Académique Documents
Professionnel Documents
Culture Documents
L
Président de l’IFACI Président
a maîtrise des risques est essentielle au développement de detoute
l’AMRAE
entreprise
et, en son absence, sa survie peut être menacée. Les administrateurs, le
comité d'audit sont ainsi particulièrement vigilants quant à la mise en
sources etœuvre
moyens
descontribuant
res- à l'objectif de maîtrise des risques. Dans ce cadre,
l'Institut Français des Administrateurs soutient pleinement l'initiative conjointe de
l'IFACI et le l'AMRAE. Ce document de synthèse sur le dispositif des trois lignes de
maîtrise des risques est un outil facilitant la diffusion et l'intégration de ce concept
dans l'organisation des entreprises. Il contribuera à renforcer l'assurance raisonnable
apportée par la direction et par l'audit interne au comité d'audit que les risques
acceptables résultant de la stra- tégie sont identifiés et maîtrisés.
Daniel Lebègue
Président de l’Institut Français des
Administrateurs (IFA)
© IFACI - AMRAE - 2013 3
Trois lignes de Maîtrise pour une meilleure performance
Introduction
L’adoption d'un référentiel partagé de gestion des risques et de contrôle interne, la
coordi- nation de l’ensemble des activités liées à la maîtrise des risques conjuguées
et la mise en œuvre d’un modèle de gouvernance efficace permettent aux
organisations :
de prendre des risques maîtrisés et de saisir des opportunités ;
de fiabiliser la formulation de leur stratégie, sa mise en œuvre et la
performance des activités ;
d’affecter leurs ressources proportionnellement aux véritables enjeux ;
de communiquer de manière appropriée avec tous leurs partenaires ;
d’aligner l’organisation sur une vision globale et commune des risques.
Direction générale
contrôle
interne
Contrôl confor
de
e mité
gestion
...
Fonctions participant au dispositif de maîtrise globale des
risques
Un modèle
2 efficient structuré
en trois lignes de
Elle a pour objectif la structuration et la
mainte- nance du dispositif de maîtrise des
activités de l’organisation, notamment en :
maîtrise
La Direction Générale est au cœur du
dispositif de maîtrise globale des risques. Sa
structure en
« trois lignes de maîtrise5 » est une approche
per- tinente des rôles et responsabilités du
manage- ment opérationnel, des fonctions
transverses, et de l’audit interne.
Pour être efficace, il est donc nécessaire Pour un audit interne efficace :
de recenser préalablement les rôles et les Toutes les organisations devraient se
responsa- bilités des fonctions qui doter d’un service d’audit interne
concourent à la défini- tion et à la structuré.
maintenance du dispositif global de Les rattachements hiérarchique et
maîtrise des risques. fonc- tionnel du responsable de l’audit
doivent renforcer l’indépendance
Une évaluation globale et indépendante organisationnelle de la fonction.
du dispositif conduite par la troisième
ligne 5
La notion de « 3 lines of defense » a été développée par un
partenariat en ECIIA et FERMA.
lignes de maîtrise
4 La prise de décision
nécessite des
3 Nous devons être
flexibles et réactifs. informations
Un référentiel de pertinentes et fiables.
maîtrise des risques En quoi un système
n'est-il pas de maîtrise des
bureaucratique et risques contribue-t-
source de rigidités il à améliorer cette
? fiabilité ?
Un système organisé de maîtrise des Le développement du système
risques permet de réaliser des synergies entre d'information entraîne une multiplication
les fonc- tions transverses contribuant au des données à tous les niveaux de
dispositif de gestion des risques. Il s’agit l’organisation et constitue un actif précieux.
de : Générées pour des usages initiaux dif- férents
fonctions dédiées à la maîtrise des et dans des conditions très diverses, ces
risques (direction de la gestion des données doivent être fiabilisées et consolidées
risques, direc- tion du contrôle interne, pour devenir de véritables aides à la
conformité règle- mentaire...) ; décision :
toutes les fonctions support, qualité, obtenir à temps les informations pour
res- sources humaines, finance, la conduite d’un projet majeur ;
organisation, contrôle de gestion, fournir une information juste et
systèmes d’informa- tion, HSE, adéquate aux parties prenantes externes
développement durable... (clients, par- tenaires, législateurs,
superviseurs) ;
Le dispositif de maîtrise des risques ne doit s’assurer que des organisations compara-
pas imposer de solutions prédéfinies à bles (concurrents par exemple) n’ont
mettre en œuvre de façon mécanique. Le pas identifié des risques non traités dans
référentiel doit être suffisamment adaptable notre organisation, et assurer une veille
pour permettre la prise en compte de des inci- dents majeurs connus.
changements dans l’organi- sation ou du
lancement de nouveaux produits ou projets. La description de l’environnement interne et
Son objectif principal reste de distin- guer les de l’organisation des délégations du
risques acceptables de ceux qui ne le sont référentiel par- tagé de maîtrise des risques,
pas. permet d'expliciter les responsabilités et de
formaliser le cadre orga- nisationnel du
Au sein de l’organisation, lors d’une reporting. Ceci permet de locali- ser les
acquisition ou du développement rapide sources d’information puis d’établir les
d’une activité, un dispositif de gestion des canaux de validation pertinents et les
risques réactif cherche à analyser responsa- bilités appropriées en matière de
objectivement les menaces et les communica- tion externe notamment.
opportunités potentiellement manquées dans Par ailleurs, la hiérarchisation des informations
les limites des risques acceptables. et le dimensionnement des dispositifs de
contrôle réalisés dans le cadre d’une gestion
organisée des risques assurent l'efficience
du processus d'information ; de la collecte
des données à leur stockage, en passant par
leur transformation et leur exploitation.
