Comment configurer et surveiller les contrôles internes pour garantir la conformité

Meilleures pratiques pour mettre en place un cadre de contrôles internes et leur mise en œuvre pratique avec un logiciel spécialisé.

Le terme « contrôles« , utilisé à l’origine dans le domaine GRC (Gouvernance, Risque, Conformité) pour décrire des mécanismes de gestion des risques et de garantie de conformité, est désormais appliqué plus largement à la planification stratégique.

Infographie : Mise en œuvre des 5 éléments fondamentaux du contrôle interne pour GRC

Dans cet article, nous partagerons les meilleures pratiques pour mettre en place des contrôles et leur utilisation pratique.

Introduction aux contrôles internes

Essentiellement, un « contrôle » est un mécanisme de réponse ou de prévention utilisé pour gérer le risque et garantir la conformité.

Exemple de contrôle : « Employé a quitté l’entreprise »

  • Plan d’action : Rediriger les e-mails
  • Plan d’action : Informer les clients
  • Métrique d’efficacité : Connexions désactivées [Fondé sur des preuves]
  • Métrique d’efficacité : % de clients informés
  • Risque : Perturbation du flux de travail
Automating Internal Controls with Functional Scorecards

Composants de contrôle

Les contrôles ont des composants spécifiques :

  • Définition du contrôle.
  • Mécanismes internes pour s’assurer que le contrôle fonctionne correctement (mesures, plans d’action, suivi).
  • Les résultats de l’application d’un contrôle qui sont rapportés et fournissent des éléments pour une boucle d’apprentissage.
Exemple de mise en œuvre

Du point de vue de l’automatisation, un contrôle peut être :

  • Aussi simple qu’un plan d’action avec des mesures de progression alignées ou
  • Aussi complexe qu’un ensemble hiérarchique de contrôles et de sous-contrôles, chacun avec son propre ensemble de mesures, estimations de risque, plans d’atténuation, dépendances contextuelles et responsables.

Les contrôles ont des domaines d’application spécifiques, définissant quand certains contrôles doivent être activés.

Explorons les outils que nous pouvons utiliser pour mettre en œuvre des contrôles dans la planification stratégique.

1. Définition du contrôle

À l’étape initiale, notre objectif est de cartographier correctement les expériences passées de l’équipe de direction en contrôles ou en mécanismes de réponse formels.

Propriétés générales

Les éléments de base pour identifier un contrôle incluent lui donner un nom significatif et expliquer son objectif dans la description. Définir :

  • Les conditions qui déclenchent le contrôle,
  • La portée du contrôle.
Exemple d’implémentation

Dans BSC Designer :

  1. Utilisez le bouton Ajouter pour créer un nouvel élément.
  2. Identifiez le contrôle via les champs nom et description.
  3. Liez le contrôle avec des objectifs passés, des événements ou des exigences réglementaires pertinents.
Comment décrire les objectifs et les indicateurs dans un tableau de bord
Déclinaison de la stratégie ou alignement au niveau pratique

Documentation de soutien

Les contrôles plus complexes nécessitent une documentation de soutien, telle que des politiques et des procédures. Liez les documents pertinents ou téléchargez-les dans le contrôle.
Exemple de mise en œuvre
Dans BSC Designer:

  • Ajoutez des documents à un contrôle via la boîte de dialogue Description.
  • Ajoutez des documents au plan d’action du contrôle via la boîte de dialogue Initiatives.
Comment décrire les objectifs et les indicateurs dans un tableau de bord

Propriétés Personnalisées

Les organisations suivent leurs propres normes de définition de contrôle, impliquant des propriétés spécifiques pour les contrôles ou les plans d’action associés.
Exemple de Mise en Œuvre

Dans BSC Designer :

  • Définissez les propriétés requises des contrôles via des champs personnalisés.
  • Les nouveaux champs seront disponibles pour les contrôles, les métriques et les initiatives.
Comment définir des champs personnalisés pour un KPI ou une Initiative sur le tableau de bord

Propriété

La plupart des contrôles nécessitent un certain niveau d’intervention humaine. Même si un contrôle est configuré pour fonctionner de manière autonome, une supervision reste essentielle.
Exemple de mise en œuvre

Par exemple, les contrôles de maintenabilité logicielle peuvent automatiser les mises à jour, mais un spécialiste informatique est nécessaire pour résoudre les conflits si une mise à jour échoue. Dans BSC Designer :

  1. Ajoutez des personnes responsables du contrôle en tant qu’utilisateurs; assignez la personne à une équipe.
  2. Assignez la personne ou l’équipe en tant que propriétaire du contrôle via le champ Propriétaire.

