Vous êtes sur la page 1sur 24

LES TRAVAUX DE LIFA

NOVEMBRE 2010
LE SUIVI DE LEFFICACIT
DES SYSTMES DE CONTRLE INTERNE
ET DE GESTION DES RISQUES
GUIDE MTHODOLOGIQUE
C
omposition du groupe
Ces travaux ont t mens dans le cadre du groupe d'changes runissant des
Prsidents de Comits d'audit de l'IFA en partenariat avec l'Audit Committee Institute
de KPMG.
Prsident du groupe
ALDO CARDOSO
Membres du groupe
CHRISTIAN AUBIN
ROBERT BACONNIER
PATRICIA BARBIZET
ERIC BOURDAIS DE CHARBONNIRE
FRANK DANDEARD
ALAIN GROSMANN
JEAN-BERNARD GUILLEBERT
FRANCOIS JACLOT
HELMAN LE PAS DE SECHEVAL
DANIEL LEBGUE
GERARD DE LA MARTINIRE
VICTOIRE DE MARGERIE
PATRICE MARTEAU
HELENE PLOIX
GEORGES RALLI
PIERRE RODOCANACHI
Rapporteurs du groupe
DIDIER DE MENONVILLE, Associ KPMG Audit
JEAN-MARC DISCOURS, Associ KPMG Audit
1
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
A
vant propos
La mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques : quels enjeux pour les comits daudit ?
La transposition de la 8
me
directive europenne en droit franais en dcembre 2008
a renforc le rle du comit daudit. En effet, larticle L.823.19 prcise que :
Le comit spcialis assure le suivi des questions relatives llaboration et au
contrle des informations comptables et financires.
Le comit est notamment charg dassurer le suivi :
du processus dlaboration de linformation financire,
de lefficacit des systmes de contrle interne et de gestion des risques.
Il appartient au conseil de dterminer le niveau de risque quil est prt accepter.
Le management, quant lui, est responsable de la conception, de la mise en
uvre et de la supervision des systmes de contrle interne et de gestion des
risques. Dans ce cadre, les risques doivent tre valus de manire continue et
les activits de contrle doivent tre conues pour rpondre aux risques propres
de lentit. Mais il faut galement que la gouvernance dfinisse comment le
management doit ragir en cas de dfaillance et aussi comment les systmes
doivent tre adapts la suite dune dfaillance.
Cette mission de suivi de lefficacit des systmes de contrle interne et de
gestion des risques reprsente un challenge certain pour les comits daudit.
Pour faire face ce dfi tant organisationnel que mthodologique, lIFA a
souhait, en complment de son rapport Les comits daudit : 100 bonnes
pratiques publi en janvier 2008, laborer un document complmentaire qui
propose une approche mthodologique aux membres de comits daudit pour
mener bien leur mission de suivi de lefficacit des systmes de contrle
interne et de gestion des risques.
Cette nouvelle publication de lIFA souhaite contribuer lenrichissement des
pratiques dans les comits daudit et ceci dans le respect du rapport du groupe
de travail AMF sur le comit daudit de juillet 2010 qui laisse chaque conseil
le soin de dfinir les modalits concrtes pour la dtermination du rle quil
souhaite leur voir jouer.
Ce document qui a t ralis avec le soutien de lAudit Committee Institute de
KPMG prsente une approche globale quil conviendra dadapter aux situations
particulires ainsi qu la taille des groupes et des organisations en place.
2 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 3
S
ommaire
Au fil du guide mthodologique, ce symbole graphique signale la prsence de
bonnes pratiques.
Avant Propos
La mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques : quels enjeux pour les comits daudit ? 1
Sommaire 2
1 Que faut-il entendre par efficacit des systmes
de contrle interne et de gestion des risques ? 3
1.1 Quels sont les objectifs du dispositif de gestion des risques
et du contrle interne ? 3
1.2 Quelles caractristiques pour un systme efficace
de contrle interne et de gestion des risques ? 5
2 Que doit mettre en uvre le comit daudit pour mener bien
sa mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques ? 7
2.1 Quel cadre pour la mission du comit daudit ? 7
2.2 Quels acteurs le comit daudit pourra-t-il solliciter ? 8
2.3 Quelles diligences le comit daudit pourra-t-il mettre en uvre ? 9
2.4 Quelle documentation le comit daudit pourra-t-il obtenir ? 15
Perspectives 16
Annexe - Exemple de tableau de bord pour le suivi de lefficacit
4
2 3
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
1
Que faut-il entendre par efficacit des systmes
de contrle interne et de gestion des risques ?
Si lon se rfre la dfinition que donne le COSO 2
1
du dispositif de gestion
des risques, il sagit dun processus mis en uvre par le conseil
2
, les dirigeants
et le personnel dune organisation, exploit pour llaboration de la stratgie et
transversal lentreprise . Quen est-il alors dun dispositif efficace de gestion
des risques ?
1.1 QUELS SONT LES OBJECTIFS DU DISPOSITIF
DE GESTION DES RISQUES ET DU CONTRLE INTERNE ?
Grer les risques est une partie essentielle de la mission lgale de contrle du
conseil.
Les objectifs dun systme de contrle interne et de gestion des risques et
les principaux effets escompts au sein de lorganisation sont de trois ordres :
1- Identifier les vnements potentiels susceptibles daffecter la ralisation
des objectifs de lorganisation (positivement sil sagit
dopportunits, ngativement sil sagit de risques).
Ce premier objectif a pour but de dfinir les contours du
portefeuille de risques de lorganisation ;
2- Matriser les risques en fonction du niveau de
risque que lorganisation est prte accepter et que
le conseil dadministration a dfini pour accrotre sa
valeur.
Etroitement li la dfinition de la stratgie de lorganisation, un dispositif
adquat de gestion des risques doit :
permettre au management de prendre ses dcisions de faon claire,
en cohrence avec le degr dapptence ou daversion au risque de
1 Committee of Sponsoring Organizations of the Treadway Commission , rfrentiel de contrle
interne utilis notamment dans la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF.
Le COSO 2 propose un cadre de rfrence pour la gestion des risques de lentreprise ( Enterprise Risk
Management Framework ).
2 Dans lensemble du document, la dnomination conseil se rapporte au conseil dadministration ou au
conseil de surveillance, selon la structure des socits considres.
Un systme est efficace
ds lors quil rpond aux
objectifs pour lesquels il
a t cr.
4 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 5
lorganisation et en fonction de la criticit des risques auxquels elle est
expose (probabilit doccurrence et impact potentiel),
en assurer la parade, et,
prvoir les actions mener en cas de survenance du risque.
3- Fournir une assurance raisonnable quant la ralisation des objectifs
de lorganisation.
A ce titre, intgrs lactivit de gestion des risques, les mcanismes de contrle
interne doivent viser plus particulirement assurer :
la conformit aux lois et rglements,
lapplication des instructions et des orientations fixes par le management,
le bon fonctionnement des processus internes de la socit, notamment
ceux concourant la sauvegarde des actifs,
la fiabilit des informations financires.
4 5
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
1.2 QUELLES CARACTRISTIQUES POUR UN SYSTME
EFFICACE DE CONTRLE INTERNE ET DE GESTION DES
RISQUES ?
Un systme est efficace ds lors quil rpond aux objectifs pour lesquels il a t
conu et mis en uvre.
Ainsi, le systme de gestion des risques et le processus de contrle interne
doivent fonctionner de manire imbrique et coordonne pour atteindre lobjectif
de matrise des risques qui leur est assign.
Lefficacit du systme
de gestion des risques
et du contrle interne
passe par une bonne
coordination des
dispositifs autour
dactivits-cls :
- cartographie et
valuation des risques
- dfinition et valuation
des activits de contrle
- plans de remdiation
- pilotage et diffusion de
linformation
- supervision continue
Systme de contrle interne et de gestion des risques
Politique et
stratgie des
risques
Analyse
de
lexposition
aux risques
Matrise
des
activits
Efficacit Contrle
.
G
R
O
l

