Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

DGFiP échelle de maturité de la gestion des risques 2013 EMR_mode opératoire.do

DGFiP échelle de maturité de la gestion des risques 2013 EMR_mode opératoire.doc 1 /19 version 2 MODE OPERATOIRE DE L’ECHELLE DE MATURITE DE LA GESTION DES RISQUES Les exigences croissantes en termes de qualité comptable et financière amènent les entités publiques dans leur ensemble à renforcer leur démarche de contrôle interne comptable et financier. Une préoccupation légitime de tout responsable est ainsi de connaître les attentes en matière de contrôle interne pour les confronter à ses propres pratiques. L’objectif de l’échelle de maturité de la gestion des risques (EMR) est de répondre à cette attente en permettant, à partir d’un système de cotation, d’évaluer la maîtrise des risques. La maturité d’un contrôle interne peut être appréhendée au travers de trois dimensions : - la première concerne les paliers du contrôle interne : la présente échelle de maturité identifie les étapes successives et logiques dans le renforcement d’un contrôle interne ; à partir d’elle, il est possible de se positionner sur l’un des cinq paliers allant d’une absence totale de maîtrise à un dispositif optimal permettant un pilotage performant des risques ; - la seconde dimension est relative à la profondeur du dispositif : pour chacun des paliers identifiés dans l’échelle de maturité, les trois leviers liés à l’organisation, à la documentation et à la traçabilité, ainsi que le pilotage – eux-mêmes précisés par composantes – peuvent avoir un contenu différent qu’il importe de bien distinguer dans l’appréciation de la maturité du dispositif ; - la troisième est liée au périmètre et conduit à s’interroger sur les processus couverts par le dispositif ; tous les processus peuvent être inégalement couverts par le dispositif de maîtrise des risques. Un dispositif optimisé de gestion des risques doit permettre d’apprécier toutes ces dimensions. Pour autant, il n’y a pas de dispositif type et partout homogène en matière de contrôle interne : celui-ci doit être adapté à son environnement et résulter d’arbitrages du management quant à la décision de couvrir un risque et sur ses modalités pratiques de traitement. Ainsi chaque entité définit-elle la profondeur des mesures de contrôle interne retenues et les processus priorisés pour gérer ses risques. Dès lors, l’ambition de cette échelle de maturité est de permettre à tout responsable de comparer sa démarche de contrôle interne par rapport à un schéma théorique et d’évaluer sa maturité essentiellement dans sa dimension « paliers ». L’échelle de maturité a vocation à constituer un outil d’évaluation du contrôle interne pour l’ensemble des entités publiques. Le présent mode opératoire a pour objectif d’expliciter les modalités de mise en œuvre de cet outil et de guider ses utilisateurs dans l’exercice d’évaluation de la maturité des dispositifs de contrôle interne. 1. Présentation de l’échelle de maturité de la gestion des risques Un contrôle interne optimisé se construit dans la durée en franchissant différents paliers. La progressivité de la démarche peut être représentée sous la forme d’une échelle de maturité comportant plusieurs niveaux. Chaque niveau ou palier correspond à un degré de maturité supplémentaire intégrant les acquis du palier précédent en l’améliorant. Cette échelle de maturité est structurée autour des étapes de la démarche de maîtrise des risques comptables et financiers. Elle prend en compte les leviers du contrôle interne rassemblant les différentes composantes du dispositif : - tout d’abord, les leviers opérationnels du dispositif de contrôle interne reposant sur l’organisation de la fonction comptable et financière, la documentation des procédures DGFiP échelle de maturité de la gestion des risques 2013 EMR_mode opératoire.doc 2 /19 version 2 comptables et financières et la traçabilité des acteurs et des opérations financières et comptables ; - ensuite, les leviers du pilotage du contrôle interne que sont la cartographie des risques et le plan d’action. Ces quatre leviers sont évalués selon les cinq niveaux suivants de l’échelle de maturité, identifiés par un code couleur : Niveau 1 – Non fiable (couleur rouge) Environnement imprévisible où il n’y a pas d’organisation maîtrisée, ni de procédures définies. Ce niveau est exceptionnel. Niveau 2 – Informel (couleur orange) L’organisation et les procédures sont définies et mises en place mais non documentées de façon adéquate et leur réalisation n’est tracée que de manière aléatoire. Cette situation peut se rencontrer dans des environnements dégradés. Niveau 3 – Standardisé (couleur jaune) Existence de procédures standards. En l’absence d’évaluation (de test), les faiblesses du contrôle interne ne sont pas détectées. Cette situation est la plus fréquente. Niveau 4 – Evalué (couleur vert clair) Surveillance de la conformité aux règles de contrôle interne par des évaluations périodiques. Les évaluations s’entendent au sens large en