RESUME DU COURS DE COSO, CONTRÔLE INTERNE ET GOUVERNANCE

D’ENTREPRISE

CHAPITRE 1 : CONTRÔLE INTERNE

Qu'est-ce que le contrôle interne selon la définition du COSO 1992 ?

Le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs d'une entité,
destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs liés aux opérations, au reporting et à la
conformité.

Quelle est la différence entre "assurance raisonnable" et "assurance absolue" ?

L'assurance raisonnable signifie qu'il existe une certaine confiance dans la réalisation des objectifs, mais pas une
certitude totale comme dans le cas de l'assurance absolue.

Quels sont les objectifs du contrôle interne ?

Son objectif est double : assurer la protection, la sauvegarde du patrimoine et la qualité de l'information ; assurer la
conformité par rapport aux lois, aux règlements et également d'assurer l'application des instructions de la direction en
vue d'améliorer les performances de l'entreprise.

Quelle est l'importance du contrôle interne ?

Le contrôle interne permet de :
- Atteindre ses objectifs de manière optimale.
- Assurer la maîtrise des processus internes et le pilotage des activités internes.
- Assurer la continuité de l'entreprise.
- Réduire le risque en termes de probabilité et d'impact.

Pourquoi ne devrait-il pas y avoir de département de contrôle interne, mais d'audit interne ?
Le contrôle interne devrait être un processus intégré au sein de l'entreprise, tandis que l'audit interne est une opération
ponctuelle menée par des auditeurs indépendants et neutres.

Quelle est la différence entre le contrôle interne et l'audit interne ?

Le contrôle interne est un processus continu interne à l'entreprise, impliquant l'ensemble des salariés. L'audit interne est
une opération ponctuelle réalisée a posteriori par des auditeurs indépendants.

Quels sont les trois niveaux de contrôle ?

Les trois niveaux de contrôle sont :
Contrôle de niveau 1 : Ce niveau de contrôle assure un niveau de contrôle régulier avec un ensemble de moyen
mis en œuvre en permanence au niveau des entités opérationnelles pour garantir la régularité, la sécurité et la
validation des opérations réalisées...
Contrôle de niveau 2 : Ce niveau de contrôle a pour objectif de vérifier, suivant une périodicité adaptée, la
régularité et la conformité des opérations réalisées par une unité ou une entité, ou le suivi d’un type particulier
de risques
Contrôle de niveau 3 : C’est le contrôle périodique qui est effectué au niveau de l’entité. Le contrôleur est
rattaché fonctionnement au Comité d’audit ou hiérarchiquement à la Direction générale

Quelles sont les typologies de contrôle ?

Les typologies de contrôle comprennent :
- Contrôle préventif, détectif ou correctif.
- Contrôle manuel.
- Contrôle sur pièce, sur place ou à distance.
- Contrôle de transaction, contrôle de supervision.
Quelle est la différence entre les types de contrôle citer ci-dessus ?
1. Un contrôle préventif vise à empêcher les erreurs ou les problèmes avant qu'ils ne se produisent.

2. Un contrôle détectif est conçu pour identifier les erreurs ou les problèmes à la fin d’un processus ou après la
survenance d’un risque.

3. Un contrôle correctif intervient après la détection d'une erreur ou d'un problème, afin de corriger la situation.

4. Un contrôle manuel implique l'intervention directe d'une personne pour vérifier ou superviser une activité ou
un processus.

5. Le contrôle sur pièce implique l'examen de documents ou d'informations envoyés par le client.

6. Le contrôle sur place nécessite une vérification directe sur le terrain, au lieu où les activités ont lieu.

7. Le contrôle à distance consiste à surveiller et à vérifier les activités à distance, souvent à l'aide de technologies
telles que l'informatique ou la surveillance en ligne.

8. Le contrôle de transaction est celui réalisé au moment des opérations dans le but de donner un premier niveau
quant à la maitrise des processus.

9. Le contrôle de supervision est celui effectué par un responsable hiérarchique de niveau élevé après que les
opérations ont été exécutées.