e
d

S
F
I
T
C
E
J
B
O
Risques
.
G
R
O
l

e
d

E
I
G
E
T
A
R
T
S
.
G
R
O
l

e
d

S
F
I
T
C
E
J
B
O
Risques Risques
.
G
R
O
l

e
d

E
I
G
E
T
A
R
T
S
Pilotage
Activits de contrle
Efficience
des
ressources
Efficacit
des
oprations
Contrle
Interne
Evaluation
des risques
GESTION
DES
RISQUES
6 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 7
Lensemble du dispositif doit tre adapt aux caractristiques propres de chaque
entit. Nanmoins, quelle que soit lorganisation considre, la mise en uvre des
15 pratiques suivantes pourrait garantir lefficacit du systme.
Politique et stratgie :
Lapptence aux risques est dfinie par le conseil ; 1.
les responsabilits en matire de gestion des risques (y compris les problmatiques 2.
de dlgation) sont clairement dfinies et diffuses au sein de lentit ;
Analyse de lexposition aux risques :
le recensement des vnements potentiels susceptibles davoir un impact sur les 3.
objectifs de la socit est ralis de manire exhaustive et lunivers des risques est
rgulirement mis jour ;
les vnements ngatifs (internes ou externes) pouvant gnrer des risques sont 4.
analyss ;
Evaluation des risques :
les risques et leurs incidences potentielles sont valus ; 5.
les rponses aux risques sont labores ; 6.
les risques rsiduels sont analyss en lien avec le niveau de risque acceptable tel 7.
que dfini par le conseil ;
Activits de contrle :
les activits de contrle sont mises en uvre dans chaque processus de 8.
lorganisation ;
les activits de contrle font lobjet dune valuation ou auto-valuation ; 9.
les activits de contrle sont supervises par des fonctions de surveillance ; 10.
lvaluation des activits de contrle fait lobjet dune revue indpendante ; 11.
Pilotage :
des indicateurs-cls de performance relatifs au dispositif de gestion des risques 12.
sont dfinis et suivis ;
les plans de remdiation font lobjet dun suivi document ; 13.
les incidents avrs sont recenss et analyss ; 14.
les objectifs et la stratgie du dispositif sont rgulirement mis jour. 15.
In fine, suivre lefficacit dun systme revient suivre le niveau de ralisation de
ses objectifs. Cela suppose quil en existe une mesure, une valuation.
6 7
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
2
Que doit mettre en uvre le comit daudit
pour mener bien cette mission ?
A la lumire des points de repre mthodologiques exposs ci-dessus, la seconde
partie de ce document a pour ambition dapporter un clairage pragmatique sur
la faon dont les comits daudit pourraient exercer leur rle compte tenu des
exigences de lordonnance.
2.1 QUEL CADRE POUR LA MISSION DU COMIT DAUDIT ?
La charte du comit daudit dfinit le cadre des responsabilits que le conseil
confie au comit daudit et formalise lensemble des
missions du comit. En consquence, il apparat essentiel
quelle soit amende afin dintgrer la nouvelle mission
attribue au comit en matire de suivi de lefficacit du
systme de contrle interne et de gestion des risques. Il
sera ncessaire dy dcrire formellement la nature des
travaux relevant de la responsabilit du comit au titre de
sa mission et quil devra mettre en uvre pour le compte
du conseil.
Il parat galement essentiel que le conseil soit en
mesure de dfinir le primtre des risques qui feront lobjet du suivi par le
comit daudit (risques financiers, risques industriels, risques sociaux, risques
environnementaux, etc.).
Par ailleurs, il apparat ncessaire que le comit daudit dfinisse un processus
de communication et dchange avec le conseil (modalits, frquence, etc.)
propre sa mission de suivi de lefficacit du systme de contrle interne et de
gestion des risques. Les informations transmises devront porter aussi bien sur
les lments financiers que non financiers.
Il conviendrait galement que le comit daudit rende compte formellement
au conseil de lexcution de sa mission de suivi de lefficacit du dispositif
de gestion des risques et de contrle, et ce en conformit avec les diligences
dfinies par le conseil dans la charte du comit daudit. Cette communication
devrait notamment intgrer lapprciation de limportance des dfaillances dont
le comit daudit a eu connaissance travers ses travaux, ainsi que du caractre
appropri des plans dactions affrents.
Les diligences du comit
relatives la mission
de suivi de lefficacit
et leur formalisation
doivent tre dfinies
dans la charte du comit
daudit.
4
4
4
4
8 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 9
2.2 QUELS ACTEURS LE COMIT DAUDIT POURRA-T-IL
SOLLICITER ?
Pour permettre au comit daudit de suivre lefficacit des mcanismes de contrle
interne et de gestion des risques de lentreprise, il apparat indispensable
