprendre sont
font l'objet de mesures
vigueur, des mesures disciplinaires Il n'y a jamais de de mesures mais ne documentées dans un
appropriées,
appropriées sont (ou seraient) prises et sanction sont pas processus, qui prévoit
communiquées au
communiquées au personnel. communiqués aussi la
personnel du service
communication
C'est possible aux
1.6. Des mandats et/ou des travaux peuvent-ils Il n'y a pas de règles
Il n'y a aucune conditions du marché C'est interdit dans tous
être attribués à des proches ou à des membres écrites, mais on évite
restriction avec l'approbation du les cas
de la famille des collaborateurs. en principe de le faire
chef de l'entité

La manière de traiter
Dans les cas Dans tous les cas, il y les dérogations est
1.7. Les dérogations prises sur le système de Il n'y a pas de
importants, il y a une a une motivation prévue dans un
contrôle interne sont dûment motivées et documentation des
trace dans les explicite dans les processus, y compris
documentées dérogations
documents de l'entité documents de l'entité leur documentation

Etat de Neuchâtel correcte

Service: 1
Commentaire
La qualité de l'environnement de contrôle influe
Synthèse de l'évaluation de l'environnement de contrôle 2
sur le système de contrôle interne. Un SCI
(étape 1.3 du concept d'optimisation du SCI de l'Etat de Neuchâtel) efficace ne peut exister qu'avec un
environnement de contrôle adéquat. Ce
formulaire automatisé sert à l'évaluer, domaine
par domaine, grâce à des réponses standards qui
1. Intégrité et valeurs éthiques Bon Evaluer permettent d'uniformiser l'évaluation. L'évaluation
par domaine est une moyenne pondérée, toutes
2. Style de direction Suffisant Evaluer les questions n'ayant pas la même importance.
Chaque question doit être traitée. Le terme
3. Structure organisationnelle Bon Evaluer direction désigne les cadres de l'entité
concernée.
4. Politique en matière de ressources humaines Suffisant Evaluer

Moyenne VRAI Bon

Indication
Conclusion / actions à prendre Dans les feuilles d'évaluation, les colonnes
"Evaluation" et "Justification de l'évaluation"
doivent être complét ées. Dans la colonne
"Evaluation", des menus déroulants sont
Votre environnement de contrôle atteint le niveau adéquat et garantit un matérialisés dans chaque cellule par une flèche
sur laquelle il faut cliquer.
fonctionnement normal du système de contrôle interne, si celui-ci est correctement
conçu, à savoir notamment des contrôles appropriés couvrent les risques importants.

Date Auteur
33

Date et visa du chef de service:

LE SCI ET LA GESTION DES RISQUES 74
 Identifier les
activités - ciblage

• Sur la base des documents de l'entité (prestations

et activités, descriptions de fonction, cahier des
charges, directives internes, etc.) et au travers
d'interviews avec des personnes ayant si possible
Lister les une vue transversale de l'entité, lister les
activités de prestations et activités principales de l'entité
l’entité

• Pour chaque activité, déterminer si elle est

essentielle, à savoir si son dysfonctionnement
pourrait avoir des conséquences significatives et
Déterminer les empêcher la réalisation d'objectifs importants pour
activités l'entité.
essentielles

LE SCI ET LA GESTION DES RISQUES 75

Identifier
Exemples de processus, avec leurs domaines de risques
les Processus Domaines de risques (exemples non-exhaustifs)
Facturation Abandons

activités
Prestations de service Comptabilisation des factures de clients Gestion du contentieux
et émoluments Evaluation, correction de valeur Réception des paiements
Gestion des débiteurs Séparation des fonction

(ciblage)
Tenue des registres Contentieux
Impôts Taxation Gestion comptable et budgétaire
Perception Séparation des fonction

Demandes de subventions Gestion des liquidités (avances)

Subventions acquises Suivi des subventions Demandes de remboursement
Décomptes de subvention Séparation des fonction

Saisie/contrôle des factures Paiements

Achats (BSM) Comptabilisation des factures de fournisseurs Demandes de remboursement
Contrôle budgétaire Séparation des fonction
Octroi des subventions Gestion des liquidités (avances)
Subventions accordées Suivi/contrôle des subventions Demandes de remboursement
Inventaire des subventions Séparation des fonction

