Vous êtes sur la page 1sur 18

Trois lignes de Maîtrise

pour une meilleure


performance

Fiabiliser la stratégie par une gestion


organisée des risques
L
e challenge de nos organisations – entreprises et secteur public – est d’assurer l’atteinte de leurs
objectifs stratégiques et opérationnels dans les meilleures conditions de confor- mité et d’efficacité.
Cela passe par l’optimisation de leurs dispositifs de maîtrise des
risques.
Ce document est une aide concrète pour y parvenir. En effet, les lignes directrices qui y sont décrites ont
pour objectif de renforcer, d’un côté, les capacités de pilotage et de supervision des Directions Générales
et des Comités d'Audit sur les activités d’une organisation, et de l’autre, la clarté et la cohérence des
fonctions qui y contribuent. Elles s’appuient notamment sur les travaux réalisés en Europe par les
organismes professionnels concernés par la gou- vernance :
 instituts d'audit interne : IFACI en France et ECIIA en Europe,
 associations de Risk Managers : AMRAE en France et FERMA en Europe,
 instituts des administrateurs : IFA en France et EcoDa en Europe.
Sans coordination entre elles, les activités de management des risques, d’assurance et de supervision
perdent en efficacité.
L’AMRAE et l’IFACI ont partagé leur vision d’une organisation intégrée face aux risques pour en
présenter, pourla première fois, une version francophone unique et cohérente.
Ce document est articulé autour de 6 questions essentielles quant à l’intérêt de l’organisation du dispositif
de maîtrise des risques organisé en trois lignes distinctes et complémentaires.

Farid Aractingi Gilbert Canaméras


Président de l’IFACI Président de l’AMRAE

Daniel Lebègue

© IFACI - AMRAE - 2013 3


Trois lignes de Maîtrise pour une meilleure performance

Introduction
L’adoption d'un référentiel partagé de gestion des risques et de contrôle interne, la coordi- nation de
l’ensemble des activités liées à la maîtrise des risques conjuguées et la mise en œuvre d’un modèle
de gouvernance efficace permettent aux organisations :
 de prendre des risques maîtrisés et de saisir des opportunités ;
 de fiabiliser la formulation de leur stratégie, sa mise en œuvre et la performance des activités ;
 d’affecter leurs ressources proportionnellement aux véritables enjeux ;
 de communiquer de manière appropriée avec tous leurs partenaires ;
 d’aligner l’organisation sur une vision globale et commune des risques.

Ce document a un double objectif :


Dans un premier temps, il propose un modèle de gouvernance fondé sur trois lignes de maî- trise.
Dans un second temps, il identifie au travers de questions-réponses, les apports d’un système organisé de
maîtrise des risques.