dorganiser une communication spcifique et documente entre la direction, les
fonctions de gestion des risques, laudit interne et le comit daudit, chacune
de ces fonctions devant contribuer apporter au comit les informations et
assurances dont il a besoin pour sacquitter de sa mission.
Le comit daudit pourra notamment sappuyer sur :
le risk manager qui est responsable du recensement et du suivi des
risques du groupe en mettant en place notamment une cartographie des
risques qui est dploye au niveau de chaque entit du groupe ;
le dpartement de contrle interne qui a pour mission dassurer
lapplication des instructions de la direction et de favoriser lamlioration
des performances. Il met en place une organisation, des mthodes et des
procdures pour chacune des activits de lentreprise, afin de garantir sa
prennit ;
l audit interne qui est entre autres charg de revoir priodiquement les
moyens dont disposent les oprationnels pour grer et contrler lentreprise.
Ses objectifs sont de vrifier que les structures sont claires et bien adaptes,
que les procdures comportent les scurits suffisantes, que les oprations
ne prsentent pas dirrgularits et que les informations diffuses sont
sincres.
En outre, le comit daudit pourra consulter des acteurs externes lentreprise,
comme :
les commissaires aux comptes qui se doivent dalerter la direction et les
organes de gouvernance sur les faiblesses significatives de contrle interne
affectant les procdures dlaboration des comptes ;
le cas chant, les experts indpendants afin dobtenir une valuation
tierce sur lefficacit des systmes de contrle interne.
4
4
8 9
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
2.3 QUELLES DILIGENCES LE COMIT DAUDIT POURRA-T-IL
METTRE EN UVRE ?
La mise en place du dispositif de gestion des risques et de contrle interne relve
de la responsabilit des dirigeants de lentreprise, lobjectif tant de donner une
assurance raisonnable que les objectifs de lentreprise seront atteints.
Lenjeu pour le comit daudit est davoir une vision densemble du dispositif
de gouvernance des risques et du contrle interne. Il doit veiller lexistence
dun systme de contrle interne et de gestion des risques et en apprcier le
fonctionnement. Il doit notamment pouvoir apprcier les points suivants :
ladquation entre lapproche retenue pour grer les risques de lentit
et la stratgie de lentit, ainsi que lenvironnement lgal, oprationnel et
financier dans lequel elle volue ;
lefficacit des contrles pour les risques significatifs ;
la mise en uvre des plans dactions, en cas de dfaillances constates.
Telles sont les implications concrtes du rle largi
que lui a assign la 8
me
directive en lui confiant la
surveillance du mcanisme de management des risques
et plus spcifiquement le suivi de son efficacit.
Les diligences prsentes ci-dessous ont vocation tre
mises en uvre par les groupes cots. Elles pourront
faire lobjet dune mise en uvre simplifie et/ou
progressive dans les small et mid caps.
2.3.1 Premire mission : raliser
un diagnostic du dispositif de
gouvernance des risques et du contrle interne
Pour raliser son diagnostic du dispositif de gouvernance des risques et du
contrle interne, le comit daudit pourrait procder un examen de lexistence
des lments constitutifs du dispositif en considrant les trois niveaux
suivants :
1
er
niveau du dispositif de gouvernance des risques : les directions
oprationnelles ;
2
me
niveau du dispositif de gouvernance des risques : les fonctions de
surveillance (Direction contrle interne, Risk manager, Direction qualit,
Direction des assurances,...);
3
me
niveau du dispositif de gouvernance des risques : la fonction audit.
Les dpartements de
gestion des risques, de
contrle interne, daudit
interne et lauditeur
externe sont des
interlocuteurs-cls pour
le comit daudit pour
rpondre aux exigences
de sa mission.
10 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 11
1- Premier niveau du dispositif de gouvernance des risques :
les directions oprationnelles
Les directions oprationnelles valuent et grent les risques. Elles mettent en
uvre les activits de contrle. Pour raliser son diagnostic, le comit daudit
pourrait examiner lexistence des lments suivants :
Niveau 1 LMENTS DE DIAGNOSTIC AU NIVEAU DES OPRATIONS
Politique et stratgie
i. La stratgie et lallocation des ressources sont dfinies
au niveau de lorganisation
ii. Lapptence aux risques est prise en compte dans la
dfinition de la stratgie et de lorganisation
iii. Les responsabilits en matire de gestion des risques (y
compris les problmatiques de dlgation) sont clairement
dfinies et diffuses au sein de lentit
Existence dun dispositif de gestion des risques et de