Quels sont les deux éléments nécessaires pour qu'un contrôle ait une forte chance de mise en œuvre ?
- La qualité de sa conception et l'efficience lors de sa réalisation sont les deux éléments nécessaires pour qu'un
contrôle ait une forte chance de mise en œuvre.

Quels sont les 3 principes de la séparation des taches ?

La séparation des tâches implique la dissociation des trois (03) fonctions suivantes chez une même personne :
1. L’autorisation(préparation)
2. L’exécution (réalisation)
3. Contrôle (supervision)

Quelles conditions sont requises pour mettre en œuvre la séparation des tâches ?
Une mise en œuvre de la séparation des tâches nécessite :
- Une taille minimum de l’entité pour pouvoir distinguer les fonctions,
- La description précise des tâches et responsabilités de chacune des fonctions,
- La mise à jour et le contrôle de l’application des supérations,
- Ainsi qu'un alignement entre les dispositions logiques d'accès au système et les séparations de tâches prévues.

Quels sont les trois piliers garantissant un contrôle interne efficace ?

Les trois piliers garantissant un contrôle interne efficace sont la gouvernance, la gestion des risques et le contrôle des
processus.

Qu'est-ce que le contrôle interne implique ?

Le contrôle interne est une affaire de tous, ce qui signifie qu'il demande l'implication du conseil, du management et des
collaborateurs.

Quels sont les rôles de la direction générale en ce qui concerne le dispositif de contrôle interne ?
- La direction générale est responsable de la définition, de l'impulsion et de la surveillance du dispositif de contrôle
interne. Elle doit également rendre compte au conseil d'administration, au Comité d'audit et au conseil de surveillance.

Quelle est la responsabilité de l'auditeur interne par rapport au dispositif de contrôle interne ?
- L'auditeur interne est chargé d'évaluer le fonctionnement du dispositif de contrôle interne et de formuler des
recommandations.
Quelle est la position hiérarchique habituelle de l'auditeur interne dans un organigramme classique ?
- Dans un organigramme classique, l'auditeur interne est généralement sous l'autorité de la direction générale. Il rend
compte à cette direction et informe également directement le conseil d'administration, le Comité d'audit et le conseil de
surveillance.

Comment pourrait-on renforcer l'indépendance de l'auditeur interne ?

- Pour une meilleure indépendance, l'auditeur interne ne devrait pas être sous l'autorité de la direction générale, mais
il devrait informer directement le conseil d'administration, le Comité d'audit et le conseil de surveillance.

Les niveaux d’analyse du contrôle interne page 28 non compris

Outils et référentiels en matière de contrôle interne

Quels sont les outils disponibles pour la mise en œuvre du contrôle interne dans les entreprises ?
Les outils disponibles pour la mise en œuvre du contrôle interne dans les entreprises sont notamment le manuel de
procédures administratives, financières et comptables, l'organigramme fonctionnel, la cartographie des risques et la
matrice des risques, le business plan ou plan stratégique, le plan de contrôle, le plan de suivi, le Questionnaire sur le
Contrôle Interne (QCI) et la grille de séparation des fonctions.

Qu'est-ce qu'un manuel de procédures et quels éléments doit-il spécifier pour chaque opération ?
- Un manuel de procédures est un document qui détaille les étapes, les intervenants, et les outils utilisés pour chaque
activité. Il doit spécifier pour chaque opération la tâche à faire, le niveau de responsabilité, les étapes de traitement, les
lieux de réalisation et le mode d'exécution.

Quelles sont les différentes manières d'établir un manuel de procédure ?

- Un manuel de procédure peut être établi de différentes manières : par cycles, par procédure, sous-procédure ou par
opérations.

Quels sont les éléments à spécifier pour chaque opération dans un manuel de procédure réussi ?
Pour chaque opération dans un manuel de procédure réussi, il faut spécifier :
o La tâche à faire (quoi).
o Le niveau de responsabilité (qui).
o Les différentes étapes de traitement (quand).
o Les lieux de réalisation (où).
o Le mode d'exécution (comment).