4 © IFACI - AMRAE - 2013


tion comprenant et diffusant clairement les
Une appréhension objectifs recherchés1.
1 globale des Une approche exhaustive et transversale de
dispositifs de l’évaluation des risques représente un élément clé de
gestion des risques la gouvernance et doit :
 assurer une couverture complète de tous les
et de contrôle risques significatifs ;
interne  identifier les risques et en avoir une vision
consolidée ;
Pour les dirigeants, il est primordial de concourir à la  veiller à ce que les risques soient clairement
croissance, la performance et à la pérennité de corrélés aux objectifs de l’entité ;
l'organisation. Pour ce faire, il faut répondre à des  favoriser une affectation appropriée et pro-
problématiques cruciales, notamment eu égard aux portionnée des ressources aux fonctions de
responsabilités du Conseil d’Adminis- tration : contrôle chargées de s’assurer de la maîtrise des
 Comment les objectifs de l’organisation sont- activités afin d’éviter de dépasser les limites
ils déclinés et mis en cohérence avec les acceptables.
missions de l’organisation ?
 Les risques significatifs sont-ils identifiés et Les démarches utilisées pour identifier les
évalués dans tous les domaines de l’organi- risques doivent permettre d’être le plus exhaustif
sation ? possible sans être biaisées en étant trop axés sur des
 Les réponses aux risques sont-elles appro- aspects réglementaires ou sur d’autres points
priées, proportionnées et alignées avec l’ap- spécifiques. Ces dernières années, l’atten- tion des
pétence pour le risque de l’organisation ? organisations était parfois focalisée sur des domaines
 Les contrôles pour éviter ou limiter les de risques particuliers, comme les risques juridiques ou
risques sont-ils adéquats et efficaces ? financiers, du fait de l’évo- lution de la réglementation.
 Les responsabilités et les structures organi- Mais à suivre cette stratégie, les organisations ont pu
sationnelles sont-elles suffisamment claires pour accorder une attention et affecter des ressources trop
permettre de décider efficacement en cas de impor- tantes à ces risques particuliers, au détriment
survenance des risques ? d’autres risques.
 Les informations utiles sur le risque sont- elles
recueillies et communiquées en temps voulu à Le processus d’identification des risques doit
l’ensemble de l’organisation pour permettre aux pouvoir se dérouler à la fois au niveau de la direc- tion de
collaborateurs, au manage- ment et au Conseil l’entité et au niveau opérationnel. Les fonctions
de s’acquitter de leurs responsabilités ? chargées d’évaluer des risques spéci- fiques doivent
contribuer au dispositif global de gestion des risques
Les fonctions dédiées comme la gestion de de l’organisation. Ce dispo- sitif a pour objet de
risques, le contrôle et l’audit internes représen- tent les hiérarchiser les risques en fonction de leur corrélation
meilleurs moyens pour répondre à ces questions avec les objectifs, les valeurs ou les ressources de
lorsqu’elles s’appuient sur des bases solides. La l’entité. En outre, il doit prendre en compte l’importance
définition et l’adoption d’un système d’information de l’impact potentiel des risques combinés sur un ou
partagé pour les dispositifs de ges- tion des risques et plu- sieurs objectifs.
de contrôle interne consti- tuent une clé de succès
pour un bouclage efficace des objectifs stratégiques, 1
Les notions de gestion des risques, d’audit interne et de
dispositif de contrôle interne sont définis en annexe.
chaque fonc-

© IFACI - AMRAE - 2013 5


Trois lignes de Maîtrise pour une meilleure performance

Modèle des trois lignes de maîtrise


Conseil d’administration / Comité d’audit

Direction générale

1ère ligne de maîtrise 2ème ligne de maîtrise 3ème ligne de maîtrise

gestion des risques

Audit externe

Régulateurs
assurance

contrôle interne Audit


conformité

HSE

de gestion

Fonctions participant au dispositif de maîtrise globale des risques

L’adoption d’un référentiel global et systéma- tique


de gestion des risques, tels que le cadre de référence de Les organisations ont besoin d’une
l’AMF, COSO II2 (ERM3) ou ISO 31000, a pour objectif de responsabilité clairement définie en
garantir une approche struc- turée pour identifier les matière de maîtrise des risques
niveaux réels de risques dans tous les domaines de Il appartient à la Direction Générale de conce- voir et
l’organisation, du risque stratégique à ceux liés aux de gérer des dispositifs efficaces de gestion des
domaines opé- rationnels, financiers et de risques et de contrôle interne. Le modèle des « trois
conformité. L’ERM contribue à une gouvernance lignes de maîtrise » fournit des recommandations
interne efficace et intégrée. Ce cadre peut, par ailleurs, utiles sur la définition claire des responsabilités en
être utilisé dans le secteur privé comme dans le matière de ges- tion des risques et de contrôle
secteur public4. interne.

L’ERM doit être intégré au sein de tous les pro-


cessus de l’organisation. Son déploiement est
généralement facilité par une communication 2
Le management des risques de l’entreprise :
COSO II report / IFAC, PWC. – 2005.
efficace et par l’intégration du projet ERM aux
processus de planification et de reporting glo- baux
3
Enterprise-wide Risk Management - dénomination
internationale du dispositif de gestion globale des risques
au travers, notamment, de dispositifs inci- tatifs et 4
Guidelines for Internal Control Standards for the Public Sector –
d’indicateurs de risque. INTOSAI GOV 9100 - 2004 - L'INTOSAI reconnaît l’intérêt d’une
Mais avant tout, l’ERM doit bénéficier d’un sou- tien telle démarche et a, en particulier, développé des lignes
indéfectible de la Direction Générale. directrices concernant le contrôle interne.

