DGFiP

chelle de maturit de la gestion des risques

M ODE OPERATOIRE DE
L ECHELLE DE MATURITE DE LA GESTION DES RISQUES
Les exigences croissantes en termes de qualit comptable et financire amnent les entits
publiques dans leur ensemble renforcer leur dmarche de contrle interne comptable et
financier. Une proccupation lgitime de tout responsable est ainsi de connatre les attentes
en matire de contrle interne pour les confronter ses propres pratiques.
Lobjectif de lchelle de maturit de la gestion des risques (EMR) est de rpondre cette
attente en permettant, partir dun systme de cotation, dvaluer la matrise des risques.
La maturit dun contrle interne peut tre apprhende au travers de trois dimensions :
- la premire concerne les paliers du contrle interne : la prsente chelle de maturit
identifie les tapes successives et logiques dans le renforcement dun contrle
interne ; partir delle, il est possible de se positionner sur lun des cinq paliers allant
dune absence totale de matrise un dispositif optimal permettant un pilotage
performant des risques ;
- la seconde dimension est relative la profondeur du dispositif : pour chacun des
paliers identifis dans lchelle de maturit, les trois leviers lis lorganisation, la
documentation et la traabilit, ainsi que le pilotage eux-mmes prciss par
composantes peuvent avoir un contenu diffrent quil importe de bien distinguer dans
lapprciation de la maturit du dispositif ;
- la troisime est lie au primtre et conduit sinterroger sur les processus couverts
par le dispositif ; tous les processus peuvent tre ingalement couverts par le dispositif
de matrise des risques.
Un dispositif optimis de gestion des risques doit permettre dapprcier toutes ces
dimensions. Pour autant, il ny a pas de dispositif type et partout homogne en matire de
contrle interne : celui-ci doit tre adapt son environnement et rsulter darbitrages du
management quant la dcision de couvrir un risque et sur ses modalits pratiques de
traitement. Ainsi chaque entit dfinit-elle la profondeur des mesures de contrle interne
retenues et les processus prioriss pour grer ses risques.
Ds lors, lambition de cette chelle de maturit est de permettre tout responsable de
comparer sa dmarche de contrle interne par rapport un schma thorique et dvaluer sa
maturit essentiellement dans sa dimension paliers . Lchelle de maturit a vocation
constituer un outil dvaluation du contrle interne pour lensemble des entits publiques.
Le prsent mode opratoire a pour objectif dexpliciter les modalits de mise en uvre de
cet outil et de guider ses utilisateurs dans lexercice dvaluation de la maturit des
dispositifs de contrle interne.

1. Prsentation de lchelle de maturit de la gestion des risques

Un contrle interne optimis se construit dans la dure en franchissant diffrents paliers.
La progressivit de la dmarche peut tre reprsente sous la forme dune chelle de
maturit comportant plusieurs niveaux. Chaque niveau ou palier correspond un degr de
maturit supplmentaire intgrant les acquis du palier prcdent en lamliorant.
Cette chelle de maturit est structure autour des tapes de la dmarche de matrise des
risques comptables et financiers. Elle prend en compte les leviers du contrle interne
rassemblant les diffrentes composantes du dispositif :
- tout dabord, les leviers oprationnels du dispositif de contrle interne reposant sur
lorganisation de la fonction comptable et financire, la documentation des procdures
2013 EMR_mode opratoire.doc

1 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

comptables et financires et la traabilit des acteurs et des oprations financires et

comptables ;
- ensuite, les leviers du pilotage du contrle interne que sont la cartographie des risques
et le plan daction.
Ces quatre leviers sont valus selon les cinq niveaux suivants de lchelle de maturit,
identifis par un code couleur :

Non Fiable
Organis ation non
struc ture et
proc dures non
dfi nies absence de
tra abilit et de
pilotage

Informel
Organis ation
struc ture et
procdures dfi nies
mais non
doc ument es de
manire adquate
carenc es dans la
tra abilit et dans l e
pilotage

Standardis
Organis ation
struc ture,
proc dures
doc ument es, mais
pas de test sur
leffec tivit
carenc es dans la
tra abilit et dans l e
pilotage

Evolu
Organis ation
struc ture,
proc dures
doc ument es et
tra abilit assure,
ralis ation de t ests
mais pas de
reporti ng pil otage
insuffi sant

Optimis
Organis ation
struc ture, proc dures
doc ument es,
tra abilit assure,
ralis ation de t ests et
reporti ng vers la
direc tion pour
amliorer de m anire
conti nue le dispositif

Niveau 1 Non fiable (couleur rouge)

