201011 ACI Guide Methodologique IFA

les travaux de lifa novembre 2010

le suivi de lefficacit des systmes de contrle interne

et de gestion des risques

guide mthodologique

composition du groupe ces travaux ont t mens dans le cadre du groupe d'changes runissant des Prsidents de comits d'audit de l'ifa en partenariat avec l'audit committee institute de KPmg.

Prsident du groupe

aldo cardoso

Membres du groupe

christian aubinrobert baconnier Patricia barbiZet eric bourdais de charbonnirefranK dandeardalain grosmann Jean-bernard guillebert francois Jaclot helman le Pas de secheval daniel lebgue gerard de la martinirevictoire de margerie Patrice marteauhelene Ploixgeorges ralliPierre rodocanachi

Rapporteurs du groupe

didier de menonville, associ KPmg audit

Jean-marc discours, associ KPmg audit

1le suivi de lefficacit des systmes de contrle interne et de gestion des risques

avant propos La mission de suivi de lefficacit des systmes de contrle interne et de gestion des risques : quels enjeux pour les comits daudit ?

la transposition de la 8me directive europenne en droit franais en dcembre 2008 a renforc le rle du comit daudit. en effet, larticle l.823.19 prcise que :le comit spcialis assure le suivi des questions relatives llaboration et au contrle des informations comptables et financires.le comit est notamment charg dassurer le suivi :

du processus dlaboration de linformation financire, de lefficacit des systmes de contrle interne et de gestion des risques.

il appartient au conseil de dterminer le niveau de risque quil est prt accepter. le management, quant lui, est responsable de la conception, de la mise en uvre et de la supervision des systmes de contrle interne et de gestion des risques. dans ce cadre, les risques doivent tre valus de manire continue et les activits de contrle doivent tre conues pour rpondre aux risques propres de lentit. mais il faut galement que la gouvernance dfinisse comment le management doit ragir en cas de dfaillance et aussi comment les systmes doivent tre adapts la suite dune dfaillance.cette mission de suivi de lefficacit des systmes de contrle interne et de gestion des risques reprsente un challenge certain pour les comits daudit. Pour faire face ce dfi tant organisationnel que mthodologique, lifa a souhait, en complment de son rapport les comits daudit : 100 bonnes pratiques publi en janvier 2008, laborer un document complmentaire qui propose une approche mthodologique aux membres de comits daudit pour mener bien leur mission de suivi de lefficacit des systmes de contrle interne et de gestion des risques.cette nouvelle publication de lifa souhaite contribuer lenrichissement des pratiques dans les comits daudit et ceci dans le respect du rapport du groupe de travail amf sur le comit daudit de juillet 2010 qui laisse chaque conseil le soin de dfinir les modalits concrtes pour la dtermination du rle quil souhaite leur voir jouer.ce document qui a t ralis avec le soutien de laudit committee institute de KPmg prsente une approche globale quil conviendra dadapter aux situations particulires ainsi qu la taille des groupes et des organisations en place.

2 guide mthodologique - ifa - novembre 2010 3

sommaire

au fil du guide mthodologique, ce symbole graphique signale la prsence de bonnes pratiques.

avant Propos la mission de suivi de lefficacit des systmes de contrle interne et de gestion des risques : quels enjeux pour les comits daudit ? 1

sommaire 2

1 que faut-il entendre par efficacit des systmes de contrle interne et de gestion des risques ? 3

1.1 quels sont les objectifs du dispositif de gestion des risques et du contrle interne ? 31.2 quelles caractristiques pour un systme efficace de contrle interne et de gestion des risques ? 5

2 que doit mettre en uvre le comit daudit pour mener bien sa mission de suivi de lefficacit des systmes de contrle interne et de gestion des risques ? 7

2.1 quel cadre pour la mission du comit daudit ? 72.2 quels acteurs le comit daudit pourra-t-il solliciter ? 82.3 quelles diligences le comit daudit pourra-t-il mettre en uvre ? 92.4 quelle documentation le comit daudit pourra-t-il obtenir ? 15

Perspectives 16

annexe - exemple de tableau de bord pour le suivi de lefficacit

4

2 3le suivi de lefficacit des systmes de contrle interne et de gestion des risques

1 que faut-il entendre par efficacit des systmes de contrle interne et de gestion des risques ?si lon se rfre la dfinition que donne le coso 2 1 du dispositif de gestion des risques, il sagit dun processus mis en uvre par le conseil 2, les dirigeants et le personnel dune organisation, exploit pour llaboration de la stratgie et transversal lentreprise . quen est-il alors dun dispositif efficace de gestion des risques ?