Qu'est-ce que l'organigramme fonctionnel et quelles sont les trois grandes catégories d'organigrammes ?
- L'organigramme fonctionnel est une structure d'organisation basée sur les fonctions d'une entreprise. Les trois
grandes catégories d'organigrammes sont le hiérarchique, le matriciel et le plat.

En quoi consiste la cartographie des risques ?

- La cartographie des risques est une démarche d'identification, d'évaluation, de hiérarchisation et de gestion des
risques inhérents aux activités d'une organisation. Elle est organisée autour de niveaux d'abscisse et d'ordonnée pour
classer les risques du plus faible au plus grave.

Qu'est-ce qu'un questionnaire de contrôle interne et quel est son objectif ?

- Un questionnaire de contrôle interne est un ensemble de questions structurées conçues pour évaluer l'efficacité des
processus, des politiques et des procédures d'une organisation. Son objectif est d'identifier les éventuelles faiblesses et
de garantir la conformité aux normes et réglementations.

Quels sont les niveaux d'évaluation du contrôle interne et quels tests sont effectués en audit ?
L'évaluation du contrôle interne se fait à deux niveaux : l'évaluation de la conception (Test de Design) et l'évaluation de
la mise en œuvre. Les tests effectués en audit incluent le test de Design & Implementation (D&I), le test de
cheminement et le test d'efficacité.

Quelle est la relation entre le test D&I et le test d'efficacité en matière d'évaluation du contrôle interne ?
- Si le test D&I est satisfaisant, il faut passer au test d'efficacité. Si les deux tests sont satisfaisants, cela indique que le
contrôle interne est fort, nécessitant moins de tests substantifs.
Que signifie un test D&I non satisfaisant en termes d'évaluation du contrôle interne ?
- Un test D&I non satisfaisant signifie qu'on ne peut pas s'appuyer sur le contrôle interne, ce qui entraîne un volume
important de tests substantifs et une mise à jour de l'approche en fonction des conclusions.
Quels sont les objectifs des tests de Design & Implementation, de cheminement et d'efficacité en matière d'audit du
contrôle interne ?
- Le test D&I vérifie si le système de contrôle interne est bien implémenté selon les bonnes pratiques.
- Le test de cheminement vérifie si la pratique suit le processus opérationnel.
- Le test d'efficacité vérifie si le processus permet d'atteindre les objectifs.

Quelles sont les référentiels en matière de contrôle interne ?

Plusieurs référentiels en matière de contrôle interne :
 le COSO 1 : Référentiel principal en matière de contrôle interne ;
 le Cadre de référence de l’Autorité́ des Marchés Financiers (AMF) appelé « Les dispositifs de gestion des risques et de
contrôle interne » ;
Le référentiel le plus utilisé est le COSO 1 (Committee Of Sponsoring Organisations 1). Il s'adapte à toute entreprise et
traite les points les plus importants du contrôle interne.

Contrôle interne comme moyen de lutte contre la fraude

Qu'est-ce que la fraude et quel est son objectif ?

La fraude est un acte intentionnel commis par une ou plusieurs personnes impliquant le recours à des manœuvres
trompeuses dans le but d'obtenir un avantage indu ou illégal.

Qu'est-ce que le "triangle de la fraude" et quels sont ses trois éléments principaux ?
- Le "triangle de la fraude" se réfère aux trois éléments nécessaires pour qu'une fraude se produise : l'opportunité, la
pression et la rationalisation.

Quels sont les exemples d'opportunité, de pression et de rationalisation dans le contexte de la fraude ?
- Opportunité :
Exemple1: Un employé manipule les paiements des fournisseurs en raison de contrôles internes laxistes.
Exemple2: Un caissier profite d'une caméra de sécurité défectueuse pour voler de l'argent en espèces.
- Pression :
Exemple1: Un employé endetté se sent poussé à détourner de l'argent pour résoudre ses problèmes financiers.
Exemple2: Un étudiant anxieux de perdre sa place à l'université triche pour obtenir de bonnes notes.
- Rationalisation :
Exemple1: Un employé justifie le détournement de fonds en pensant qu'il mérite une compensation pour son
travail acharné.
Exemple2: Une personne vole de l'argent en croyant que l'entreprise ne remarquera pas la perte.

