lAssurance-Raisonable Une exigence suffisante pour le SCI

Transcription

AUDIT
Dans cet article, le Groupe d’échange d’expériences des collectivités publiques latines (Groupe ERFA) de l’Association suisse d’audit interne (ASAI) propose d’aborder
la problématique de l’assurance raisonnable s’agissant du système de contrôle interne dans un environnement public. Le groupe a analysé quelles sont les exigences
au niveau de l’assurance raisonnable au travers de la situation prévalant à l’administration fédérale ainsi qu’au Centre hospitalier universitaire vaudois (CHUV).
SAMY JOST
DANIEL AEBY
CL AUDE MEYER
L’ASSURANCE RAISONNABLE
Une exigence suffisante pour le SCI des
collectivités publiques?
1. INTRODUCTION
Concept incontournable à toute démarche d’audit, l’assurance raisonnable n’en est pas moins une notion souvent mal
comprise par le grand public. Combien d’affaires de fraude
révélées ne suscitent-elles pas vives critiques et cynisme à
l’égard du système de contrôle interne (SCI)?
Il est bien souvent oublié que, tout exemplaire qu’il puisse
être, un SCI efficient ne peut donner l’assurance absolue d’absence de fraude, même si celui-ci s’appuie sur une séparation
de fonction adéquate car la collusion ne peut pas être exclue.
La fraude, notamment celle liée aux processus opérationnels,
n’est ni plus ni moins que la mise en exploitation d’une ou
plusieurs faiblesses du contrôle interne.
Si la fraude est un cas particulier de faiblesse du SCI, généralement, tout dysfonctionnement d’une entité publique
ou parapublique soulève nombre de questions sur le SCI. Dans
la mesure où celui-ci semble incapable d’empêcher la survenue d’irrégularités, il est fréquent d’entendre l’opinion railler
l’opportunité du contrôle interne au sein du secteur public,
comme une tentative, certes louable, bien que totalement
vaine à empêcher «les affaires». Évidement, ce serait faire fi
de la doctrine sur le contrôle interne qui indique que celui-ci
ne peut donner l’assurance absolue de l’absence de dysfonctionnement [1], entre autres en raison de l’augmentation de la
complexité des transactions reposant sur des outils informatiques pas toujours maîtrisés.
Sur la base de ce constat, il nous paraissait important de
revenir sur cette notion cardinale qu’est l’assurance raisonnable afin de rappeler ce qu’il est «raisonnablement» envisageable d’en attendre.
Dans les prochains paragraphes, il sera présenté les deux
principaux référentiels en lien avec le contrôle interne, soit les
normes INTOSAI ainsi que les Normes pour la pratique professionnelle de l’audit interne [2].
2. ASSURANCE RAISONNABLE SELON INTOSAI
Le document de référence est le Guide sur la bonne gouvernance de l’International Organization of Supreme Audit Institutions (INTOSAI GOV), définissant les orientations relatives au
contrôle interne (9100–9199) ainsi que celles relatives aux
normes comptables (9200–9299).
Le standard INTOSAI GOV 9100 précise les lignes directrices sur les normes de contrôle à promouvoir dans le service
public. Pour mémoire, ce référentiel avait été introduit en
1992 et actualisé en 2001 afin de prendre en compte le modèle de contrôle interne développé dans le cadre du COSO.
Nul doute qu’il intégrera dans un proche avenir les développements du COSO Enterprise Risk Management Integrated
Framework [3].
Ainsi, cette ligne directrice précise que l’assurance raisonnable:
«(...) Reflète l’idée que l’incertitude et le risque sont liés au futur,
que nul ne peut prédire avec certitude. La réalisation des objectifs
peut en outre être compromise du fait de facteurs extérieurs, qui
échappent au contrôle ou à l’influence de l’organisation».
