LE suivi de lefficacit

des systmes de contrle interne

et de gestion des risques

Guide Mthodologique
les travaux de lifa

novembre 2010

omposition du groupe

Ces travaux ont t mens dans le cadre du groupe d'changes runissant des
Prsidents de Comits d'audit de l'IFA en partenariat avec l'Audit Committee Institute
de KPMG.

Prsident du groupe
ALDO CARDOSO

Membres du groupe
CHRISTIAN AUBIN
ROBERT BACONNIER
PATRICIA BARBIZET
ERIC BOURDAIS DE CHARBONNIRE
Frank dandeard
ALAIN GROSMANN
JEAN-BERNARD GUILLEBERT
FRANCOIS JACLOT
HELMAN LE PAS DE SECHEVAL
DANIEL LEBGUE
GERARD DE LA MARTINIRE
VICTOIRE DE MARGERIE
PATRICE MARTEAU
HELENE PLOIX
georges ralli
PIERRE RODOCANACHI

Rapporteurs du groupe
DIDIER DE MENONVILLE, Associ KPMG Audit
JEAN-MARC DISCOURS, Associ KPMG Audit

vant propos

La mission de suivi de lefficacit des systmes de contrle interne

et de gestion des risques: quels enjeux pour les comits daudit ?
La transposition de la 8me directive europenne en droit franais en dcembre 2008
a renforc le rle du comit daudit. En effet, larticle L.823.19 prcise que:
Le comit spcialis assure le suivi des questions relatives llaboration et au
contrle des informations comptables et financires.
Le comit est notamment charg dassurer le suivi:
du processus dlaboration de linformation financire,
de lefficacit des systmes de contrle interne et de gestion des risques.
Il appartient au conseil de dterminer le niveau de risque quil est prt accepter.
Le management, quant lui, est responsable de la conception, de la mise en
uvre et de la supervision des systmes de contrle interne et de gestion des
risques. Dans ce cadre, les risques doivent tre valus de manire continue et
les activits de contrle doivent tre conues pour rpondre aux risques propres
de lentit. Mais il faut galement que la gouvernance dfinisse comment le
management doit ragir en cas de dfaillance et aussi comment les systmes
doivent tre adapts la suite dune dfaillance.
Cette mission de suivi de lefficacit des systmes de contrle interne et de
gestion des risques reprsente un challenge certain pour les comits daudit.
Pour faire face ce dfi tant organisationnel que mthodologique, lIFA a
souhait, en complment de son rapport Les comits daudit : 100 bonnes
pratiques publi en janvier 2008, laborer un document complmentaire qui
propose une approche mthodologique aux membres de comits daudit pour
mener bien leur mission de suivi de lefficacit des systmes de contrle
interne et de gestion des risques.
Cette nouvelle publication de lIFA souhaite contribuer lenrichissement des
pratiques dans les comits daudit et ceci dans le respect du rapport du groupe
de travail AMF sur le comit daudit de juillet 2010 qui laisse chaque conseil
le soin de dfinir les modalits concrtes pour la dtermination du rle quil
souhaite leur voir jouer.
Ce document qui a t ralis avec le soutien de lAudit Committee Institute de
KPMG prsente une approche globale quil conviendra dadapter aux situations
particulires ainsi qu la taille des groupes et des organisations en place.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

ommaire

Avant Propos
La mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques: quels enjeux pour les comits daudit ?

Sommaire

1 Que faut-il entendre par efficacit des systmes

de contrle interne et de gestion des risques?

1.1 Quels sont les objectifs du dispositif de gestion des risques

et du contrle interne?
1.2 Quelles caractristiques pour un systme efficace
de contrle interne et de gestion des risques ?

2 Que doit mettre en uvre le comit daudit pour mener bien

sa mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques? 

2.1
2.2
2.3
2.4

Quel cadre pour la missiondu comit daudit ?

Quels acteurs le comit daudit pourra-t-il solliciter?
Quelles diligences le comit daudit pourra-t-il mettre en uvre?
Quelle documentation le comit daudit pourra-t-il obtenir?

Perspectives

7
8
9
15

16

Annexe - Exemple de tableau de bord pour le suivi de lefficacit

Au fil du guide mthodologique, ce symbole graphique signale la prsence de

bonnes pratiques.