1.1 QueLs sont Les objectifs du disPositif de gestion des RisQues et du contRLe inteRne ?

grer les risques est une partie essentielle de la mission lgale de contrle du conseil.

les objectifs dun systme de contrle interne et de gestion des risques et les principaux effets escompts au sein de lorganisation sont de trois ordres :

1- identifier les vnements potentiels susceptibles daffecter la ralisation des objectifs de lorganisation (positivement sil sagit dopportunits, ngativement sil sagit de risques). ce premier objectif a pour but de dfinir les contours du portefeuille de risques de lorganisation ;

2- Matriser les risques en fonction du niveau de risque que lorganisation est prte accepter et que le conseil dadministration a dfini pour accrotre sa valeur.

etroitement li la dfinition de la stratgie de lorganisation, un dispositif adquat de gestion des risques doit :

permettre au management de prendre ses dcisions de faon claire, en cohrence avec le degr dapptence ou daversion au risque de

1 committee of sponsoring organizations of the treadway commission , rfrentiel de contrle interne utilis notamment dans la mise en place des dispositions relevant des lois sarbanes-oxley ou lsf. le coso 2 propose un cadre de rfrence pour la gestion des risques de lentreprise ( enterprise risk management framework ).2 dans lensemble du document, la dnomination conseil se rapporte au conseil dadministration ou au conseil de surveillance, selon la structure des socits considres.

un systme est efficace ds lors quil rpond aux objectifs pour lesquels il a t cr.


lorganisation et en fonction de la criticit des risques auxquels elle est expose (probabilit doccurrence et impact potentiel),en assurer la parade, et,prvoir les actions mener en cas de survenance du risque.

3- fournir une assurance raisonnable quant la ralisation des objectifs de lorganisation.

a ce titre, intgrs lactivit de gestion des risques, les mcanismes de contrle interne doivent viser plus particulirement assurer :

la conformit aux lois et rglements,lapplication des instructions et des orientations fixes par le management,le bon fonctionnement des processus internes de la socit, notamment ceux concourant la sauvegarde des actifs,la fiabilit des informations financires.


1.2 QueLLes caRactRistiQues PouR un systMe efficace de contRLe inteRne et de gestion des RisQues ?

un systme est efficace ds lors quil rpond aux objectifs pour lesquels il a t conu et mis en uvre.

ainsi, le systme de gestion des risques et le processus de contrle interne doivent fonctionner de manire imbrique et coordonne pour atteindre lobjectif de matrise des risques qui leur est assign.

lefficacit du systme de gestion des risques et du contrle interne passe par une bonne coordination des dispositifs autour dactivits-cls :

- cartographie et valuation des risques

- dfinition et valuation des activits de contrle

- plans de remdiation

- pilotage et diffusion de linformation

- supervision continue

systme de contrle interne et de gestion des risques

Politique et stratgie des

risques

Analysede

lexposition aux risques

Matrise des

activits

Efficacit Contrle

.G

ROl ed

SFITC

EJB

O

Risques

.G

ROl ed

EIG

ETA

RTS

.G

ROl ed

SFITC

EJB

O

RisquesRisques

.G

ROl ed

EIG

ETA

RTS

Pilotage

Activits de contrle

Efficience des

ressources

Efficacit des

oprations

Contrle Interne

Evaluation des risquesGESTION

DES RISQUES


lensemble du dispositif doit tre adapt aux caractristiques propres de chaque entit. nanmoins, quelle que soit lorganisation considre, la mise en uvre des 15 pratiques suivantes pourrait garantir lefficacit du systme.