6 © IFACI - AMRAE - 2013


 assistant les opérationnels dans l’identifica- tion et
Un modèle efficient l’évaluation des principaux risques relevant de
2 structuré en trois leur domaine d’expertise ;
 proposant des politiques et des procédures de
lignes de maîtrise groupe par domaine d’activité ;
 contribuant avec les opérationnels à la
La Direction Générale est au cœur du dispositif de conception des contrôles les plus perti-
maîtrise globale des risques. Sa structure en nents ;
« trois lignes de maîtrise5 » est une approche per- tinente  développant les meilleurs pratiques et les
des rôles et responsabilités du manage- ment échanges (benchmarks) ;
opérationnel, des fonctions transverses, et de l’audit  observant et en rendant compte du fonc-
interne. tionnement effectif des processus.

Des activités de contrôles définies et mises en Pour être efficace, il est donc nécessaire de
œuvre par les opérationnels recenser préalablement les rôles et les responsa- bilités
des fonctions qui concourent à la défini- tion et à la
La première ligne de maîtrise des activités est maintenance du dispositif global de maîtrise des
constituée par les managers opérationnels, res- risques.
ponsables de l’évaluation et de la diminution des
risques, notamment par la mise en œuvre d’un Une évaluation globale et indépendante du
dispositif de contrôle adéquat, portant sur les dispositif conduite par la troisième ligne
processus dont ils ont la charge. Cette première ligne
permet la maîtrise des activités au jour le jour en En tant que troisième ligne de maîtrise des acti- vités,
mettant en œuvre les pratiques les plus efficaces de une fonction d’audit interne indépendante et rattachée
gestion des risques au niveau de chaque au plus haut niveau de l’organisa- tion fournit, à
processus et en communiquant les informations travers une approche fondée sur le risque, une
appropriées à la deuxième ligne de maîtrise. assurance globale aux instances de surveillance et à
la direction générale de l’or- ganisation.
Un dispositif structuré et coordonné par la Cette assurance globale couvre l’efficacité des deux
deuxième ligne de maîtrise premières lignes de maîtrise et de la gou- vernance de
l’organisation. Elle englobe tous les éléments du cadre
La deuxième ligne de maîtrise est constituée des de maîtrise des risques : des processus d’identification
services fonctionnels responsables de domaines et d’évaluation au dis- positif de contrôle interne pour
d’expertise et des fonctions dédiées à l’anima- tion du atténuer les risques.
dispositif global de maîtrise des risques (fonctions de
gestion des risques, de contrôle interne, Pour un audit interne efficace :
d’assurance, de conformité...). Ces ser- vices  Toutes les organisations devraient se doter d’un
disposent en effet d’une expertise et d’un savoir-faire service d’audit interne structuré.
uniques pour l’analyse des organisa- tions et de  Les rattachements hiérarchique et fonc-
compétences essentielles en matière d’activités de tionnel du responsable de l’audit doivent
contrôle. renforcer l’indépendanceorganisationnelle de la
fonction.
Elle a pour objectif la structuration et la mainte- nance
du dispositif de maîtrise des activités de 5
La notion de « 3 lines of defense » a été développée par un
l’organisation, notamment en : partenariat en ECIIA et FERMA.

© IFACI - AMRAE - 2013 7


Trois lignes de Maîtrise pour une meilleure performance

Un dispositif donnant une vision éclairée des Parallèlement, l’audit externe constitue une source
risques pris ou à prendre importante d’informations et d’assurance raisonnable
pour les actionnaires, les investis- seurs potentiels et
Le dispositif de maîtrise globale des risques couvre plus généralement toutes les parties prenantes de
l’ensemble des processus stratégiques et l’organisation.
opérationnels qui donnent à la Direction Géné- rale
une vision éclairée des risques. Cette der- nière Il existe de nombreuses normes et recomman-
décline la stratégie, met en œuvre les moyens dations décrivant comment un auditeur externe peut
pour y parvenir et utilise ce dispositif comme un outil utiliser les travaux de l’audit interne qui constituent
d’aide à la décision. une base importante pour le com- missaire aux
comptes. Ces travaux permettent par ailleurs à
Pour exercer pleinement ses missions telles que l’auditeur externe d’apprécier les points forts de
définies notamment par la loi, les statuts, la charte l’organisation et de gérer les conséquences des
du comité d’audit, le comité d’audit a un faiblesses importantes sus- ceptibles d’avoir un impact
« devoir d’impulsion ». Ce n’est pas son rôle de piloter sur les processus de diffusion de l’information
la mise en place du dispositif des trois lignes de financière.
maîtrise. Toutefois, il devrait s’assurer que les moyens
sont déployés afin que ce dis- positif, adapté au Pour autant, l’audit interne ne doit pas être utilisé en tant
contexte de l’organisation, soit effectivement mis en que sous-traitant du commissaire aux comptes. En
œuvre et régulièrement évalué. plus de limiter la capacité d’action de l’audit interne,
cela remettrait en cause le positionnement du
commissaire aux comptes qui se doit, pour accomplir
Les commissaires sa mission, de rester
3 aux comptes et les
« externe » à l’organisation.