Guide mthodologique - IFA - novembre 2010

Que faut-il entendre par efficacit des systmes

de contrle interne et de gestion des risques?

Si lon se rfre la dfinition que donne le COSO 21 du dispositif de gestion

des risques, il sagit dun processus mis en uvre par le conseil 2, les dirigeants
et le personnel dune organisation, exploit pour llaboration de la stratgie et
transversal lentreprise. Quen est-il alors dun dispositif efficace de gestion
des risques?

1.1 Quels sont les objectifs du dispositif

de gestion des risques et du contrle interne?
Grer les risques est une partie essentielle de la mission lgale de contrle du
conseil.
Les objectifs dun systme de contrle interne et de gestion des risques et
les principaux effets escompts au sein de lorganisation sont de trois ordres:
1- Identifier les vnements potentiels susceptibles daffecter la ralisation
des objectifs de lorganisation(positivement sil sagit
dopportunits, ngativement sil sagit de risques). Un systme est efficace
Ce premier objectif a pour but de dfinir les contours du ds lors quil rpond aux
portefeuille de risques de lorganisation;
objectifs pour lesquels il
2- Matriser les risques en fonction du niveau de
risque que lorganisation est prte accepter et que
le conseil dadministration a dfini pour accrotre sa
valeur.

a t cr.

Etroitement li la dfinition de la stratgie de lorganisation, un dispositif

adquat de gestion des risques doit:

permettre au management de prendre ses dcisions de faon claire,

en cohrence avec le degr dapptence ou daversion au risque de

1
Committee of Sponsoring Organizations of the Treadway Commission , rfrentiel de contrle
interne utilis notamment dans la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF.
Le COSO 2 propose un cadre de rfrence pour la gestion des risques de lentreprise (Enterprise Risk
Management Framework).
2 Dans lensemble du document, la dnomination conseil se rapporte au conseil dadministration ou au
conseil de surveillance, selon la structure des socits considres.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

lorganisation et en fonction de la criticit des risques auxquels elle est

expose (probabilit doccurrence et impact potentiel),
en assurer la parade, et,
prvoir les actions mener en cas de survenance du risque.

3- Fournir une assurance raisonnable quant la ralisation des objectifs

de lorganisation.
A ce titre, intgrs lactivit de gestion des risques, les mcanismes de contrle
interne doivent viser plus particulirement assurer:

la conformit aux lois et rglements,

lapplication des instructions et des orientations fixes par le management,
le bon fonctionnement des processus internes de la socit, notamment
ceux concourant la sauvegarde des actifs,
la fiabilit des informations financires.

Guide mthodologique - IFA - novembre 2010

1.2 Quelles caractristiques pour un systme

efficace de contrle interne et de gestion des
risques ?
Un systme est efficace ds lors quil rpond aux objectifs pour lesquels il a t
conu et mis en uvre.
Ainsi, le systme de gestion des risques et le processus de contrle interne
doivent fonctionner de manire imbrique et coordonne pour atteindre lobjectif
de matrise des risques qui leur est assign.

Systme de contrle interne et de gestion des risques

OBJECTIFS de lORG.

STRATEGIE de lORG.

Risques

Politique et
stratgie des
risques

Analyse
de
lexposition
aux risques

Matrise
des
activits

Contrle
Interne

GESTION
DES
RISQUES

Efficience
des
ressources

Efficacit
des
oprations
Evaluation
des risques

Activits de contrle
Pilotage

Lefficacit du systme
de gestion des risques
et du contrle interne
passe par une bonne
coordination des
dispositifs autour
dactivits-cls:
- cartographie et
valuation des risques
- dfinition et valuation
des activits de contrle
- plans de remdiation
- pilotage et diffusion de
linformation
- supervision continue

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

Lensemble du dispositif doit tre adapt aux caractristiques propres de chaque

entit. Nanmoins, quelle que soit lorganisation considre, la mise en uvre des
15 pratiques suivantes pourrait garantir lefficacit du systme.