Entrées de marchandises Sorties de marchandises

Stocks Etablissement de l'inventaire Séparation des fonction
Evaluation des stocks

Saisie/contrôle des factures Amortissement

Acquisitions d'immobilisation Evaluation
Investissements Contrôle budgétaire Séparation des fonction
Sorties d'immobilisation Inventaire physique

Salaires et autres Décompte de traitement (mensuels et horaires) Retenues sur salaires et remboursements
Comptabilisation des salaires Certificats de salaire
prestations au Gestion du temps de travail Autres prestations au personnel
personnel Paiement des traitements Séparation des fonction

Gestion des encaissements Estimations du résultat annuel

Gestion des comptes de liquidités Elaboration du budget
Finances Bouclement annuel des comptes Présentation des comptes
Placements/Emprunts Séparation des fonction

Gestion des accès (physiques et logiques) Gestion budgétaire

Informatique Gestion des données (sauvegardes, etc.) Gestion des risques (plan catastrophe, etc.)
Gestion des modifications aux applications Séparation des fonction

Missions et objectifs
Domaines de risques particuliers spécifiques à l'entité concernée
de l'entité
LE SCI ET LA GESTION DES RISQUES 76
Identifier les
activités(ciblage)

LE SCI ET LA GESTION DES RISQUES 77

 Documenter les
processus essentiels
Selon les méthodologies ou les situations, cette étape n’est pas obligatoire. L’analyse des
processus documentés peut cependant faciliter l’analyse des risques, ceux-ci pouvant être
mieux appréhendés. Dans certains cas, notamment quand les entités disposent d’une
certification qualité ([Link] ISO), les processus sont déjà documentés.

•Définir, sur la base de la documentation de l'entité, le début et la fin du processus, les étapes
majeures et les intervenants. Les intervenants doivent être choisis en fonction de leur
Analyse connaissance du processus dans son ensemble.
préliminaire

•S’il y a une connaissance suffisante du processus, établir un schéma sommaire à compléter

lors des entretiens. Si ce n'est pas le cas, préparation des questions essentielles concernant
Préparation les grandes étapes du processus.
des entretiens

•L'entretien avec les intervenants sert à obtenir d'eux la description des étapes du processus
ou leur validation. A partir du début du processus, il faut avancer chronologiquement et
différencier le processus standard et les exceptions. Demander à voir les documents et la
Entretiens source des informations.

•Sur la base des informations obtenues lors des entretiens avec les intervenants,
Description
documentation du processus au standard défini par l'entité
du processus

•Lors de l’établissement de la description, des questions peuvent apparaître et des options

peuvent devoir être choisies. Il s'agit de vérifier avec les intervenants si la description du
processus correspond à la réalité. En fonction de la formation des intervenants, on pourra
Validation simplement leur transmettre le schéma pour contrôle.

LE SCI ET LA GESTION DES RISQUES 78

 Identifier et évaluer
les risques

•Rechercher les risques (risque = possibilité de ne pas atteindre un objectif) associés au processus en
passant en revue le déroulement du processus en se posant la question suivante "Qu’ est-ce qui pourrait
mal se passer ?" et qui pourrait nuire au bon déroulement du processus et à ceux qui le suivent. Il est
possible de déterminer ainsi les causes du risque en recherchant les activités mal ou pas exécutées. En
Recherche des examinant les conséquences de ces dysfonctionnements, et par comparaison avec les objectifs de l'entité,
causes de risques on parvient à décrire le risque.
et des risques

•Cette étape n’est pas obligatoire mais elle sert dans les cas où il a été décidé de ne traiter que les risques
significatifs ou supérieurs à un certain niveau.
•Afin déterminer si un risque est significatif ou non, il s'agit de se prononcer sur sa probabilité d'occurence
Détermination et son impact sur les objectifs dans le contexte de l'entité concernée et fonction du référentiel choisi.
l’importance du •Une matrice permet de standardiser l’évaluation du risque et de décider de son éventuel traitement.
risque

Exemple :

Impact
Matrice d'évaluation du risque
Faible Moyen Significatif

Probable A analyser A traiter A traiter

d'occurrence
Probabilité

Possible Négligeable A traiter A traiter

Peu probable Négligeable Négligeable A analyser

LE SCI ET LA GESTION DES RISQUES 79

 Identifier et évaluer
les contrôles
•Pour les risques qu’on a choisi de traiter, existe-t-il un contrôle, c’est-à-dire une
Identification mesure permettant d’éliminer ou de réduire le risque ?
des contrôles
existants

•Déterminer si le contrôle est efficace ou non. Un contrôle est efficace lorsqu'il est
préventif et couvre complètement le risque identifié. Un contrôle détectif ne sera en
Évaluation de principe pas considéré comme efficace car il ne couvre pas le risque en tant que tel,
l’efficacité du
contrôle
mais permet uniquement de détecter sa réalisation.