Parmi les autres éléments à prendre en compte:
«(...) Le jugement humain exercé pour prendre certaines décisions
peut être défaillant, des dysfonctionnements peuvent survenir en
raison de simples défaillances ou d’erreurs, des contrôles peuvent
SAMY JOST, CERTIFIED
DANIEL AEBY,
GOVERNMENT AUDITING
CERTIFIED INTERNAL
PROFESSIONAL (CGAP),
AUDITOR (CIA),
DÉPARTEMENT DE
AUDITEUR, CONTRÔLE
LA SOLIDARITÉ ET DE
FÉDÉRAL DES FINANCES,
L’EMPLOI (DSE),
BERNE
ÉTAT DE GENÈVE,
GENÈVE
836
L’E X P E R T- C O M P TA B L E S U I S S E 2011 | 10
AUDIT
L’A S S U R A N C E R A I S O N N A B L E
Tableau 1: DÉLIMITATION ET INTERFACES ENTRE LA GESTION DES RISQUES ET LE SCI [7]
Gestion des risques
Risques stratégiques
Risques opérationnels
Risques financiers et économiques
Guide sur le SCI de l’AFF
Risques juridiques ou de non-conformité (compliance)
Risques matériels, techniques et élémentaires
Risques liés aux personnes et à l’organisation
Système de contrôle
interne
Risques technologiques et scientifiques
Risques sociaux et politiques
être contournés à la suite d’une collusion entre deux ou plusieurs
personnes, la direction peut passer outre au système de contrôle
interne. De plus, les compromis pris dans le système de contrôle
interne reflètent le fait que les contrôles ont un coût».
Avant de conclure que:
«Ces limitations empêchent la direction d’avoir l’assurance absolue
que les objectifs seront réalisés».
L’assurance raisonnable correspond à un niveau satisfaisant
de confiance au regard de considérations liées aux coûts, aux
bénéfices et aux risques. Le contrôle interne, même s’il est
très bien conçu et appliqué avec la plus grande rigueur, ne
peut pas garantir la réalisation des objectifs qu’une organisation s’est fixés, en raison des limites inhérentes à tout système
de contrôle interne.
3. LA NOTION D’ASSURANCE RAISONNABLE
À LA CONFÉDÉRATION
3.1 La gestion des risques comme préalable à l’introduction du SCI. La gestion des risques est un instrument
de pilotage prévu par l’ordonnance sur les finances de la
Confédération (OFC) qui s’est développé ces dernières années
au sein de la Confédération [4]. Le Conseil fédéral a approuvé
CLAUDE MEYER,
EXPERT-COMPTABLE
DIPLÔMÉ, CHEF DE L’AUDIT
INTERNE, CENTRE
HOSPITALIER UNIVERSITAIRE VAUDOISE (CHUV),
LAUSANNE/VD
10 | 2011 L’E X P E R T- C O M P TA B L E S U I S S E
en 2004 les lignes directrices de la politique de gestion des
risques puis, sur recommandation du Contrôle fédéral des finances (CDF), a précisé en 2010 la mise en œuvre concrète de la
politique de gestion des risques par des directives contraignantes [5].
Cette gestion des risques au sein de l’administration fédérale doit notamment tenir compte des interfaces et interactions
avec d’autres processus, plus particulièrement avec le SCI [6].
Si des mesures de contrôle interne sont appliquées depuis
de nombreuses années par les différents offices de la Confédération, il existait, jusqu’à un passé récent, une absence
d’homogénéité dans la mise en place et la gestion du SCI. Certains offices disposaient d’un SCI déjà bien élaboré et formalisé, alors que pour d’autres il était à un niveau informel.
C’est la loi du 7 octobre 2005 sur les finances de la Confédération
(LFC) et son ordonnance d’application qui, en rendant obligatoires la mise en place, l’utilisation et la supervision d’un
SCI au sein de l’administration fédérale, ont permis d’améliorer cette situation.
