• Accueil
• News
• Archives des News
• GRIFES, Manifestations
• Services
  • Audit informatique
  • Sécurité informatique
  • Organisation informatique
  • Formation - sensibilisation
• Contrôle interne
• Outsourcing et SLA
• Normes
  • CobiT
  • ISO 20000 / ITIL
  • Famille ISO 27000 / ISMS
  • Autres normes
• Boîte à outils
• Qui sommes-nous
• Contact

Système de Contrôle interne (SCI)
Internes Kontrollsystem (IKS)

Définitions

COSO
Selon le COSO - concept SCI le plus connu et reconnu - le SCI (IKS) est un processus appliqué par les membres du CA, le management et autres personnes désignées pour fournir l’assurance raisonnable concernant la réalisation des objectifs dans les trois catégories suivantes :

1. Efficacité et efficience des opérations
2. Fiabilité du reporting financier
3. Respect des lois et règlements applicables (conformité).

Il se compose de cinq composants fortement liés entre eux:

1. Environnement de contrôle
2. Evaluation des risques
3. Activités de contrôle
4. Information - Communication
5. Surveillance.

Il existe des relations directes entre les objectifs – ce que l’entreprise veut atteindre – et les composants – ce que l’entreprise a besoin pour les atteindre.

Chambre Fiduciaire Suisse
Dans la NAS 890 (Norme d'audit suisse, Vérification de l'existence du SCI), il est indiqué que "Le SCI, au sens de la présente norme, comprend uniquement les processus et les mesures dans une entreprise qui garantissent une tenue régulière de la comptabilité et un rapport financier adéquat."

IFACI
Dans son Cadre de référence de contrôle interne, le SCI est un dispositif de la société, défini et mis en oeuvre sous sa responsabilité, qui vise à assurer :

• la conformité aux lois et règlements ;
• l’application des instructions et des orientations fixées par la Direction Générale ou le Directoire ;
• le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs ;
• la fiabilité des informations financières ;
  

et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources.

Aussi, la Direction de l'entreprise doit-elle commencer par définir les objectifs SCI qu'elle veut atteindre (ou les principaux risques qu'elle perçoit et qu'elle veut gérer), par exemple les risques financiers, opérationnels, de conformité, de réputation et d'efficience.

Plus-values du SCI (SCI+)

Les entreprises devraient rechercher des plus-values (ROI) lors de la mise en place de leur SCI (SCI+). Au demeurant, il s'agit de transformer en avantages les obligations légales de mettre en place le SCI, par exemple:

• gérer les risques stratégiques, opérationnels, de réputation, de reporting financier et de conformité;
• SCI optimisé : augmenter l'efficacité et l'efficience des opérations et des contrôles;
• obtenir une meilleure vision des exigences SCI de la Direction de l'entreprise, des processus, des opérations et des risques;
• passer d'une vision verticale des processus à une vision transversale, dépassant les frontières de l'entreprises (considérer les fournisseurs et les clients par exemple);
• définir clairement les rôles et les responsabilités de chacun, à tous les niveaux et s'assurer que chacun y adhère;
• inclure la notion de contrôle dans la culture de l'entreprise: les contrôles doivent faire partie des activités quotidiennes.

Le SCI et l'informatique

L'importance des systèmes d'information pour les entreprises de toutes tailles les oblige à contrôler leurs systèmes dans les objectifs SCI indiqués ci-dessus.

Il existe deux types de contrôles informatiques : Les contrôles généraux et les contrôles applicatifs.

Les contrôles généraux comprennent tous les contrôles de l'infrastructure informatique nécessaire au fonctionnement des applications. Par exemple, gestion de l'exploitation, logiciels d'exploitation, sécurité des accès, développement et maintenance des systèmes et des applications.

Les contrôles applicatifs servent au contrôle du traitement des applications, depuis la saisie des opérations jusqu'à la sortie des données.

Les entreprises peuvent s'appuyer sur des normes reconnues pour choisir les contrôles informatiques les plus appropriés pour atteindre leurs objectifs SCI, par exemple, le référentiel CobiT et la norme ISO 27002.

Mise en place du SCI-IT

La mise en place du SCI de la partie informatique (SCI-IT) doit s'appuyer sur le concept général de mise en place du SCI, en partant des processus métiers : SCI (processus métiers) > SCI-IT (processus IT nécessaires au traitement des processus métiers).

Approche proposée de mise en place du SCI-IT
Cette approche respecte, d'une part, les exigences du COSO et, d'autre part, les exigences ISO de gestion des processus (Plan, Do, Check, Act).

Plan / Analyser les risques
- Catégoriser le système à autoriser
- Définir les risques
- Rechercher et apprécier les contrôles
- Proposer des mesures correctives

Do / Installer et autoriser
- Installer les mesures correctives
- Déterminer et accepter les risques résiduels
- Autoriser le système

Check / Surveillance
- Surveiller, auditer l'efficacité et l'efficience du SCI

Act / Améliorer
- Adapter, améliorer, corriger le SCI.

--------------------------------------------------------------------------------
Copyright © 2009 - 2010 Aud-IT Sàrl Geneva All rights reserved