contrle interne (prvention/traitement des risques)
Existence dun manuel de procdures de contrle interne
permettant de relier objectifs, risques, contrles
Existence dun processus de communication de
linformation sous une forme et un dlai qui permettent
chacun dexercer ses responsabilits
Analyse de lexposition aux risques
iv. Le recensement des vnements potentiels susceptibles
davoir un impact sur les objectifs de la socit est ralis
de manire exhaustive et lunivers des risques est
rgulirement mis jour
v. Les vnements ngatifs (internes ou externes) pouvant
gnrer des risques sont analyss
Existence dun recensement des vnements gnrateurs
de risques
Existence dune cartographie des risques (identification)
Existence dune analyse des impacts (chelle)
Evaluation des risques
vi. Les risques sont valus
vii. Les rponses aux risques sont labores
viii. Les risques rsiduels sont analyss en lien avec le
niveau de risque acceptable tel que dfini par le conseil
de la socit
Existence dune cartographie des risques (incluant une
valuation des risques)
Existence de plans de rponses aux risques
Activit de contrle interne
ix. Les activits de contrle sont mises en oeuvre dans
chaque processus de lorganisation
x. Les activits de contrle font lobjet dune valuation
(auto-valuation ou valuation)
xi. Les activits de contrle sont supervises par des
fonctions de surveillance
xii. Lvaluation des activits de contrle fait lobjet dune
revue indpendante
Existence dun rfrentiel de contrle interne
Existence dun processus dauto-valuation/dvaluation
du contrle interne
Pilotage
xiii. Des indicateurs-cls de performance relatifs au
dispositif de gestion des risques sont dfinis et suivis
xiv. Les plans de remdiation font lobjet dun suivi
document
xv. Les incidents avrs sont recenss et analyss
xvi. Les objectifs et la stratgie du dispositif sont
rgulirement mis jour
Existence dindicateurs-cls
Existence de plans de remdiation
Existence dun processus de recensement et danalyse des
incidents
Existence dun processus rgulier et planifi de mise jour
des objectifs et de la stratgie du dispositif de gestion des
risques
10 11
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
2- Deuxime niveau du dispositif de gouvernance des risques :
les fonctions de surveillance
Les fonctions de surveillance conoivent les politiques et les procdures. Elles
sont responsables de lintroduction de bonnes pratiques et du respect des
procdures. Elles supervisent lefficacit du dispositif.
Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des
lments suivants :
Existence dun rfrentiel adapt (cadre de rfrence AMF, Coso, autre)
Existence d'un code thique
Existence dun comit des risques
Existence dune procdure de revue de la centralisation des risques
Existence dune procdure de revue de lvaluation des risques
Existence dune procdure de revue des plans de rponses aux risques
Existence dun service de contrle interne
Existence dun dpartement daudit interne
Existence dune procdure de revue par laudit interne/externe de lauto-
valuation/valuation des activits de contrle
Existence dun dispositif de suivi des indicateurs-cls de performance
relatifs au dispositif de gestion des risques
Existence dune procdure de revue des plans de remdiation (intgrant
chanciers, responsables, etc.)
Existence dune procdure de revue de lanalyse des incidents
Existence dune procdure de revue de la mise jour des objectifs
Niveau 2 LMENTS DE DIAGNOSTIC AU NIVEAU
DE LA FONCTION DE SURVEILLANCE
12 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 13
3- Troisime niveau du dispositif de gouvernance des risques :
la fonction audit
Les auditeurs internes ralisent des missions daudit sur les procdures de
contrle qui permettent dobtenir un avis indpendant sur le fonctionnement du
systme de contrle interne et de gestion des risques.
Les conclusions des travaux des auditeurs externes sur les faiblesses significatives
de contrle interne lies au processus dlaboration de linformation financire
constituent galement un lment dassurance indpendante.
Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des
lments suivants :
Existence dune fonction daudit interne
Examen de lorganisation de laudit interne (rattachement, couverture des pays, etc.)
Examen du plan daudit interne en matire de diligences sur le dispositif de gestion des
risques et de contrle interne
Examen du primtre dintervention des auditeurs externes
Recours des experts indpendants pour lvaluation des risques et des activits de
contrle
Revue par laudit interne/externe de lauto-valuation/valuation des activits de
contrle
Niveau 3 LMENTS DE DIAGNOSTIC AU NIVEAU DE LA FONCTION AUDIT

