420 likes | 604 Views
Intégration de la gestion du risque et de la conformité aux systèmes intégrés d’information relatifs à la gestion financière (SIIRGF). Le milieu financier mondial. Le milieu financier mondial.
E N D
Intégration de la gestion du risque et de la conformité aux systèmes intégrés d’information relatifs à la gestion financière (SIIRGF)
Le milieu financier mondial • Pour réussir, aucun gouvernement ou économie ne peut fonctionner aujourd’hui sans interconnectivité mondiale. • Les marchés et les industries existent avec transparence dans le monde entier, et exercent leurs activités 24 heures sur 24. • La croissance de cette connectivité a augmenté les demandes de disponibilité et de fiabilité des informations financières. • Cette demande à l’égard des données est alimentée par l’utilisation sans cesse croissante de Systèmes de gestion financière faisant appel à la Technologie de l’information (TI) intégrée.
Le nouveau milieu de la communication des informations financières • Avec l’économie mondiale, la communication des informations financières doit être pertinente, ponctuelle et uniforme dans l’ensemble des secteurs. • Les actifs des entreprises sont considérés davantage comme « incorporels » et assujettis à des évaluations contradictoires. • Les données des sociétés sont instantanément accessibles, mais pas toujours suffisantes pour satisfaire aux exigences de tous les actionnaires. • Citoyens • Actionnaires • Autorités de réglementation
Le résultat de leur analyse? • À long terme, la communication de rapports financiers sera normalisée afin d’offrir des données adéquates à toutes les parties intéressées. • Il se produira une convergence et une harmonisation des normes mondiales de vérification, si l’on veut offrir une assurance raisonnable de l’exactitude des rapports financiers. • De nouvelles normes relatives aux données seront adoptées en vue d’améliorer la mise en force des contrôles et d’accroître la détection de la fraude. • Les systèmes financiers doivent disposer de contrôles internes adéquats, permettant une transparence constante.
Incidence sur les gestionnaires du Fédéral • Les gouvernements exercent un rôle de plus en plus important dans les marchés des capitaux mondiaux, non seulement à titre d’autorités de réglementation, mais aussi comme investisseurs et participants. • Ils doivent offrir des informations financières de la plus haute qualité aux nombreuses parties intéressées, dans une multitude de formats, et souvent au moyen d’efforts répétitifs et de processus inefficaces. • Les organismes gouvernementaux se voient confier par leurs citoyens la responsabilité de maintenir de saines pratiques financières, de limiter la fraude et la corruption et d’offrir des contrôles adéquats en matière de communication de rapports financiers.
La définition des contrôles internes En général, on définit un contrôle interne comme un processus émis par le conseil d’administration, la direction ou d’autres membres du personnel d’une entité, en vue de procurer une assurance raisonnable de la réalisation d’objectifs dans les catégories suivantes : • Efficacité et efficience des activités • Fiabilité de la communication de l’information financière • Conformité aux lois et règlements applicables La direction a une responsabilité fondamentale relative à l’élaboration et au maintien d’un contrôle interne efficace.
Évolution des contrôles internes Le contrôle interne est un moyen de gestion du risque associé aux programmes et aux activités Internal Control = Contrôle interne Organization = Organisation Policies = Politiques Procedures = Procédures Les contrôles internes – l’organisation, les politiques et les procédures – sont des outils conçus pour aider les gestionnaires de programmes et les directeurs des finances à atteindre les résultats visés et à protéger l’intégrité de leurs programmes.