Politique et stratgie:

1. Lapptence aux risques est dfinie par le conseil ;

2. les responsabilits en matire de gestion des risques (y compris les problmatiques
de dlgation) sont clairement dfinies et diffuses au sein de lentit;

Analyse de lexposition aux risques:

3. le recensement des vnements potentiels susceptibles davoir un impact sur les

objectifs de la socit est ralis de manire exhaustive et lunivers des risques est
rgulirement mis jour ;
4. les vnements ngatifs (internes ou externes) pouvant gnrer des risques sont
analyss;

Evaluation des risques:

5. les risques et leurs incidences potentielles sont valus;

6. les rponses aux risques sont labores;
7. les risques rsiduels sont analyss en lien avec le niveau de risque acceptable tel
que dfini par le conseil;

Activits de contrle :

8. les activits de contrle sont mises en uvre dans chaque processus de

lorganisation ;
9. les activits de contrle font lobjet dune valuation ou auto-valuation;
10. les activits de contrle sont supervises par des fonctions de surveillance;
11. lvaluation des activits de contrle fait lobjet dune revue indpendante;

Pilotage:

12. des indicateurs-cls de performance relatifs au dispositif de gestion des risques

sont dfinis et suivis;
13. les plans de remdiation font lobjet dun suivi document;
14. les incidents avrs sont recenss et analyss;
15. les objectifs et la stratgie du dispositif sont rgulirement mis jour.

In fine, suivre lefficacit dun systme revient suivre le niveau de ralisation de

ses objectifs. Cela suppose quil en existe une mesure, une valuation.

Guide mthodologique - IFA - novembre 2010

Que doit mettre en uvre le comit daudit

pour mener bien cette mission ?

A la lumire des points de repre mthodologiques exposs ci-dessus, la seconde

partie de ce document a pour ambition dapporter un clairage pragmatique sur
la faon dont les comits daudit pourraient exercer leur rle compte tenu des
exigences de lordonnance.

2.1 Quel cadre pour la missiondu comit daudit ?

La charte du comit daudit dfinit le cadre des responsabilits que le conseil

confie au comit daudit et formalise lensemble des
Les diligences du comit
missions du comit. En consquence, il apparat essentiel
relatives la mission
quelle soit amende afin dintgrer la nouvelle mission
de suivi de lefficacit
attribue au comit en matire de suivi de lefficacit du
et leur formalisation
systme de contrle interne et de gestion des risques. Il
doivent tre dfinies
sera ncessaire dy dcrire formellement la nature des
dans la charte du comit
travaux relevant de la responsabilit du comit au titre de
daudit.
sa mission et quil devra mettre en uvre pour le compte
du conseil.

Il parat galement essentiel que le conseil soit en

mesure de dfinir le primtre des risques qui feront lobjet du suivi par le
comit daudit (risques financiers, risques industriels, risques sociaux, risques
environnementaux, etc.).

Par ailleurs, il apparat ncessaire que le comit daudit dfinisse un processus

de communication et dchange avec le conseil (modalits, frquence, etc.)
propre sa mission de suivi de lefficacit du systme de contrle interne et de
gestion des risques. Les informations transmises devront porter aussi bien sur
les lments financiers que non financiers.

Il conviendrait galement que le comit daudit rende compte formellement

au conseil de lexcution de sa mission de suivi de lefficacit du dispositif
de gestion des risques et de contrle, et ce en conformit avec les diligences
dfinies par le conseil dans la charte du comit daudit. Cette communication
devrait notamment intgrer lapprciation de limportance des dfaillances dont
le comit daudit a eu connaissance travers ses travaux, ainsi que du caractre
appropri des plans dactions affrents.
LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

2.2 Quels acteurs le comit daudit pourra-t-il

solliciter?
Pour permettre au comit daudit de suivre lefficacit des mcanismes de contrle
interne et de gestion des risques de lentreprise, il apparat indispensable
dorganiser une communication spcifique et documente entre la direction, les
fonctions de gestion des risques, laudit interne et le comit daudit, chacune
de ces fonctions devant contribuer apporter au comit les informations et
assurances dont il a besoin pour sacquitter de sa mission.