Environnement imprvisible o il ny a pas dorganisation matrise, ni de procdures
dfinies.
Ce niveau est exceptionnel.
Niveau 2 Informel (couleur orange)
Lorganisation et les procdures sont dfinies et mises en place mais non documentes de
faon adquate et leur ralisation nest trace que de manire alatoire.
Cette situation peut se rencontrer dans des environnements dgrads.
Niveau 3 Standardis (couleur jaune)
Existence de procdures standards . En labsence dvaluation (de test), les faiblesses du
contrle interne ne sont pas dtectes .
Cette situation est la plus frquente.
Niveau 4 Evalu (couleur vert clair)
Surveillance de la conformit aux rgles de contrle interne par des valuations priodiques.
Les valuations sentendent au sens large en intgrant les contrles de supervision, les
audits, les contrles des comptables sur les oprations des ordonnateurs (rsultats du
contrle hirarchis de la dpense par exemple) ou encore les contrles de supervision des
ordonnateurs. valuation de son effectivit et de son efficacit par des tests (supervision,
contrles du comptable, audits) permettant didentifier les points forts et les points faibles.
Pas de reporting la direction permettant ladoption de mesures de correction.
Niveau 5 Optimis (couleur vert fonc)
Existence dun cadre de gestion des risques intgr reposant sur une organisation, une
documentation des procdures, un dispositif de traces.

2013 EMR_mode opratoire.doc

2 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Prise en compte des constats des valuations pour orienter la gestion des risques et prendre
les mesures ncessaires pour corriger les points de faiblesse (logique damlioration
continue).
Le niveau doptimisation confre la direction une connaissance prcise des risques qui
lui permet de piloter le dispositif de contrle interne en engageant des actions cibles pour
amliorer de manire continue la matrise des processus comptables.
Ce niveau est galement exceptionnel : il en est nanmoins un objectif.
Lchelle de maturit de la gestion des risques a ainsi pour objectif dapprcier la maturit
de la dmarche. La profondeur et le primtre de ces diffrentes composantes sont
galement pris en compte. Le dispositif est considr comme pleinement mature quand il est
en capacit de sautorguler, cest--dire dadapter son contenu lvolution des risques
dans une logique damlioration continue. Par nature, en effet, un contrle interne nest pas
fig et doit en permanence tre ajust pour permettre une gestion efficace des risques.
Cest lvaluation de cette capacit de pilotage qui est centrale dans cette chelle de
maturit. Sil est essentiel dorganiser, de documenter et de tracer les oprations comptables
et financires, ne serait-ce qu minima, cest le pilotage qui permet de dterminer de
manire pertinente la profondeur et le primtre de la dmarche de matrise des risques.
Seule lvaluation des risques et, partant, leur connaissance, vont permettre de dfinir le
niveau dexigence requis pour telle ou telle mesure de contrle interne pour un processus
donn.

2. Priodicit et acteurs de lvaluation

Priodicit
Lvaluation du contrle interne au moyen de lchelle de maturit de la gestion des risques
peut avoir lieu tout moment de lexercice comptable.
Lactualisation des supports formalisant la stratgie de matrise des risques de lentit
(cartographie des risques, plan daction) peut constituer une opportunit pour valuer les
dispositifs existants, les rsultats de lvaluation contribuant ainsi affiner et objectiver
lanalyse des risques mene dans ce cadre.
Aussi convient-il, pour inscrire cette dmarche dans une logique damlioration continue,
dvaluer au moyen de lchelle de maturit au dbut de lanne N les dispositifs de matrise
des risques mis en uvre au cours de lexercice N-1. Les conclusions de lvaluation ainsi
mene auront vocation enrichir les travaux dactualisation de la cartographie des risques et
du plan daction pour lexercice en cours (exercice N).

Acteurs
Compte tenu de la dimension transversale du chantier Contrle interne , lensemble des
acteurs de la fonction comptable est amen participer lvaluation de la maturit de la
gestion des risques :

lordonnateur : il a en charge de piloter les travaux dvaluation dans le cadre des

dispositifs de gouvernance mis en place pour la cartographie des risques et le plan
daction.

le rfrent contrle interne : il est charg de la mise en uvre pratique de lvaluation,

sur la base dune trame contenue dans un tableur (cette trame constitue le support de
lvaluation).

2013 EMR_mode opratoire.doc

3 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

les services ordonnateurs : la participation de ces services se rvle primordiale, dans

la mesure o, en tant quacteurs chargs des dispositifs de contrle interne, ils disposent
des informations et des lments probants ncessaires lvaluation de ces derniers.

le comptable public : compte tenu de la fonction comptable partage, lvaluation

associant les services ordonnateurs et mene par le rfrent contrle interne doit tre
conduite en liaison avec le comptable public, acteur majeur intervenant dans la partie
aval des processus comptables.

le service daudit interne : une fois lvaluation ralise, le service daudit interne
pourra tre utilement consult, sur la base des lments de notations et des lments
probants fondant lvaluation.

Les changes de lensemble de ces acteurs doivent permettre de dgager, par corroboration,
une notation qui soit la plus objective possible.