Ainsi, l’introduction d’une approche commune du SCI a
abouti, fin octobre 2008, à sa mise en œuvre obligatoire
dans toutes les unités administratives qui en assument la
responsabilité.
3.2 Le concept de SCI ne couvre pas tous les processus.
Les lignes directrices de la politique de gestion des risques
mentionnent diverses catégories de risques, tant stratégiques qu’opérationnels. Cela étant, seuls les processus avec
incidences financières et en partie économiques et juridiques concernant les risques opérationnels entrent dans le
périmètre du système de contrôle interne prévu par le guide
sur le SCI de l’Administration Fédérale des Finances (AFF) (cf.
tableau 1).
L’AFF a présélectionné les 11 processus avec incidences financières les plus importants à ses yeux comme base pour la
837
AUDIT
structure documentaire minimale du SCI des unités administratives [8]. Il s’agit des achats, des ventes, de la caisse, des
placements, de la planification financière et du budget, des
crédits, de la gestion des frais, du personnel, des dépôts, de la
«L’article 39 LFC précise
que les mesures de contrôle interne
doivent tenir compte des
risques encourus et du rapport coût/
utilité.»
clôture ainsi que des subventions. Si une unité juge d’autres
processus essentiels, elle doit également les intégrer.
Parmi les buts de la gestion des risques définis par les directives sur la politique de gestion des risques menée par la
Confédération, l’emploi efficace et économe des moyens mis
à disposition a été clairement énoncé. Cet objectif répond à
un des principes de gestion des finances de la Confédération
et a été repris dans le périmètre du contrôle interne fixé par
la LFC [9].
ll est important de relever que le concept commun de SCI
mis en place par l’AFF au sein de la Confédération ne couvre
actuellement pas suffisamment la dimension d’emploi efficace et économe des fonds.
En effet, ce concept a d’abord été élaboré afin d’assurer la
régularité des comptes de la Confédération. Il n’intègre pas
la plupart des processus métiers des différents offices, alors
que ces derniers revêtent une grande importance sur les principes d’économicité et de légalité des opérations effectuées.
Cette faiblesse du système de contrôle interne devrait, a
priori, être prise en compte par les offices sur la base de la
nouvelle directive sur la politique de gestion des risques de la
Confédération. Cela nous amène à considérer qu’il existe encore un potentiel d’amélioration significatif du SCI.
3.3 L’assurance raisonnable, ou les limites des mesures
de contrôle interne. L’article 39 LFC précise que les mesures
de contrôle interne doivent tenir compte des risques encourus
et du rapport coût/utilité. L’AFF a attiré l’attention des unités
administratives sur le fait que les activités de contrôle doivent
être adaptées aux risques afin de ne pas:
p entraver le déroulement des opérations; p limiter par des
procédures complexes l’aptitude à résoudre les problèmes;
p empêcher la fourniture dans les délais des prestations;
p générer des coûts dépassant les avantages procurés.
Dans son document Mise en place d’un système de contrôle
interne établi à l’attention de l’administration fédérale, le
Contrôle fédéral des finances précise que le contrôle interne se
définit comme un processus mis en œuvre par la direction,
les cadres et le personnel d’un office, destiné à fournir une
assurance raisonnable quant aux objectifs suivants:
p optimisation des processus et des activités d’un office, afin
de fournir un travail efficace et à un coût minimal, tout en
limitant au maximum les erreurs et les risques; p fiabilité
838
des informations financières et de gestion; p conformité aux
lois et aux réglementations en vigueur.
Il est également précisé que:
«La direction ne peut attendre du contrôle interne qu’une assurance
raisonnable, et non une assurance absolue. La probabilité d’atteindre des objectifs est soumise aux limites inhérentes à tout système
de contrôle interne, qu’il s’agisse du jugement exercé lors des prises
de décision qui peut être défaillant, de la nécessité d’étudier le rapport coût/bénéfices avant la mise en place des contrôles ou qu’il
s’agisse de dysfonctionnements qui peuvent survenir en raison
d’une défaillance humaine ou technique. En outre, la collusion
entre plusieurs personnes peut faire échouer les contrôles. Enfin, il
est toujours possible pour le management de ne pas respecter le
système de contrôle interne».