•Déterminer la traçabilité ou non du contrôle. Un contrôle traçable est un contrôle dont

on peut vérifier qu'il a été effectué à postériori. Il s'agit donc d'une question de
Évaluation de la
traçabilité du documentation.
contrôle

•Donner un statut au contrôle. Deux statuts sont prévus en principe: ok (le risque est
suffisamment couvert ou alors assumé sans autre mesure) ou plan d'action (le risque
Conclure sur le
n'est pas suffisamment couvert et des mesures doivent être prises dans le cadre du
contrôle plan d'actions).

Exemple de documentation : tableau des risques et des contrôles

Evaluation des contrôles et plan
Processus Inventaire des risques Inventaire des contrôles
d'actions

Traçabilité
Efficacité
Classification du risque et Type de Com m entaire /
N° Description Etape Risques Type de risque Contrôles Resp. Statut
traitem ent recom m andé contrôle conclusion
(recommandation)
Fraudes, erreurs
Non respect des

Non atteinte des

A = automatisé
bases légales

Traitement du
d'occruence

P = Préventif
Explication des points

D = Détectif

M = manuel
Probabilité
Reporting
financier

oui / non

oui / non
OK ou plan
objectifs

Impact

risque

Identification du Description du risque et faibles des contrôles

N° N° Description des contrôles d'actions
processus et de l'étape M = causes possibles Suggestions
(PA)
d'amélioration

LE SCI ET LA GESTION DES RISQUES 80

 Définir les besoins
d’optimisation
Analyse de activités et processus

Evaluation des contrôles et plan

Processus Inventaire des risques Inventaire des contrôles
d'actions

Traçabilité
Efficacité
Classification du risque et Type de Com m entaire /
N° Description Etape Risques Type de risque Contrôles Resp. Statut
traitem ent recom m andé contrôle conclusion

(recommandation)
Fraudes, erreurs
Non respect des

Non atteinte des

A = automatisé
bases légales

Traitement du
d'occruence

P = Préventif
Explication des points

D = Détectif

M = manuel
Probabilité
Reporting
financier

oui / non

oui / non
OK ou plan
objectifs

Impact

risque
Identification du Description du risque et faibles des contrôles
N° N° Description des contrôles d'actions
processus et de l'étape M = causes possibles Suggestions
(PA)
d'amélioration

Évaluation de l’environnement de contrôle

Plan
Plan d’actions
d'actions
Créé le : Auteur: Catégories M odifié le:

Exécution des contrôles

Dév. et tests contrôles

Documentation

Surveillance
Formation

N° action Action Référence Importance Urgence Qui Délai Etat Commentaire

1
2

LE SCI ET LA GESTION DES RISQUES 81

 Mettre en œuvre
Étapes Output - documentation

Développer et tester les Mettre en œuvre le plan d’actions (modifications de

contrôles processus, introduction/modification/suppression
de contrôles, amélioration de l’environnement de
contrôle)
Planification de la surveillance et du reporting
Actualiser la Mettre à jour les descriptions de processus et des
documentation contrôles et le tableau des risques et des contrôles
Formation du personnel Formulaires, checklists, directives, instructions,
aux contrôles messages, manuels
Mise en œuvre des Documentation des contrôles effectués (traçabilité)
contrôles et
documentation