Le comit daudit pourra notamment sappuyer sur :

le risk manager qui est responsable du recensement et du suivi des

risques du groupe en mettant en place notamment une cartographie des
risques qui est dploye au niveau de chaque entit du groupe ;

le dpartement de contrle interne qui a pour mission dassurer

lapplication des instructions de la direction et de favoriser lamlioration
des performances. Il met en place une organisation, des mthodes et des
procdures pour chacune des activits de lentreprise, afin de garantir sa
prennit;

laudit interne qui est entre autres charg de revoir priodiquement les
moyens dont disposent les oprationnels pour grer et contrler lentreprise.
Ses objectifs sont de vrifier que les structures sont claires et bien adaptes,
que les procdures comportent les scurits suffisantes, que les oprations
ne prsentent pas dirrgularits et que les informations diffuses sont
sincres.

En outre, le comit daudit pourra consulter des acteurs externes lentreprise,

comme :

les commissaires aux comptes qui se doivent dalerter la direction et les

organes de gouvernance sur les faiblesses significatives de contrle interne
affectant les procdures dlaboration des comptes;

le cas chant, les experts indpendants afin dobtenir une valuation

tierce sur lefficacit des systmes de contrle interne.

Guide mthodologique - IFA - novembre 2010

2.3 Quelles diligences le comit daudit pourra-t-il

mettre en uvre?
La mise en place du dispositif de gestion des risques et de contrle interne relve
de la responsabilit des dirigeants de lentreprise, lobjectif tant de donner une
assurance raisonnable que les objectifs de lentreprise seront atteints.
Lenjeu pour le comit daudit est davoir une vision densemble du dispositif
de gouvernance des risques et du contrle interne. Il doit veiller lexistence
dun systme de contrle interne et de gestion des risques et en apprcier le
fonctionnement. Il doit notamment pouvoir apprcier les points suivants :

ladquation entre lapproche retenue pour grer les risques de lentit

et la stratgie de lentit, ainsi que lenvironnement lgal, oprationnel et
financier dans lequel elle volue;
lefficacit des contrles pour les risques significatifs;
la mise en uvre des plans dactions, en cas de dfaillances constates.
Telles sont les implications concrtes du rle largi
que lui a assign la 8me directive en lui confiant la Les dpartements de
surveillance du mcanisme de management des risques gestion des risques, de
contrle interne, daudit
et plus spcifiquement le suivi de son efficacit.
Les diligences prsentes ci-dessous ont vocation tre
mises en uvre par les groupes cots. Elles pourront
faire lobjet dune mise en uvre simplifie et/ou
progressive dans les small et mid caps.

interne et lauditeur
externe sont des
interlocuteurs-cls pour
le comit daudit pour
rpondre aux exigences
de sa mission.

2.3.1 Premire mission: raliser

un diagnostic du dispositif de
gouvernance des risques et du contrle interne
Pour raliser son diagnostic du dispositif de gouvernance des risques et du
contrle interne, le comit daudit pourrait procder un examen de lexistence
des lments constitutifs du dispositif en considrant les trois niveaux
suivants:

1er niveau du dispositif de gouvernance des risques : les directions

oprationnelles ;
2me niveau du dispositif de gouvernance des risques : les fonctions de
surveillance (Direction contrle interne, Risk manager, Direction qualit,
Direction des assurances,...);
3me niveaudu dispositif de gouvernance des risques : la fonction audit.
LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

1- Premier niveau du dispositif de gouvernance des risques :

les directions oprationnelles
Les directions oprationnelles valuent et grent les risques. Elles mettent en
uvre les activits de contrle. Pour raliser son diagnostic, le comit daudit
pourrait examiner lexistence des lments suivants:

Niveau 1 lMENTS DE DIAGNOSTIC AU NIVEAU DES OPRATIONS

Politique et stratgie
i. La stratgie et lallocation des ressources sont dfinies
au niveau de lorganisation
ii. Lapptence aux risques est prise en compte dans la
dfinition de la stratgie et de lorganisation
iii. Les responsabilits en matire de gestion des risques (y
compris les problmatiques de dlgation) sont clairement
dfinies et diffuses au sein de lentit

Existence dun dispositif de gestion des risques et de

contrle interne (prvention/traitement des risques)
Existence dun manuel de procdures de contrle interne
permettant de relier objectifs, risques, contrles
Existence dun processus de communication de
linformation sous une forme et un dlai qui permettent
chacun dexercer ses responsabilits

Analyse de lexposition aux risques

iv. Le recensement des vnements potentiels susceptibles
davoir un impact sur les objectifs de la socit est ralis
de manire exhaustive et lunivers des risques est
rgulirement mis jour
v. Les vnements ngatifs (internes ou externes) pouvant
gnrer des risques sont analyss