Les propriétaires recevront des notifications pertinentes au contrôle.

Assign Owners for Goals, KPIs, and Initiatives to Ensure Accountability

Certification / Approbation

Pour compléter la définition d’un contrôle ou d’un indicateur, une certification ou approbation formelle peut être requise. La direction atteste que le contrôle interne est conforme aux exigences réglementaires et internes.
Exemple d’implémentation

Dans BSC Designer :

  • Utilisez des champs personnalisés pour définir les propriétés du contrôle telles que « État de certification » et « Certifié par ».
  • Lors de l’attestation des contrôles, l’équipe de gestion peut mettre à jour ces propriétés.
  • Utilisez des filtres dans les rapports pour identifier les contrôles sans certification appropriée.
Comment définir des champs personnalisés pour un KPI ou une Initiative sur le tableau de bord

Pour désactiver un contrôle non certifié tout en le gardant dans le tableau de bord :

  1. Sélectionnez un contrôle.
  2. Passez à l’onglet Performance.
  3. Activez la case à cocher Indicateur de données brutes.

Alignement des contrôles

Les contrôles n’existent pas de manière isolée. Établissez les connexions contextuelles nécessaires entre les divers contrôles, objectifs, risques et événements. Comme discuté dans le Système de mise en œuvre de la stratégie, les contrôles sont mis en œuvre dans la stratégie via des tableaux de bord fonctionnels.
Exemple de mise en œuvre

Dans BSC Designer :

  • Copiez et collez des éléments entre les tableaux de bord.
  • Lorsque vous y êtes invité, utilisez l’option de connexion par contexte pour lier deux éléments.
Déclinaison de la stratégie ou alignement au niveau pratique

Catalogue des contrôles

Pour les contrôles répétitifs, créez une bibliothèque de contrôles. En cas d’un certain événement, vous pouvez facilement déployer un contrôle en le copiant depuis la bibliothèque. Pour maintenir l’implémentation des contrôles synchronisée avec le modèle prédéfini, utilisez la fonction de synchronisation disponible sur la plateforme.
Exemple d’implémentation

Dans BSC Designer :

  1. Créez un tableau de bord dédié aux contrôles.
  2. Utilisez une structure hiérarchique pour organiser les contrôles.
  3. Si nécessaire, copiez le contrôle dans le tableau de bord actif.
Automating Internal Controls with Functional Scorecards

2. Quantification des contrôles

Mesures d’efficacité

L’utilisation de mesures pour les contrôles rend le contrôle plus spécifique et évite différentes interprétations. Définir des mesures pour suivre :

  • Le respect des normes
  • L’efficacité du contrôle
  • Le progrès des plans d’action
Exemple de mise en œuvre

Par exemple, dans le rapport d’incident :

  • La métrique de l’efficacité pourrait être le « % de personnel formé au rapport d’incident. »
  • La métrique de l’effectivité pourrait être « % d’incidents mal communiqués. »

Dans BSC Designer :

  • Utilisez le bouton Ajouter pour ajouter des mesures à l’intérieur de l’élément de contrôle.

Performance globale

Lorsque les indicateurs d’efficacité sont définis pour le contrôle, l’efficacité totale de l’application du contrôle peut être calculée en utilisant la moyenne pondérée de la performance des indicateurs individuels.
Exemple de mise en œuvre

Dans BSC Designer :

  1. Sélectionnez un indicateur
  2. Passez à l’onglet Performance
  3. Modifiez le poids de l’indicateur

La performance/progression du contrôle sera affichée dans la colonne correspondante.