régulateurs, Un dialogue régulier entre le comité d’audit, le


commissaire aux comptes et l’audit interne sur les
partenaires activités et les constatations de l’audit interne et de l’audit
externes du externe renforcera la solidité du dis- positif global de
dispositif des trois maîtrise des risques. 
lignes demaîtrise

Ce dispositif de maîtrise des risques couvre l’en-
semble des processus stratégiques et opération- nels
qui donnent à la Direction Générale, au conseil
d’administration (ou de surveillance) et au comité
d’audit une assurance raisonnable sur la fiabilité des
informations financières et extra- financières, et
notamment celles qui sont com- muniquées aux
actionnaires, au marché, aux régulateurs et aux
autres parties prenantes.

8 © IFACI - AMRAE - 2013


Questions – Réponses

Le pilotage de nos En définitive, l'utilisation d'un système organisé de


1 activités est efficace. maîtrise des risques permet d'optimiser la
performance de l’organisation en donnant aux
Quels avantages managers un cadre, une latitude, un champ de
supplémentaires responsabilité, des outils et, parallèlement, en
aurions-nous à déployer l‘ajustant des dispositifs de traitement à la prise de
et à maintenir un système risque souhaitée.
organisé de Le risque zéro n’existe

gestion des risques ?


La conduite efficace des activités repose sur une prise
2 pas : jusqu’où faut-il
investir dans des
de risque maîtrisée. Pour atteindre leurs objectifs, les dispositifs de maîtrise
managers engagent l’organisation, prennent des des risques et de
risques dans les limites possibles, puis définissent et contrôle interne ?
mettent en œuvre les traite-

ments adaptés à chaque risque.


La prise de risque est naturelle, courante et sou-
haitable dans toute organisation. L’objectif d’un
Dans cet esprit, un système organisé de maîtrise des
dispositif organisé de maîtrise des risques n’est pas
risques, au cœur duquel se trouve la Direc- tion
uniquement de réduire les risques mais de permettre
Générale, permet :
à l’organisation de bien les identifier et de décider quels
 de définir le cadre de la gestion des risques, ses
risques elle souhaite prendre. Ce positionnement de
limites, les acteurs et leurs rôles ; les liens existant
l’organisation vis-à-vis de niveaux de risques qu’elle
avec le Contrôle Interne, le Juri- dique, les
juge souhaitables et acceptables détermine la nature
Assurances, mais aussi les opéra- tions et toutes
des solutions que le management adoptera pour les
les fonctions ;
traiter. Par exemple :
 de diffuser le processus nécessaire à l’éva-
 élaborer et mettre en œuvre des plans de
luation des risques et à la mise en œuvre par
réduction de la probabilité d’occurrence
les opérationnels des traitements les plus
(prévention) ou de l’impact du risque (pro-
efficaces ;
tection) ;
 de prendre des risques maîtrisés en ajustant les
 transférer ou partager le risque avec un tiers ;
activités de contrôle correspondantes ;
 cesser certaines activités à l’origine du risque
 de faciliter la consolidation d’informations
;
fiables et pertinentes ;
 accepter les risques dont le traitement serait
 de partager les expériences des opération- nels,
disproportionné par rapport à la réduction
faire émerger les meilleures pratiques et les
escomptée ;
consolider au niveau stratégique ;
 utiliser certains risques pour en faire des
 de mieux répondre aux attentes des légis-
opportunités.
lateurs, des régulateurs et des autres parties
prenantes, dont le comité d'audit.
© IFACI - AMRAE - 2013 9
Trois lignes de Maîtrise pour une meilleure performance