2.3.2 Deuxime mission : obtenir des assurances de la direction
sur le fonctionnement du systme de contrle interne et de
gestion des risques
Une fois le diagnostic de gouvernance des risques
et du contrle interne tabli, il conviendrait que le
comit daudit obtienne de la direction lassurance
que le dispositif fonctionne de manire efficace et
ceci de manire dynamique dans le temps.
Selon le mode de fonctionnement de lentit, et
en fonction de lexistence et de la profondeur des
procdures mises en uvre par les oprationnels, le
comit daudit pourrait tre amen dployer des
approches diffrentes pour sacquitter de ses missions
en matire de suivi de lefficacit des systmes.
Examen densemble du
dispositif, apprciation du
processus dvaluation de
lefficacit et revue de la
documentation sont les
trois principaux leviers
daction des comits pour
mener bien leur mission
de suivi.
12 13
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
1- Lentit a mis en place des indicateurs de risques
Les indicateurs de risques sont de plusieurs natures : des indicateurs de niveau
du risque, des indicateurs de suivi de lavancement des actions de matrise des
risques et des indicateurs permettant le suivi de risques qui se sont effectivement
avrs.
Afin dexaminer le fonctionnement du dispositif de gestion des risques, il
conviendrait que le comit daudit obtienne de la direction :
le suivi des indicateurs dalerte (ex : drives par rapport aux prvisions) ;
le degr de ralisation des plans de rponse aux risques significatifs (ex :
recours lassurance, surveillance accrue, rduction de sa criticit) ;
La synthse des cas de risques avrs significatifs (incidents, fraude,
sinistres...).
En interaction avec la fonction audit interne, il conviendrait que le comit daudit
confronte lapprciation des risques des auditeurs celle de la direction afin
didentifier et dapprcier la porte des ventuelles divergences de vue.
2- Lentit a mis en place une procdure dvaluation
de lefficacit des activits de contrle
Les activits de contrle sont documentes par les oprationnels. Lvaluation
est ralise par des services internes (direction du contrle interne, direction
de laudit interne).
Le comit daudit doit sassurer de lexistence de lvaluation de lefficacit des
activits de contrle et de lutilisation qui en est faite.
Afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que
le comit daudit obtienne de la direction :
la documentation relative la mise jour rgulire des risques et des
contrles associs ;
pour les risques majeurs, la synthse des rsultats des tests defficacit des
activits de contrle.
4
4
4
14 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 15
3- Lentit na pas mis en place de procdure dvaluation de lefficacit
des activits de contrle, mais procde une auto-valuation
Limite des critres prdfinis et mene le plus souvent sur un mode dclaratif,
lauto-valuation na pas la mme porte quune procdure dvaluation. Outre
labsence de vrification indpendante, une auto-valuation ne saurait suffire
lapprciation de lefficacit des activits de contrle. En effet, elle ne rpond
gnralement pas aux exigences dexamen document et prouv (par le test) des
procdures, telles que requises pour une mission dvaluation de lefficacit.
Afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que
le comit daudit :
obtienne de la direction la synthse des rsultats de lauto-valuation de
lefficacit des activits de contrle ;
demande ce que les rsultats de lauto-valuation fassent lobjet dune revue
indpendante. Cette revue aura pour objet de confronter lauto-valuation
dclarative aux rsultats de lexamen document et indpendant.
Sur cette base, il conviendrait que le comit daudit analyse lcart ventuel entre
les rsultats de lauto-valuation et les rsultats de lvaluation indpendante.
4- Lentit na pas mis en place de procdure dvaluation ou
dauto-valuation de lefficacit des activits de contrle
Dans ce cas, le comit daudit pourrait solliciter la fonction audit (interne/
externe) pour quelle procde une revue des contrles-cls au sein de lentit.
Cette revue indpendante devra alors avoir une porte suffisamment large pour
couvrir les risques cls de lentit.
4
4
4
14 15
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
2.3.3 Troisime mission : procder lexamen des dfaillances
significatives du systme de contrle interne et de gestion des risques
Afin dapprcier limportance des dfaillances du systme de contrle interne et
de gestion des risques, il conviendrait que le comit daudit :
obtienne de la Direction, pour les incidents avrs, la synthse des impacts
financiers et extra-financiers ;
obtienne de la Direction, pour les dfaillances significatives identifies, une
estimation de leur impact potentiel ;
examine les plans dactions afin dapprcier leur caractre appropri.
Nous avons joint, en annexe, un exemple dtat de suivi de lefficacit du systme
de contrle interne et de gestion des risques, sous forme dun tableau de bord
spcifique, qui pourrait tre examin par le comit daudit pour les risques
significatifs.
2.4 QUELLE DOCUMENTATION LE COMIT DAUDIT
POURRA-T-IL OBTENIR ?
En synthse, nous avons list ci-dessous la documentation susceptible dtre
mise disposition du comit daudit afin de lui permettre de mener bien sa
mission de suivi de lefficacit du dispositif de gestion des risques et du contrle
interne :
le tableau de bord de suivi de lefficacit du
dispositif (cf. Annexe),
la cartographie des risques,
la synthse des rsultats de lauto-valuation ou
de lvaluation,
la synthse des rapports de laudit interne,
la synthse des commissaires aux comptes,
relative aux faiblesses significatives de contrle
interne,
la synthse des plans dactions de la socit pour
remdier aux faiblesses significatives.
Enfin, il conviendrait que le comit daudit sassure de la cohrence des
informations collectes sur le dispositif de gestion des risques et du contrle
interne avec, notamment :
les facteurs de risques communiqus dans le document de rfrence, et,
le rapport du prsident sur le contrle interne.
La mission de suivi de
lefficacit ncessite que
le comit daudit fasse
un examen critique des
documents cls relatifs
la gestion des risques
et au contrle interne
et sassure de leur
cohrence.
4
16 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 17
P
erspectives
La mission de suivi de lefficacit du systme de contrle interne et de gestion
des risques rend le comit daudit partie prenante dun dispositif capital pour
les organisations. En effet, si un systme de contrle interne et de gestion des
risques efficace et pertinent peut amliorer la qualit des rapports financiers, il
peut surtout contribuer crer de la valeur ajoute pour lentreprise :
en donnant une vision des cots cachs au sein des diffrentes fonctions
de lentreprise ;
en aidant comparer les performances des contrles des diffrentes
activits ;
en aidant identifier les points damlioration des contrles, les contrles
supprimer et ceux automatiser ;
en aidant une organisation trouver un quilibre entre la gestion des risques
et ses objectifs de croissance et de profitabilit.
16 17
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
A
nnexe
EXEMPLE DE TABLEAU DE BORD POUR LE SUIVI DE LEFFICACIT
DU SYSTME DE CONTRLE INTERNE ET DE GESTION DES
RISQUES
Dans cet exemple de tableau de bord, lincidence potentielle de chaque risque
(impact et probabilit doccurrence) est value sur une chelle de 1 5.
De mme, lefficacit des contrles couvrant les risques bruts identifis est
value sur une chelle quatre niveaux (faible, moyenne, bonne, leve).
Il en rsulte un niveau de risque net (ou rsiduel) galement valu sur une
chelle de 1 5.
18 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010 19
R
i
s
q
u
e
R
i
s
q
u
e