Donnez de trois exemples de fraudes qui peuvent survenir dans les services suivants : service Achat, Paie-RH,
Trésorerie-Caisse, Vente, Stock-immobilisation, Impôts et taxes :
Quelle est la responsabilité de l'auditeur selon la norme ISA 240 concernant les fraudes lors d'un audit d'états financiers ?
- Selon la norme ISA 240, l'auditeur qui réalise un audit selon les Normes ISA à l'obligation d'obtenir l'assurance
raisonnable que les états financiers, pris dans leur ensemble, ne comportent pas d'anomalies significatives provenant de
fraudes ou résultant d'erreurs.

À qui incombe la responsabilité première pour la prévention et la détection de fraudes selon la norme ISA 240 ?
- Selon la norme ISA 240, la responsabilité première pour la prévention et la détection de fraudes incombe à la fois aux
personnes constituant le gouvernement d'entreprise au sein de l'entité et à la direction.

Quels aspects doivent être mis en avant par la direction pour prévenir les fraudes selon la norme ISA 240 ?
- Selon la norme ISA 240, il est important que la direction, sous la surveillance des personnes constituant le
gouvernement d'entreprise, mette fortement l'accent sur la prévention des fraudes, qui peut réduire les possibilités de
les commettre, ainsi que sur les aspects dissuasifs, qui peuvent convaincre les personnes de ne pas les perpétrer en
raison de la probabilité de leur détection et des sanctions encourues.
 CHAPITRE 2: COSO (Committee of Sponsoring Organizations of Treadway Commission)

SECTION 1 : HISTOIRE DU COSO 1

Qu'est-ce que le COSO ?

Le COSO, ou Committee of Sponsoring Organizations of the Treadway Commission, est une organisation privée à but non
lucratif créée aux États-Unis en 1985.

Quand est-ce que le COSO a été créé et quelle est la raison de sa création ?
Le COSO est né en 1985 en réponse à une série de scandales financiers et de faillites d'entreprises dans les années 1980
dont l’affaire PECHINEY, l’affaire du crédit lyonnais, l’affaire Enron, l’affaire vivendi et l’affaire Worldcom.

Quel est l’objectif principal du COSO ?

Son objectif principal est d'améliorer les pratiques de gestion des risques d'entreprise, de contrôle interne et de
dissuasion a la fraude au sein des organisations.

Quelles sont les 5 organisations qui le composent le COSO ?

Les 5 organisations qui le composent sont : l'American Accounting Association (AAA), l'American Institute of Certified
Public Accountants (AICPA), l'Institute of Internal Auditors (IIA), l'Institute of Management Accountants (IMA) et le
Financial Executives International (FEI).

Quels sont les cadres de référence du COSO et quelles évolutions ont-ils subi ?
Le COSO propose deux cadres de référence importants : le COSO 1, également appelé Internal Control-Integrated
Framework, et le COSO 2, nommé Enterprise Risk Management. Le COSO 1 a été publié en 1992 et révisé en 2013,
tandis que le COSO 2 a été publié en 2004 et révisé en 2017. Ces référentiels fournissent des directives pour établir des
systèmes de contrôle interne et de gestion des risques efficaces au sein des organisations.

Qu'est-ce que le cadre de référence COSO pour la gestion de contrôle interne ?

Le COSO 1 est l'un des cadres les plus largement reconnus pour concevoir, mettre en œuvre, évaluer et améliorer les
systèmes de contrôle interne au sein d'une organisation. Il se compose de cinq composantes interdépendantes :
l'environnement de contrôle, l'évaluation des risques, les activités de contrôle, les informations et les communications,
ainsi que le pilotage(suivi).