Politique et stratgie : lapptence aux risques est dfinie par le conseil ;1. les responsabilits en matire de gestion des risques (y compris les problmatiques 2.

de dlgation) sont clairement dfinies et diffuses au sein de lentit ;

analyse de lexposition aux risques : le recensement des vnements potentiels susceptibles davoir un impact sur les 3.

objectifs de la socit est ralis de manire exhaustive et lunivers des risques est rgulirement mis jour ;

les vnements ngatifs (internes ou externes) pouvant gnrer des risques sont 4. analyss ;

evaluation des risques : les risques et leurs incidences potentielles sont valus ;5. les rponses aux risques sont labores ;6. les risques rsiduels sont analyss en lien avec le niveau de risque acceptable tel 7.

que dfini par le conseil ;

activits de contrle : les activits de contrle sont mises en uvre dans chaque processus de 8.

lorganisation ;les activits de contrle font lobjet dune valuation ou auto-valuation ;9. les activits de contrle sont supervises par des fonctions de surveillance ;10. lvaluation des activits de contrle fait lobjet dune revue indpendante ;11.

Pilotage : des indicateurs-cls de performance relatifs au dispositif de gestion des risques 12.

sont dfinis et suivis ;les plans de remdiation font lobjet dun suivi document ;13. les incidents avrs sont recenss et analyss ;14.

les objectifs et la stratgie du dispositif sont rgulirement mis jour. 15.

in fine, suivre lefficacit dun systme revient suivre le niveau de ralisation de ses objectifs. cela suppose quil en existe une mesure, une valuation.


2 que doit mettre en uvre le comit daudit pour mener bien cette mission ?a la lumire des points de repre mthodologiques exposs ci-dessus, la seconde partie de ce document a pour ambition dapporter un clairage pragmatique sur la faon dont les comits daudit pourraient exercer leur rle compte tenu des exigences de lordonnance.

2.1 QueL cadRe PouR La Mission du coMit daudit ?

la charte du comit daudit dfinit le cadre des responsabilits que le conseil confie au comit daudit et formalise lensemble des missions du comit. en consquence, il apparat essentiel quelle soit amende afin dintgrer la nouvelle mission attribue au comit en matire de suivi de lefficacit du systme de contrle interne et de gestion des risques. il sera ncessaire dy dcrire formellement la nature des travaux relevant de la responsabilit du comit au titre de sa mission et quil devra mettre en uvre pour le compte du conseil.

il parat galement essentiel que le conseil soit en mesure de dfinir le primtre des risques qui feront lobjet du suivi par le comit daudit (risques financiers, risques industriels, risques sociaux, risques environnementaux, etc.).

Par ailleurs, il apparat ncessaire que le comit daudit dfinisse un processus de communication et dchange avec le conseil (modalits, frquence, etc.) propre sa mission de suivi de lefficacit du systme de contrle interne et de gestion des risques. les informations transmises devront porter aussi bien sur les lments financiers que non financiers.

il conviendrait galement que le comit daudit rende compte formellement au conseil de lexcution de sa mission de suivi de lefficacit du dispositif de gestion des risques et de contrle, et ce en conformit avec les diligences dfinies par le conseil dans la charte du comit daudit. cette communication devrait notamment intgrer lapprciation de limportance des dfaillances dont le comit daudit a eu connaissance travers ses travaux, ainsi que du caractre appropri des plans dactions affrents.

les diligences du comit relatives la mission de suivi de lefficacit et leur formalisation doivent tre dfinies dans la charte du comit daudit.

4

4

4

4


2.2 QueLs acteuRs Le coMit daudit PouRRa-t-iL soLLiciteR ?

Pour permettre au comit daudit de suivre lefficacit des mcanismes de contrle interne et de gestion des risques de lentreprise, il apparat indispensable dorganiser une communication spcifique et documente entre la direction, les fonctions de gestion des risques, laudit interne et le comit daudit, chacune de ces fonctions devant contribuer apporter au comit les informations et assurances dont il a besoin pour sacquitter de sa mission.

le comit daudit pourra notamment sappuyer sur :

le risk manager qui est responsable du recensement et du suivi des risques du groupe en mettant en place notamment une cartographie des risques qui est dploye au niveau de chaque entit du groupe ;

le dpartement de contrle interne qui a pour mission dassurer lapplication des instructions de la direction et de favoriser lamlioration des performances. il met en place une organisation, des mthodes et des procdures pour chacune des activits de lentreprise, afin de garantir sa prennit ;

l audit interne qui est entre autres charg de revoir priodiquement les moyens dont disposent les oprationnels pour grer et contrler lentreprise. ses objectifs sont de vrifier que les structures sont claires et bien adaptes, que les procdures comportent les scurits suffisantes, que les oprations ne prsentent pas dirrgularits et que les informations diffuses sont sincres.