Existence dun recensement des vnements gnrateurs

de risques
Existence dune cartographie des risques (identification)
Existence dune analyse des impacts (chelle)

Evaluation des risques

vi. Les risques sont valus
vii. Les rponses aux risques sont labores
viii. Les risques rsiduels sont analyss en lien avec le
niveau de risque acceptable tel que dfini par le conseil
de la socit

Existence dune cartographie des risques (incluant une

valuation des risques)
Existence de plans de rponses aux risques

Activit de contrle interne

ix. Les activits de contrle sont mises en oeuvre dans
chaque processus de lorganisation
x. Les activits de contrle font lobjet dune valuation
(auto-valuation ou valuation)
xi. Les activits de contrle sont supervises par des
fonctions de surveillance
xii. Lvaluation des activits de contrle fait lobjet dune
revue indpendante

Existence dun rfrentiel de contrle interne

Existence dun processus dauto-valuation/dvaluation
du contrle interne

Existence dindicateurs-cls
Existence de plans de remdiation
Existence dun processus de recensement et danalyse des
incidents
Existence dun processus rgulier et planifi de mise jour
des objectifs et de la stratgie du dispositif de gestion des
risques

Pilotage
xiii. Des indicateurs-cls de performance relatifs au
dispositif de gestion des risques sont dfinis et suivis
xiv. Les plans de remdiation font lobjet dun suivi
document
xv. Les incidents avrs sont recenss et analyss
xvi. Les objectifs et la stratgie du dispositif sont
rgulirement mis jour

10

Guide mthodologique - IFA - novembre 2010

2- Deuxime niveau du dispositif de gouvernancedes risques :

les fonctions de surveillance
Les fonctions de surveillance conoivent les politiques et les procdures. Elles
sont responsables de lintroduction de bonnes pratiques et du respect des
procdures. Elles supervisent lefficacit du dispositif.
Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des
lments suivants:

Niveau 2 lMENTS DE DIAGNOSTIC AU NIVEAU

DE LA FONCTION DE SURVEILLANCE

Existence dun rfrentiel adapt (cadre de rfrence AMF, Coso, autre)

Existence d'un code thique
Existence dun comit des risques
Existence dune procdure de revue de la centralisation des risques
Existence dune procdure de revue de lvaluation des risques
Existence dune procdure de revue des plans de rponses aux risques
Existence dun service de contrle interne
Existence dun dpartement daudit interne
Existence dune procdure de revue par laudit interne/externe de lautovaluation/valuation des activits de contrle
Existence dun dispositif de suivi des indicateurs-cls de performance
relatifs au dispositif de gestion des risques
Existence dune procdure de revue des plans de remdiation (intgrant
chanciers, responsables, etc.)
Existence dune procdure de revue de lanalyse des incidents
Existence dune procdure de revue de la mise jour des objectifs

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

11

3- Troisime niveau du dispositif de gouvernancedes risques :

la fonction audit
Les auditeurs internes ralisent des missions daudit sur les procdures de
contrle qui permettent dobtenir un avis indpendant sur le fonctionnement du
systme de contrle interne et de gestion des risques.
Les conclusions des travaux des auditeurs externes sur les faiblesses significatives
de contrle interne lies au processus dlaboration de linformation financire
constituent galement un lment dassurance indpendante.
Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des
lments suivants:

Niveau 3 lMENTS DE DIAGNOSTIC AU NIVEAU DE LA FONCTION AUDIT

Existence dune fonction daudit interne

Examen de lorganisation de laudit interne (rattachement, couverture des pays, etc.)
Examen du plan daudit interne en matire de diligences sur le dispositif de gestion des
risques et de contrle interne
Examen du primtre dintervention des auditeurs externes
Recours des experts indpendants pour lvaluation des risques et des activits de
contrle
Revue par laudit interne/externe de lauto-valuation/valuation des activits de
contrle

2.3.2 Deuxime mission: obtenir des assurances de la direction

sur le fonctionnement du systme de contrle interne et de
gestion des risques
Une fois le diagnostic de gouvernance des risques
et du contrle interne tabli, il conviendrait que le
comit daudit obtienne de la direction lassurance
que le dispositif fonctionne de manire efficace et
ceci de manire dynamique dans le temps.
Selon le mode de fonctionnement de lentit, et
en fonction de lexistence et de la profondeur des
procdures mises en uvre par les oprationnels, le
comit daudit pourrait tre amen dployer des
approches diffrentes pour sacquitter de ses missions
en matire de suivi de lefficacit des systmes.