3. Modalits de lvaluation
Une valuation fonde sur un dispositif de notation
Lvaluation de la maturit de la gestion des risques repose sur un code couleur (cf. supra)
et un dispositif de notation permettant, partir dun systme de notes allant de 1 5, de se
positionner sur lchelle pour chaque levier du contrle interne et le pilotage. Lexercice est
ralis au moyen dun ficher Excel associant, pour chaque levier et le pilotage un onglet
comprenant la trame servant lvaluation.

Onglets permettant
lvaluation des leviers du
contrle interne

2013 EMR_mode opratoire.doc

4 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Lvaluation des leviers et du pilotage du contrle interne

Pour chaque point, le support identifie un certain nombre de composantes qui feront lobjet
dune valuation. Une note doit tre attribue chacune des composantes caractrisant les
leviers du contrle interne.
Exemple : onglet / levier Documentation (extrait)

Composantes
du levier
La note attribue, allant de 1 5, renvoie un palier de lchelle de maturit de la gestion
des risques. Lvaluation des composantes consiste donc indiquer, pour chacun deux, un
palier de lchelle.
Lexercice de notation se doit dtre le plus objectif possible. Pour limiter la part darbitraire
inhrente cette dmarche, lvaluation de chacune des composantes des leviers sappuie
sur :

des critres permettant de dcrire et ainsi de caractriser chacun des paliers indiqus au
titre de chacune des composantes. Lvaluateur se reportera ainsi ces critres pour
apprcier la note quil portera chaque composante.
Pour justifier lattribution
dernire dans le tableau
Cependant, il y a des cas
auxquels cas, les solutions

dune note, toutes les conditions spcifies pour cette

dvaluation (colonne critres ) doivent tre remplies.
o une note peut tre justifie par diffrentes conditions,
alternatives sont spares par la conjonction OU .

la participation la plus large possible des acteurs intresss dans le cadre dchanges
contradictoires et de corroboration, permettant de faire merger un consensus propos
la validation de la structure de gouvernance. Cette mthode dire dexperts peut
certes tre empreinte de subjectivit ; mais en sinscrivant dans la dmarche globale de
contrle interne, elle est elle-mme soumise valuation et doit sappuyer sur les
restitutions quelles quelles soient (diagnostic de procdures, rapports daudit interne et
externe) ainsi que sur des lments probants.

des lments probants, qui correspondent aux pices, supports, documents relatifs au
renforcement du contrle interne et existant dans les services, dont la communication et
lanalyse permettent dtayer lvaluation ralise par le rfrent. Lanalyse de ces
lments probants contribue ainsi la justification de la note attribue chacune des
composantes values. Ils fournissent donc la preuve du niveau de maturit indiqu. Il

2013 EMR_mode opratoire.doc

5 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

est, en consquence, important dindiquer dans le document les rfrences des

documents probants qui fondent le niveau de cotation choisi et dassure leur disponibilit
dans la perspective de lvaluation des rsultats de lEMR.

Evaluation
des
diffrentes
composantes du levier.

Exemple : onglet / levier Documentation (extrait)

NB : cette valuation chiffre

devra tre imprativement
porte en face du nom de la
composante analyse.

La colonne
observations permet
dapporter des lments
complmentaires devant
faciliter la notation du
critre analys.

Paliers de
lchelle de
maturit
De 1 (rouge) 5
(vert fonc)

La liste des lments probants

figure dans cette colonne. Ces
lments permettent dtayer
lvaluation (preuve du niveau
de maturit)

2013 EMR_mode opratoire.doc

6 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Dtermination de la note attribue chaque levier du contrle interne

Les notes affectes chaque composante du levier sont additionnes automatiquement par
le fichier Excel. Ce dernier calcule par ailleurs une note moyenne qui correspond au niveau
de maturit du levier ainsi valu.
Exemple : onglet / levier Documentation (extrait)

Somme
des
notes attribues
chacune des
composantes du
levier considr

Moyenne
des
notes
des
composantes
du levier =note
du
levier
(niveau
de
maturit)

Une synthse graphique propre chaque levier est automatiquement tablie au moment de
lvaluation du levier.
Chaque axe du graphique correspond aux composantes du levier valu, avec indication du
niveau de maturit renseign lors de lvaluation.

Un onglet
graphe est
associ chaque
levier du CIC
2013 EMR_mode opratoire.doc

7 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Composantes du levier valu

Levier valu

Le primtre du diamant
est dlimit par les notes
attribues

2013 EMR_mode opratoire.doc

8 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Synthse de lvaluation visualisation du niveau de maturit des dispositifs de

contrle interne
Longlet maturit du fichier Excel fait apparatre la note moyenne attribue chaque
levier aprs lvaluation de leurs composantes.
Une synthse graphique permet de visualiser le niveau de maturit des dispositifs de
contrle interne dvelopp dans lentit (onglet graphe maturit ).