COSO • Committee of Sponsoring Organizations of the Treadway Commission (COSO) • Une initiative du secteur privé des É.-U., créée en 1985 • Son principal objectif est d’identifier les facteurs causant une communication d’information financière frauduleuse et de proposer des recommandations pour en réduire la fréquence. • Le COSO est parrainé par cinq grandes organisations comptables américaines : • American Institute of Certified Public Accountants (AICPA) • American Accounting Association (AAA) • Financial Executives Institute (FEI) • The Institute of Internal Auditors (IIA) • The Institute of Management Accountants (IMA) • Le COSO a établi une définition commune des contrôles internes, normes et critères selon laquelle les entreprises et les organisations peuvent évaluer leurs systèmes de contrôles, ce qui constitue la base du cadre du contrôle interne régi par la loi SOX. • Source: www.coso.org
Structure des contrôles internes du COSO Communication de l’information financière Conformité Opérations Pilotage Information et communication Activité 1 Activités de contrôle Unité A Analyse de risque Environnement de contrôle
Environnement de contrôle • Établit le ton de l’organisation – influence le niveau de conscientisation au contrôle de son personnel • Inclut l’intégrité, des valeurs éthiques, la compétence, l’autorité et la responsabilité • Sert de fondation pour tous les autres éléments du contrôle
Évaluation des risques • La reconnaissance et l’analyse des risques pertinents liés à la réalisation des objectifs de l’entité – constituant la base pour la détermination des activités de contrôle
Activités de contrôle • Les politiques et procédures assurent l’application des directives de la direction • Elles incluent plusieurs activités, dont les approbations, autorisations, vérifications, recommandations et évaluations de rendement, ainsi que la sécurité des actifs et la répartition des tâches
Information et communication • Identification, saisie et communication de l’information pertinente en temps opportun • Accès à l’information générée à l’interne et à l’externe • Circulation de l’information permettant le succès des mesures de contrôle, des instructions sur les responsabilités aux sommaires des résultats à des fins de mesures par la direction
Surveillance • Évaluation du rendement d’un système de contrôle au fil du temps • Combinaison des évaluations continue et distincte • Activités de gestion et de supervision • Activités de vérification interne
Tendances mondiales relatives aux mandats de contrôle interne
Loi Sarbanes-Oxley des États-Unis • La Loi Public Company Accounting Oversight Act, connue aussi sous le nom de U.S. Sarbanes-Oxley Act of 2002 ou « SOX » • Composée entre autres de trois articles : • Titre I – Public Company Accounting Oversight Board. PCAOB, formé à titre de division de la Securities and Exchange Commission (SEC). Les cabinets de vérification de sociétés ouvertes doivent s’enregistrer auprès du PCAOB et doivent maintenant se conformer à la réglementation du PCAOB. • Titre III – Responsabilité des sociétés. L’article 302 établit des exigences d’accréditation des la part des chefs de la direction générale et des chefs de la direction financière en ce qui a trait à la présentation de rapports annuels et trimestriels déposés auprès de la SEC. • Titre IV – Enhanced Financial Disclosures. L’article 404 (a) exige que la direction évalue et communique les contrôles internes au moyen d’un rapport, et l’article 404 (b) exige que le vérificateur externe de la société atteste des déclarations de la direction à l’égard des contrôles internes et produise un rapport sur ces déclarations.
Loi canadienne 198 • Publiée en 2003 par la Commission des valeurs mobilières de l’Ontario et l’Autorité canadienne en valeurs mobilières • Comprend trois textes législatifs : • Règlement 52-108 sur la surveillance des vérificateurs • Règlement 52-109 sur l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs (« CSOx ») • Règlement 52-110 sur les comités de vérification • Le Règlement 52-109 correspond en fait à l’article 302 avec un accent sur les Contrôles de communication de l’information financière (CCIF) • Mise en application de l’article 404 équivalant à l’attestation encore en instance
Loi japonaise SOX (J-SOX) • Le 15 février 2007 – Le Business Accounting Council du Financial Services Agency • « Établissement de normes portant sur l’évaluation et la vérification des contrôles internes sur l’établissement des rapports financiers » • L’organisme exige que toutes les sociétés ouvertes soumettent des rapports consolidés sur les contrôles internes à compter du 1er avril 2008 • Les normes d’établissement des rapports sont semblables aux articles 302 et 404 en vertu de la loi américaine SOX.