12

Guide mthodologique - IFA - novembre 2010

Examen densemble du
dispositif, apprciation du
processus dvaluation de
lefficacit et revue de la
documentation sont les
trois principaux leviers
daction des comits pour
mener bien leur mission
de suivi.

1- Lentit a mis en place des indicateurs de risques

Les indicateurs de risques sont de plusieurs natures: des indicateurs de niveau
du risque, des indicateurs de suivi de lavancement des actions de matrise des
risques et des indicateurs permettant le suivi de risques qui se sont effectivement
avrs.

Afin dexaminer le fonctionnement du dispositif de gestion des risques, il

conviendrait que le comit daudit obtienne de la direction:

le suivi des indicateurs dalerte (ex: drives par rapport aux prvisions) ;

le degr de ralisation des plans de rponse aux risques significatifs (ex:

recours lassurance, surveillance accrue, rduction de sa criticit) ;

La synthse des cas de risques avrs significatifs (incidents, fraude,

sinistres...).

En interaction avec la fonction audit interne, il conviendrait que le comit daudit

confronte lapprciation des risques des auditeurs celle de la direction afin
didentifier et dapprcier la porte des ventuelles divergences de vue.

2- Lentit a mis en place une procdure dvaluation

de lefficacit des activits de contrle
Les activits de contrle sont documentes par les oprationnels. Lvaluation
est ralise par des services internes (direction du contrle interne, direction
de laudit interne).
Le comit daudit doit sassurer de lexistence de lvaluation de lefficacit des
activits de contrle et de lutilisation qui en est faite.

Afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que

le comit daudit obtienne de la direction:

la documentation relative la mise jour rgulire des risques et des

contrles associs;

pour les risques majeurs, la synthse des rsultats des tests defficacit des
activits de contrle.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

13

3- Lentit na pas mis en place de procdure dvaluation de lefficacit

des activits de contrle, mais procde une auto-valuation
Limite des critres prdfinis et mene le plus souvent sur un mode dclaratif,
lauto-valuation na pas la mme porte quune procdure dvaluation. Outre
labsence de vrification indpendante, une auto-valuation ne saurait suffire
lapprciation de lefficacit des activits de contrle. En effet, elle ne rpond
gnralement pas aux exigences dexamen document et prouv (par le test) des
procdures, telles que requises pour une mission dvaluation de lefficacit.

Afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que

le comit daudit :

obtienne de la direction la synthse des rsultats de lauto-valuation de

lefficacit des activits de contrle ;
demande ce que les rsultats de lauto-valuation fassent lobjet dune revue
indpendante. Cette revue aura pour objet de confronter lauto-valuation
dclarative aux rsultats de lexamen document et indpendant.
Sur cette base, il conviendrait que le comit daudit analyse lcart ventuel entre
les rsultats de lauto-valuation et les rsultats de lvaluation indpendante.

4- Lentit na pas mis en place de procdure dvaluation ou

dauto-valuation de lefficacit des activits de contrle

14

Dans ce cas, le comit daudit pourrait solliciter la fonction audit (interne/

externe) pour quelle procde une revue des contrles-cls au sein de lentit.
Cette revue indpendante devra alors avoir une porte suffisamment large pour
couvrir les risques cls de lentit.

Guide mthodologique - IFA - novembre 2010

2.3.3 Troisime mission: procder lexamen des dfaillances

significatives du systme de contrle interne et de gestion des risques
Afin dapprcier limportance des dfaillances du systme de contrle interne et
de gestion des risques, il conviendrait que le comit daudit:

obtienne de la Direction, pour les incidents avrs, la synthse des impacts

financiers et extra-financiers ;
obtienne de la Direction, pour les dfaillances significatives identifies, une
estimation de leur impact potentiel ;
examine les plans dactions afin dapprcier leur caractre appropri.