Note moyenne suite

lvaluation des
diffrents leviers du
CI

Onglet graphe maturit

Leviers du contrle interne

Leviers du contrle interne

Le diamant permet
de visualiser le niveau
de maturit des
dispositifs de CIC
dans lentit

2013 EMR_mode opratoire.doc

9 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

ANNEXE 1
E XPLICITATION

DES DIFFERENTES COMPOSANTES DES LEVIERS DU CONTROLE INTERNE

Levier 1 : Organisation de la fonction comptable et financire

Les entits doivent veiller mettre en place un contrle interne adquat en adaptant les
dispositifs la nature et au volume de leurs activits, leur taille, leurs implantations et aux
risques de diffrentes natures auxquels elles sont exposes. Lorganisation doit tre conue
davance dans un but de matrise de lactivit. Elle ne doit pas tre issue de contraintes
conjoncturelles et rsulter dadaptations faites sans rflexions pralables et conception
densemble. Lorganisation doit tre adapte aux objectifs de lentit et adaptable aux
volutions de son environnement. Lentit doit sassurer que le contrle interne sintgre
pleinement dans les procdures de chacune des activits.

Composantes :
Primtre
La composante primtre renvoie la connaissance qua lentit de son activit, plus
particulirement sur le plan financier et comptable. Cela suppose pour lentit didentifier les
1
processus comptables pour lesquels elle est directement concerne, ainsi que lenchanement
des procdures et tches au sein de chaque processus. La cartographie de lactivit financire
et comptable de lentit repose sur une cartographie des processus devant tre rgulirement
actualise de lvolution de ses mtiers et missions.
Les dispositifs de matrise des risques ont vocation tre dploys dans le champ de lactivit
comptable et financire ainsi dlimit, au sein de tous les services intervenant sur ce champ (y
compris en y incorporant des domaines jugs traditionnellement comme tant mtiers mais
qui ont des consquences dans une comptabilit en droits constats). Lentit doit sassurer
que le contrle interne sintgre pleinement dans les procdures de chacune de ses activits.
Structuration du systme dinformation
Les systmes dinformation, dont les vnements quils portent ont un impact sur la
comptabilit gnrale, sont concerns par cet item. Ils doivent rpondre aux normes de
contrle interne informatique en matire :

dorganisation : couverture de lensemble de lactivit comptable et financire, interfaage

automatique entre applications, accs au systme dinformation limit aux intervenants,
respect de la sparation des tches (matrise douvrage, matrise duvre, dveloppement,

Ensemble de tches ralises par diffrents oprationnels (voire diffrentes entits : dpartements,
services, ples, secteurs), participant dune mme activit, place sous lempire de normes juridiques
spcifiques, rattache un ensemble de comptes ou dlments de lannexe, pour produire un rsultat
commun. Un processus est un ensemble cohrent de procdures. Un cycle est un ensemble de
processus. Linformation comptable circule le long du processus qui constitue ainsi le support de la piste
daudit ou chemin de rvision.
La procdure fait partie dun processus dont elle constitue lun des enchanements. La procdure se
dcompose elle-mme en enchanement de tches (ou fonctions). Elle est dclenche par un fait
gnrateur et aboutit une ou plusieurs finalits.
La tche (ou fonction) est un ensemble doprations indissociables. La (les) tche(s) compose(nt) une
procdure. Les oprations ralises dans le cadre dune tche ne peuvent tre spares dans le temps,
ni distinctement rparties entre plusieurs oprationnels (mais plusieurs oprationnels peuvent raliser
ensemble les mmes oprations dune seule tche).
2013 EMR_mode opratoire.doc

10 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

intgration, administration, production), contrles dinterfaces entre applications, contrle

de lattribution des tches, contrle de la qualit des authentifiants.

de recours un prestataire externe : le contrat avec un prestataire extrieur doit intgrer

des lments portant sur le dispositif de contrle interne informatique.

dvaluation : le niveau de scurit des systmes dinformation est priodiquement valu.

Un dispositif daudit interne informatique indpendant des acteurs doit tre organis.
Attribution des tches

Le principe de continuit du service

toute entit. Ce principe est garanti
fonction comptable (identification de
2
suivie des habilitations informatiques

constitue une composante majeure de lorganisation de

par une attribution claire des tches aux acteurs de la
titulaires et de supplants), mais aussi par une gestion
et des dlgations de signatures.

Les organigrammes fonctionnels tablis au sein de lentit permettent dtayer lvaluation de

cette composante.
Sparation des tches

La sparation des tches est assure, par principe, par la sparation des fonctions
dordonnateur et de comptable. Gnralement, le dploiement de systme dinformation
(Chorus pour ltat, Hlios pour les collectivits territoriales) constitue d'ores et dj une
structuration qui assure une certaine matrise de l'activit des services permettant une
sparation des tches et des contrles mutuels.
De mme, doivent tre pris en compte dans cet item, les cas de rotation priodique du
personnel ou de polyvalence qui abolissent tout domaine rserv et implique de facto un
contrle mutuel.
Doivent tre galement pris en compte les rapports avec un crancier, un dbiteur ou un autre
tiers, qui impliquent un change contradictoire (par exemple, un fournisseur) : circularisation,
accords de soldes
Dans certains cas, gnralement propres aux services comptables, lensemble dune tche est
assur sans quil y ait sparation de tches et contrle mutuel avec un acteur (gestion des
incidents de virement, rgularisation des imputations provisoires) : un tel dispositif est
inappropri et doit faire intervenir un autre acteur, y compris sous forme de contrle de
supervision.
Points de contrle
Les points de contrle sont dabord fixs par la rglementation : il convient de sassurer quils
soient correctement mis en uvre. Les contrles attendus par les oprationnels (autocontrles
4
5
et contrles mutuels) et les contrles de supervision contemporains sont par principe
exhaustifs.