Qu'est-ce que le cadre de référence COSO pour le management des risques ?

Le COSO 2 est un cadre de référence développé par COSO pour aider les organisations à gérer de manière efficace les
risques auxquels elles sont confrontées dans la poursuite de leurs objectifs. Il se compose de huit composantes
interdépendantes : l'environnement de contrôle, la définition des objectifs, l’indentification des évènements,
l'évaluation des risques, le traitement des risques, les activités de contrôle, les informations et les communications, ainsi
que le pilotage(suivi).

Comment le COSO 2 diffère-t-il du COSO 1 ?

Le modèle COSO de management des risques se concentre spécifiquement sur la gestion proactive et holistique des
risques dans l'ensemble de l'organisation. Il prend en compte un éventail plus large de risques, allant au-delà des seuls
risques financiers, et s'attache à aider les organisations à anticiper et à répondre aux changements de manière
stratégique.
 SECTION 2: COSO 1: Internal control- Integrated Framework
(Contrôle interne)

Quand le COSO 1 a-t-il été créé(publier) et révisé ?

Le COSO 1 a été créé en 1992(publier) et révisé en 2013.

Pourquoi le COSO 1 a été révisé en 2013 ?

Afin de prendre en compte les évolutions des environnements opérationnels et les attentes concernant le contrôle
interne.

Quel est l’objectif principal du COSO 1 ?

Le COSO 2 a vu le jour en 1985 et son objectif principal est de promouvoir le contrôle interne et la gouvernance
d'entreprise.

Sur quel domaine de l’entreprise le COSO 1 est-il concentré ?

Le COSO 1 est concentré sur le contrôle interne.

Quels sont les 3 objectifs du COSO 1 ?

Les 3 objectifs du COSO 1 sont : l’efficacité et l’efficience des opérations, la fiabilité de l'information financière et la
conformité aux lois et règlements.

A quoi est relatif les 3 objectifs du COSO 1 cités ci-dessus ?

1. Efficacité et efficience des opérations : Cet objectif vise à assurer que les activités opérationnelles de
l'entreprise sont menées de manière optimale pour atteindre les objectifs tout en utilisant efficacement les
ressources disponibles.
2. Fiabilité de l'information financière : Cet objectif se concentre sur la production d'informations financières
précises et fiables qui reflètent de manière fidèle la situation financière de l'entreprise et sont conformes aux
normes comptables et aux réglementations en vigueur.
3. Conformité aux lois et règlements : Cet objectif vise à garantir que l'entreprise respecte les lois, les
réglementations et les normes applicables à son secteur, tout en prévenant la fraude et en assurant la
protection des droits des parties prenantes.

Combien de composantes et de principes le COSO 1 comprend-il ?

Le COSO 1 est composé de 5 composantes et 17 principes. Il repose sur 3 principes de bases.

Quelles sont les 5 composantes du COSO 1 ?

On a : l’environnement de contrôle, évaluation des risques, les activités de contrôle, l’information et la communication
ainsi que le pilotage.
Que couvre la composante "Environnement de contrôle" dans le modèle COSO 1 ?
L'environnement de contrôle est la base sur laquelle reposent tous les autres éléments du contrôle interne. Il englobe
l'attitude, la sensibilité et les actions du conseil d'administration et de la direction vis-à-vis du contrôle interne et de
l'éthique. Cela crée le ton de l'organisation et influence la conscience du contrôle interne à tous les niveaux.

Que couvre la composante "Évaluation des risques" du modèle COSO 1 ?

L'évaluation des risques consiste à identifier et à évaluer les risques auxquels l'organisation est exposée dans la
poursuite de ses objectifs. Cela comprend l'identification des menaces potentielles, l'évaluation de leur impact et de leur
probabilité, ainsi que la détermination de la manière dont l'organisation compte traiter ces risques.

Quelles sont les "Activités de contrôle" selon le modèle COSO 1 ?

