LE suivi de lefficacit

des systmes de contrle interne

et de gestion des risques

Guide Mthodologique

les travaux de lifa

novembre 2010
C omposition du groupe

Ces travaux ont t mens dans le cadre du groupe d'changes runissant des
Prsidents de Comits d'audit de l'IFA en partenariat avec l'Audit Committee Institute
de KPMG.

Prsident du groupe

ALDO CARDOSO

Membres du groupe

CHRISTIAN AUBIN
ROBERT BACONNIER
PATRICIA BARBIZET
ERIC BOURDAIS DE CHARBONNIRE
Frank dandeard
ALAIN GROSMANN
JEAN-BERNARD GUILLEBERT
FRANCOIS JACLOT
HELMAN LE PAS DE SECHEVAL
DANIEL LEBGUE
GERARD DE LA MARTINIRE
VICTOIRE DE MARGERIE
PATRICE MARTEAU
HELENE PLOIX
georges ralli
PIERRE RODOCANACHI

Rapporteurs du groupe

DIDIER DE MENONVILLE, Associ KPMG Audit

JEAN-MARC DISCOURS, Associ KPMG Audit
 A vant propos

La mission de suivi de lefficacit des systmes de contrle interne

et de gestion des risques: quels enjeux pour les comits daudit ?

La transposition de la 8me directive europenne en droit franais en dcembre 2008

a renforc le rle du comit daudit. En effet, larticle L.823.19 prcise que:
Le comit spcialis assure le suivi des questions relatives llaboration et au
contrle des informations comptables et financires.
Le comit est notamment charg dassurer le suivi:
du processus dlaboration de linformation financire,
de lefficacit des systmes de contrle interne et de gestion des risques.
Il appartient au conseil de dterminer le niveau de risque quil est prt accepter.
Le management, quant lui, est responsable de la conception, de la mise en
uvre et de la supervision des systmes de contrle interne et de gestion des
risques. Dans ce cadre, les risques doivent tre valus de manire continue et
les activits de contrle doivent tre conues pour rpondre aux risques propres
de lentit. Mais il faut galement que la gouvernance dfinisse comment le
management doit ragir en cas de dfaillance et aussi comment les systmes
doivent tre adapts la suite dune dfaillance.
Cette mission de suivi de lefficacit des systmes de contrle interne et de
gestion des risques reprsente un challenge certain pour les comits daudit.
Pour faire face ce dfi tant organisationnel que mthodologique, lIFA a
souhait, en complment de son rapport Les comits daudit : 100 bonnes
pratiques publi en janvier 2008, laborer un document complmentaire qui
propose une approche mthodologique aux membres de comits daudit pour
mener bien leur mission de suivi de lefficacit des systmes de contrle
interne et de gestion des risques.
Cette nouvelle publication de lIFA souhaite contribuer lenrichissement des
pratiques dans les comits daudit et ceci dans le respect du rapport du groupe
de travail AMF sur le comit daudit de juillet 2010 qui laisse chaque conseil
le soin de dfinir les modalits concrtes pour la dtermination du rle quil
souhaite leur voir jouer.
Ce document qui a t ralis avec le soutien de lAudit Committee Institute de
KPMG prsente une approche globale quil conviendra dadapter aux situations
particulires ainsi qu la taille des groupes et des organisations en place.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 1

 S ommaire

Avant Propos
La mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques: quels enjeux pour les comits daudit ? 1

Sommaire 2

1 Que faut-il entendre par efficacit des systmes

de contrle interne et de gestion des risques? 3
1.1 Quels sont les objectifs du dispositif de gestion des risques
et du contrle interne? 3
1.2 Quelles caractristiques pour un systme efficace
de contrle interne et de gestion des risques ? 5

2 Que doit mettre en uvre le comit daudit pour mener bien

sa mission de suivi de lefficacit des systmes de contrle interne
et de gestion des risques?  7
2.1 Quel cadre pour la missiondu comit daudit ? 7
2.2 Quels acteurs le comit daudit pourra-t-il solliciter? 8
2.3 Quelles diligences le comit daudit pourra-t-il mettre en uvre? 9
2.4 Quelle documentation le comit daudit pourra-t-il obtenir? 15

Perspectives 16

Annexe - Exemple de tableau de bord pour le suivi de lefficacit

4 Au fil du guide mthodologique, ce symbole graphique signale la prsence de

bonnes pratiques.