en outre, le comit daudit pourra consulter des acteurs externes lentreprise, comme :

les commissaires aux comptes qui se doivent dalerter la direction et les organes de gouvernance sur les faiblesses significatives de contrle interne affectant les procdures dlaboration des comptes ;

le cas chant, les experts indpendants afin dobtenir une valuation tierce sur lefficacit des systmes de contrle interne.

4

4


2.3 QueLLes diLigences Le coMit daudit PouRRa-t-iL MettRe en uvRe ?

la mise en place du dispositif de gestion des risques et de contrle interne relve de la responsabilit des dirigeants de lentreprise, lobjectif tant de donner une assurance raisonnable que les objectifs de lentreprise seront atteints.

lenjeu pour le comit daudit est davoir une vision densemble du dispositif de gouvernance des risques et du contrle interne. il doit veiller lexistence dun systme de contrle interne et de gestion des risques et en apprcier le fonctionnement. il doit notamment pouvoir apprcier les points suivants :

ladquation entre lapproche retenue pour grer les risques de lentit et la stratgie de lentit, ainsi que lenvironnement lgal, oprationnel et financier dans lequel elle volue ;lefficacit des contrles pour les risques significatifs ;la mise en uvre des plans dactions, en cas de dfaillances constates.

telles sont les implications concrtes du rle largi que lui a assign la 8me directive en lui confiant la surveillance du mcanisme de management des risques et plus spcifiquement le suivi de son efficacit.

les diligences prsentes ci-dessous ont vocation tre mises en uvre par les groupes cots. elles pourront faire lobjet dune mise en uvre simplifie et/ou progressive dans les small et mid caps.

2.3.1 Premire mission : raliser un diagnostic du dispositif de gouvernance des risques et du contrle interne

Pour raliser son diagnostic du dispositif de gouvernance des risques et du contrle interne, le comit daudit pourrait procder un examen de lexistence des lments constitutifs du dispositif en considrant les trois niveaux suivants :

1 er niveau du dispositif de gouvernance des risques : les directions oprationnelles ;2 me niveau du dispositif de gouvernance des risques : les fonctions de surveillance (direction contrle interne, risk manager, direction qualit, direction des assurances,...);3 me niveau du dispositif de gouvernance des risques : la fonction audit.

les dpartements de gestion des risques, de contrle interne, daudit interne et lauditeur externe sont des interlocuteurs-cls pour le comit daudit pour rpondre aux exigences de sa mission.


1- Premier niveau du dispositif de gouvernance des risques : les directions oprationnelles

les directions oprationnelles valuent et grent les risques. elles mettent en uvre les activits de contrle. Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des lments suivants :

niveau 1 LMents de diagnostic au niveau des oPRations

Politique et stratgie

i. la stratgie et lallocation des ressources sont dfinies au niveau de lorganisationii. lapptence aux risques est prise en compte dans la dfinition de la stratgie et de lorganisationiii. les responsabilits en matire de gestion des risques (y compris les problmatiques de dlgation) sont clairement dfinies et diffuses au sein de lentit

existence dun dispositif de gestion des risques et de contrle interne (prvention/traitement des risques)existence dun manuel de procdures de contrle interne permettant de relier objectifs, risques, contrlesexistence dun processus de communication de linformation sous une forme et un dlai qui permettent chacun dexercer ses responsabilits

analyse de lexposition aux risques

iv. le recensement des vnements potentiels susceptibles davoir un impact sur les objectifs de la socit est ralis de manire exhaustive et lunivers des risques est rgulirement mis jourv. les vnements ngatifs (internes ou externes) pouvant gnrer des risques sont analyss

existence dun recensement des vnements gnrateurs de risquesexistence dune cartographie des risques (identification)existence dune analyse des impacts (chelle)