Le CDF émet dans le document précité une appréciation sur
le niveau d’assurance qu’il est possible d’atteindre s’agissant
des objectifs opérationnels ainsi que des objectifs financiers,
ceci compte tenu du dispositif de SCI mis en place au sein de
l’administration fédérale.
Pour les objectifs liés aux opérations, le CDF est d’avis que
le SCI ne peut fournir au management qu’un niveau d’assurance raisonnable, soit celui d’être informé en temps utile
d’évènements externes ou internes pouvant influencer la capacité d’atteindre les objectifs fixés.
En effet, la réalisation des objectifs opérationnels, par
exemple, s’agissant de rentabilité des investissements, d’efficacité ou encore de taux de satisfaction des administrés, ne
dépend pas toujours de la seule volonté de l’office (un SCI ne
peut malheureusement pas prévenir un jugement erroné ou
une mauvaise décision). De même, des causes extérieures peuvent entraver l’accomplissement de certains objectifs.
En ce qui concerne les objectifs financiers, le CDF estime
qu’un SCI efficace doit généralement fournir un niveau d’assurance raisonnable quant à la fiabilité des informations financières. La réalisation de ces objectifs, principalement
fondées sur des normes imposées, dépend de la façon dont
sont conduites les activités opérationnelles.
3.4 Quelques remarques. Dans la mesure où un bon SCI
réduit efficacement les possibilités d’erreurs et d’abus, il ne
peut tout au plus fournir à la direction qu’une assurance raisonnable quant à la réalisation des objectifs de l’office.
Le CDF relève divers facteurs qui peuvent avoir une influence négative sur l’efficacité du contrôle interne, tels que
l’erreur de jugement, les dysfonctionnements, les contrôles
«outrepassés» ou contournés par le management, la collusion
et le recours à des faux et finalement le rapport coûts/bénéfices des contrôles.
Les administrés partent souvent du postulat que les valeurs
d’éthique, d’égalité de traitement ou de transparence priment sur la notion de coût/utilité pour les collectivités publiques. Or, cette notion de rapport coût/utilité a non seulement
toute sa légitimité dans les démarches de contrôle interne,
mais a également clairement été souhaitée par le législateur.
Sur la base des éléments précités, nous pouvons conclure,
d’une part, que le dispositif de SCI de la Confédération cou-
AUDIT
vre uniquement les risques opérationnels pour les principaux processus concernés par la régularité des comptes
d’État et, d’autre part, qu’il a été conçu pour donner une assurance raisonnable et non absolue.
4. LA NOTION D’ASSURANCE RAISONNABLE
DANS LE CANTON DE VAUD
4.1 La mise en œuvre systématique du SCI. La loi cantonale
sur les finances indique à son article 16 al. 1, lettre e. que les
services de l’administration sont responsables de mettre en
place un SCI. Dans une première décision datant du 12 août
2009, le Conseil d’État a chargé le Service d’analyse et de gestion
financière (SAGEFI) d’élaborer un projet de directive de portée
générale sur le SCI et de le tester avec au moins deux services.
Lors de sa séance du 22 novembre 2010, le Conseil d’État a
décidé d’adopter une directive définitive sur le SCI, qui réponde aux exigences de la norme d’audit suisse (NAS 890) et
à son règlement des compétences. Il considère que l’existence
formelle du SCI d’un niveau standardisé doit être complétée, d’une part, par un constat d’un fonctionnement conforme
et continu et, d’autre part, être conçu de telle manière à assurer le respect du principe de la légalité des transactions
financières.