2 Guide mthodologique - IFA - novembre 2010

 1 Que faut-il entendre par efficacit des systmes
de contrle interne et de gestion des risques?

Si lon se rfre la dfinition que donne le COSO 21 du dispositif de gestion

des risques, il sagit dun processus mis en uvre par le conseil 2, les dirigeants
et le personnel dune organisation, exploit pour llaboration de la stratgie et
transversal lentreprise. Quen est-il alors dun dispositif efficace de gestion
des risques?

1.1 Quels sont les objectifs du dispositif

de gestion des risques et du contrle interne?
Grer les risques est une partie essentielle de la mission lgale de contrle du
conseil.
Les objectifs dun systme de contrle interne et de gestion des risques et
les principaux effets escompts au sein de lorganisation sont de trois ordres:
1- Identifier les vnements potentiels susceptibles daffecter la ralisation
des objectifs de lorganisation(positivement sil sagit
dopportunits, ngativement sil sagit de risques). Un systme est efficace
Ce premier objectif a pour but de dfinir les contours du ds lors quil rpond aux
portefeuille de risques de lorganisation; objectifs pour lesquels il
a t cr.
2- Matriser les risques en fonction du niveau de
risque que lorganisation est prte accepter et que
le conseil dadministration a dfini pour accrotre sa
valeur.
Etroitement li la dfinition de la stratgie de lorganisation, un dispositif
adquat de gestion des risques doit:
permettre au management de prendre ses dcisions de faon claire,
en cohrence avec le degr dapptence ou daversion au risque de
1 Committee of Sponsoring Organizations of the Treadway Commission , rfrentiel de contrle
interne utilis notamment dans la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF.
Le COSO 2 propose un cadre de rfrence pour la gestion des risques de lentreprise (Enterprise Risk
Management Framework).
2 Dans lensemble du document, la dnomination conseil se rapporte au conseil dadministration ou au
conseil de surveillance, selon la structure des socits considres.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 3

 lorganisation et en fonction de la criticit des risques auxquels elle est
expose (probabilit doccurrence et impact potentiel),
en assurer la parade, et,
prvoir les actions mener en cas de survenance du risque.

3- Fournir une assurance raisonnable quant la ralisation des objectifs

de lorganisation.
A ce titre, intgrs lactivit de gestion des risques, les mcanismes de contrle
interne doivent viser plus particulirement assurer:
la conformit aux lois et rglements,
lapplication des instructions et des orientations fixes par le management,
le bon fonctionnement des processus internes de la socit, notamment
ceux concourant la sauvegarde des actifs,
la fiabilit des informations financires.

4 Guide mthodologique - IFA - novembre 2010

 1.2 Quelles caractristiques pour un systme
efficace de contrle interne et de gestion des
risques ?
Un systme est efficace ds lors quil rpond aux objectifs pour lesquels il a t
conu et mis en uvre.
Ainsi, le systme de gestion des risques et le processus de contrle interne
doivent fonctionner de manire imbrique et coordonne pour atteindre lobjectif
de matrise des risques qui leur est assign.

Systme de contrle interne et de gestion des risques

Lefficacit du systme
Risques de gestion des risques
et du contrle interne
STRATEGIE de lORG.
OBJECTIFS de lORG.

Politique et
stratgie des
passe par une bonne
risques
coordination des
dispositifs autour
Analyse dactivits-cls:
de
Matrise lexposition
des
activits
aux risques - cartographie et
valuation des risques
Contrle Efficacit
Interne des
oprations - dfinition et valuation
Evaluation
des activits de contrle
Efficience
des risques
GESTION des
DES ressources - plans de remdiation
RISQUES
- pilotage et diffusion de
Activits de contrle linformation
Pilotage
- supervision continue

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 5

 Lensemble du dispositif doit tre adapt aux caractristiques propres de chaque
entit. Nanmoins, quelle que soit lorganisation considre, la mise en uvre des
15 pratiques suivantes pourrait garantir lefficacit du systme.