evaluation des risques

vi. les risques sont valusvii. les rponses aux risques sont laboresviii. les risques rsiduels sont analyss en lien avec le niveau de risque acceptable tel que dfini par le conseil de la socit

existence dune cartographie des risques (incluant une valuation des risques)existence de plans de rponses aux risques

activit de contrle interne

ix. les activits de contrle sont mises en oeuvre dans chaque processus de lorganisationx. les activits de contrle font lobjet dune valuation (auto-valuation ou valuation) xi. les activits de contrle sont supervises par des fonctions de surveillance xii. lvaluation des activits de contrle fait lobjet dune revue indpendante

existence dun rfrentiel de contrle interneexistence dun processus dauto-valuation/dvaluation du contrle interne

Pilotage

xiii. des indicateurs-cls de performance relatifs au dispositif de gestion des risques sont dfinis et suivis xiv. les plans de remdiation font lobjet dun suivi document xv. les incidents avrs sont recenss et analyss xvi. les objectifs et la stratgie du dispositif sontrgulirement mis jour

existence dindicateurs-clsexistence de plans de remdiationexistence dun processus de recensement et danalyse des incidentsexistence dun processus rgulier et planifi de mise jour des objectifs et de la stratgie du dispositif de gestion des risques


2- deuxime niveau du dispositif de gouvernance des risques : les fonctions de surveillance

les fonctions de surveillance conoivent les politiques et les procdures. elles sont responsables de lintroduction de bonnes pratiques et du respect des procdures. elles supervisent lefficacit du dispositif.

Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des lments suivants :

existence dun rfrentiel adapt (cadre de rfrence amf, coso, autre)existence d'un code thiqueexistence dun comit des risquesexistence dune procdure de revue de la centralisation des risquesexistence dune procdure de revue de lvaluation des risquesexistence dune procdure de revue des plans de rponses aux risques existence dun service de contrle interneexistence dun dpartement daudit interneexistence dune procdure de revue par laudit interne/externe de lauto-valuation/valuation des activits de contrleexistence dun dispositif de suivi des indicateurs-cls de performance relatifs au dispositif de gestion des risquesexistence dune procdure de revue des plans de remdiation (intgrant chanciers, responsables, etc.)existence dune procdure de revue de lanalyse des incidentsexistence dune procdure de revue de la mise jour des objectifs

niveau 2 LMents de diagnostic au niveau de La fonction de suRveiLLance


3- troisime niveau du dispositif de gouvernance des risques : la fonction audit

les auditeurs internes ralisent des missions daudit sur les procdures de contrle qui permettent dobtenir un avis indpendant sur le fonctionnement du systme de contrle interne et de gestion des risques.

les conclusions des travaux des auditeurs externes sur les faiblesses significatives de contrle interne lies au processus dlaboration de linformation financire constituent galement un lment dassurance indpendante.

Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des lments suivants :

existence dune fonction daudit interneexamen de lorganisation de laudit interne (rattachement, couverture des pays, etc.) examen du plan daudit interne en matire de diligences sur le dispositif de gestion des risques et de contrle interneexamen du primtre dintervention des auditeurs externesrecours des experts indpendants pour lvaluation des risques et des activits de contrlerevue par laudit interne/externe de lauto-valuation/valuation des activits de contrle

niveau 3 LMents de diagnostic au niveau de La fonction audit

2.3.2 deuxime mission : obtenir des assurances de la direction sur le fonctionnement du systme de contrle interne et de gestion des risques

une fois le diagnostic de gouvernance des risques et du contrle interne tabli, il conviendrait que le comit daudit obtienne de la direction lassurance que le dispositif fonctionne de manire efficace et ceci de manire dynamique dans le temps.

selon le mode de fonctionnement de lentit, et en fonction de lexistence et de la profondeur des procdures mises en uvre par les oprationnels, le comit daudit pourrait tre amen dployer des approches diffrentes pour sacquitter de ses missions en matire de suivi de lefficacit des systmes.

examen densemble du dispositif, apprciation du processus dvaluation de lefficacit et revue de la documentation sont les trois principaux leviers daction des comits pour mener bien leur mission de suivi.


