Analyse des forces et faiblesses du système de contrôle interne

#6 Analyse des forces et faiblesses du système de contrôle interne du cycle des produits selon l’approche du CoCo

A-1: Des objectifs devraient être établis et communiqués.

Le cabinet KSS est un cabinet d’avocat d’affaires bien établi qui  compte quinze ans d’existence. Il possède une clientèle cible composée d’entreprises, d’entrepreneurs et d’innovateurs du Québec, principalement des PME. Il compte plus de cent trente-cinq professionnels à Montréal et Québec, tous sont unis sous une seule entreprise, derrière un plan d’affaires clair et une forte culture organisationnelle. En ce sens, nous pouvons présumer que les objectifs stratégiques de Cabinet KSS sont clairement définis et consignés dans un document officiel car, clairement la vision et stratégie de l’organisation est soutenue  dans l’ensemble de l’organisation. On peut ainsi présumer que pour être aussi bien établi et compter plusieurs employés, la mission de l’entreprise est connue de tous. C’est pourquoi nous pouvons conclure que le fonctionnement est bien efficace et le risque résiduel est faible. Ce qui représente une force pour l’entreprise.

A-2: Les risques internes et externes importants auxquels l’organisation fait face dans la poursuite de ses objectifs devraient être identifiés et évalués.

Toute entreprise doit se livrer à un exercice de hiérarchisation des événements  à risque, lequel exige en premier lieu leur identification et, en second lieu, leur évaluation. Le cabinet KSS ne fait pas exception. De par son rôle d’être bien établi et de posséder une solide notoriété, le contrôle interne de l’entreprise est d’autant plus important. Le contrôle  interne de l’entreprise est aligné avec sa phase du cycle de croissance. Le niveau de maturité du contrôle interne est standardisé, les procédures y sont structurées, documentées et communiquées. La majorité des contrôles sont implantés en fonction du risque de l’entité. Cependant, le cabinet fait face aux risques liés aux communications électroniques. Certaines informations confidentielles peuvent être transmises par voie électronique, envoyées à un mauvais destinataire ou encore être interceptées. Clairement, nous pouvons affirmer que l’entreprise connait son positionnement sur le marché et est conscient des risques inhérents qui pèsent sur l’entreprise. Néanmoins, de savoir que l’entreprise fait face aux risques liés aux communications électroniques et d’en juger comme risques inévitables, est inacceptable. L’entreprise choisit donc d’accepter le risque. L’attitude de l’entreprise envers cet enjeu est inappropriée car, bien que la probabilité que les communications électroniques contenant des renseignements confidentielles demeure faible, l’incidence peut être extrêmement dommageable à l’atteinte des objectifs de l’entreprise. Ici, il est question d’une déficience de contrôle car elle est absente. L’importance de cette déficience de contrôle est sous-évaluée. Cette situation est une faiblesse pour l’entreprise qui donne un risque résiduel équivalent au risque inhérent.

De plus, lorsque la firme se fait confier un mandat par un client, une recherche systématique de conflit d’intérêt est effectuée. Plusieurs étapes de contrôles s’ensuivent dans l’éventualité où un conflit est détecté. Ces procédures sont d’une importance considérable et servent en grande partie à éviter toutes poursuites futures découlant de conflits d’intérêts ou de pertes économiques attribuables au temps travaillé. De ces faits, nous pouvons affirmer que le cabinet KSS ne souhaite courir aucun risque en implantant divers processus serrés en éliminant complètement les risques qui y sont associés. L’élimination des risques revient à refuser de poursuivre le projet, limitant ainsi la perte au coût assumé pour l’étude du projet. Ici, la gestion de ce risque externe est une force pour l’entreprise car le risque résiduel est quasi nul.

A-3: Des politiques visant à faciliter l’atteinte des objectifs de l’organisation et la gestion des risques auxquels elle fait face devraient être établies, communiquées et mises en pratiques, afin que les gens comprennent ce qui est attendu d’eux et connaissent l’étendue de leur liberté d’action.

En ce qui concerne les politiques et les procédures, le Cabinet KSS en a élaboré plusieurs pour compléter les fonctions quotidiennes de ses employés. Puisque les renseignements légaux et confidentiels constituent une ressource importante pour le Cabinet KSS, la sécurité des données confidentielles est d’une grande importance. D’emblée, chaque utilisateur doit tout d’abord entrer un mot de passe d’au moins huit caractères alphanumériques pour accéder au réseau informatique. Le système de sécurité force le changement du mot de passe à chaque quatre-vingt-dix jours. De plus, pour accéder aux applications, l’employé doit alors entrer son code d’usager et un second mot de passe. C’est par l’entremise de ce code d’usager que les autorisations lui sont attribuées selon les fonctions qu’il exerce. Ces contrôles de groupe permettent  de réduire les risques auxquels l’entreprise est exposée puisqu’elles ont une incidence sur plusieurs traitements accomplis par les employés. Ceci représente une force pour l’entreprise et représente un risque résiduel faible.

 De plus, lorsqu’un avocat se voit confier un mandat, plusieurs étapes sont de mise avant l’ouverture d’une fiche client. L’adjointe remplie un formulaire en saisissant tous les renseignements du client. Le formulaire est ensuite envoyé au service de recherche de conflits qui en font une analyse approfondie dans le but de détecter tous conflits d’intérêts se rapportant au mandat confié. Lorsque le tout semble satisfaisant, l’avocat responsable peut procéder à l’ouverture d’une fiche client dans le système Maître. Ces activités de contrôle visent notamment à prévenir  les risques de poursuites  découlant de conflit d’intérêts ou à éviter des pertes économiques non imputables. Ceci représente une force pour l’entreprise et représente un risque résiduel faible.

 Aussi, un enregistrement de temps travaillé sur un mandat doit être effectué de manière quotidienne. Pour s’assurer de l’application de cette procédure, un courriel automatique est envoyé aux employés sur une base régulière afin d’interpeller l’ensemble des avocats l’importance de saisir quotidiennement les heures travaillées par mandat. Ici, une activité de contrôle automatisé est employé afin d’éviter les oublis qui ont des monétaires. Il s’agit d’une force pour l’entreprise et donc un risque résiduel faible. Également, pour les heures travaillées qui ne sont pas imputables à un client donné, le cabinet a créé des fiches mandats pour d’autres tâches. On retrouve donc des numéros de mandat pour le travail administratif, le temps de formation, la prospection de client, etc. Ces mandats spécifiques sont utiles pour faire une bonne gestion du cabinet, s’assurer de sa rentabilité et donc rester sur l’atteinte des objectifs.  Une date limite de facturation est déterminée par le service des finances et les adjointes doivent s’assurer de mettre en action leurs procédures de facturation. De la même façon que pour l’enregistrement quotidien des honoraires, un courriel automatique surgit  les dates limites de facturation émises par le service des finances. Encore une fois, il s’agit d’une activité automatisé qui empêche un évènement de se produire. Le risque résiduel est donc faible.

...