Politique et stratgie:
1. Lapptence aux risques est dfinie par le conseil ;
2. les responsabilits en matire de gestion des risques (y compris les problmatiques
de dlgation) sont clairement dfinies et diffuses au sein de lentit;

Analyse de lexposition aux risques:

3. le recensement des vnements potentiels susceptibles davoir un impact sur les
objectifs de la socit est ralis de manire exhaustive et lunivers des risques est
rgulirement mis jour ;
4. les vnements ngatifs (internes ou externes) pouvant gnrer des risques sont
analyss;

Evaluation des risques:

5. les risques et leurs incidences potentielles sont valus;
6. les rponses aux risques sont labores;
7. les risques rsiduels sont analyss en lien avec le niveau de risque acceptable tel
que dfini par le conseil;

Activits de contrle :
8. les activits de contrle sont mises en uvre dans chaque processus de
lorganisation ;
9. les activits de contrle font lobjet dune valuation ou auto-valuation;
10. les activits de contrle sont supervises par des fonctions de surveillance;
11. lvaluation des activits de contrle fait lobjet dune revue indpendante;

Pilotage:
12. des indicateurs-cls de performance relatifs au dispositif de gestion des risques
sont dfinis et suivis;
13. les plans de remdiation font lobjet dun suivi document;
14. les incidents avrs sont recenss et analyss;
15. les objectifs et la stratgie du dispositif sont rgulirement mis jour.

In fine, suivre lefficacit dun systme revient suivre le niveau de ralisation de

ses objectifs. Cela suppose quil en existe une mesure, une valuation.
6 Guide mthodologique - IFA - novembre 2010
 2 Que doit mettre en uvre le comit daudit
pour mener bien cette mission ?
A la lumire des points de repre mthodologiques exposs ci-dessus, la seconde
partie de ce document a pour ambition dapporter un clairage pragmatique sur
la faon dont les comits daudit pourraient exercer leur rle compte tenu des
exigences de lordonnance.

2.1 Quel cadre pour la missiondu comit daudit ?

4 La charte du comit daudit dfinit le cadre des responsabilits que le conseil

confie au comit daudit et formalise lensemble des
Les diligences du comit
missions du comit. En consquence, il apparat essentiel
relatives la mission
quelle soit amende afin dintgrer la nouvelle mission
de suivi de lefficacit
attribue au comit en matire de suivi de lefficacit du
et leur formalisation
systme de contrle interne et de gestion des risques. Il
doivent tre dfinies
sera ncessaire dy dcrire formellement la nature des
dans la charte du comit
travaux relevant de la responsabilit du comit au titre de
daudit.
sa mission et quil devra mettre en uvre pour le compte
du conseil.

4 Il parat galement essentiel que le conseil soit en

mesure de dfinir le primtre des risques qui feront lobjet du suivi par le
comit daudit (risques financiers, risques industriels, risques sociaux, risques
environnementaux, etc.).

4 Par ailleurs, il apparat ncessaire que le comit daudit dfinisse un processus

de communication et dchange avec le conseil (modalits, frquence, etc.)
propre sa mission de suivi de lefficacit du systme de contrle interne et de
gestion des risques. Les informations transmises devront porter aussi bien sur
les lments financiers que non financiers.
4 Il conviendrait galement que le comit daudit rende compte formellement
au conseil de lexcution de sa mission de suivi de lefficacit du dispositif
de gestion des risques et de contrle, et ce en conformit avec les diligences
dfinies par le conseil dans la charte du comit daudit. Cette communication
devrait notamment intgrer lapprciation de limportance des dfaillances dont
le comit daudit a eu connaissance travers ses travaux, ainsi que du caractre
appropri des plans dactions affrents.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 7

 2.2 Quels acteurs le comit daudit pourra-t-il
solliciter?
Pour permettre au comit daudit de suivre lefficacit des mcanismes de contrle
interne et de gestion des risques de lentreprise, il apparat indispensable
dorganiser une communication spcifique et documente entre la direction, les
fonctions de gestion des risques, laudit interne et le comit daudit, chacune
de ces fonctions devant contribuer apporter au comit les informations et
assurances dont il a besoin pour sacquitter de sa mission.
4 Le comit daudit pourra notamment sappuyer sur :
le risk manager qui est responsable du recensement et du suivi des
risques du groupe en mettant en place notamment une cartographie des
risques qui est dploye au niveau de chaque entit du groupe ;
le dpartement de contrle interne qui a pour mission dassurer
lapplication des instructions de la direction et de favoriser lamlioration
des performances. Il met en place une organisation, des mthodes et des
procdures pour chacune des activits de lentreprise, afin de garantir sa
prennit;
laudit interne qui est entre autres charg de revoir priodiquement les
moyens dont disposent les oprationnels pour grer et contrler lentreprise.
Ses objectifs sont de vrifier que les structures sont claires et bien adaptes,
que les procdures comportent les scurits suffisantes, que les oprations
ne prsentent pas dirrgularits et que les informations diffuses sont
sincres.
4 En outre, le comit daudit pourra consulter des acteurs externes lentreprise,
comme :
les commissaires aux comptes qui se doivent dalerter la direction et les
organes de gouvernance sur les faiblesses significatives de contrle interne
affectant les procdures dlaboration des comptes;
le cas chant, les experts indpendants afin dobtenir une valuation
tierce sur lefficacit des systmes de contrle interne.