1- Lentit a mis en place des indicateurs de risques

les indicateurs de risques sont de plusieurs natures : des indicateurs de niveau du risque, des indicateurs de suivi de lavancement des actions de matrise des risques et des indicateurs permettant le suivi de risques qui se sont effectivement avrs.

afin dexaminer le fonctionnement du dispositif de gestion des risques, il conviendrait que le comit daudit obtienne de la direction :

le suivi des indicateurs dalerte (ex : drives par rapport aux prvisions) ;

le degr de ralisation des plans de rponse aux risques significatifs (ex : recours lassurance, surveillance accrue, rduction de sa criticit) ;

la synthse des cas de risques avrs significatifs (incidents, fraude, sinistres...).

en interaction avec la fonction audit interne, il conviendrait que le comit daudit confronte lapprciation des risques des auditeurs celle de la direction afin didentifier et dapprcier la porte des ventuelles divergences de vue.

2- Lentit a mis en place une procdure dvaluation de lefficacit des activits de contrle

les activits de contrle sont documentes par les oprationnels. lvaluation est ralise par des services internes (direction du contrle interne, direction de laudit interne).

le comit daudit doit sassurer de lexistence de lvaluation de lefficacit des activits de contrle et de lutilisation qui en est faite.

afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que le comit daudit obtienne de la direction :

la documentation relative la mise jour rgulire des risques et des contrles associs ;

pour les risques majeurs, la synthse des rsultats des tests defficacit des activits de contrle.

4

4

4


3- Lentit na pas mis en place de procdure dvaluation de lefficacit des activits de contrle, mais procde une auto-valuation

limite des critres prdfinis et mene le plus souvent sur un mode dclaratif, lauto-valuation na pas la mme porte quune procdure dvaluation. outre labsence de vrification indpendante, une auto-valuation ne saurait suffire lapprciation de lefficacit des activits de contrle. en effet, elle ne rpond gnralement pas aux exigences dexamen document et prouv (par le test) des procdures, telles que requises pour une mission dvaluation de lefficacit.

afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que le comit daudit :

obtienne de la direction la synthse des rsultats de lauto-valuation de lefficacit des activits de contrle ;demande ce que les rsultats de lauto-valuation fassent lobjet dune revue indpendante. cette revue aura pour objet de confronter lauto-valuation dclarative aux rsultats de lexamen document et indpendant.

sur cette base, il conviendrait que le comit daudit analyse lcart ventuel entre les rsultats de lauto-valuation et les rsultats de lvaluation indpendante.

4- Lentit na pas mis en place de procdure dvaluation ou dauto-valuation de lefficacit des activits de contrle

dans ce cas, le comit daudit pourrait solliciter la fonction audit (interne/externe) pour quelle procde une revue des contrles-cls au sein de lentit. cette revue indpendante devra alors avoir une porte suffisamment large pour couvrir les risques cls de lentit.

4

4

4


2.3.3 troisime mission : procder lexamen des dfaillances significatives du systme de contrle interne et de gestion des risques

afin dapprcier limportance des dfaillances du systme de contrle interne et de gestion des risques, il conviendrait que le comit daudit :

obtienne de la direction, pour les incidents avrs, la synthse des impacts financiers et extra-financiers ;obtienne de la direction, pour les dfaillances significatives identifies, une estimation de leur impact potentiel ;examine les plans dactions afin dapprcier leur caractre appropri.

nous avons joint, en annexe, un exemple dtat de suivi de lefficacit du systme de contrle interne et de gestion des risques, sous forme dun tableau de bord spcifique, qui pourrait tre examin par le comit daudit pour les risques significatifs.

2.4 QueLLe docuMentation Le coMit daudit PouRRa-t-iL obteniR ?

en synthse, nous avons list ci-dessous la documentation susceptible dtre mise disposition du comit daudit afin de lui permettre de mener bien sa mission de suivi de lefficacit du dispositif de gestion des risques et du contrle interne :

le tableau de bord de suivi de lefficacit du dispositif (cf. annexe),la cartographie des risques,la synthse des rsultats de lauto-valuation ou de lvaluation,la synthse des rapports de laudit interne,la synthse des commissaires aux comptes, relative aux faiblesses significatives de contrle interne,la synthse des plans dactions de la socit pour remdier aux faiblesses significatives.

enfin, il conviendrait que le comit daudit sassure de la cohrence des informations collectes sur le dispositif de gestion des risques et du contrle interne avec, notamment :

les facteurs de risques communiqus dans le document de rfrence, et,le rapport du prsident sur le contrle interne.

la mission de suivi de lefficacit ncessite que le comit daudit fasse un examen critique des documents cls relatifs la gestion des risques et au contrle interne et sassure de leur cohrence.