Les activités de contrôle sont les politiques et les procédures mises en place pour atténuer les risques identifiés. Elles
incluent des actions telles que l'autorisation, l’approbation, la vérification, le rapprochement, la séparation des tâches,
les contrôles informatiques, la documentation des processus, etc.

Comment le COSO 1 aborde-t-il les "Informations et communications" ?

L'information pertinente doit être communiquée de façon efficace aux personnes qui en ont besoin, sous une forme
intelligible et dans les délais adéquats leurs permettant d'assumer leurs responsabilités et d'effectuer les contrôles qui
leurs incombent. La communication implique une circulation multidirectionnelle, c'est- à-dire ascendante, descendante
et transversale.

Quel est le rôle de la composante "Suivi ou pilotage" dans le modèle COSO 1 ?

Le suivi implique la surveillance continue et l'évaluation de l'efficacité du système de contrôle interne. Il s'agit de vérifier
que les contrôles sont opérationnels, que les risques sont gérés efficacement et que des améliorations sont apportées
lorsque cela est nécessaire.

En quoi l’environnement de contrôle constitue le socle de toutes les autres composantes ?

Car c’est dans cet environnement que les dirigeants évaluent les risques susceptibles de mettre en cause la réalisation
d'objectifs spécifiques. C’est dans cet environnement que les activités de contrôle sont mises en place pour permettre à
la direction de s'assurer que ses directives visant à traiter ces risques ont été exécutées. Entre-temps, les informations
pertinentes sont recueillies et communiquées à l'ensemble de l'organisation. Le processus complet fait l'objet d'un
pilotage et de modifications le cas échéant.

Comment sont répartis les 17 principes du COSO 1 ?

Les 17 principes du COSO 1 sont répartis entre les 5 composantes.
Quels sont les 3 concepts fondamentaux sur lesquels le COSO 1 repose ?
Le référentiel COSO1 repose sur les concepts fondamentaux suivants:

 Le contrôle interne est un processus : c’est un moyen, pas une fin ; il ne se cantonne pas à̀ un recueil de
procédures mais nécessite l’implication de tous à chaque niveau de l’organisation.
 Le contrôle interne est mis en œuvre par des personnes : L'efficacité́ du contrôle interne ne peut se suffire de
l'existence de manuels de procédures et d'une documentation appropriée ; elle est assurée par des personnes à
tous les niveaux de la hiérarchie.
 Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et d’une
direction respectueuse des lois.
 Le contrôle interne est axé sur la réalisation effective des objectifs.

Comment le COSO 1 définit-il le contrôle interne ?

Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par le conseil, le management et les
collaborateurs d'une entité quant à la réalisation des trois objectifs suivants : L'efficacité et l'efficience des opérations, la
fiabilité des informations financières, la conformité aux lois et règlements.

Quels sont les questionnements que fournit le COSO pour l’évaluation du contrôle interne ?
Dans le document QUESTION D’EVALUATION DU CONTRÔLE INTERNE.

Qu’est-ce que le cube COSO ?

Le cube COSO 1 constitue la combinaison des trois objectifs, des cinq composants et des structures de l'entreprise, vus
comme trois axes d'analyse distincts. Chacun des axes a une influence sur les autres.
En dehors des entreprises, le modèle COSO est-il utilisé dans d'autres contextes ?
Oui, le modèle COSO n'est pas limité aux entreprises. Il est également utilisé dans d'autres contextes tels que les
organisations à but non lucratif, les gouvernements et les institutions publiques, où la gestion des risques et le contrôle
interne sont également importants pour atteindre les objectifs et garantir une bonne gouvernance.

Quelles sont les limites du contrôle interne ?

Le contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut offrir qu'une assurance raisonnable de
réalisation des objectifs en raison des limites suivantes :

Quels sont les outils auxquels les entreprises font généralement recours pour la mise en œuvre du COSO 1 ?
Pour la mise en œuvre du COSO 1, les entreprises font recours à plusieurs outils notamment :
- Manuel de procédures administratives, comptables et financières ;
- Statuts et règlements intérieurs ;
- Plan de contrôle ; Cartographie des risques ; Etc.
 SECTION 3 : COSO 2 : Enterprise Risk Management
(Management des risques) ou COSO ERM

Qu'est-ce que le COSO 2 ou COSO ERM ?