B
r
u
t
R
e
s
p
o
n
-
s
a
b
i
l
i
t

D
e
s
c
r
i
p
t
i
o
n

d
e
s

c
o
n
t
r

l
e
s
E
f
f
i
c
a
c
i
t


d
e
s

c
o
n
t
r

l
e
s
R
i
s
q
u
e

n
e
t
/
r

s
i
d
u
e
l
A
c
t
i
o
n
R
e
s
p
o
n
-
s
a
b
i
l
i
t

D
a
t
e

d
e

l

e
x
a
m
e
n
I
m
p
a
c
t
P
r
o
b
a
-
b
i
l
i
t

I
m
p
a
c
t
P
r
o
b
a
-
b
i
l
i
t

1
S
t
r
a
t

g
i
e

d

a
c
-
q
u
i
s
i
t
i
o
n

i
n
a
p
-
p
r
o
p
r
i

e
5
4
D
i
r
e
c
t
e
u
r

f
i
n
a
n
c
i
e
r
R
e
c
o
u
r
s


d
e
s

c
o
n
s
e
i
l
l
e
r
s

e
x
t
e
r
n
e
s

p
o
u
r

l
e
s

a
u
d
i
t
s

p
r

a
l
a
b
l
e
s
F
a
i
b
l
e
4
4

l
a
b
o
r
a
t
i
o
n

d

u
n

c
a
d
r
e

d
e

r

r
e
n
c
e

p
o
u
r

l
e
s

f
u
s
i
o
n
s
/
a
c
q
u
i
s
i
t
i
o
n
s

e
n

p
h
a
s
e

a
v
e
c

l
a

s
t
r
a
t

g
i
e

m

t
i
e
r
.

l
a
r
g
i
s
s
e
m
e
n
t

d
e

l
a

f
o
n
c
t
i
o
n

r
e
c
h
e
r
c
h
e

d

a
c
q
u
i
s
i
t
i
o
n
s
D
i
r
e
c
t
e
u
r

f
i
n
a
n
c
i
e
r
S
e
p
t
.