4


Perspectives la mission de suivi de lefficacit du systme de contrle interne et de gestion des risques rend le comit daudit partie prenante dun dispositif capital pour les organisations. en effet, si un systme de contrle interne et de gestion des risques efficace et pertinent peut amliorer la qualit des rapports financiers, il peut surtout contribuer crer de la valeur ajoute pour lentreprise :

en donnant une vision des cots cachs au sein des diffrentes fonctions de lentreprise ;

en aidant comparer les performances des contrles des diffrentes activits ;

en aidant identifier les points damlioration des contrles, les contrles supprimer et ceux automatiser ;

en aidant une organisation trouver un quilibre entre la gestion des risques et ses objectifs de croissance et de profitabilit.


annexe exeMPLe de tabLeau de boRd PouR Le suivi de Lefficacit du systMe de contRLe inteRne et de gestion des RisQues

dans cet exemple de tableau de bord, lincidence potentielle de chaque risque (impact et probabilit doccurrence) est value sur une chelle de 1 5.

de mme, lefficacit des contrles couvrant les risques bruts identifis est value sur une chelle quatre niveaux (faible, moyenne, bonne, leve).

il en rsulte un niveau de risque net (ou rsiduel) galement valu sur une chelle de 1 5.


Risq

ue

Risq

ue b

rut

Resp

on-

sabi

lit

desc

ript

ion

des

cont

rle

sef

ficac

it

des

cont

rle

s

Risq

ue n

et/

rsi

duel

acti

onRe

spon

-sa

bilit

da

te

de

lexa

men

impa

ctPr

oba-

bilit

im

pact

Prob

a-bi

lit

1st

rat

gie

dac

-qu

isitio

n in

ap-

prop

rie

54

dire

cteu

r fin

ancie

r

reco

urs

de

s co

nsei

llers

ex

tern

es p

our

les

audi

ts

pra

labl

es

faib

le4

4

lab

orat

ion

dun

cad

re

de r

fre

nce

pour

les

fusio

ns/a

cqui

sitio

ns

en p

hase

ave

c la

st

rat

gie

mt

ier.

lar

giss

emen

t de

la

fonc

tion

rech

erch

e d

acqu

isitio

ns

dire

cteu

r fin

ancie

rse

pt.

200x

2

inca

pacit

satis

faire

aux

ex

igen

ces

rgl

emen

taire

s et

lga

les

(c

.--d

. car

tels)

44

dire

cteu

r g

nra

l et

dire

cteu

rs d

e di

visio

n

auto

-va

luat

ion

annu

elle

. su

perv

ision

par

le

dp

arte

men

t ju

ridiq

ue

moy

enne

34

renf

orce

men

t des

pr

ocd

ures

aff

rent

es

lo

bser

vatio

n de

s di

spos

ition

s r

glem

enta

ires

et

lga

les

dire

cteu

r ju

ridiq

ueJu

in

200x

3

dfa

illan

ces

des

syst

mes

in

form

atiq

ues

apr

s m

ise e

n

uvre

42

dire

cteu

r in

form

atiq

ue

Proc

dur

es

de g

estio

n de

pr

ojet

bonn

e3

2

appl

icatio

n st

ricte

de

la li

ste

de v

rifi

catio

n de

lad

qua

tion

aux

beso

ins

pour

tous

les

proj

ets

dire

cteu

r in

form

atiq

ueJu

in

200x


Risq

ue

Risq

ue b

rut

Resp

on-

sabi

lit

desc

ript

ion

des

cont

rle

sef

ficac

it

des

cont

rle

s

Risq

ue n

et/

rsi

duel

acti

onRe

spon

-sa

bilit

da

te

de

lexa

men

impa

ctPr

oba-

bilit

im

pact

Prob

a-bi

lit

4

inca

pacit

de

gr

er

linc

ertit

ude

con

omiq

ue

et d

y r

agir

corr

ecte

men

t

33

dire

cteu

r g

nra

l, di

rect

eur

finan

cier,

dire

cteu

rs d

e di

visio

ns

exam

en

men

suel

, par

la

dire

ctio

n,

des

prv

ision

s c

onom

ique

s et

com

para

ison

avec

la p

ositi

on

finan

cire

pr

visi

onne

lle

du g

roup

e

bonn

e2

3

cra

tion

de m

odl

es

finan

ciers

en

vue

de m

odl

iser d

es

scn

ario

s

dire

cteu

r g

nra

lse

pt.