Le COSO ERM (Enterprise Risk Management) est un cadre de référence développé par le Committee of Sponsoring
Organizations of the Treadway Commission pour aider les organisations à gérer de manière intégrée et holistique leurs
risques.

Quand le COSO 2 a-t-il été publié et comment vise-t-il à aider les entreprises ?
Le COSO 2 a été publié en 2004 et révisé en 2017. Il vise à aider les entreprises dans la gestion des risques.

Pourquoi le COSO 2 a été révisé en 2017 ?

pour répondre aux exigences d’un environnement économique mouvant.

Quelle est la différence entre la structure du COSO 1 et celle du COSO 2 ?

La face du COSO 1 contient 5 composantes et 3 objectifs, tandis que la face du COSO 2 contient 8 composantes (3
nouvelles et les 5 du COSO 1) ainsi que 4 objectifs centrés sur la gestion des risques.

Quels sont les objectifs du cadre de management des risques ?

Le cadre de management des risques vise à aider l'organisation à atteindre ses objectifs, qui sont regroupés en quatre
grandes catégories : les objectifs stratégiques, les objectifs opérationnels, les objectifs de reporting et les objectifs de
conformité.

Comment le dispositif de management des risques contribue-t-il à l'atteinte des objectifs de fiabilité du reporting
et de conformité ?
Le dispositif de management des risques est conçu pour fournir une assurance raisonnable que les objectifs liés à la
fiabilité du reporting et à la conformité aux lois et réglementations sont atteints. Étant donné que ces objectifs font partie
du champ de contrôle de l'organisation et sont liés à la manière dont les activités sont gérées, le dispositif peut aider à
garantir leur réalisation.

Comment le COSO 2 aborde-t-il l'atteinte des objectifs stratégiques par le dispositif de management des risques ?
Le COSO 2 souligne que, bien que le dispositif de management des risques puisse contribuer à atteindre les objectifs
stratégiques, il ne peut pas garantir leur réalisation. Les objectifs stratégiques peuvent échapper au contrôle de
l'organisation en raison de facteurs externes ou imprévisibles, tels que des événements extérieurs ou des jugements
erronés.

Comment le dispositif de management des risques est-il censé renforcer les décisions de la direction ?
Le COSO 2 affirme que le dispositif de management des risques ne peut pas empêcher les jugements erronés, les
mauvaises décisions ou des événements extérieurs imprévisibles qui pourraient faire échouer un projet. Cependant, il est
conçu pour améliorer la capacité de la direction à prendre de meilleures décisions en fournissant une meilleure
compréhension des risques et des opportunités.

Comment le dispositif de management des risques contribue-t-il à informer la direction et le conseil

d'administration ?
Le dispositif de management des risques peut fournir une assurance raisonnable que la direction et le conseil
d'administration sont régulièrement informés de la progression de l'organisation vers l'atteinte de ses objectifs, en
particulier pour les catégories d'objectifs stratégiques et opérationnels. Cela soutient leur rôle de contrôle et de
supervision au sein de l'organisation.
Quelles sont les trois nouvelles composantes du COSO 2 et qu'est-ce qu'elles impliquent ?
Les trois nouvelles composantes du COSO 2 sont :
- La définition des objectifs :
Permet d’attirer l’attention de l’organisation sur les risques qu’elle court
- L’identification des évènements :
Identifier les évènements qui peuvent empêcher l’atteinte des objectifs. Il y a des évènements lies aux facteurs
internes et d’autres externes.
- Le traitement des risques :
Consiste à la détermination des risques que peuvent engendrer chaque évènement identifié au préalable et
agir en conséquence.