Droit daccs, attribu un intervenant, pour une application du systme dinformation et/ou aux
transactions autorises (" profil ").Lhabilitation doit correspondre lattribution des tches.
3
Attribution, sur un processus, dune tche deux agents distincts, permettant un contrle mutuel
(traditionnellement, sparation entre ordonnateur et comptable). Cette sparation des tches peut tre
ralise en fonction de seuils de montants doprations. Elle peut aussi tre assure par une rotation
priodique des oprationnels dune entit. En milieu informatis, la sparation des tches suppose une
configuration des habilitations aux transactions correspondant chaque tche.
4
Les oprations de contrle exerces au sein de lentit attributaire des tches, intgrs au
fonctionnement courant, sont soit contemporains (a priori), soit a posteriori :
2013 EMR_mode opratoire.doc

11 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Pour autant, en particulier dans les plans de contrle qui peuvent tre mis en uvre (contrles
lors de la clture, contrles de supervision a posteriori, plan de contrle hirarchis de la
dpense ou partenarial pour un comptable), les acteurs doivent avoir une approche par les
risques et les enjeux de manire proportionner leur activit de contrle.
Ces contrles raliss en fonction des risques et des enjeux doivent tre documents
(modalits, chantillonnage, priodicit, acteurs) et tracs.
Scurits physiques
Les fonds, valeurs et bien corporels ou incorporels, mobiliers ou immobiliers, de lentit doivent
faire lobjet dun recensement et dune protection en fonction de leur valeur. Ceci implique une
protection des biens corporels dont les stocks (mme non recenss en comptabilit gnrale).
Il sagit des fonds publics et privs rglements, ainsi que des valeurs (chques, timbres, etc.)
et des biens mobiliers et stocks (mdicaments, matriels informatiques ).
Le filtrage daccs se fait en fonction de la sensibilit, notamment :
-

Locaux dexploitation du SI ;

Dtention de fonds et valeurs (ex : rgie)

etc.

- Autocontrle : Contrle exerc par un oprationnel sur ses propres oprations, a priori ou
contemporain. Il est intgr une procdure donne.
- Contrle mutuel : Contrle exerc par un agent sur les oprations dun autre agent, ou par une entit
sur les oprations dune autre entit. Ce contrle - qui nest quun aspect de lautocontrle - est intgr
la procdure.
- Contrle de supervision : Contrle exerc par lencadrement sur les oprations des agents. Il peut tre
intgr la procdure (contrle de supervision contemporain), ou extrieur la procdure (contrle a
posteriori).
5
La supervision est, au sein dune entit, la fonction rgulire consistant dans le suivi des travaux et le
contrle et la validation des oprations (contrle de supervision) des agents par lencadrement.
2013 EMR_mode opratoire.doc

12 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Levier 2 : Documentation des procdures financires et comptables

Composantes :
Documentation sur les risques
Le levier documentation comprend, outre la documentation des procdures, celle des
risques, matrialise notamment par les rfrentiels de contrle interne (RCI). En dcrivant les
risques et en prconisant des mesures de couverture de ces derniers, les rfrentiels de
contrle interne constituent les supports autorisant au sein de lentit la dmarche de
diagnostic (auto-valuation).
Lvaluation de cette composante porte sur lexistence, lexhaustivit, lactualit et les
modalits de la documentation des risques.
Il convient de sassurer de la couverture documentaire des risques dun processus. Pour
autant, si un RCI gnrique labor par la DGFiP est jug suffisant, il nest pas ncessaire
dlaborer un rfrentiel spcifique propre lentit.
Documentation des procdures financires et comptables
La premire des documentations est constitue du corpus rglementaire (notamment les
circulaires et instructions budgtaires et comptables).
Lvaluation du levier documentation intgre donc les aspects lis lexhaustivit,
lactualit, les modalits daccs et dutilisation de ces documents.
Cela se traduit gnralement par une fonction documentaire, cest--dire un acteur (centre de
documentation, responsable de la documentation), en plus des accs par intranet de la
documentation sous format dmatrialis.
Cet accs la rglementation implique galement un circuit dinformation sur les changements
rglementaires.
La documentation des procdures comptables a pour but doffrir aux oprationnels des modes
opratoires dcrivant au niveau le plus fin, tant sous les aspects mtier qu outil , les
oprations composant une procdure en prsentant leur enchanement et en identifiant les
acteurs et les contrles devant tre raliss.
Il convient de sassurer de la couverture documentaire dun processus. La documentation des
procdures constituant une mesure de couverture des risques, la programmation de guides ou
de fiches de procdures (ou modes opratoires) a vocation figurer dans un plan daction.
Organigramme fonctionnel
Lorganigramme fonctionnel (OF) sinscrit dans le levier documentation dans la mesure o
ce support permet de dcrire et formaliser lorganisation de lentit un moment donn. En
consquence, il a vocation faire lobjet dune actualisation ds lors quinterviennent des
changements dans lorganisation (rorganisation des procdures, dparts / arrivs dagents,
etc.).
Lvaluation apprcie lexistence, lexhaustivit, lactualit et les modalits de diffusion des OF
(connaissance par lensemble des acteurs de lentit des organigrammes fonctionnels). LOF
est diffus lintrieur de lentit, comme vers les autres entits intresses, et est susceptible
dtre produit un auditeur interne ou externe.

