Accueil
Envoyer
Imprimer
Partager
Depuis 2008, l'organe de révision d'une entreprise est tenu, dans le cadre du contrôle ordinaire des comptes annuels, de vérifier le système de contrôle interne (SCI) du rapport financier et d'en confirmer l'existence. L'expérience des deux dernières années a montré que la plupart des entreprises satisfont les exigences de la législation suisse (art. 728a al. 1 ch. 3 CO), respectivement les attentes de l'instance de contrôle (Chambre fiduciaire, organe de révision). Mais l'incertitude règne souvent en ce qui concerne la durabilité et l'utilité concrète du SCI pour l'entreprise. C'est la raison pour laquelle KPMG Suisse a réalisé une étude dont les résultats peuvent être divisés en cinq volets principaux.
1. L'application du système de contrôle interne des entreprises interrogées se concentre généralement sur le respect des exigences de la législation suisse. Dans de nombreuses entreprises, il manque une intégration effective du SCI dans l'exploitation ou une coordination fluide avec d'autres instruments de direction (par ex. la gestion des risques d'exploitation, le tableau de bord prospectif). Les résultats de l'enquête prouvent que les entreprises ont consacré d'importants efforts à la documentation initiale du SCI, mais qu'elles n'ont que trop peu réfléchi aux moyens de surveiller et de maintenir le SCI à long terme.
2. La liste SCI de la plupart des entreprises se compose essentiellement de contrôles manuels et d'inspections. Les coûts générés par l'entretien d'un SCI efficace ne sont que rarement relevés. De nombreuses entreprises ont dressé une liste SCI très complète. Mais il est rare qu'elles aient pris en compte les fonctions des applications informatiques, par exemple pour réduire le nombre des contrôles manuels et effectués a posteriori. Il en résulte d'énormes efforts consacrés au maintien, à l'exécution et au test des contrôles qui dépendent du SCI. Ulrich Amberg, Partner IT Advisory chez KPMG Suisse, en a la certitude: «Il faut tirer parti des possibilités d'améliorer l'efficacité et l'efficience du SCI, notamment afin de mieux adapter les processus aux fonctions des systèmes informatiques ou d'intégrer des contrôles informatiques automatisés.»
3. De nombreuses entreprises éprouvent des difficultés à tenir leur SCI à jour et à en superviser l'utilisation dans l'exploitation. Pour en évaluer le fonctionnement, les entreprises se fient généralement aux résultats de l'audit de l'organe de révision. Souvent, la documentation initiale du SCI n'est pas adaptée lorsque les processus et les contrôles correspondants sont modifiés. Une mise à jour n'intervient le plus souvent que pendant la phase de contrôle annuel par l'organe de révision.
4. La majorité des directions d'entreprise fait confiance aux responsables des processus et des contrôles pour exploiter le SCI de manière efficace. Les attentes des directions d'entreprise en matière d'utilisation efficace du SCI ne sont souvent que partiellement remplies par la mise en ouvre effective des prescriptions du SCI. La création d'un poste de coordinateur SCI a permis de mieux communiquer les préoccupations du SCI et d'améliorer leur acceptation au sein de la ligne hiérarchique. Mais le SCI et son objectif y sont souvent perçus comme abstraits ou sans utilité concrète.
5. Les entreprises n'ont généralement aucun programme clair visant à assurer la pérennité à long terme du SCI. La gestion du SCI comprend le plus souvent l'administration de documents isolés et insuffisamment liés entre eux (par exemple matrice de contrôle des risques, descriptifs des contrôles et des processus). L'interaction entre les responsables des processus et des contrôles et le coordinateur SCI ne suffit pas toujours pour gérer le SCI de manière efficace et efficiente.
Pour Ulrich Amberg, il est évident que «les principaux potentiels d'amélioration du SCI résident dans la concentration sur des risques et des contrôles clés, l'automatisation des contrôles et l'utilisation d'outils GRC permettant une gouvernance et une supervision efficaces».
KPMG SA
1. L'application du système de contrôle interne des entreprises interrogées se concentre généralement sur le respect des exigences de la législation suisse. Dans de nombreuses entreprises, il manque une intégration effective du SCI dans l'exploitation ou une coordination fluide avec d'autres instruments de direction (par ex. la gestion des risques d'exploitation, le tableau de bord prospectif). Les résultats de l'enquête prouvent que les entreprises ont consacré d'importants efforts à la documentation initiale du SCI, mais qu'elles n'ont que trop peu réfléchi aux moyens de surveiller et de maintenir le SCI à long terme.
2. La liste SCI de la plupart des entreprises se compose essentiellement de contrôles manuels et d'inspections. Les coûts générés par l'entretien d'un SCI efficace ne sont que rarement relevés. De nombreuses entreprises ont dressé une liste SCI très complète. Mais il est rare qu'elles aient pris en compte les fonctions des applications informatiques, par exemple pour réduire le nombre des contrôles manuels et effectués a posteriori. Il en résulte d'énormes efforts consacrés au maintien, à l'exécution et au test des contrôles qui dépendent du SCI. Ulrich Amberg, Partner IT Advisory chez KPMG Suisse, en a la certitude: «Il faut tirer parti des possibilités d'améliorer l'efficacité et l'efficience du SCI, notamment afin de mieux adapter les processus aux fonctions des systèmes informatiques ou d'intégrer des contrôles informatiques automatisés.»
3. De nombreuses entreprises éprouvent des difficultés à tenir leur SCI à jour et à en superviser l'utilisation dans l'exploitation. Pour en évaluer le fonctionnement, les entreprises se fient généralement aux résultats de l'audit de l'organe de révision. Souvent, la documentation initiale du SCI n'est pas adaptée lorsque les processus et les contrôles correspondants sont modifiés. Une mise à jour n'intervient le plus souvent que pendant la phase de contrôle annuel par l'organe de révision.
4. La majorité des directions d'entreprise fait confiance aux responsables des processus et des contrôles pour exploiter le SCI de manière efficace. Les attentes des directions d'entreprise en matière d'utilisation efficace du SCI ne sont souvent que partiellement remplies par la mise en ouvre effective des prescriptions du SCI. La création d'un poste de coordinateur SCI a permis de mieux communiquer les préoccupations du SCI et d'améliorer leur acceptation au sein de la ligne hiérarchique. Mais le SCI et son objectif y sont souvent perçus comme abstraits ou sans utilité concrète.
5. Les entreprises n'ont généralement aucun programme clair visant à assurer la pérennité à long terme du SCI. La gestion du SCI comprend le plus souvent l'administration de documents isolés et insuffisamment liés entre eux (par exemple matrice de contrôle des risques, descriptifs des contrôles et des processus). L'interaction entre les responsables des processus et des contrôles et le coordinateur SCI ne suffit pas toujours pour gérer le SCI de manière efficace et efficiente.
Pour Ulrich Amberg, il est évident que «les principaux potentiels d'amélioration du SCI résident dans la concentration sur des risques et des contrôles clés, l'automatisation des contrôles et l'utilisation d'outils GRC permettant une gouvernance et une supervision efficaces».
KPMG SA