Creating an Index Indicator with Weighted Metrics

Métriques d’efficacité

Selon le contexte, utilisez des métriques avancées. Contrairement aux métriques retardées, les métriques avancées ne contribueront pas directement à la performance globale du contrôle, mais elles fourniront des informations précieuses pour comprendre l’efficacité du contrôle.

Exemple de mise en œuvre

Dans BSC Designer :

  1. Sélectionnez une métrique
  2. Passez à l’onglet Contexte
  3. Changez le type de la métrique en Avancée
Indicateurs avancés vs. indicateurs retardés dans BSC Designer

Estimation des risques

Un contrôle peut inclure une définition de risque ou être aligné avec des risques d’un registre de risques.

L’estimation des risques peut être :

  • Un déclencheur pour l’exécution du contrôle ou
  • Une condition pour sélectionner un certain plan d’action.
Exemple de mise en œuvre

Dans BSC Designer :

  1. Créez un nouvel indicateur
  2. Changez son type en ‘Risque’
  3. Mettez à jour les indicateurs de Probabilité et d’Impact du risque
Étapes pour ajouter un risque à un objectif dans BSC Designer

Contrôle Binaire

Les états possibles des indicateurs binaires :

  • Non attribué – la partie du contrôle n’a pas encore été exécutée
  • Oui – pour indiquer que la partie du contrôle a été exécutée avec succès
  • Non – pour indiquer que la partie du contrôle n’a pas été exécutée avec succès
Exemple de Mise en Œuvre

Exemple : « Plan de continuité des activités mis à jour en tenant compte d’une menace nouvellement identifiée » peut être automatisé avec un indicateur binaire. Dans BSC Designer :

  1. Sélectionnez un indicateur
  2. Passez à l’onglet ‘Général’
  3. Changez ses unités de mesure en « Oui/Non »
Binary Indicators: An Example of Usage for Internal Controls

Contrôle Qualitatif

Les indicateurs qualitatifs sont utilisés pour les contrôles lorsqu’une estimation quantitative plus précise n’est pas encore développée, ou qu’il n’est pas rentable d’en développer une.

Exemple de Mise en Œuvre

Exemple : un contrôle Gestion et Communication des Politiques peut être évalué avec une métrique qualitative Efficacité de la Communication des Politiques de Conformité avec des états possibles :

  • Très Efficace (100) : Les employés comprennent clairement les politiques de conformité.
  • Modérément Efficace (60) : Certains employés comprennent les politiques.
  • Inefficace (10) : Les employés sont généralement inconscients des politiques.

Dans BSC Designer :

  1. Sélectionnez un indicateur
  2. Cliquez sur le bouton Éditer à côté des unités de mesure pour ajouter des unités de mesure personnalisées
Using Qualitative and Quantitative Measurement Units on Scorecards

Contrôle quantitatif

Pour rendre les contrôles plus spécifiques, des indicateurs quantitatifs ou numériques sont utilisés. Pour les indicateurs quantitatifs, nous pouvons définir leur formule de performance, par exemple, comment l’état actuel d’un indicateur impacte la performance de sortie.

Exemple de mise en œuvre

Exemple : pour évaluer l’efficacité de la mise en œuvre d’un contrôle spécifique, nous effectuons un audit interne pour suivre le % de conformité à la politique. Dans ce cas, la formule de performance est une maximisation linéaire, avec un objectif de 100%. Un autre exemple peut être la métrique Temps moyen de détection, configurée comme une minimisation linéaire avec un objectif de 24 heures.

Dans BSC Designer :

  • Passez à l’onglet ‘Performance’ pour définir la fonction de performance.
  • Passez à l’onglet ‘Données’ pour définir l’état actuel de l’indicateur, la référence et l’objectif.
Practical Use of the Optimization Function for KPIs in BSC Designer

Contrôle basé sur les preuves

Les indicateurs de preuve changeront d’état en fonction du nombre de documents/preuves téléchargés.

Exemple de mise en œuvre

Par exemple, le contrôle de test de sauvegarde et de récupération pourrait nécessiter le téléchargement des résultats de test ou des journaux comme preuve de l’exécution réussie du contrôle.