2013 EMR_mode opratoire.doc

13 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Formation
La formation des acteurs de la fonction comptable participe du chantier de la documentation,
dans la mesure o un acteur form peut excuter correctement les procdures comptables.
Lvaluation de cette composante intgre tant les actions dispenses par le rfrent dans son
rle danimation et daccompagnement du contrle interne dans les services que les actions
organises et assures par les services chargs de la formation.
Documentation du systme dinformation
Lensemble des choix, dveloppements et recettes en matire de systme dinformation doit
6
tre document et recens de manire tre directement accessible .
Les systmes dinformation doivent rpondre aux normes de contrle interne informatique en
matire de documentation du systme dinformation comptable, de la mthodologie de
conception des applications, des acteurs du systme dinformation, des risques du systme
dinformation, de la politique de gestion des authentifiants. Les personnels chargs de la
matrise douvrage, de la matrise duvre, du dveloppement, de lintgration, de
lexploitation, de la maintenance et de ladministration doivent tre galement forms et
sensibiliss la scurit du systme dinformation et aux normes du contrle interne.
Ce point renvoie notamment l'laboration du cahier des charges, dans le cas de l'acquisition
d'un SI.
Il convient, galement, de conserver les documents relatifs aux choix effectus en matire de
paramtrages du systme dinformation, notamment par rapport aux solutions standards
proposes par les diteurs.

Le guide dauditabilit des systmes dinformation dans le cadre de la certification des comptes des
tablissements publics de sant diffus dans par linstruction n DGOS/MSIOS/2013/62 du 21 fvrier
2013 constitue un point dappui dterminant pour accompagner les tablissements dans la progression
sur cette composante en prsentant les normes dans ce domaine ainsi que les bonnes pratiques.

2013 EMR_mode opratoire.doc

14 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Levier 3 : Traabilit des acteurs

et des oprations financires et comptables
La ralisation des oprations financires et comptables doit tre trace. La traabilit repose
sur un systme de preuves et peut tre gradue en fonction des risques. Elle garantit en outre
7
la piste daudit (ou chemin de rvision), en permettant un auditeur, en partant de lcriture
en comptabilit gnrale, darriver jusqu la pice justificative du fait gnrateur (ou
inversement), tout en identifiant, au long du processus, lensemble des acteurs et des
oprations intervenues.
La traabilit des oprations et des contrles associs est fondamentale dans une logique
dinformation comptable et de certification. En la matire, une opration non trace est
considre comme nayant jamais exist.
Cette traabilit doit permettre de rpondre aux questions suivantes : Qui a ralis
lopration ? quelle date ou quelle priodicit ? Selon quelles modalits et sur quel primtre
(chantillon etc.) ?
Ce souci de traabilit se traduit par le respect et le suivi des habilitations et paramtrages
informatiques ; larchivage des documents comptables et des pices justificatives (y compris
sous forme informatique) ; le respect, par les acteurs, des modes de traabilit dfinis pour
leurs contrles ; larticulation des diffrents supports comptables (entre comptabilits de
dveloppement et gnrale) de manire assurer leur cohrence (ajustement entre les
comptabilits), ce qui peut se traduire, en environnement informatique, par un systme de
codification et daccus de rception entre applications.

Composantes :
Identification des acteurs
La traabilit des acteurs permet de rpondre la question qui a ralis lopration et /ou le
contrle ? .
Il sagit, pour cette composante, dvaluer les modalits de traabilit des intervenants
(traabilit papier, ou porte par les systmes dinformation) et leur respect par les acteurs de
la fonction comptable.
Traabilit des oprations
8

La traabilit des oprations de traitement de linformation comptable et financire se

9
concrtise par des documents comptables , des pices justificatives (sous forme papier ou sur
support numrique).