Évolution des contrôles internes au sein du Gouvernement des États-Unis Sarbanes Oxley 2002 Loi Budget and Accounting Procedures de 1950 DHS Financial Accountability Act 2004 FMFIA 1982 IG Act 1978 FFMIA 1996 FISMA 2002 CFO Act 1990 OMB A-123 2004 OMB A-123 1995 OMB A-123 1981 OMB Q&A 1984 CFO Council Implementation Guide 2005 GAO Green Book 1999 GAO Green Book 1983
Autres normes gouvernementales internationales • Normes de contrôle interne INTOSAI • Guide des bonnes pratiques de vérification interne du Gouvernement du RU • Politique du gouvernement canadien en matière de vérification interne • Code d’éthique de l’Institut de vérificateurs internes (IIA) • Cadre de gestion du risque du Gouvernement canadien
Systèmes intégrés d’information relatifs à la gestion financière (SIIRGF)
Description d’un système de gestion financière • L’expression « système de gestion financière » désigne un système d’information comprenant une ou plusieurs applications, et utilisé aux fins suivantes : • Collecte, traitement, maintien, transmission et communication de données relatives à des événements financiers • Support à la planification financière ou aux activités d’établissement de budget • Accumulation et rapports d’information sur les coûts • Support à la préparation d’états financiers • Un système financier peut inclure de multiples applications qui sont intégrées dans une base de données commune ou couplées électroniquement, au besoin, pour répondre aux exigences définies en matière de données et de traitement • Source : Office of Management and Budget (OMB) Circular A-127
Technologie de l’information (TI) et IFMIS • Les systèmes sont conçus pour automatiser le processus financier et favoriser la transparence et l’imputabilité dans la gestion des finances publiques • Les systèmes de gestion financière sont dictés par la TI • Pour obtenir une transparence et une imputabilité adéquates, on doit doter les systèmes d’un cadre de contrôles internes complet • La TI sous-entend la considération d’éléments particuliers qui favoriseront une mise en œuvre et une application adéquate des contrôles internes
Contribution possible de la TI au contrôle interne • La TI procure des avantages possibles en matière d’efficacité et d’efficience pour le contrôle interne d’une entité, car elle permet à celle-ci : • D’appliquer avec constance des règles administratives prédéfinies et d’exécuter des calculs complexes dans le traitement d’un grand volume d’opérations et de données • D’augmenter la rapidité de diffusion, la disponibilité et la précision de l’information • De faciliter à l’analyse de renseignements supplémentaires à partir de sources multiples, sur une base ponctuelle
Contribution possible de la TI au contrôle interne (suite) • D’augmenter la capacité de surveiller le rendement des activités, politiques et procédures de l’entité • De réduire le risque que les contrôles soient contournés • D’accroître la capacité d’atteindre une répartition des tâches efficace, en implantant des contrôles de sécurité dans les applications, les bases de données et les systèmes d’exploitation
La TI est une source de risques • La fiabilité des systèmes ou des programmes qui traitent de façon inexacte les données, qui traitent des données inexactes, ou les deux • L’accès non autorisé aux données pouvant entraîner la destruction de données ou le détournements d’actifs, au moyen de modifications de données non appropriées, incluant l’enregistrement d’opérations non autorisées ou non existantes, ou l’enregistrement inexact d’opérations • La perte possible de données • L’apport de modifications non autorisées aux données dans les fichiers maîtres • L’apport de modifications non autorisées aux systèmes ou aux programmes • L’omission d’apporter les modifications nécessaires aux systèmes ou aux programmes • Une intervention manuelle inappropriée
Automatisation des contrôles internes et de la gestion du risque
Pourquoi automatiser le processus de contrôles? • Compte tenu de la complexité de la présentation de rapports financiers et de la TI, un logiciel de contrôles automatisé peut se révéler extrêmement bénéfique à l’égard d’un programme de contrôles internes. • Des solutions automatisés peuvent détecter, surveiller et rapporter une vaste gamme de problèmes de contrôle, de secteurs de risque et d’indicateurs de rendement. • Grâce aux logiciels, il est possible d’intégrer des règles administratives dans le système, afin d’assurer la conformité à la réglementation et d’automatiser les processus de présentation de rapports.
Les avantages de l’automatisation • Procure une structure pour le programme de contrôles internes • Améliore la surveillance des lacunes des contrôles et des plans de mesures correctives à tous les paliers de direction au sein de l’organisation • Offre une unité d’archivage des sources de documentation qui peuvent être mises à la disposition des vérificateurs et des actionnaires • Permet à la direction principale d’être au courant des secteurs qui nécessitent l’apport de modifications aux processus ou des ressources supplémentaires
Discipline sur le programme de contrôles internes • Les logiciels peuvent aider une organisation à maintenir une discipline sur son programme de contrôles internes, en lui offrant un cadre pour la documentation et l’évaluation des contrôles, les essais de contrôles internes ou le contrôle du déroulement des activités, afin qu’elle puisse s’assurer de l’application de ces contrôles • Les logiciels peuvent simplifier la démonstration de vos contrôles internes à vos vérificateurs et réduire le nombre d’essais que ces derniers auront à exécuter.
