2.1.3.1 Recensement des risques
La société doit recenser les principaux risques
identifiables, internes ou externes pouvant avoir un impact sur la
probabilité d'atteindre les objectifs qu'elle s'est fixés. Cette
identification, qui s'inscrit dans le cadre d'un processus continu, devrait
couvrir les risques qui peuvent avoir une incidence importante sur sa
situation.
2.1.3.2 Analyse des risques
Il convient pour ce faire de tenir compte de la
possibilité d'occurrence des risques et de leur gravité
potentielle, ainsi que de l'environnement et des mesures de maîtrise
existantes. Ces différents éléments ne sont pas
figés, ils sont pris en compte, au contraire, dans un processus de
gestion des risques.
2.1.3.3 Procédures de gestion des risques
La Direction Générale ou le Directoire avec l'appui
d'une direction des risques, si elle existe, devraient définir des
procédures de gestion des risques.
2.1.4 Des activités de contrôle
proportionnées aux enjeux propres à chaque processus,
et
conçues pour s'assurer que les mesures
nécessaires sont prises en vue de maîtriser les
risques susceptibles d'affecter la réalisation des
objectifs
Les activités de contrôle sont présentes
partout dans l'organisation, à tout niveau et dans toute fonction qu'il
s'agisse de contrôles orientés vers la prévention ou la
détection, de contrôles manuels ou informatiques ou encore de
contrôles hiérarchiques.
En tout état de cause, les activités de
contrôle doivent être déterminées en fonction de la
nature des objectifs auxquels elles se rapportent et être
proportionnées aux enjeux de chaque processus. Dans ce cadre, une
attention toute particulière devrait être portée aux
contrôles des processus de construction et de fonctionnement des
systèmes d'information.
2.1.5 Une surveillance permanente portant sur le
dispositif de contrôle interne ainsi qu'un examen régulier de son
fonctionnement
Comme tout système, le dispositif de contrôle
interne doit faire l'objet d'une surveillance permanente. Il s'agit de
vérifier sa pertinence et son adéquation aux objectifs de la
société.
Mise en oeuvre par le management sous le pilotage de la
Direction Générale ou du Directoire, cette surveillance prend
notamment en compte l'analyse des principaux incidents constatés, le
résultat des contrôles réalisés ainsi que des
travaux effectués par l'audit interne, lorsqu'il existe. Cette
surveillance s'appuie notamment sur les remarques formulées par les
commissaires aux comptes et par les éventuelles instances
réglementaires de supervision.
La surveillance peut utilement être complétée
par une veille active sur les meilleures pratiques en matière de
contrôle interne.
Surveillance et veille conduisent, si nécessaire, à
la mise en oeuvre d'actions correctives et à l'adaptation du dispositif
de contrôle interne.
La Direction Générale ou le Directoire
apprécient les conditions dans lesquelles ils informent le Conseil des
principaux résultats des surveillances et examens ainsi
exercés.
| 