2
0
0
X
2
I
n
c
a
p
a
c
i
t


s
a
t
i
s
f
a
i
r
e

a
u
x

e
x
i
g
e
n
c
e
s

r

g
l
e
m
e
n
t
a
i
r
e
s

e
t

l

g
a
l
e
s


(
c
.
-

-
d
.

C
a
r
t
e
l
s
)
4
4
D
i
r
e
c
t
e
u
r

g

r
a
l

e
t

d
i
r
e
c
t
e
u
r
s

d
e

d
i
v
i
s
i
o
n
A
u
t
o
-

v
a
l
u
a
t
i
o
n

a
n
n
u
e
l
l
e
.

S
u
p
e
r
v
i
s
i
o
n

p
a
r

l
e

d

p
a
r
t
e
m
e
n
t

j
u
r
i
d
i
q
u
e
M
o
y
e
n
n
e
3
4
R
e
n
f
o
r
c
e
m
e
n
t

d
e
s

p
r
o
c

d
u
r
e
s

a
f
f

r
e
n
t
e
s

o
b
s
e
r
v
a
t
i
o
n

d
e
s

d
i
s
p
o
s
i
t
i
o
n
s

r

g
l
e
m
e
n
t
a
i
r
e
s

e
t

l

g
a
l
e
s
D
i
r
e
c
t
e
u
r

j
u
r
i
d
i
q
u
e
J
u
i
n


2
0
0
X
3
D

f
a
i
l
l
a
n
c
e
s

d
e
s

s
y
s
t

m
e
s

i
n
f
o
r
m
a
t
i
q
u
e
s

a
p
r

s

m
i
s
e

e
n

u
v
r
e
4
2
D
i
r
e
c
t
e
u
r

i
n
f
o
r
m
a
t
i
q
u
e
P
r
o
c

d
u
r
e
s

d
e

g
e
s
t
i
o
n

d
e

p
r
o
j
e
t
B
o
n
n
e
3
2
A
p
p
l
i
c
a
t
i
o
n

s
t
r
i
c
t
e

d
e

l
a

l
i
s
t
e

d
e

v

r
i
f
i
c
a
t
i
o
n

d
e

l

a
d

q
u
a
t
i
o
n

a
u
x

b
e
s
o
i
n
s

p
o
u
r

t
o
u
s

l
e
s

p
r
o
j
e
t
s
D
i
r
e
c
t
e
u
r

i
n
f
o
r
m
a
t
i
q
u
e
J
u
i
n


2
0
0
X
18 19
LE SUIVI DE LEFFICACIT DES SYSTMES DE CONTRLE INTERNE ET DE GESTION DES RISQUES
R
i
s
q
u
e
R
i
s
q
u
e

B
r
u
t
R
e
s
p
o
n
-
s
a
b
i
l
i
t

D
e
s
c
r
i
p
t
i
o
n

d
e
s

c
o
n
t
r

l
e
s
E
f
f
i
c
a
c
i
t


d
e
s

c
o
n
t
r

l
e
s
R
i
s
q
u
e

n
e
t
/
r

s
i
d
u
e
l
A
c
t
i
o
n
R
e
s
p
o
n
-
s
a
b
i
l
i
t

D
a
t
e

d
e

l

e
x
a
m
e
n
I
m
p
a
c
t
P
r
o
b
a
-
b
i
l
i
t

I
m
p
a
c
t
P
r
o
b
a
-
b
i
l
i
t

4
I
n
c
a
p
a
c
i
t


d
e

g

r
e
r

l

i
n
c
e
r
t
i
t
u
d
e

c
o
n
o
m
i
q
u
e

e
t

d

y

r

a
g
i
r

c
o
r
r
e
c
t
e
m
e
n
t
3
3
D
i
r
e
c
t
e
u
r

g

r
a
l
,

d
i
r
e
c
t
e
u
r

f
i
n
a
n
c
i
e
r
,

d
i
r
e
c
t
e
u
r
s

d
e

d
i
v
i
s
i
o
n
s
E
x
a
m
e
n

m
e
n
s
u
e
l
,

p
a
r

l
a

d
i
r
e
c
t
i
o
n
,

d
e
s

p
r

v
i
s
i
o
n
s

c
o
n
o
m
i
q
u
e
s

e
t

c
o
m
p
a
r
a
i
s
o
n

a
v
e
c

l
a

p
o
s
i
t
i
o
n

f
i
n
a
n
c
i

r
e

p
r

v
i
s
i
o
n
n
e
l
l
e

d
u

g
r
o
u
p
e
B
o
n
n
e
2
3
C
r

a
t
i
o
n

d
e

m
o
d

l
e
s

f
i
n
a
n
c
i
e
r
s

e
n

v
u
e

d
e

m
o
d

l
i
s
e
r

d
e
s

s
c

n
a
r
i
o
s
D
i
r
e
c
t
e
u
r

g

r
a
l
S
e
p
t
.