8 Guide mthodologique - IFA - novembre 2010

 2.3 Quelles diligences le comit daudit pourra-t-il
mettre en uvre?
La mise en place du dispositif de gestion des risques et de contrle interne relve
de la responsabilit des dirigeants de lentreprise, lobjectif tant de donner une
assurance raisonnable que les objectifs de lentreprise seront atteints.
Lenjeu pour le comit daudit est davoir une vision densemble du dispositif
de gouvernance des risques et du contrle interne. Il doit veiller lexistence
dun systme de contrle interne et de gestion des risques et en apprcier le
fonctionnement. Il doit notamment pouvoir apprcier les points suivants :
ladquation entre lapproche retenue pour grer les risques de lentit
et la stratgie de lentit, ainsi que lenvironnement lgal, oprationnel et
financier dans lequel elle volue;
lefficacit des contrles pour les risques significatifs;
la mise en uvre des plans dactions, en cas de dfaillances constates.
Telles sont les implications concrtes du rle largi
que lui a assign la 8me directive en lui confiant la Les dpartements de
surveillance du mcanisme de management des risques gestion des risques, de
et plus spcifiquement le suivi de son efficacit. contrle interne, daudit
interne et lauditeur
Les diligences prsentes ci-dessous ont vocation tre externe sont des
mises en uvre par les groupes cots. Elles pourront interlocuteurs-cls pour
faire lobjet dune mise en uvre simplifie et/ou le comit daudit pour
progressive dans les small et mid caps. rpondre aux exigences
de sa mission.
2.3.1 Premire mission: raliser
un diagnostic du dispositif de
gouvernance des risques et du contrle interne

Pour raliser son diagnostic du dispositif de gouvernance des risques et du

contrle interne, le comit daudit pourrait procder un examen de lexistence
des lments constitutifs du dispositif en considrant les trois niveaux
suivants:
1er niveau du dispositif de gouvernance des risques : les directions
oprationnelles ;
2me niveau du dispositif de gouvernance des risques : les fonctions de
surveillance (Direction contrle interne, Risk manager, Direction qualit,
Direction des assurances,...);
3me niveaudu dispositif de gouvernance des risques : la fonction audit.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 9

 1- Premier niveau du dispositif de gouvernance des risques :
les directions oprationnelles
Les directions oprationnelles valuent et grent les risques. Elles mettent en
uvre les activits de contrle. Pour raliser son diagnostic, le comit daudit
pourrait examiner lexistence des lments suivants:

Niveau 1 lMENTS DE DIAGNOSTIC AU NIVEAU DES OPRATIONS

Politique et stratgie
i. La stratgie et lallocation des ressources sont dfinies
au niveau de lorganisation
ii. Lapptence aux risques est prise en compte dans la
dfinition de la stratgie et de lorganisation
iii. Les responsabilits en matire de gestion des risques (y
compris les problmatiques de dlgation) sont clairement
dfinies et diffuses au sein de lentit
Analyse de lexposition aux risques
iv. Le recensement des vnements potentiels susceptibles
davoir un impact sur les objectifs de la socit est ralis
de manire exhaustive et lunivers des risques est
rgulirement mis jour
v. Les vnements ngatifs (internes ou externes) pouvant
gnrer des risques sont analyss
Evaluation des risques
vi. Les risques sont valus
vii. Les rponses aux risques sont labores
viii. Les risques rsiduels sont analyss en lien avec le
niveau de risque acceptable tel que dfini par le conseil
de la socit
Activit de contrle interne
ix. Les activits de contrle sont mises en oeuvre dans
chaque processus de lorganisation
x. Les activits de contrle font lobjet dune valuation
(auto-valuation ou valuation)
xi. Les activits de contrle sont supervises par des
fonctions de surveillance
xii. Lvaluation des activits de contrle fait lobjet dune
revue indpendante
Pilotage
xiii. Des indicateurs-cls de performance relatifs au
dispositif de gestion des risques sont dfinis et suivis
xiv. Les plans de remdiation font lobjet dun suivi
document
xv. Les incidents avrs sont recenss et analyss
xvi. Les objectifs et la stratgie du dispositif sont
rgulirement mis jour
Existence dun dispositif de gestion des risques et de
contrle interne (prvention/traitement des risques)
Existence dun manuel de procdures de contrle interne
permettant de relier objectifs, risques, contrles
Existence dun processus de communication de
linformation sous une forme et un dlai qui permettent
chacun dexercer ses responsabilits
Existence dun recensement des vnements gnrateurs
de risques
Existence dune cartographie des risques (identification)
Existence dune analyse des impacts (chelle)
Existence dune cartographie des risques (incluant une
valuation des risques)
Existence de plans de rponses aux risques
Existence dun rfrentiel de contrle interne
Existence dun processus dauto-valuation/dvaluation
du contrle interne
Existence dindicateurs-cls
Existence de plans de remdiation
Existence dun processus de recensement et danalyse des
incidents
Existence dun processus rgulier et planifi de mise jour
des objectifs et de la stratgie du dispositif de gestion des
risques

10 Guide mthodologique - IFA - novembre 2010

 2- Deuxime niveau du dispositif de gouvernancedes risques :
les fonctions de surveillance

Les fonctions de surveillance conoivent les politiques et les procdures. Elles

sont responsables de lintroduction de bonnes pratiques et du respect des
procdures. Elles supervisent lefficacit du dispositif.
Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des
lments suivants:

Niveau 2 lMENTS DE DIAGNOSTIC AU NIVEAU

DE LA FONCTION DE SURVEILLANCE
Existence dun rfrentiel adapt (cadre de rfrence AMF, Coso, autre)
Existence d'un code thique
Existence dun comit des risques
Existence dune procdure de revue de la centralisation des risques
Existence dune procdure de revue de lvaluation des risques
Existence dune procdure de revue des plans de rponses aux risques
Existence dun service de contrle interne
Existence dun dpartement daudit interne
Existence dune procdure de revue par laudit interne/externe de lauto-
valuation/valuation des activits de contrle
Existence dun dispositif de suivi des indicateurs-cls de performance
relatifs au dispositif de gestion des risques
Existence dune procdure de revue des plans de remdiation (intgrant
chanciers, responsables, etc.)
Existence dune procdure de revue de lanalyse des incidents
Existence dune procdure de revue de la mise jour des objectifs

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 11

 3- Troisime niveau du dispositif de gouvernancedes risques :
la fonction audit

Les auditeurs internes ralisent des missions daudit sur les procdures de
contrle qui permettent dobtenir un avis indpendant sur le fonctionnement du
systme de contrle interne et de gestion des risques.
Les conclusions des travaux des auditeurs externes sur les faiblesses significatives
de contrle interne lies au processus dlaboration de linformation financire
constituent galement un lment dassurance indpendante.
Pour raliser son diagnostic, le comit daudit pourrait examiner lexistence des
lments suivants:
Niveau 3 lMENTS DE DIAGNOSTIC AU NIVEAU DE LA FONCTION AUDIT
Existence dune fonction daudit interne
Examen de lorganisation de laudit interne (rattachement, couverture des pays, etc.)
Examen du plan daudit interne en matire de diligences sur le dispositif de gestion des
risques et de contrle interne
Examen du primtre dintervention des auditeurs externes
Recours des experts indpendants pour lvaluation des risques et des activits de
contrle
Revue par laudit interne/externe de lauto-valuation/valuation des activits de
contrle

2.3.2 Deuxime mission: obtenir des assurances de la direction

sur le fonctionnement du systme de contrle interne et de
gestion des risques

Une fois le diagnostic de gouvernance des risques Examen densemble du

et du contrle interne tabli, il conviendrait que le dispositif, apprciation du
comit daudit obtienne de la direction lassurance processus dvaluation de
que le dispositif fonctionne de manire efficace et lefficacit et revue de la
ceci de manire dynamique dans le temps. documentation sont les
Selon le mode de fonctionnement de lentit, et trois principaux leviers
en fonction de lexistence et de la profondeur des daction des comits pour
procdures mises en uvre par les oprationnels, le mener bien leur mission
comit daudit pourrait tre amen dployer des de suivi.
approches diffrentes pour sacquitter de ses missions
en matire de suivi de lefficacit des systmes.