Utilisations de logiciels de contrôles internes automatisés • Types de logiciels offerts sur le marché : • Essais et rapports • Gestion de documents et de dossiers • Modélisation des processus administratifs • Gestion de politiques • Gestion du risque et évaluation des risques • Support pour cadres de contrôle multiples • Support pour réglementations multiples à l’échelle des unités opérationnelles • Automatisation et surveillance des contrôles
Logiciel d’archivage • Procure à l’échelle de l’organisation une unité d’archivage centrale pour la documentation relative aux contrôles internes • Permet de conserver de la documentation sur le déroulement des activités et des processus clés, le contrôle des objectifs et le contrôle des activités et des risques pour chaque fonction principale dans l’organisation • Peut être établi comme un outil sur le Web permettant à de multiples utilisateurs d’entrer de l’information • Permet à l’organisation d’effectuer une gestion centrale de la documentation sur les contrôles internes et de saisir de l’information sur les résultats des essais • Peuvent être déjà fournis avec les modèles de référence standards, destinés au contrôle des objectifs, des activités et des risques
Essais des logiciels • Permettent à une organisation de faire l’essai des contrôles internes d’un système, en les couplant directement avec le système • Peuvent permettre l’évaluation de la répartition des tâches et des infractions relatives aux autorisations • Permettent aux organisations de déceler les incidences d’infractions et d’apporter les modifications aux processus ou aux rôles administratifs au besoin • Peuvent être déjà offerts avec les objectifs et les activités de contrôle habituels, et être modifiés au besoin • Peuvent présenter une capacité d’archivage limitée à l’égard du flux de documents
Logiciel de gestion des processus administratifs • Permet à une organisation de concevoir et de dicter le déroulement des activités pour un processus donné • Constitue une partie intégrante du rendement du processus • Permet la documentation du processus lié au déroulement des activités • Le déroulement des activités est exécuté à l’extérieur du système principal • Favorise l’exécution du processus lié au déroulement des activités selon sa conception, en ne permettant pas au processus de se poursuivre jusqu’à ce que chaque étape soit exécutée • Peut inclure des caractéristiques telles que des avis par courriel signalant la fin d’une étape • Peut présenter des capacités limitées en matière d’archivage ou de test sur les opérations
Fonctions de communication de rapports • Ces fonctions peuvent permettre aux rapports de gestion de donner l’état de l’un ou plusieurs des éléments suivants : • Documentation ou essai des contrôles • Infractions possibles ayant été remarquées • Étape à laquelle un document est rendu dans le processus • Elles peuvent aussi produire des rapports de gestion pouvant être personnalisés • Peuvent offrir des paramètres personnalisés pour chaque utilisateur, présentant l’état actuel d’un élément, une liste de choses à faire et des rapports interactifs avec capacité d’examen détaillé
Étapes de base de la mise en œuvre d’une solution logicielle • Sélection • Les produits devraient être sélectionnés en fonction des besoins d’un programme de contrôles internes • Une analyse des exigences devrait être exécutée afin de préciser les secteurs du programme qui peuvent être améliorés ou répondre davantage aux objectifs de conformité • L’analyse constitue la base pour la sélection de produits • Mise en œuvre • Une fois qu’un produit est choisi, un plan de mise en œuvre devrait être mis au point • Ce plan inclurait les étapes requises pour la mise en œuvre de la solution et la façon dont les fonctions seraient utilisées dans les secteurs correspondants du programme de contrôles internes
Étapes de base de la mise en œuvre d’une solution logicielle (suite) • Utilisation • Une fois la solution entièrement mise en œuvre, la fonctionnalité de la solution peut être utilisée au complet • Des indicateurs de rendement clés (IRC) devraient être établis pour mesurer à quel point la solution améliore la gestion du risque et les efforts de conformité. • Voici des exemples d’IRC : • Un meilleur taux de détection des fraudes • Une rapidité accrue de la communication de rapports • Une plus grande précision des mesures de communication de rapports
Conclusions • La mise en œuvre, l’entretien et la communication de rapports de conformité aux contrôles internes et la gestion du risque constituent la voie de l’avenir sur le plan mondial en matière de gestion des finances et de procédures comptables • La communication de rapports financiers deviendra de plus en plus exigeante et nécessitera une transparence et une représentativité accrues des informations financières • Les outils et les processus automatisés peuvent se révéler bénéfiques pour la gestion d’efforts sans cesse croissants en vue de répondre aux exigences de la communication de rapports financiers et de la gestion du risque et d’offrir une assurance raisonnable à l’égard des contrôles internes et de la détection de la fraude.