Appendice A
Grille d’analyse
Préambule
Cette grille d’analyse permet aux établissements assujettis de s’auto-évaluer. Elle complète le tableau de reporting des risques et de contrôle interne axé sur les moyens de paiement scripturaux, mais ne saurait se substituer à lui.
Depuis l’exercice 2011, ces deux documents servent à rendre compte annuellement du degré de maîtrise du moyen de paiement émis ou géré par l’établissement et du niveau de sécurité atteint.
Cette grille d’analyse est consacrée aux objectifs de sécurité. Elle permet à l’établissement de s’évaluer sur une échelle à quatre niveaux en respectant les critères d’appréciation fournis pour chaque objectif.
Elle doit être remplie en fonction des informations fournies dans le tableau de reporting transmis par l’établissement dans le cadre de l’annexe. En effet, ce dernier doit évaluer si les éléments qu’il a fournis dans le tableau de reporting répondent aux objectifs de sécurité énumérés dans le questionnaire.
L’établissement doit cocher la case correspondante et justifier ce choix dans la zone de commentaire associée à chacune des réponses.
Critères d’analyse du contenu des annexes
(critères de fond)
Six critères ont été retenus pour permettre l’analyse formalisée du contenu des annexes. Celle-ci vise à déterminer de façon globale le niveau de maîtrise de la sécurité du moyen de paiement par l’établissement et à donner un aperçu de son activité de contrôle dans ce domaine.
1.Évaluation du système d’identification des risques : mise en place d’un système visant à recenser et analyser les principaux facteurs internes et externes susceptibles d’atteindre la sécurité du moyen de paiement.
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrecte
|
|
Incomplète
|
|
Correcte
|
|
Critères d’évaluation :
l’établissement dispose d’un référentiel en matière de risque (typologie homogène, critères de recensement, d’analyse et de suivi…) basé sur une méthodologie reconnue et a mis en place un système intégré d’analyse et d’identification des risques ;
l’analyse des risques tient compte des évolutions internes et/ou externes à l’établissement ;
les risques identifiés sont classés par ordre de priorité (du plus important au plus faible en termes d’impact et de probabilité de survenance).
|
Tableau de correspondance
|
Pas de réponse
|
Pas de communication de l’établissement concernant l’identification des risques.
|
Incorrecte
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplète
|
Satisfaction à au moins un des trois critères.
|
Correcte
|
Satisfaction à l’ensemble des critères.
|
2.Mesures de couverture : mise en œuvre d’une évaluation efficace des risques recensés et de solutions appropriées.
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrecte
|
|
Incomplète
|
|
Correcte
|
|
Critères d’évaluation :
pour les principaux risques identifiés, l’établissement analyse les incidences potentielles (chiffrées ou non, financière ou non financière) et son degré de maîtrise estimé ;
l’analyse des risques donne lieu à des actions spécifiques, dont la responsabilité est clairement définie ;
les opérationnels participent au choix des mesures de couverture ;
des mesures préventives sont mises en place afin de prévenir les risques non acceptés par l’établissement et susceptibles de porter atteinte à la sécurité des moyens de paiement.
|
Tableau de correspondance
|
Pas de réponse
|
Pas de communication de l’établissement concernant les mesures de couverture.
|
Incorrecte
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplète
|
Satisfaction à au moins un des quatre critères.
|
Correcte
|
Satisfaction à l’ensemble des critères.
|
3.Application des principes et recommandations d’organismes externes : mise en œuvre des recommandations exprimées par les organismes externes en matière de sécurité des moyens de paiement (voir la liste indicative de ces recommandations en appendice).
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrecte
|
|
Incomplète
|
|
Correcte
|
|
Critères d’évaluation :
les recommandations susvisées concernant la sécurité du moyen de paiement sont clairement identifiées et intégrées dans les procédures de l’établissement ;
la mise en œuvre des différentes recommandations fait l’objet d’un suivi par le responsable de la conformité ou par un collaborateur en charge de la conformité.
|
Tableau de correspondance
|
Pas de réponse
|
Pas de communication de l’établissement concernant les mesures de couverture.
|
Incorrecte
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplète
|
Satisfaction à un des deux critères.
|
Correcte
|
Satisfaction à l’ensemble des critères.
|
4.L’impact des mesures de couverture et de suivi des risques : les stratégies de couverture adoptées visent à renforcer la sécurité du moyen de paiement et à maîtriser les risques identifiés.
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrecte
|
|
Incomplète
|
|
Correcte
|
|
Critères d’évaluation :
les mesures mises en place ont contribué au renforcement de la sécurité du moyen de paiement en diminuant l’impact du risque et/ou sa probabilité de survenance ;
l’établissement s’assure que les mesures adoptées n’engendrent pas l’apparition d’autres risques ;
une veille sur les risques identifiés et leurs évolutions a été instaurée.
|
Tableau de correspondance
|
Pas de réponse
|
Pas de communication de l’établissement concernant l’organisation des contrôles.
|
Incorrecte
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplète
|
Satisfaction à au moins un des trois critères.
|
Correcte
|
Satisfaction à l’ensemble des critères.
|
5.Le dispositif de contrôle : les contrôles mis en place sont appropriés, correspondent à la nature et à la complexité des risques identifiés.
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrecte
|
|
Incomplète
|
|
Correcte
|
|
Critères d’évaluation :
les activités de contrôle sont proportionnées aux enjeux de chaque risque et conçues pour réduire chacun d’entre eux ;
l’établissement veille à ce que son activité de contrôle assure le respect de la conformité et de la réglementation en vigueur ;
la mise en œuvre des mesures correctives fait l’objet d’un suivi régulier par les services de contrôle.
|
Tableau de correspondance
|
Pas de réponse
|
Pas de communication de l’établissement concernant l’organisation des contrôles.
|
Incorrecte
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplète
|
Satisfaction à au moins un des trois critères.
|
Correcte
|
Satisfaction à l’ensemble des critères.
|
6.Périodicité des contrôles : le dispositif de contrôle interne relatif aux moyens de paiement scripturaux fait l’objet d’une surveillance permanente.
Pas de réponse
|
|
|
Commentaire sur l’évaluation :
|
Incorrecte
|
|
Incomplète
|
|
Correcte
|
|
Critères d’évaluation :
existence de contrôles réguliers dans le but de fiabiliser les processus existants et la sécurisation de l’ensemble des activités liées au moyens de paiement ;
mise en place de contrôles inopinés pour s’assurer que les principes et procédures de maîtrise de l’activité sont respectés ;
mise en place d’indicateurs précis pour définir la fréquence des contrôles ;
le dispositif de contrôle périodique couvre tout le périmètre auditable dans un délai raisonnable.
|
Tableau de correspondance
|
Pas de réponse
|
Pas de communication de l’établissement concernant l’organisation des contrôles.
|
Incorrecte
|
Aucun des critères d’appréciation n’est satisfait.
|
Incomplète
|
Satisfaction à au moins un des quatre critères.
|
Correcte
|
Satisfaction à l’ensemble des critères.
|
Respect du format de réponse
|