Dans BSC Designer :

  1. Sélectionnez un indicateur
  2. Changez ses unités de mesure en Preuve
  3. Téléchargez un document sur l’indicateur pour changer son état
Automatisez le suivi des preuves dans un tableau de bord GRC avec des contrôles

3. Initiatives pour les contrôles

Plans d’action

Appliquer des contrôles implique de suivre des actions spécifiques de prévention ou de réponse, similaires à la gestion de projet classique avec des dates d’échéance, des budgets et des personnes responsables.
Exemple de mise en œuvre

Dans BSC Designer :

  • Utilisez l’outil Initiative pour ajouter des plans d’action aux contrôles.
  • Alignez les risques et les métriques d’efficacité avec l’initiative.
  • Assignez un responsable à l’initiative ; la personne recevra des notifications lorsque le statut change.
How to Add an Initiative to a Goal in Strategic Planning

Suivi du plan d’action

Le suivi de l’exécution du plan d’action fait généralement partie du périmètre du contrôle. L’un des indicateurs alignés sur le contrôle peut être utilisé pour suivre l’avancement du plan d’action.
Exemple de mise en œuvre

Dans BSC Designer :

  1. Ajoutez une nouvelle initiative au contrôle.
  2. Ouvrez la boîte de dialogue de l’initiative.
  3. Sélectionnez l’indicateur de progrès dans le champ ‘Indicateur aligné’.
Using KPIs to Track the Progress of an Initiative

4. Suivi des contrôles dans le temps

Contrôles Périodiques

Certains contrôles nécessitent une révision périodique. Ces révisions impliquent la mécanique du contrôle, ainsi que l’application périodique du contrôle. Certains contrôles doivent être activés une seule fois.
Exemple de Mise en Œuvre

Exemple de révision de la mécanique du contrôle :

  • Révision des Listes de Vérification de Conformité – révision annuelle
  • Rétention des Connaissances, % – révision trimestrielle

Exemples d’application périodique du contrôle :

  • Analyse des Vulnérabilités – révision/mise à jour mensuelle

Exemples de contrôle initié une fois :

  • Évaluation Initiale des Risques – à mettre à jour une fois

Dans BSC Designer :

Assurez la cohérence des données avec des intervalles de mise à jour

Mise à jour de l’état du contrôle

Pour les contrôles périodiques, mettez à jour l’état des métriques qui ont été définies pour le contrôle.
Exemple d’implémentation

Dans BSC Designer :

  1. Sélectionnez une métrique de contrôle
  2. Sélectionnez une date dans le calendrier interne
  3. Passez à l’onglet ‘Données’
  4. Saisissez le nouvel état dans le champ ‘Valeur’
Surveillance continue des KPI dans BSC Designer

Héritage de l’état des contrôles

Certains indicateurs utilisés pour les contrôles hériteront de leur état précédemment connu, tandis que d’autres utiliseront uniquement les mises à jour spécifiquement saisies.

Exemple d’implémentation

Par exemple :

  • % d’employés formés – est probablement un indicateur inhérent, car nous pouvons supposer que le pourcentage d’employés formés en mai restera le même ou augmentera en juin.
  • Revenu des ventes mensuelles – est probablement un indicateur non inhérent, car nous souhaitons suivre les données réelles des ventes au fil des mois.

Dans BSC Designer :

  1. Sélectionnez un indicateur
  2. Cliquez sur le bouton Éditeur de valeurs
  3. Changez le type d’héritage de l’indicateur
Deux options pour hériter de l'état précédent d'un indicateur

5. Contrôles de rapport

Contrôles sur les tableaux de bord

Créez des représentations visuelles des contrôles et de leurs états. Suivez l’évolution des indicateurs au fil du temps, l’état des risques et les plans de réduction des risques.
Exemple de mise en œuvre

Dans BSC Designer :

  1. Accédez à l’onglet Tableau de bord.
  2. Ajoutez des graphiques pertinents, y compris des diagrammes de Gantt pour les initiatives, des diagrammes de risques et des diagrammes listant les contrôles et leurs états.
Adding a Chart to a Dashboard in BSC Designer

Contrôles pour l’estimation des risques

Les indicateurs de retard qui quantifient l’efficacité des contrôles peuvent être utilisés pour quantifier la probabilité ou l’impact d’un risque.
Exemple de mise en œuvre