Nous devons être 4 Laprise dedécision


3 flexibles et réactifs. Un nécessite des
référentiel de maîtrise des informations pertinentes
risques n'est-il pas et fiables. Enquoiun
bureaucratique et systèmede maîtrise des
sourcederigidités ? risques contribue-t-il à
améliorer cette fiabilité
Un système organisé de maîtrise des risques ?
permet de réaliser des synergies entre les fonc- tions
transverses contribuant au dispositif de gestion des Le développement du système d'information
risques. Il s’agit de : entraîne une multiplication des données à tous les
 fonctions dédiées à la maîtrise des risques niveaux de l’organisation et constitue un actif précieux.
(direction de la gestion des risques, direc- tion Générées pour des usages initiaux dif- férents et dans
du contrôle interne, conformité règle- des conditions très diverses, ces données doivent être
mentaire...) ; fiabilisées et consolidées pour devenir de véritables
 toutes les fonctions support, qualité, res- aides à la décision :
sources humaines, finance, organisation,  obtenir à temps les informations pour la
contrôle de gestion, systèmes d’informa- tion, conduite d’un projet majeur ;
HSE, développement durable...  fournir une information juste et adéquate aux
parties prenantes externes (clients, par- tenaires,
Le dispositif de maîtrise des risques ne doit pas législateurs, superviseurs) ;
imposer de solutions prédéfinies à mettre en œuvre  s’assurer que des organisations compara- bles
de façon mécanique. Le référentiel doit être (concurrents par exemple) n’ont pas identifié
suffisamment adaptable pour permettre la prise en des risques non traités dans notre organisation,
compte de changements dans l’organi- sation ou du et assurer une veille des inci- dents majeurs
lancement de nouveaux produits ou projets. Son connus.
objectif principal reste de distin- guer les risques
acceptables de ceux qui ne le sont pas.
La description de l’environnement interne et de
l’organisation des délégations du référentiel par- tagé de
Au sein de l’organisation, lors d’une acquisition ou du maîtrise des risques, permet d'expliciter les
développement rapide d’une activité, un dispositif de responsabilités et de formaliser le cadre orga-
gestion des risques réactif cherche à analyser nisationnel du reporting. Ceci permet de locali- ser les
objectivement les menaces et les opportunités sources d’information puis d’établir les canaux de
potentiellement manquées dans les limites des validation pertinents et les responsa- bilités
risques acceptables. appropriées en matière de communica- tion externe
notamment.
Par ailleurs, la hiérarchisation des informations et le
dimensionnement des dispositifs de contrôle réalisés
dans le cadre d’une gestion organisée des risques
assurent l'efficience du processus d'information ; de
lacollecte des données à leur stockage, en passant par
leur transformation et leur exploitation.

10 © IFACI - AMRAE - 2013


Une cartographie des
5 Notre organisation est 6 risques n’est jamais
multirégionale, exhaustive. Comment
multisectorielle. Le nous préparer à réagir
déploiement d’un face àune situation
référentiel unifié de imprévue ?
maîtrise des risques
peut-il trouver du sens « Prévenir et non subir » : le dispositif de maîtrise des
dans toutes ces entités risques a comme objectif de savoir réagir aux situations
? prévues comme à celles qui ne l’au- raient pas été.
Même les pires catastrophes se produisent, et si les
Comment assurer une risques majeurs ne se réali- sent généralement pas
visionconsolidéede exactement comme ils avaient été anticipés et
toutes les informations imaginés, l’étude de scé- narios de risques permet à
disparates qui sont l’organisation de pré- voir l’activation des mécanismes
remontées ? de protection et de les tester.
Parmi ces mécanismes, on peut notamment
trouver :
Face à la complexité des organisations qui voient
souvent se côtoyer des métiers et des cultures  un plan de continuité d’activité ;
différentes, un dispositif global de maîtrise des  un plan de gestion de crise ;
risques donne une orientation et des éléments de  une communication de crise ;
langage communs. Le référentiel et les méthodes  la mobilisation d’experts ;
partagés par un réseau de correspon- dants, témoins  l’organisation des compensations finan-
de la culture risque des entités, facilitent la cières par les assureurs.
consolidation d’informations dispa- rates et apportent
au management opérationnel une boîte à outils Un dispositif de maîtrise des risques efficace permet
adaptable aux différentes acti- vités. d’identifier les signes avant-coureurs et de réagir dès le
premier stade de l’incident pour en minimiser
En renfort de la 1ère ligne de maîtrise des activités, située l’impact.
chez les opérationnels, la 2ème ligne, avec notamment S’exercer à envisager l’inimaginable, se mettre en
les fonctions de gestion des risques, de contrôle capacité d’exploiter la base de connaissance de
interne, de conformité..., exerce un rôle prépondérant l’organisation en matière de gestion des risques et de
dans la diffusion et l’explicita- tion des principes de la mobiliser rapidement les personnes qui sauront
gestion des risques. Par les méthodes, innover et proposer des solutions appro- priées,
l’organisation et les outils déployés, ces fonctions consulter les données disponibles à l’ex- térieur,
animent et font vivre le dispositif. permet de préparer l’ensemble du dispositif à la
réaction. Face à une situation exceptionnelle,
l’organisation, flexible et adapta- ble, saura sortir des
schémas habituels, qui ont tout leur intérêt dans le
cadre d’une activité nor- male, pour proposer une
structure ad hoc.
Cette cartographie des risques est également un outil
essentiel pour le comité d’audit dans l’exer- cice d’une
de ses missions : s’assurer de la maî- trise des
risques par le management. 