À l’instar de la Confédération, le périmètre du SCI est essentiellement financier. La directive établie par le SAGEFI l’a
schématisé comme suit: (extrait de la directive).
Le tableau 2 présente un récapitulatif du périmètre exigé,
ainsi que des niveaux d’exigence en matière de SCI qui sont
communément utilisés par les sociétés de révision.
Ce document précise également qu’un SCI est incontestablement un soutien précieux pour le management dans la
poursuite de ses objectifs, mais n’est pas une garantie de succès. En effet, il ne peut rien contre une stratégie erronée, des
fautes de jugement de la part de la direction, la négligence ou
le manque d’attention lors de l’exécution des contrôles ou une
collusion entre personnes. Il a pour but de diminuer, voire de
réduire, le risque sans pour autant l’éliminer. En cela, le SCI
ne peut donner une assurance absolue.
La certification de l’existence du SCI d’un service à l’État
selon la NAS 890 étendue au principe de la légalité et au bon
fonctionnement est confiée au Contrôle cantonal des finances. Cette instance est déjà chargée de l’audit annuel des
comptes du canton de Vaud.
4.2 Le SCI au Centre hospitalier universitaire vaudois
(CHUV). Le CHUV, bien qu’il soit un service de l’État, est
toutefois régi par des dispositions légales spécifiques qui englobent des aspects de gestion. Ainsi, à titre subsidiaire uniquement, il est soumis à la loi sur les finances, sur laquelle
repose la démarche de l’État de Vaud.
Un Comité d’audit pour le CHUV est désigné par le Conseil
d’État. Ce dernier a également confié l’audit des comptes de
cet établissement à un cabinet d’audit externe. Cet organe de
révision, dans son rapport sur l’audit annuel des comptes
2010, a attesté l’existence, au 31 mars 2011, d’un SCI au sens
de la NAS 890.
Avant la décision du Conseil d’État de la fin de l’année
2010, en se fondant sur l’article 18 de son règlement, le CHUV
a débuté sa démarche de formalisation et d’adaptation de son
SCI.
La mise en œuvre d’un SCI à caractère principalement financier a permis de dégager comme enseignement principal
que seuls les contrôles-clés concernant les processus ayant
un impact significatif sur les comptes de l’établissement sont
décrits. Cet aspect nous amène à formuler les commentaires
suivants:
p les processus et des contrôles y relatifs sont uniquement
décrits s’ils sont estimés matériels. Sont exclues de cette documentation, les activités non répétitives et celles qui n’impactent pas de manière importante les états financiers; p les
flux relatifs aux métiers (soins, enseignement, recherche) ne
sont pas incorporés dans le périmètre financier, même s’ils
Tableau 2: PÉRIMÈTRE EXIGÉ EN MATIÈRE DE SCI
Niveau d’exigence
Optimisé
Niveau 5
Garantir une tenue et une présentation régulière
des comptes qui constituent la base des rapports
financiers et assurer le principe de la légalité
Surveillé
Niveau 4
Standardisé
Niveau 3
Optionnel
Obligatoire
Informel
Niveau 2
Peu fiable
Niveau 1
Périmètre du SCI
NAS 890
États financiers adéquats
Régularité comptable
Légalité
Missions du service
(opérationnel)
Stratégie
839
AUDIT
sont susceptibles, à terme, de présenter des risques ayant des
conséquences financières; p il n’est pas prévu de traçabilité
systématique des interventions effectuées directement sur les
données sans utiliser les applications informatiques. Par in-
«L’audit interne planifie
ses interventions en fondant
son approche des risques
à examiner, sur des notions de
matérialité et au prix d’un
effort raisonnable, ce qui implique
du travail par sondage.»
tervention directe, nous comprenons des modifications de
données réalisées par des spécialistes informatiques avec des
moyens exceptionnels; p les applications ne sont pas construites de manière à détecter des abus dans les accès aux données sensibles.