Pilotage (surveillance et Opérations courantes de pilotage

information) Revues périodiques et reporting

LE SCI ET LA GESTION DES RISQUES 82

 Cas pratique
Étapes du processus
Dépôt d’une demande de prêt sans intérêt
Afin de lutter contre la crise
Réception de la demande de prêt sans
économique liée à la pandémie intérêt
de la COVID-19 - notamment Analyse de complétude de la demande de
le manque de liquidités prêt sans intérêt
Analyse économique de la demande de
immédiat pour faire face aux prêt sans intérêt
charges courantes - le Conseil Décision d’octroi d’un prêt sans intérêt
d’État a décidé d’une mesure
Communication de la décision
de soutien en faveur des
indépendants et des petites Paiement et comptabilisation du prêt
sans intérêt octroyé
entreprises, sous la forme de
prêts sans intérêt d’un montant Facturation des remboursements des
maximal de CHF 15’000 et prêts sans intérêt
remboursable dans un délai de Évaluation des risques de pertes relatives
vingt-quatre mois. aux prêts sans intérêt non remboursables
(provision)

LE SCI ET LA GESTION DES RISQUES 83

LE SCI ET LA GESTION DES RISQUES 84
 Cas pratique –
Identification des
risques
Étapes du processus Risque inhérent
Dépôt d’une demande Demandes non-éligibles
Réception de la demande

Analyse de complétude

Analyse économique

Décision d’octroi

Communication de la décision

Paiement et comptabilisation

Facturation des remboursements

Évaluation des risques de pertes (provision)

LE SCI ET LA GESTION DES RISQUES 85

 Cas pratique -
Identification des
contrôles
Étapes du Risque inhérent Contrôle
processus
Dépôt d’une Demandes non-éligibles Demande par formulaire
demande d’autoévaluation sur internet
Réception de la Demande pas traitée
demande
Analyse de Informations manquantes
complétude
Analyse Prêt accordé à tort
économique
Décision d’octroiDécision erronée, pas de
décision
Communication de Pas de communication,
la décision communication erronée
Paiement et Paiement montant
comptabilisation incorrect
Comptabilisation incorrecte
Facturation des Non remboursement
remboursements
Évaluation des Surévaluation des prêts au
risques de pertes bilan
(provision)
LE SCI ET LA GESTION DES RISQUES 86
 Cas pratique -
Caractéristiques des
contrôles
Contrôle Resp. Fréq. Auto Portée Trait. Traç
Demande par formulaire Chef Ad hoc Mixte Préventif Réduction OK
d’autoévaluation sur internet projet
Tenue d’un fichier de suivi des Chef
demandes projet
Vérification des documents Secr.
exigés. Demandes de
compléments
Vérification du respect des Chef
conditions sur la base d’une projet
checklist et d’un formulaire de
calcul. Préavis
Analyse du dossier, y.c préavis Chef
service
Tenue d’un fichier de suivi des Secr.
demandes
Comparaison avec la convention Dpt
de prêt, validation par workflow
Dates d’échéance saisies dans le Resp. fin.
système de gestion des prêts,
processus de facturation
périodique
Calcul automatique dans le fichier Resp. fin.
de suivi
LE SCI ET LA GESTION DES RISQUES 87
 Références
Institut français de l’audit et du contrôle interne et PriceWaterhouseCoopers.
Le management des risques de l’entreprise : cadre de référence, techniques d’application : COSO II report.
Paris, Ed. d’Organisation, 2005.

Institut français de l’audit et du contrôle interne et PriceWaterhouseCoopers.

La pratique du contrôle interne : COSO report.
2e éd., 4ème tirage. Paris. Eyrolles, Ed. d’Organisation, 2007.

Expertsuisse. Normes d’audit suisse (NA-CH). Ed. 2022. Zürich : Chambre fiduciaire, 2022

Optimiso Group, Thomas Kortmoller. Guide pratique pour un système de contrôle interne utile,
établissements et administrations publiques.
Optimiso Group, 2019.

ISO
Norme internationale ISO 31000, Management des risques, Lignes directrices.
ISO 2018

Directives sur la gestion des risques du canton de Berne, Conseil d’Etat, 24 novembre 2021.

Guide de gestion intégrée du risque, Secrétariat du Conseil du Trésor du Canada, 2016

Manuel de gestion des risques de la Confédération, Administr. féd. des finances, 2022.

Règlement sur la gestion des risques du canton de Genève, Conseil d’Etat, 2013

Internal Control Masters, Christian Ague, Linkedin

LE SCI ET LA GESTION DES RISQUES 88

 Bibliographie

LE SCI ET LA GESTION DES RISQUES 89