© IFACI - AMRAE - 2013 11


Trois lignes de Maîtrise pour une meilleure performance

Annexe

Définitions
La gestion des risques est l’affaire de tous les Le dispositif vise plus particulièrement à assurer :
acteurs de la société. Elle vise à être globale et à couvrir  la conformité aux lois et règlements ;
l’ensemble des activités, processus et actifs de la  l’application des instructions et des orienta- tions
société. fixées par la direction générale ou le directoire ;
 le bon fonctionnement des processus internes
La gestion des risques est un dispositif dyna- mique de la société, notamment ceux concourant à la
de la société, défini et mis en œuvre sous sa sauvegarde de ses actifs ;
responsabilité.  la fiabilité des informations financières.

La gestion des risques comprend un ensemble de Le contrôle interne ne se limite donc pas à un
moyens, de comportements, de procédures et ensemble de procédures ni aux seuls processus
d’actions adaptés aux caractéristiques de chaque comptables et financiers.
société qui permet aux dirigeants de maintenir les
risques à un niveau acceptable pour la société. La définition du contrôle interne ne recouvre pas toutes
les initiatives prises par les organes diri- geants ou le
Le risque représente la possibilité qu’un événe- ment management comme par exemple la définition de la
survienne et dont les conséquences seraient stratégie de la société, la déter- mination des objectifs,
susceptibles d’affecter les personnes, les actifs, les décisions de gestion, le traitement des risques ou
l’environnement, les objectifs de la société ou sa le suivi des perfor- mances.
réputation.
L'audit interne est une activité indépendante et
Le contrôle interne est un dispositif de la objective qui donne à une organisation une
société, défini et mis en œuvre sous sa respon- assurance sur le degré de maîtrise de ses opéra- tions,
sabilité. lui apporte ses conseils pour les améliorer, et contribue
Il comprend un ensemble de moyens, de com- à créer de la valeur ajoutée. Il aide cette organisation
portements, de procédures et d’actions adaptés aux à atteindre ses objectifs en évaluant, par une
caractéristiques propres de chaque société qui : approche systématique et méthodique, ses
 contribue à la maîtrise de ses activités, à l’ef- processus de management des risques, de contrôle, et
ficacité de ses opérations et à l’utilisation de gouvernement d'en- treprise, et en faisant des
efficiente de ses ressources, et propositions pour ren- forcer leur efficacité.
 doit lui permettre de prendre en compte de
manière appropriée les risques significatifs, qu’ils
soient opérationnels, financiers ou de
conformité.