Ainsi que l’illustrent les cas d’«indélicatesses» que notre
collectivité publique a connus, malgré la tendance à vouloir
tout réglementer, l’assurance absolue demeure un objectif
illusoire, notamment en raison des facteurs universels suivants:
p la protection de la sphère privée empêche d’accéder de manière fiable et exhaustive à des informations sensibles sur le
parcours du collaborateur ou du cadre; p la culture d’un
contrôle accepté par chacun est difficile à instaurer, car elle
se heurte à la dimension humaine de la confiance et de l’éthique; pl’utilité des vérifications doit être admise et leur but
840
légitimé. Cette affirmation implique des coûts proportionnés
tant financiers que dans le temps passé à effectuer les contrôles; p les informations requises pour permettre les vérifications ne doivent pas engendrer un effet dissuasif à toute revendication estimée comme légitime. Trop d’embûches génèrent une renonciation à faire valoir des prétentions fondées
qui sera ressentie comme une injustice, ouvrant ainsi par ce
sentiment la porte à des stratégies de compensation ou de
détournement; p la taille de l’établissement ainsi que la complexité de ses métiers et flux ne facilitent pas une surveillance
étroite de toutes les activités.
L’audit interne planifie ses interventions en fondant son approche des risques à examiner sur des notions de matérialité.
Pour ce motif, il ne peut détecter avec certitude l’intégralité
des possibilités de fraude ou de contournement des dispositions prises par les autorités politiques et le management.
Dans ce contexte, la direction générale du CHUV a décidé
de privilégier la responsabilisation de ses collaborateurs et
porte un accent particulier à la transparence dans une communication facilitée. Cette attitude préventive et ouverte a
pour but essentiel de s’assurer que les interprétations des
normes correspondent à la volonté des stakeholders et permet de mieux garantir une équité de traitement au sein de
l’institution.
En définitive, la culture du CHUV s’est développée en portant son action principale sur la confiance du patient envers
les soignants. Les contingences administratives et financières
commencent progressivement à être ressenties comme nécessaires et importantes.
5. CONCLUSION
Tout dysfonctionnement de l’action étatique implique un risque de non conformité aux lois et règlements et représente
AUDIT
une menace pour l’image du secteur public. Afin d’éradiquer
ce risque, la notion d’assurance raisonnable devrait être en
réalité une assurance absolue qui ne serait possible que par
l’usage de moyens disproportionnés.
Cette interprétation nous mettrait toutefois en porte-àfaux avec les principes avancés dans le modèle COSO ainsi que
dans les normes INTOSAI. Il pourrait également être avancé
que, malgré la survenance de ces non-conformités, l’administration continue malgré tout à fonctionner ainsi qu’à délivrer
ses prestations, ce qui en soi ne poserait pas de problème.
À l’inverse, les normes INTOSAI indiquent bien que la détermination de ce degré d’assurance raisonnable est une affaire de jugement, précisant ainsi la part d’arbitraire inhérente au concept.
Les démarches présentées ne prennent pas prioritairement
en considération les aspects de risques d’image, éléments
perçus avec une grande acuité par le monde politique.
Toute l’ambivalence est l’obligation d’accepter la survenance d’un risque (assurance raisonnable) en raison du SCI
Notes: 1) À ce stade, précisons que le secteur public est d’autant plus exposé au risque d’image
qu’il est l’objet d’une forte médiatisation, notamment au sein de l’opinion publique, qui manque
rarement une occasion de relever les dysfonctionnements dans la gestion de l’État. 2) Ce choix exclut ainsi de présenter la notion d’assurance raisonnable, au travers de standards plus spécifiques
à l’audit d’états financiers comme les Generally
Accepted Auditing Standards (GAAS) de l’American Institute of Certified Public Accountants
(AICPA) ou encore les International Standards on
Auditing (ISA) dont s’inspirent largement les Normes d’audit suisses (NAS). 3) Le COSO Framework
ainsi que de la méthodologie d’audit, alors que le monde politique juge intolérable la survenance d’un quelconque ris-
«Tout dysfonctionnement de l’action
étatique implique un risque
de non conformité aux lois et règlements
et représente une menace pour l’image
du secteur public.»
que qui impacterait l’image ou encore le fonctionnement du
secteur public (assurance absolue).