Dmarche consistant en la mise en place dun processus continu et intgr, avec la description, dune
faon claire et exhaustive, du cheminement des oprations (flux dinformations, flux financiers), de leur
traabilit (documents comptables et pices justificatives) et de leur contrle. La piste daudit (ou
chemin de rvision) permet de reconstituer dans un ordre chronologique les oprations ; de justifier
toute opration par une pice dorigine partir de laquelle il doit tre possible de remonter par un
cheminement ininterrompu au document de synthse et rciproquement ; dexpliquer lvolution des
soldes dun arrt lautre par la conservation des mouvements ayant affect les postes comptables. La
piste daudit permet ainsi de reconstituer les donnes comptables en fonction dun processus.
8
Formalisation de la ralisation des oprations et des oprationnels les ayant ralises. La traabilit
repose sur un systme de preuves. Un systme de preuves satisfaisant est conditionn par :
- la numrotation squentielle et continue des documents comptables et des pices justificatives des
critures ;
2013 EMR_mode opratoire.doc

15 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Dans le cadre dune comptabilit en droits constats, la notion de pice justificative est plus
large que celle traditionnellement entendue. En effet, il sagit de toute pice, gnralement
produite par un tiers ou tablie contradictoirement avec un tiers, venant justifier une opration.
Par diffrence, les autres pices sont qualifies de "comptables" (par exemple, lensemble des
pices contractuelles de recrutement dun agent sont des pices justifiant des critures en
comptes de charges, quelles soient transmises ou non au comptable ; les documents tablis
par le service des ressources humaines concernant cet agent pour mise en paiement de son
traitement sont des documents comptables).
Deux points doivent tre souligns :
- avec la fonction comptable partage, pices justificatives et documents comptables
concernent autant les ordonnateurs que les comptables ;
- ces notions sappliquent que les pices et documents soient tablis sous format papier ou
numrique.
Traabilit des contrles
Lvaluation de la traabilit des contrles doit intgrer lensemble des contrles raliss dans
les services. En gnral, les contrles a posteriori exigent un niveau de formalisation plus
pouss dans la mesure o ils ne peuvent tre portes par les pices justificatives ou le
systme dinformation. Ce principe sapplique tout particulirement en matire de contrles de
supervision a posteriori.
Archivage et sauvegarde des donnes comptables et des justifications
Larchivage des documents et des pices justificatives (y compris sous forme informatique) est
un lment primordial pour sassurer de la traabilit.
Lopration darchivage consiste classer des documents comptables et les pices
justificatives (sous support papier ou numrique), pour les conserver de manire accessible.
Continuit du systme dinformation
10

Un plan de continuit doit permettre, aprs un sinistre impactant le systme informatique de

lentit, la reprise de lactivit dans les plus brefs dlais et avec un minimum de perte de
donnes. Ce plan repose sur une analyse en termes de risques et dimpact, et sur la dfinition
dune stratgie de scurisation destine assurer la continuit de service du systme
dinformation. En assurant la sauvegarde des donnes, le plan de continuit sinscrit dans un
objectif de traabilit des oprations.

- le classement (chronologique, comptable, thmatique, alphabtique), larchivage exhaustif des

documents (papiers ou informatiques), dans le respect des dlais de conservation ; cette formalisation
doit tre disponible, accessible, pertinente (adapte son objet et son utilisation), vrifiable
(existence des sources dinformation) ;
- la preuve de lexcution des oprations (effectue par crit avec la signature dun document ou de
manire informatique).
La traabilit conditionne la qualit de la piste daudit.
9
Livre journal, grand livre, livre dinventaire, et tout livre auxiliaire, fiches dcriture, ordres de payer et
de recouvrer, et autres tats, support papier ou numrique (donne informatique) dune criture
comptable.
10
Ensemble de mesures visant assurer, selon divers scnarios de crises, y compris face des chocs
extrmes, le maintien, le cas chant de faon temporaire selon un mode dgrad, des prestations de
services essentielles de lentit puis la reprise planifie des activits.
2013 EMR_mode opratoire.doc

16 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Le systme dinformation doit rpondre aux normes de contrle interne informatique en

11
matire de traabilit : lintervenant doit sidentifier par saisie dun identifiant qui permet la
12
traabilit de lintervention. Lintervenant doit sauthentifier par saisie dun mot de passe.
Les travaux de matrise douvrage, de la matrise duvre, du dveloppement, de lintgration,
de lexploitation, de la maintenance et de ladministration doivent tre retracs et archivs. La
sauvegarde priodique des donnes informatique est indispensable. Des procdures de
secours et de sauvegarde doivent tre prvues afin dassurer la continuit de lexploitation. La
documentation doit tre archive.
Les incidents informatiques doivent tre tracs et notifis aux acteurs. En cas danomalies, une
intervention directe du service dexploitation du SI, dans les fichiers, doit tre exceptionnelle,
autorise (par lordonnateur et le comptable), et trace.

