Cette note synthétique du « Guide méthodologique relatif au contrôle interne des systèmes d'information des collectivités locales » élaboré par la Mission Responsabilité, Doctrine et Contrôle Interne Comptables, avec le concours du Service des Collectivités Locales s'adresse à l'ensemble des collectivités, et en particulier à celles engagées dans la démarche de certification des comptes locaux. Elle a pour périmètre le système d'information de la collectivité: les autres systèmes d'information concourant à la production des états financiers (Hélios par exemple) ne sont pas traités dans ce document. Ce guide a pour objectif d'aider les collectivités à définir: - les bonnes pratiques relatives au contrôle interne du système d'information; - les niveaux de contrôle minimum requis des systèmes d'information ».
Une démarche de contrôle interne est itérative, planifiée et menée dans la durée. L'Afai (Association française de l'audit et du conseil informatiques) propose un plan d'action qui concerne neuf domaines. 1. Développer l'approche par les processus S'assurer que les principaux processus de l'entreprise ont été identifiés, analysés et correctement documentés. Rapprocher l'analyse des processus et les systèmes informatiques en place (revalider les documents d'analyse des processus et des systèmes informatiques, remettre en cause certaines parties de processus). Établir un tableau de bord des indicateurs de performance pour chaque processus, et un tableau de synthèse pour les principaux processus. 2. Identifier les domaines à fort niveau de risques Choisir les domaines à mettre sous contrôle en fonction d'une évaluation des risques. Identifier chaque incident avec ses causes et les actions correctrices adoptées. S'assurer que des mesures sont prises pour diminuer l'impact de ces risques. Prendre en compte les résultats des audits, internes et externes, précédemment effectués.
Malgré son expérience et l'acuité de ses travaux d'audit, le commissaire aux comptes n'a qu'une appréciation globale de la qualité du contrôle interne. Chaque membre de l'organisation est responsable individuellement d'une partie du contrôle du processus mais pas coupable de la défaillance collective du système de contrôle. Responsable mais pas coupable… Un air de déjà vu, non? Si cette notion peut se comprendre pour des dirigeants ou des professionnels au fait du problème, pour le grand public, il s'agit là d'une idée difficile à accepter. Les réactions aux dernières grandes affaires en sont la démonstration.
Intervenants Auditeur des systèmes d'information