200x

5

Plan

s de

co

ntin

uit

et

anti-

sinist

re

inad

qua

ts, n

e pe

rmet

tant

pas

de

faire

face

une

dfa

illan

ce

maj

eure

du

rse

au

info

rmat

ique

41

dire

cteu

r in

form

atiq

ue

exam

en

sem

estri

el

(et a

u be

soin

ac

tual

isatio

n)

des

plan

s de

co

ntin

uit

et

anti-

sinist

re,

et te

sts

corr

espo

ndan

ts

lev

e3

1sa

uveg

arde

hor

s sit

e de

s sy

stm

esdi

rect

eur

info

rmat

ique

sept

. 2

00x

20 guide mthodologique - ifa - novembre 2010

notes

21

audit committee institute france de KPMg

laudit committee institute est un forum dchanges ddi aux membres des comits daudit. il a t conu pour apporter aux membres de comits daudit des informations, outils et techniques les aidant remplir la mission lie leur fonction. laudit committee institute communique travers le monde avec les responsables de comits daudit depuis 1999.

laudit committee institute france propose ses membres :

- un site internet (www.audit-committee-institute.fr) conu pour donner aux membres de comits daudit un accs permanent aux meilleures pratiques et des outils conus pour amliorer le fonctionnement des comits daudit

- des rencontres sous forme de petit djeuner/table ronde permettant aux membres de comits daudit dchanger sur des sujets dactualit avec leurs pairs

- des newsletters (audit committee news) qui traitent des sujets dactualit technique et rglementaire et des dveloppements rcents sur des problmatiques spcifiques aux comits daudit

- des publications sur le gouvernement dentreprise telle que la pratique des comits daudit en france et dans le monde .

contacts :

associs KPmg audit, responsables de laudit committee institute france

didier de mnonville - tl : 01 55 68 72 82

Jean-marc discours - tl : 01 55 68 68 83)

KPmg audit

1, cours valmy

92923 Paris la dfense cedex

[email protected]

lifa est le rseau de rfrence des administrateurs

Prsent sur lensemble du territoire franais avec 7 dlgations rgionales, lifa est galement membre actif de la confdration europenne des associations dadministrateurs (ecoda).

lifa a pour mission :de reprsenter lensemble des administrateurs et formaliser des propositions visant amliorer les conditions dans lesquelles les administrateurs exercent leurs mandats dans les entreprises de tout type : cotes ou non, pme patrimoniales, mutualistes, publiques, associations, fondations,de proposer des sminaires de formation destins aux membres ou futurs membres de conseil dadministration, dassocier, dans une mme organisation de place, tous ceux qui souhaitent contribuer la promotion et au partage des bonnes pratiques du gouvernement dentreprise en france.

IFA - InstItut FrAnAIs des AdmInIstrAteurs

7 rue BAlzAc 75382 PArIs cedex 08

tel. : 01 55 65 81 32 - [email protected]

www.ifa-asso.com CDECO

RTIA

T-IFA

-511

2010

les membres fondateursafg, boyden france, cciP, ernst&young, nyse euronext et Paris euroPlace

& les membres associs aon global risK consulting, bignon lebray, cncc, conseil suPerieur de lordre des exPerts comPtables, deloitte, fidal, gema, grant thornton, heWitt associates, Korn/ferry international, KPmg audit, leaders trust international, maZars, michael Page international, ondra-investorsight, PriceWaterhousecooPers, russell reynolds associates, sPencer stuart.

ils ParticiPent avec lifa la Promotion des meilleures Pratiques de gouvernance et la Professionnalisation des administrateurs.

Documents

201011 ACI Guide Methodologique IFA