12 Guide mthodologique - IFA - novembre 2010

 1- Lentit a mis en place des indicateurs de risques

Les indicateurs de risques sont de plusieurs natures: des indicateurs de niveau

du risque, des indicateurs de suivi de lavancement des actions de matrise des
risques et des indicateurs permettant le suivi de risques qui se sont effectivement
avrs.
4 Afin dexaminer le fonctionnement du dispositif de gestion des risques, il
conviendrait que le comit daudit obtienne de la direction:
le suivi des indicateurs dalerte (ex: drives par rapport aux prvisions) ;
le degr de ralisation des plans de rponse aux risques significatifs (ex:
recours lassurance, surveillance accrue, rduction de sa criticit) ;
La synthse des cas de risques avrs significatifs (incidents, fraude,
sinistres...).

4 En interaction avec la fonction audit interne, il conviendrait que le comit daudit

confronte lapprciation des risques des auditeurs celle de la direction afin
didentifier et dapprcier la porte des ventuelles divergences de vue.

2- Lentit a mis en place une procdure dvaluation

de lefficacit des activits de contrle

Les activits de contrle sont documentes par les oprationnels. Lvaluation

est ralise par des services internes (direction du contrle interne, direction
de laudit interne).
Le comit daudit doit sassurer de lexistence de lvaluation de lefficacit des
activits de contrle et de lutilisation qui en est faite.
4 Afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que
le comit daudit obtienne de la direction:
la documentation relative la mise jour rgulire des risques et des
contrles associs;
pour les risques majeurs, la synthse des rsultats des tests defficacit des
activits de contrle.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 13

 3- Lentit na pas mis en place de procdure dvaluation de lefficacit
des activits de contrle, mais procde une auto-valuation

Limite des critres prdfinis et mene le plus souvent sur un mode dclaratif,
lauto-valuation na pas la mme porte quune procdure dvaluation. Outre
labsence de vrification indpendante, une auto-valuation ne saurait suffire
lapprciation de lefficacit des activits de contrle. En effet, elle ne rpond
gnralement pas aux exigences dexamen document et prouv (par le test) des
procdures, telles que requises pour une mission dvaluation de lefficacit.
4 Afin dassurer le suivi de lefficacit des activits de contrle, il conviendrait que
le comit daudit :
obtienne de la direction la synthse des rsultats de lauto-valuation de
lefficacit des activits de contrle ;
demande ce que les rsultats de lauto-valuation fassent lobjet dune revue
indpendante. Cette revue aura pour objet de confronter lauto-valuation
dclarative aux rsultats de lexamen document et indpendant.
4 Sur cette base, il conviendrait que le comit daudit analyse lcart ventuel entre
les rsultats de lauto-valuation et les rsultats de lvaluation indpendante.

4- Lentit na pas mis en place de procdure dvaluation ou

dauto-valuation de lefficacit des activits de contrle

4 Dans ce cas, le comit daudit pourrait solliciter la fonction audit (interne/

externe) pour quelle procde une revue des contrles-cls au sein de lentit.
Cette revue indpendante devra alors avoir une porte suffisamment large pour
couvrir les risques cls de lentit.

14 Guide mthodologique - IFA - novembre 2010

 2.3.3 Troisime mission: procder lexamen des dfaillances
significatives du systme de contrle interne et de gestion des risques

Afin dapprcier limportance des dfaillances du systme de contrle interne et

de gestion des risques, il conviendrait que le comit daudit:
obtienne de la Direction, pour les incidents avrs, la synthse des impacts
financiers et extra-financiers ;
obtienne de la Direction, pour les dfaillances significatives identifies, une
estimation de leur impact potentiel ;
examine les plans dactions afin dapprcier leur caractre appropri.
Nous avons joint, en annexe, un exemple dtat de suivi de lefficacit du systme
de contrle interne et de gestion des risques, sous forme dun tableau de bord
spcifique, qui pourrait tre examin par le comit daudit pour les risques
significatifs.