Nous avons joint, en annexe, un exemple dtat de suivi de lefficacit du systme

de contrle interne et de gestion des risques, sous forme dun tableau de bord
spcifique, qui pourrait tre examin par le comit daudit pour les risques
significatifs.

2.4 Quelle documentation le comit daudit

pourra-t-il obtenir?
En synthse, nous avons list ci-dessous la documentation susceptible dtre
mise disposition du comit daudit afin de lui permettre de mener bien sa
mission de suivi de lefficacit du dispositif de gestion des risques et du contrle
interne:

La mission de suivi de

le tableau de bord de suivi de lefficacit du

lefficacit ncessite que
dispositif (cf. Annexe),
le comit daudit fasse
la cartographie des risques,
un examen critique des
la synthse des rsultats de lauto-valuation ou
documents cls relatifs
de lvaluation,
la gestion des risques
la synthse des rapports de laudit interne,
et au contrle interne
la synthse des commissaires aux comptes,
et sassure de leur
relative aux faiblesses significatives de contrle
cohrence.
interne,
la synthse des plans dactions de la socit pour
remdier aux faiblesses significatives.
Enfin, il conviendrait que le comit daudit sassure de la cohrence des
informations collectes sur le dispositif de gestion des risques et du contrle
interne avec, notamment:
les facteurs de risques communiqus dans le document de rfrence, et,
le rapport du prsident sur le contrle interne.
LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

15

erspectives

La mission de suivi de lefficacit du systme de contrle interne et de gestion

des risques rend le comit daudit partie prenante dun dispositif capital pour
les organisations. En effet, si un systme de contrle interne et de gestion des
risques efficace et pertinent peut amliorer la qualit des rapports financiers, il
peut surtout contribuer crer de la valeur ajoute pour lentreprise:

16

en donnant une vision des cots cachs au sein des diffrentes fonctions
de lentreprise ;

en aidant comparer les performances des contrles des diffrentes

activits ;

en aidant identifier les points damlioration des contrles, les contrles

supprimer et ceux automatiser ;

en aidant une organisation trouver un quilibre entre la gestion des risques

et ses objectifs de croissance et de profitabilit.

Guide mthodologique - IFA - novembre 2010

nnexe

Exemple de tableau de bord pour le suivi de lefficacit

du systme de contrle interne et de gestion des
risques
Dans cet exemple de tableau de bord, lincidence potentielle de chaque risque
(impact et probabilit doccurrence) est value sur une chelle de 1 5.
De mme, lefficacit des contrles couvrant les risques bruts identifis est
value sur une chelle quatre niveaux (faible, moyenne, bonne, leve).
Il en rsulte un niveau de risque net (ou rsiduel) galement valu sur une
chelle de 1 5.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

17

18

Guide mthodologique - IFA - novembre 2010

Stratgie dacquisition inapproprie

Incapacit
satisfaire aux
exigences
rglementaires
et lgales
(c.--d. Cartels)

Dfaillances
des systmes
informatiques
aprs mise en
uvre

Impact

Risque

Probabilit

Risque Brut

Directeur
informatique

Directeur
gnral et
directeurs de
division

Directeur
financier

Responsabilit

Procdures
de gestion de
projet

Auto-valuation
annuelle.
Supervision par
le dpartement
juridique

Recours des
conseillers
externes pour
les audits
pralables

Description
des contrles

Bonne

Moyenne

Faible

Efficacit
des
contrles

Impact

Probabilit

Risque net/
rsiduel

Directeur
juridique

Renforcement des
procdures affrentes
lobservation
des dispositions
rglementaires et
lgales

Directeur
informatique

Directeur
financier

laboration dun cadre

de rfrence pour les
fusions/acquisitions
en phase avec la
stratgie mtier.
largissement de la
fonction recherche
dacquisitions

Application stricte de
la liste de vrification
de ladquation aux
besoins pour tous les
projets

Responsabilit

Action

Juin
200X

Juin
200X

Sept.
200X

Date
de
lexamen

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

19

Plans de
continuit et
anti-sinistre
inadquats, ne
permettant pas
de faire face
une dfaillance
majeure
du rseau
informatique