Dans BSC Designer :

  • Connectez la partie retard du contrôle avec les indicateurs d’Impact du Risque ou d’Estimation du Risque dans le registre des risques par des données.
Identifier et évaluer les risques par l'efficacité des contrôles internes

Contrôles dans les rapports

L’état des contrôles, ainsi que les résultats de leur mise en œuvre, peuvent être rapportés aux parties prenantes concernées.
Exemple de mise en œuvre

Dans BSC Designer :

  • Utilisez le menu ‘Rapport’ pour générer divers rapports
  • Utilisez le bouton ‘Planifier’ dans le menu ‘Rapport’ pour envoyer automatiquement les rapports aux parties prenantes
Report the Status of Goals and KPIs to the Stakeholders

Responsabilité

Enregistrer les résultats d’exécution d’un contrôle est important pour la responsabilité et l’apprentissage futur.
Exemple d’implémentation

Dans BSC Designer :

  • Toutes les activités liées à la conception et à l’exécution des contrôles sont enregistrées dans le journal d’audit.
  • L’administrateur du compte peut accéder aux journaux d’audit via Menu > Utilisateurs > Piste d’audit.
Accountability and Transparency with Audit Trail in Strategic Planning

Exemple Pratique d’Utilisation d’un Contrôle

Discutons d’un exemple pratique. Considérons le contrôle activé lorsqu’un employé quitte l’entreprise.

Structure de l’exemple :
Un exemple de la bibliothèque des contrôles GRC

Un exemple de la structure de la bibliothèque pour les contrôles GRC. Source : Voir Bibliothèque des Contrôles GRC en ligne dans BSC Designer Bibliothèque des Contrôles GRC.

Bibliothèque de contrôles

Dans la bibliothèque de contrôles, j’ai une section RH où l’un des contrôles est « Employé a quitté l’entreprise. »

Ce contrôle a trois plans d’action :

  • Rediriger les e-mails.
  • Contacter les clients.
  • Plan de transfert de connaissances.

Il a également deux indicateurs :

  • Connexions désactivées (basé sur des preuves).
  • Pourcentage de clients informés.

Un autre indicateur est utilisé pour la révision périodique des contrôles :

  • Rétention des connaissances (%)

Un risque est défini pour le contrôle comme suit :

  • Risque : Disruption du flux de travail
  • Plan de mitigation : Documenter les fonctions critiques

Tableau de bord des événements

J’ai un tableau de bord nommé « Événements RH » où les événements RH pertinents sont enregistrés. Le tableau de bord est organisé par type d’événement.

Application du contrôle

Voici les étapes à suivre lorsqu’un employé quitte l’entreprise :

  1. Créer un nouvel événement dans le tableau de bord des événements, par exemple, “Alex a quitté l’entreprise.”
  2. Copier et coller le contrôle approprié de la bibliothèque de contrôles dans le tableau de bord des événements.
  3. La personne responsable du contrôle sera automatiquement informée des nouveaux plans d’action créés.
  4. Télécharger les preuves (captures d’écran) que les connexions ont été désactivées.
  5. Notifier les clients et mettre à jour l’indicateur “% de clients notifiés”.
  6. Mettre à jour le statut des plans d’action à “En révision.”

Programme de formationSession : 'BSC Designer for Automation of GRC Controls' est disponible dans le cadre du programme d'apprentissage continu de BSC Designer, proposé à la fois en atelier en ligne et sur site. En savoir plus....

Plus d’exemples

Vous pouvez trouver plus d’exemples d’utilisation des contrôles dans les articles sur :

Utiliser le modèle Bibliothèque des contrôles GRC

BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :

  1. Inscrivez-vous pour un plan gratuit sur la plateforme.
  2. Utilisez le modèle Scorecard Template Bibliothèque des contrôles GRC comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles.
  3. Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.

Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !


Pour citer : Alexis Savkín, "Comment configurer et surveiller les contrôles internes pour garantir la conformité", in BSC Designer, novembre 11, 2024, https://bscdesigner.com/fr/controles-grc.htm.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.