2
0
0
X
5
P
l
a
n
s

d
e

c
o
n
t
i
n
u
i
t


e
t

a
n
t
i
-
s
i
n
i
s
t
r
e

i
n
a
d

q
u
a
t
s
,

n
e

p
e
r
m
e
t
t
a
n
t

p
a
s

d
e

f
a
i
r
e

f
a
c
e


u
n
e

d

f
a
i
l
l
a
n
c
e

m
a
j
e
u
r
e

d
u

r

s
e
a
u

i
n
f
o
r
m
a
t
i
q
u
e
4
1
D
i
r
e
c
t
e
u
r

i
n
f
o
r
m
a
t
i
q
u
e
E
x
a
m
e
n

s
e
m
e
s
t
r
i
e
l

(
e
t

a
u

b
e
s
o
i
n

a
c
t
u
a
l
i
s
a
t
i
o
n
)

d
e
s

p
l
a
n
s

d
e

c
o
n
t
i
n
u
i
t


e
t

a
n
t
i
-
s
i
n
i
s
t
r
e
,

e
t

t
e
s
t
s

c
o
r
r
e
s
p
o
n
d
a
n
t
s

l
e
v

e
3
1
S
a
u
v
e
g
a
r
d
e

h
o
r
s

s
i
t
e

d
e
s

s
y
s
t

m
e
s
D
i
r
e
c
t
e
u
r

i
n
f
o
r
m
a
t
i
q
u
e
S
e
p
t
.

2
0
0
X
20 GUIDE MTHODOLOGIQUE - IFA - NOVEMBRE 2010
N
otes
21
Audit Committee Institute France de KPMG
LAudit Committee Institute est un forum dchanges ddi aux membres des
comits daudit. Il a t conu pour apporter aux membres de comits daudit des
informations, outils et techniques les aidant remplir la mission lie leur fonction.
LAudit Committee Institute communique travers le monde avec les responsables
de comits daudit depuis 1999.
LAudit Committee Institute France propose ses membres :
- Un site internet (www.audit-committee-institute.fr) conu pour donner aux
membres de comits daudit un accs permanent aux meilleures pratiques et des
outils conus pour amliorer le fonctionnement des comits daudit
- Des rencontres sous forme de petit djeuner/table ronde permettant aux
membres de comits daudit dchanger sur des sujets dactualit avec leurs pairs
- Des newsletters (Audit Committee News) qui traitent des sujets dactualit
technique et rglementaire et des dveloppements rcents sur des problmatiques
spcifiques aux comits daudit
- Des publications sur le gouvernement dentreprise telle que La pratique des
comits daudit en France et dans le monde .
Contacts :
Associs KPMG Audit, Responsables de lAudit Committee Institute
France
Didier de Mnonville - Tl : 01 55 68 72 82
Jean-Marc Discours - Tl : 01 55 68 68 83)
KPMG Audit
1, cours Valmy
92923 Paris La Dfense Cedex
fr-auditcommittee@kpmg.fr
LIFA EST LE RSEAU DE RFRENCE DES ADMINISTRATEURS
Prsent sur lensemble du territoire franais avec 7 dlgations rgionales,
lIFA est galement membre actif de la Confdration europenne des
associations dadministrateurs (ecoDa).
LIFA a pour mission :
de reprsenter lensemble des administrateurs et formaliser des
propositions visant amliorer les conditions dans lesquelles les
administrateurs exercent leurs mandats dans les entreprises de tout type :
cotes ou non, pme patrimoniales, mutualistes, publiques, associations,
fondations,
de proposer des sminaires de formation destins aux membres ou
futurs membres de conseil dadministration,
dassocier, dans une mme organisation de place, tous ceux qui
souhaitent contribuer la promotion et au partage des bonnes pratiques
du gouvernement dentreprise en France.
IFA - INSTITUT FRANAIS DES ADMINISTRATEURS
7 RUE BALZAC 75382 PARIS CEDEX 08
TEL. : 01 55 65 81 32 - CONTACT@IFA-ASSO.COM
WWW.IFA-ASSO.COM
C
D
E
C
O
R
T
I
A
T
-
I
F
A
-
5
1
1
2
0
1
0
LES MEMBRES FONDATEURS
AFG, BOYDEN FRANCE, CCIP, ERNST&YOUNG, NYSE EURONEXT et PARIS EUROPLACE
& LES MEMBRES ASSOCIS
AON GLOBAL RISK CONSULTING, BIGNON LEBRAY, CNCC, CONSEIL SUPERIEUR DE LORDRE
DES EXPERTS COMPTABLES, DELOITTE, FIDAL, GEMA, GRANT THORNTON,
HEWITT ASSOCIATES, KORN/FERRY INTERNATIONAL, KPMG AUDIT, LEADERS TRUST
INTERNATIONAL, MAZARS, MICHAEL PAGE INTERNATIONAL, ONDRA-INVESTORSIGHT,
PRICEWATERHOUSECOOPERS, RUSSELL REYNOLDS ASSOCIATES, SPENCER STUART.
ILS PARTICIPENT AVEC LIFA LA PROMOTION DES MEILLEURES PRATIQUES DE GOUVERNANCE
ET LA PROFESSIONNALISATION DES ADMINISTRATEURS.