Une appréciation toutefois trop lâche du principe d’assurance raisonnable ne serait pas acceptable et porterait préjudice à l’image du secteur public. Dilemme cornélien mais
qui illustre toute la difficulté et l’intérêt de la gestion publique.

a été publié en 1992 par le Comittee of Sponsoring
Organisation of the Treadway Commission (COSO)
et constitue le standard de contrôle interne communément admis. Les lignes directrices ayant été
publiées la même année, la démarche parallèle
voulue par les lignes directrices INTOSAI fait peu
de doutes. Le Cadre intégré de management des
risques de l’entreprise (Entreprise Risk Management – Integrated Framework) prévoit un programme de management des risques dans toute
l’entreprise afin de leur permettre d’atteindre
leurs objectifs. 4) L’article 50 de l’ordonnance du
5 avril 2006 sur les finances de la Confédération
précise que: «Les départements et la Chancellerie
fédérale gèrent les risques dans leur domaine de
compétence selon les directives du Conseil fédéral». 5) Directives du 24 septembre 2010 sur la politique de gestion des risques menée par la Confédération. 6) Article 4 al. 6 des Directives du 24 septembre 2010 sur la politique de gestion des risques
menée par la Confédération. 7) Source: Guide concernant le système de contrôle interne des processus avec incidences financières dans l’administration fédérale, Administration Fédérale des Finances. 8) Les unités administratives doivent entre
autres établir l’inventaire des processus ainsi que
la matrice de contrôle des risques liés aux processus. 9) Article 39, let. b LFC.
Z USAM M E N FA S SU N G
Angemessene Sicherheit
Die angemessene Sicherheit einer Prüfung ist zwar ein grundlegendes Konzept, wird jedoch von der breiten Öffentlichkeit
oft falsch verstanden. So gerät zum Beispiel in Vergessenheit,
dass selbst das beispielhafteste und effizienteste interne Kontrollsystem (IKS) Fehlfunktionen nicht mit absoluter Bestimmtheit ausschliessen kann.
Aufgrund dieser Feststellung wird im Artikel der Grundbegriff der angemessenen Sicherheit erneut aufgegriffen, um
in Erinnerung zu rufen, welche Erwartungen an ihn «angemessen» sind.
Die Autoren stellen zwei Referenzwerke zur internen Kontrolle vor (INTOSAI, Internationale Organisation der obersten Rechnungskontrollbehörden, und die Normen zur Berufspraxis der internen Revisoren) sowie einige konkrete
Fallbeispiele aus der Bundesverwaltung und dem Universi-
tätsspital Lausanne (CHUV, Centre hospitalier universitaire
vaudoise).
Der Artikel schliesst mit der Feststellung, dass jegliches
staatliches Handeln das Risiko der Nichteinhaltung von Gesetzen und Reglementen in sich birgt und letztlich eine Bedrohung für den Ruf der öffentlichen Hand darstellt. Um
dieses Risiko auszumerzen, müsste die angemessene Sicherheit tatsächlich eine absolute Sicherheit sein.
Die Ambivalenz besteht in der Verpflichtung, auf der Grundlage des IKS und der Revisionsmethodik gewisse Risiken
(angemessene Sicherheit) zu akzeptieren, während Politik
und Öffentlichkeit das Auftreten jeglicher Ereignisse, welche
negative Auswirkungen auf den Ruf oder den Betrieb des öffentlichen Sektors haben könnten (absolute Sicherheit), nicht
tolerieren. SJ/DA/CM/CHW
841