12 © IFACI - AMRAE - 2013


Bibliographie
Travaux de l’AMRAE Autres publications
 Rôle de l’administrateur dans la maîtrise des  Les dispositifs de gestion des risques et de
risques (en collaboration avec l’IFA, juin 2009) contrôle interne – Cadre de référence (AMF, juillet
; 2010) ;
 Analyse et présentation des travaux de l’AMF  Les comités d’audit : 100 bonnes pratiques (IFA,
relatifs à la gestion des risques et au comité janvier 2008) ;
d’audit (juillet 2010) ;  Prise de position IFA-IFACI sur le rôle de l’au- dit
 Trajectoire vers un Enterprise Risk Manage- interne dans le gouvernement d’entre- prise
ment (ERM) (janvier 2012) ; (mai 2009) ;
 La cartographie: un outil de gestion des  Comités d’audit et auditeurs externes (IFA,
risques (janvier 2010) ; novembre 2009) ;
 La mise en oeuvre du Cadre de Référence  Guide Méthodologique de suivi de l’effica- cité
actualisé de l’AMF (décembre 2012 avec des systèmes de contrôle interne et de gestion
l’APDC, KPMG et BMA / DFCG). des risques (IFA, novembre 2010) ;
 Directeur financier comité d’audit & conseil
Travauxdel’IFACI,del’ECIIAetdel’IIA d’administration (Travaux IFA - DFCG,
 Le Management des Risques de l’Entreprise, 2011) ;

COSO report II, 2005 (traduction) ;  Bonnes pratiques en matière de relations entre
 L’efficacité des comités d’audit, les meil- leures le comité d’audit et les autres mem- bres du
pratiques, 2012 (étude IIA réalisée par PwC, conseil (Travaux IFA - ACI, 2012).
traduction) ;
 L’urbanisme du Contrôle Interne, 2008 ;
 Des clés pour la mise en œuvre du contrôle
interne, avril 2008 (cahier de la recherche –
meilleures pratiques) ;
 Contrôle interne et qualité, pour un mana-
gement intégré de la performance, mai 2008
(cahier de la recherche – notes profes-
sionnelles) ;
 L’auto-évaluation du contrôle interne, octo- bre
2005 (cahier de la recherche) ;
 Etude du processus de management et de
cartographie des risques, janvier 2004 (cahier
de la recherche – guide d’audit) ;
 Management des risques, 2001 (cahier de la
recherche) ;
 Corporate Governance insights, ECIIA, 2012 ;
 Guidance on the 8th EU Company Law
Directive, ECIIA - FERMA, part 1 & part 2,
2010-2011 ;
 The Three Lines of Defense in Effective Risk
Management and Control, The IIA, 2013.
© IFACI - AMRAE - 2013 13
ebzone communication (www.ebzone.fr)
conception/réalisation :

© IFACI – AMRAE – Paris – juin 2013 – ISBN : 978-2-915042-55-9

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars
1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles
425 et suivants du Code Pénal.
L'IFACI rassemble plus de 5300 professionnels de L'AMRAE est la première association européenne de
l'audit et du contrôle internes en France. L’Institut Risk Managers, de professionnels des métiers du
favorise la diffusion des normes internationales et des risque et de partenaires spécialisés dans la gestion
meilleures pratiques. Lieu de partage et des risques. Cette structure rassemble l’ensemble des
d'accompagnement, il est l’organisme de réfé- rence grandes entreprises françaises et internationales en
en matière de formation professionnelle. L’IFACI est France, et a pour mission de- puis 20 ans d'apporter à
également le partenaire privilégié des organisations toutes les organisations les moyens de réussir la mise
publiques et privées de toutes tailles souhaitant en œuvre de leur stratégie, par le déploiement d’un
améliorer l'efficacité de l'en- semble de leurs dispositif clair et organisé, par l’analyse de
dispositifs de contrôle interne. l’acceptabilité des risques et du meilleur traitement
ou finance- ment du risque. L’AMRAE c’est également
L’IFACI est affilié à l’IIA (The Institute of Internal AMRAE Formation, les Rencontres des métiers du
Auditors) qui bénéficie d’un réseau de 170 000 risque et la publication de nombreux ouvrages sur la
adhérents répartis dans plus de 160 pays. gestion des risques et des assurances.
Grâce à plus de 850 directeurs des risques et / ou des
assurances, l’AMRAE constitue un réseau unique de
décideurs spécialisés dans la gestion des risques.

AMRAE
80 Boulevard Haussmann F-
IFACI 75008 Paris, France Tél :
98 bis Boulevard Haussmann F- +33 1 42 89 33 16
75008 Paris, France Email : amrae@amrae.fr
Tél: +33 1 40 08 48 00 Web : www.amrae.fr
Email : contact@ifaci.com
Web : www.ifaci.com