2.4 Quelle documentation le comit daudit

pourra-t-il obtenir?
En synthse, nous avons list ci-dessous la documentation susceptible dtre
mise disposition du comit daudit afin de lui permettre de mener bien sa
mission de suivi de lefficacit du dispositif de gestion des risques et du contrle
interne:
La mission de suivi de
le tableau de bord de suivi de lefficacit du
lefficacit ncessite que
dispositif (cf. Annexe),
le comit daudit fasse
la cartographie des risques,
un examen critique des
la synthse des rsultats de lauto-valuation ou
documents cls relatifs
de lvaluation,
la gestion des risques
la synthse des rapports de laudit interne,
et au contrle interne
la synthse des commissaires aux comptes,
et sassure de leur
relative aux faiblesses significatives de contrle
cohrence.
interne,
la synthse des plans dactions de la socit pour
remdier aux faiblesses significatives.
4 Enfin, il conviendrait que le comit daudit sassure de la cohrence des
informations collectes sur le dispositif de gestion des risques et du contrle
interne avec, notamment:
les facteurs de risques communiqus dans le document de rfrence, et,
le rapport du prsident sur le contrle interne.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 15

 P erspectives

La mission de suivi de lefficacit du systme de contrle interne et de gestion

des risques rend le comit daudit partie prenante dun dispositif capital pour
les organisations. En effet, si un systme de contrle interne et de gestion des
risques efficace et pertinent peut amliorer la qualit des rapports financiers, il
peut surtout contribuer crer de la valeur ajoute pour lentreprise:
en donnant une vision des cots cachs au sein des diffrentes fonctions
de lentreprise ;
en aidant comparer les performances des contrles des diffrentes
activits ;
en aidant identifier les points damlioration des contrles, les contrles
supprimer et ceux automatiser ;
en aidant une organisation trouver un quilibre entre la gestion des risques
et ses objectifs de croissance et de profitabilit.

16 Guide mthodologique - IFA - novembre 2010

 A nnexe

Exemple de tableau de bord pour le suivi de lefficacit

du systme de contrle interne et de gestion des
risques
Dans cet exemple de tableau de bord, lincidence potentielle de chaque risque
(impact et probabilit doccurrence) est value sur une chelle de 1 5.
De mme, lefficacit des contrles couvrant les risques bruts identifis est
value sur une chelle quatre niveaux (faible, moyenne, bonne, leve).
Il en rsulte un niveau de risque net (ou rsiduel) galement valu sur une
chelle de 1 5.

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques 17

18
Risque Brut Risque net/
rsiduel
Risque Respon- Description Efficacit Respon- Date
sabilit des contrles des Action sabilit de
Proba- contrles Proba- lexamen
Impact Impact
bilit bilit

laboration dun cadre

de rfrence pour les
Recours des
fusions/acquisitions
Stratgie dac- conseillers
Directeur en phase avec la Directeur Sept.
1 quisition inap- 5 4 externes pour Faible 4 4
financier stratgie mtier. financier 200X
proprie les audits
largissement de la
pralables
fonction recherche
dacquisitions

Incapacit Renforcement des

Auto-valuation
satisfaire aux Directeur procdures affrentes
annuelle.
exigences gnral et lobservation Directeur Juin
2 4 4 Supervision par Moyenne 3 4
rglementaires directeurs de des dispositions juridique 200X
le dpartement
et lgales division rglementaires et
juridique
(c.--d. Cartels) lgales

Guide mthodologique - IFA - novembre 2010

Dfaillances Application stricte de
des systmes Procdures la liste de vrification
Directeur Directeur Juin
3 informatiques 4 2 de gestion de Bonne 3 2 de ladquation aux
informatique informatique 200X
aprs mise en projet besoins pour tous les
uvre projets

Risque Brut Risque net/
rsiduel
Risque Respon- Description Efficacit Respon- Date
sabilit des contrles des Action sabilit de
Proba- contrles Proba- lexamen
Impact Impact
bilit bilit