11

Code que lintervenant doit ncessairement saisir pour sidentifier et accder au systme dinformation
ou aux transactions autorises. Cette identification correspond une habilitation. Exemple didentifiant :
nom utilisateur ou code utilisateur.
12
Confirmation de lidentification prtendue dintervenants : code secret ou carte daccrditation que
lintervenant doit ncessairement saisir ou insrer pour accder au systme dinformation ou aux
transactions autorises, afin de prouver son identit. Exemple dauthentifiant : mot de passe.
2013 EMR_mode opratoire.doc

17 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Levier 4 : Pilotage
Composantes :
Structures de gouvernance
Un comit de gouvernance (ou quelle que soit la dnomination adopte) a pour objectif de :

valider et assurer le suivi de la cartographie des risques ;

valider et assurer le suivi du plan daction ;

dterminer la politique annuelle de contrle interne (diagnostics, contrles de supervision,

audits comptables et financiers) ;

assurer le suivi de la politique annuelle de contrle interne.

La dmarche est, sur le plan oprationnel, pilote par un ou plusieurs rfrents contrle interne
chargs des fonctions :

de pilotage et danimation du renforcement du CI ;

de formation ;

dassistance des services.

Pilotage du systme dinformation

Un comit de pilotage est linstance de coordination et de dcision en matire de gestion

des systmes dinformation.
Il approuve notamment :
le projet dtablissement qui dfinit le systme dinformation ;
le schma directeur des systmes dinformation (SDSi) qui permet de prciser et dcliner
les projets prioritaires dfinis dans le projet dtablissement. Ce document prsente les
aspects organisationnels, techniques, conomiques et financiers ;
Le schma directeur est mis jour rgulirement. Cette mise jour est assure laune
des lments de rporting sur lactivit et les risques :
-

taux de service, disponibilit, satisfaction des utilisateurs, budgets

analyse des incidents majeurs (rupture dans la continuit du service/fraudes/actes

malveillants), ayant pu altrer le SI et ncessitant la mise en uvre dactions
correctives

une politique de scurit.

Les dcisions prises par la structure de gouvernance doivent notamment tre prise laune de
13
la cartographie gnrale du systme dinformation . Elle doit tre accompagne dune analyse
mettant en vidence les risques potentiels lis cette architecture.
Lobjectif pour ltablissement est de dmontrer que la direction gnrale dispose dune vision
claire du SI en place, de ses faiblesses, des risques encourus et des volutions attendues qui
doivent tre en accord avec la stratgie globale de ltablissement.

13

Ltablissement de la cartographie du systme dinformation ncessite lidentification des principales

applications et interfaces.
2013 EMR_mode opratoire.doc

18 /19
version 2

DGFiP

chelle de maturit de la gestion des risques

Cartographie des risques

Reposant sur la cartographie des processus, la cartographie des risques est le support de
pilotage des risques comptables : elle donne un bilan consolid et priodiquement actualis
des risques potentiels et de leur niveau de matrise. Ce document formalise ainsi lanalyse des
risques en hirarchisant les enjeux par processus en fonction du niveau de risques et de leur
volume financier. Lidentification des risques permet de les hirarchiser mais surtout de dfinir
les mesures adquates mettre en uvre pour les couvrir.
La cartographie des risques est alimente par les signalements des acteurs de la fonction
comptable et financire (en particulier dans le cadre des diagnostics, par les restitutions du
contrle hirarchis de la dpense le cas chant, ou par leur connaissance des processus :
complexit de la rglementation, dispersion gographique des acteurs, multiplicit des acteurs,
caractristiques des missions, caractristiques des tiers ou des usagers, rorganisation des
structures administratives, obsolescence de la documentation, absence de cycle de formation
ddi, turn-over prvisible des personnels ou de lencadrement, rforme rglementaire), mais
galement par les constats des auditeurs internes et externes.
Plan daction
La cartographie des risques dbouche sur ltablissement dun plan daction (pluriannuel le cas
chant) pour couvrir les risques dtects.
Lvaluation de cette composante intgre les lments lis la programmation des actions de
couverture des risques, leur formalisation dans le plan daction, au primtre et
lactualisation de ce support.
valuation priodique
Lensemble des valuations provenant des acteurs (constats de lencadrement lors de
14
diagnostics , dtection danomalie lors des contrles des agents ) tant au niveau central que
dconcentr et pouvant alimenter la cartographie des risques et le plan daction, est prendre
en compte.
Exploitation des rsultats du reporting
Le niveau doptimisation confre la structure de gouvernance une connaissance prcise des
risques qui lui permet de piloter la dmarche de contrle interne en engageant des actions
cibles pour amliorer de manire continue la matrise des processus. La structure de
gouvernance a besoin dune vision de leffectivit et de lefficacit du dispositif de matrise des
risques afin didentifier ses points forts et ses points faibles et darbitrer en consquence.

14

Dmarche dvaluation du contrle interne dune entit, par son encadrement, dans le but de
lamliorer.
2013 EMR_mode opratoire.doc

19 /19
version 2