intégrant les contrôles de supervision, les audits, les contrôles des comptables sur les opérations des ordonnateurs (résultats du contrôle hiérarchisé de la dépense par exemple) ou encore les contrôles de supervision des ordonnateurs. Évaluation de son effectivité et de son efficacité par des tests (supervision, contrôles du comptable, audits…) permettant d’identifier les points forts et les points faibles. Pas de reporting à la direction permettant l’adoption de mesures de correction. Niveau 5 –Optimisé (couleur vert foncé) Existence d’un cadre de gestion des risques intégré reposant sur une organisation, une documentation des procédures, un dispositif de traces. Informel Organisation structurée et procédures définies mais non documentées de manière adéquate – carences dans la traçabilité et dans le pilotage Standardisé Organisation structurée, procédures documentées, mais pas de test sur l’effectivité – carences dans la traçabilité et dans le pilotage Evolué Organisation structurée, procédures documentées et traçabilité assurée, réalisation de tests mais pas de reporting –pilotage insuffisant Optimisé Organisation structurée, procédures documentées, traçabilité assurée, réalisation de tests et reporting vers la direction pour améliorer de manière continue le dispositif Non Fiable Organisation non structurée et procédures non définies –absence de traçabilité et de pilotage DGFiP échelle de maturité de la gestion des risques 2013 EMR_mode opératoire.doc 3 /19 version 2 Prise en compte des constats des évaluations pour orienter la gestion des risques et prendre les mesures nécessaires pour corriger les points de faiblesse (logique d’amélioration continue). Le niveau « d’optimisation » confère à la direction une connaissance précise des risques qui lui permet de piloter le dispositif de contrôle interne en engageant des actions ciblées pour améliorer de manière continue la maîtrise des processus comptables. Ce niveau est également exceptionnel : il en est néanmoins un objectif. L’échelle de maturité de la gestion des risques a ainsi pour objectif d’apprécier la maturité de la démarche. La profondeur et le périmètre de ces différentes composantes sont également pris en compte. Le dispositif est considéré comme pleinement mature quand il est en capacité de s’autoréguler, c’est-à-dire d’adapter son contenu à l’évolution des risques dans une logique d’amélioration continue. Par nature, en effet, un contrôle interne n’est pas figé et doit en permanence être ajusté pour permettre une gestion efficace des risques. C’est l’évaluation de cette capacité de pilotage qui est centrale dans cette échelle de maturité. S’il est essentiel d’organiser, de documenter et de tracer les opérations comptables et financières, ne serait-ce qu’à minima, c’est le pilotage qui permet de déterminer de manière pertinente la profondeur et le périmètre de la démarche de maîtrise des risques. Seule l’évaluation des risques et, partant, leur connaissance, vont permettre de définir le niveau d’exigence requis pour telle ou telle mesure de contrôle interne pour un processus donné. 2. Périodicité et acteurs de l’évaluation Périodicité L’évaluation du contrôle interne au moyen de l’échelle de maturité de la gestion des risques peut avoir lieu à tout moment de l’exercice comptable. L’actualisation des supports formalisant la stratégie de maîtrise des risques de l’entité (cartographie des risques, plan d’action) peut constituer une opportunité pour évaluer les dispositifs existants, les résultats de l’évaluation contribuant ainsi à affiner et objectiver l’analyse des risques menée dans ce cadre. Aussi convient-il, pour inscrire cette démarche dans une logique d’amélioration continue, d’évaluer au moyen de l’échelle de maturité au début de l’année N les dispositifs de maîtrise des risques mis en œuvre au cours de l’exercice N-1. Les conclusions de l’évaluation ainsi menée auront vocation à enrichir les travaux d’actualisation de la cartographie des risques et du plan d’action pour l’exercice en cours (exercice N). Acteurs Compte tenu de la dimension transversale du chantier « Contrôle interne », l’ensemble des acteurs de la fonction comptable est amené à participer à l’évaluation de la maturité de la gestion des risques : • l’ordonnateur : il a en charge de piloter les travaux d’évaluation dans le cadre des dispositifs de gouvernance mis en place pour la cartographie des risques et le plan d’action. • le référent contrôle interne : il est chargé de la mise en œuvre pratique de l’évaluation, sur la base d’une trame contenue dans un tableur (cette trame constitue le support de l’évaluation). DGFiP échelle de maturité de la gestion des risques 2013 EMR_mode opératoire.doc 4 /19 version 2 • les services ordonnateurs : la participation de ces services se révèle primordiale, dans la mesure où, en tant qu’acteurs chargés des dispositifs de contrôle interne, ils disposent des informations et des éléments probants nécessaires à l’évaluation de ces derniers. • le uploads/Management/ mo-gestion-des-risques.pdf