Examen
mensuel, par
Incapacit Directeur la direction,
de grer gnral, des prvisions Cration de modles
lincertitude directeur conomiques financiers en vue Directeur Sept.
4 3 3 Bonne 2 3
conomique financier, et comparaison de modliser des gnral 200X
et dy ragir directeurs de avec la position scnarios
correctement divisions financire
prvisionnelle
du groupe

Plans de
Examen
continuit et
semestriel
anti-sinistre
(et au besoin
inadquats, ne
actualisation)
permettant pas Directeur Sauvegarde hors site Directeur Sept.
5 4 1 des plans de leve 3 1
de faire face informatique des systmes informatique 200X
continuit et
une dfaillance
anti-sinistre,
majeure
et tests
du rseau
correspondants
informatique

LE suivi de lefficacit des systmes de contrle interne et de gestion des risques

19
 N otes

20 Guide mthodologique - IFA - novembre 2010

 Audit Committee Institute France de KPMG

LAudit Committee Institute est un forum dchanges ddi aux membres des
comits daudit. Il a t conu pour apporter aux membres de comits daudit des
informations, outils et techniques les aidant remplir la mission lie leur fonction.
LAudit Committee Institute communique travers le monde avec les responsables
de comits daudit depuis 1999.

LAudit Committee Institute France propose ses membres :

- Un site internet (www.audit-committee-institute.fr) conu pour donner aux
membres de comits daudit un accs permanent aux meilleures pratiques et des
outils conus pour amliorer le fonctionnement des comits daudit
- Des rencontres sous forme de petit djeuner/table ronde permettant aux
membres de comits daudit dchanger sur des sujets dactualit avec leurs pairs
- Des newsletters (Audit Committee News) qui traitent des sujets dactualit
technique et rglementaire et des dveloppements rcents sur des problmatiques
spcifiques aux comits daudit
- Des publications sur le gouvernement dentreprise telle que La pratique des
comits daudit en France et dans le monde .

Contacts :

Associs KPMG Audit, Responsables de lAudit Committee Institute

France
Didier de Mnonville - Tl : 01 55 68 72 82
Jean-Marc Discours - Tl : 01 55 68 68 83)
KPMG Audit
1, cours Valmy
92923 Paris La Dfense Cedex
fr-auditcommittee@kpmg.fr

21
 LIFA est le rseau de rfrence des administrateurs

Prsent sur lensemble du territoire franais avec 7 dlgations rgionales,

lIFA est galement membre actif de la Confdration europenne des
associations dadministrateurs (ecoDa).

LIFA a pour mission :

de reprsenter lensemble des administrateurs et formaliser des
propositions visant amliorer les conditions dans lesquelles les
administrateurs exercent leurs mandats dans les entreprises de tout type :
cotes ou non, pme patrimoniales, mutualistes, publiques, associations,
fondations,
de proposer des sminaires de formation destins aux membres ou
futurs membres de conseil dadministration,
dassocier, dans une mme organisation de place, tous ceux qui
souhaitent contribuer la promotion et au partage des bonnes pratiques
du gouvernement dentreprise en France.

LES MEMBRES FONDATEURS

AFG, BOYDEN FRANCE, CCIP, ERNST&YOUNG, NYSE EURONEXT et PARIS EUROPLACE
& LES MEMBRES ASSOCIS
AON GLOBAL RISK CONSULTING, BIGNON LEBRAY, CNCC, CONSEIL SUPERIEUR DE LORDRE
DES EXPERTS COMPTABLES, DELOITTE, FIDAL, GEMA, GRANT THORNTON,
HEWITT ASSOCIATES, KORN/FERRY INTERNATIONAL, KPMG AUDIT, LEADERS TRUST
INTERNATIONAL, MAZARS, MICHAEL PAGE INTERNATIONAL, ONDRA-INVESTORSIGHT,
PRICEWATERHOUSECOOPERS, RUSSELL REYNOLDS ASSOCIATES, SPENCER STUART.
ILS PARTICIPENT AVEC LIFA LA PROMOTION DES MEILLEURES PRATIQUES DE GOUVERNANCE
ET LA PROFESSIONNALISATION DES ADMINISTRATEURS.

IFA - Institut Franais des Administrateurs

7 rue Balzac 75382 Paris cedex 08

CDECORTIAT-IFA-5112010

Tel. : 01 55 65 81 32 - contact@ifa-asso.com
www.ifa-asso.com