10 © IFACI - AMRAE - 2013
Annexe
Définitions
La gestion des risques est l’affaire de tous
Le dispositif vise plus particulièrement à assurer :
les acteurs de la société. Elle vise à être
la conformité aux lois et règlements ;
globale et à couvrir l’ensemble des activités,
l’application des instructions et des
processus et actifs de la société.
orienta- tions fixées par la direction
générale ou le directoire ;
La gestion des risques est un dispositif
le bon fonctionnement des processus
dyna- mique de la société, défini et mis en
internes de la société, notamment ceux
œuvre sous sa responsabilité.
concourant à la sauvegarde de ses
actifs ;
La gestion des risques comprend un
la fiabilité des informations financières.
ensemble de moyens, de comportements, de
procédures et d’actions adaptés aux
Le contrôle interne ne se limite donc pas à
caractéristiques de chaque société qui
un ensemble de procédures ni aux seuls
permet aux dirigeants de maintenir les
processus comptables et financiers.
risques à un niveau acceptable pour la
société.
La définition du contrôle interne ne recouvre
pas toutes les initiatives prises par les organes
Le risque représente la possibilité qu’un
diri- geants ou le management comme par
événe- ment survienne et dont les
exemple la définition de la stratégie de la
conséquences seraient susceptibles d’affecter
société, la déter- mination des objectifs, les
les personnes, les actifs, l’environnement, les
décisions de gestion, le traitement des
objectifs de la société ou sa réputation.
risques ou le suivi des perfor- mances.
Le contrôle interne est un dispositif de la
L'audit interne est une activité indépendante
société, défini et mis en œuvre sous sa
et objective qui donne à une organisation
respon- sabilité.
une assurance sur le degré de maîtrise de ses
Il comprend un ensemble de moyens, de
opéra- tions, lui apporte ses conseils pour les
com- portements, de procédures et d’actions
améliorer, et contribue à créer de la valeur
adaptés aux caractéristiques propres de
ajoutée. Il aide cette organisation à
chaque société qui :
atteindre ses objectifs en évaluant, par une
contribue à la maîtrise de ses activités, à
approche systématique et méthodique, ses
l’ef- ficacité de ses opérations et à
processus de management des risques, de
l’utilisation efficiente de ses
contrôle, et de gouvernement d'en- treprise,
ressources, et
et en faisant des propositions pour ren- forcer
doit lui permettre de prendre en compte
leur efficacité.
de manière appropriée les risques
significatifs, qu’ils soient opérationnels,
financiers ou de conformité.
12 © IFACI - AMRAE - 2013
Bibliographie
Autres publications
Travaux de l’AMRAE Les dispositifs de gestion des risques et
Rôle de l’administrateur dans la maîtrise de contrôle interne – Cadre de référence
des risques (en collaboration avec l’IFA, (AMF, juillet 2010) ;
juin 2009) ; Les comités d’audit : 100 bonnes
Analyse et présentation des travaux de pratiques (IFA, janvier 2008) ;
l’AMF relatifs à la gestion des risques et Prise de position IFA-IFACI sur le rôle de
au comité d’audit (juillet 2010) ; l’au- dit interne dans le gouvernement
Trajectoire vers un Enterprise Risk d’entre- prise (mai 2009) ;
Manage- ment (ERM) (janvier 2012) ; Comités d’audit et auditeurs externes
La cartographie: un outil de gestion des (IFA, novembre 2009) ;
risques (janvier 2010) ; Guide Méthodologique de suivi de
La mise en oeuvre du Cadre de l’effica- cité des systèmes de contrôle
Référence actualisé de l’AMF interne et de gestion des risques (IFA,
(décembre 2012 avec l’APDC, KPMG et novembre 2010) ;
BMA / DFCG). Directeur financier comité d’audit & conseil
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause,
est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit,
constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.
L'IFACI rassemble plus de 5300 professionnels Tél : +33 1 40 08 48 00
de l'audit et du contrôle internes en France. Email : contact@ifaci.com
L’Institut favorise la diffusion des normes Web : www.ifaci.com
internationales et des meilleures pratiques.
Lieu de partage et d'accompagnement, il est
l’organisme de réfé- rence en matière de
formation professionnelle. L’IFACI est
également le partenaire privilégié des
organisations publiques et privées de
toutes tailles souhaitant améliorer l'efficacité
de l'en- semble de leurs dispositifs de contrôle
interne.
IFACI
98 bis Boulevard Haussmann
F-75008 Paris, France
L'AMRAE est la première association
européenne de Risk Managers, de
professionnels des métiers du risque et
de partenaires spécialisés dans la
gestion des risques. Cette structure
rassemble l’ensemble des grandes
entreprises françaises et internationales
en France, et a pour mission de- puis 20
ans d'apporter à toutes les organisations
les moyens de réussir la mise en
œuvre de leur stratégie, par le
déploiement d’un dispositif clair et
organisé, par l’analyse de l’acceptabilité
des risques et du meilleur traitement
ou finance- ment du risque. L’AMRAE
c’est également AMRAE Formation, les
Rencontres des métiers du risque et la
publication de nombreux ouvrages sur
la gestion des risques et des
assurances.
Grâce à plus de 850 directeurs des
risques et / ou des assurances, l’AMRAE
constitue un réseau unique de décideurs
spécialisés dans la gestion des risques.
A
M
R
A
E
80 Boulevard
Haussmann F-
75008 Paris,
France Tél : +33
1 42 89 33 16
Email :
amrae@amrae.fr
Web :
www.amrae.fr