Impact

Incapacit
de grer
lincertitude
conomique
et dy ragir
correctement

Risque

Probabilit

Risque Brut

Directeur
gnral,
directeur
financier,
directeurs de
divisions

leve

Examen
mensuel, par
la direction,
des prvisions
conomiques
et comparaison
avec la position
financire
prvisionnelle
du groupe

Directeur
informatique

Bonne

Description
des contrles

Responsabilit

Examen
semestriel
(et au besoin
actualisation)
des plans de
continuit et
anti-sinistre,
et tests
correspondants

Efficacit
des
contrles

Impact

Probabilit

Risque net/
rsiduel

Sauvegarde hors site

des systmes

Cration de modles
financiers en vue
de modliser des
scnarios

Action

Directeur
informatique

Directeur
gnral

Responsabilit

Sept.
200X

Sept.
200X

Date
de
lexamen

20

otes

Guide mthodologique - IFA - novembre 2010

Audit Committee Institute France de KPMG

LAudit Committee Institute est un forum dchanges ddi aux membres des
comits daudit. Il a t conu pour apporter aux membres de comits daudit des
informations, outils et techniques les aidant remplir la mission lie leur fonction.
LAudit Committee Institute communique travers le monde avec les responsables
de comits daudit depuis 1999.
LAudit Committee Institute France propose ses membres :
- Un site internet (www.audit-committee-institute.fr) conu pour donner aux
membres de comits daudit un accs permanent aux meilleures pratiques et des
outils conus pour amliorer le fonctionnement des comits daudit
- Des rencontres sous forme de petit djeuner/table ronde permettant aux
membres de comits daudit dchanger sur des sujets dactualit avec leurs pairs
- Des newsletters (Audit Committee News) qui traitent des sujets dactualit
technique et rglementaire et des dveloppements rcents sur des problmatiques
spcifiques aux comits daudit
- Des publications sur le gouvernement dentreprise telle que La pratique des
comits daudit en France et dans le monde .

Contacts :
Associs KPMG Audit, Responsables de lAudit Committee Institute
France
Didier de Mnonville - Tl : 01 55 68 72 82
Jean-Marc Discours - Tl : 01 55 68 68 83)
KPMG Audit
1, cours Valmy
92923 Paris La Dfense Cedex
fr-auditcommittee@kpmg.fr

21

LIFA est le rseau de rfrence des administrateurs

Prsent sur lensemble du territoire franais avec 7 dlgations rgionales,
lIFA est galement membre actif de la Confdration europenne des
associations dadministrateurs (ecoDa).
LIFA a pour mission :
de reprsenter lensemble des administrateurs et formaliser des
propositions visant amliorer les conditions dans lesquelles les
administrateurs exercent leurs mandats dans les entreprises de tout type :
cotes ou non, pme patrimoniales, mutualistes, publiques, associations,
fondations,
de proposer des sminaires de formation destins aux membres ou
futurs membres de conseil dadministration,
dassocier, dans une mme organisation de place, tous ceux qui
souhaitent contribuer la promotion et au partage des bonnes pratiques
du gouvernement dentreprise en France.
LES MEMBRES FONDATEURS
AFG, BOYDEN FRANCE, CCIP, ERNST&YOUNG, NYSE EURONEXT et PARIS EUROPLACE
& LES MEMBRES ASSOCIS
AON GLOBAL RISK CONSULTING, BIGNON LEBRAY, CNCC, CONSEIL SUPERIEUR DE LORDRE
DES EXPERTS COMPTABLES, DELOITTE, FIDAL, GEMA, GRANT THORNTON,
HEWITT ASSOCIATES, KORN/FERRY INTERNATIONAL, KPMG AUDIT, LEADERS TRUST
INTERNATIONAL, MAZARS, MICHAEL PAGE INTERNATIONAL, ONDRA-INVESTORSIGHT,
PRICEWATERHOUSECOOPERS, RUSSELL REYNOLDS ASSOCIATES, SPENCER STUART.
ILS PARTICIPENT AVEC LIFA LA PROMOTION DES MEILLEURES PRATIQUES DE GOUVERNANCE
ET LA PROFESSIONNALISATION DES ADMINISTRATEURS.

7 rue Balzac 75382 Paris cedex 08

Tel. : 01 55 65 81 32 - contact@ifa-asso.com
www.ifa-asso.com

CDECORTIAT-IFA-5112010

IFA - Institut Franais des Administrateurs