Pourquoi la fixation des objectifs a-t-elle été ajoutée aux composantes du management des risques ?
En incluant la fixation des objectifs parmi les composantes du management des risques, une organisation peut identifier
les facteurs clés de succès nécessaires pour atteindre ses objectifs. Cela se fait en définissant des objectifs à la fois au
niveau global de l'organisation et au niveau plus détaillé des activités. Ces objectifs permettent d'identifier les éléments
essentiels pour la réalisation des objectifs, que ce soit au niveau de l'organisation, d'une unité, d'une fonction, d'un
département ou même d'un individu.

Combien de principes sont liés au COSO 2 ? et citez-les !

Il y a 20 principes liés au COSO 2. Il s’agit notamment :

L’entreprise doit exercer la surveillance des risques par les
organes de gouvernance
Définir la culture d’entreprise souhaitée
Attirer et former et fidéliser des personnes compétentes
L’appétence pour le risque
Définir les objectifs opérationnels
Évaluer la criticité des risques
Mettre en œuvre des modalités de traitement des risques
Évaluer les changement substantiels
Poursuivre l’amélioration du management des risques
Communiquer les informations lies aux risques
Définir les structures organisationnelle
Démontrer l’engagement en faveur de valeur
fondamentales
Analyser le contexte de l’organisation
Évaluer des stratégiques alternatives
Identifier les risques
Prioriser les risques
Développer une vision globale du portefeuille des
risques
Réexaminer les risques et la performances
Tirer parti de l’analyse des données
Rendre compte des risques, de la culture et de la
performance

NOTION D’ÉVENEMENT, DE RISQUE, D’OPPORTUNITÉ, ÉVALUATION…

Qu’est-ce que le management des risques ?

La gestion des risques désigne le processus par lequel une organisation administre et gère les différentes menaces ou
incertitudes qui pourraient affecter la réalisation de ses objectifs.

Comment le cadre COSO définit-il un événement ?

Selon le cadre COSO, un événement est soit un incident, soit une occurrence, qui peut provenir de sources internes ou
externes et qui a un impact sur la mise en œuvre ou la réalisation des objectifs. Ces événements peuvent avoir des
conséquences positives, négatives ou les deux à la fois.

Quelle est la portée temporelle de l'identification des événements ?

L'identification des événements couvre à la fois le passé et le futur, ce qui signifie qu'elle prend en compte les événements
qui ont déjà eu lieu ainsi que ceux qui pourraient se produire à l'avenir.

Pourquoi les techniques et outils d'identification d'événements sont-ils considérés comme cruciaux dans le
management des risques ?
Le cadre COSO souligne que les techniques et outils d'identification d'événements sont à la base du management des
risques, car ils permettent de détecter les risques ou les opportunités. Ils constituent le point de départ de la chaîne de
gestion des risques après la fixation des objectifs.

Quelle approche méthodologique est recommandée pour regrouper les événements ?

Le cadre COSO souligne l'importance de regrouper les événements en grandes catégories, telles que les distinctions entre
interne et externe ou selon les différentes catégories d'objectifs.

Comment le COSO 2 aborde-t-il l'incertitude dans la gestion des risques ?

Le COSO 2 affirme que l'incertitude est inhérente à toute organisation. Cette incertitude peut se traduire à la fois en
termes de risques et d'opportunités. Ces éléments peuvent potentiellement soit créer de la valeur, soit la détruire.

Comment les événements sont-ils liés aux notions de risques et d'opportunités selon le COSO 2 ?
Les événements peuvent avoir un impact négatif, positif ou les deux simultanément. Ceux ayant un potentiel d'impact
négatif sont considérés comme des risques, tandis que ceux ayant un potentiel d'impact positif peuvent compenser les
effets négatifs ou constituer des opportunités.

Comment le COSO 2 définit-il le risque ?

Le COSO 2 définit le risque comme la possibilité que des événements futurs impactent négativement la réalisation des
objectifs de l'organisation.

Comment le COSO 2 définit-il l’opportunité ?

Le COSO 2 définit l’opportunité comme la possibilité que des événements futurs impactent positivement la réalisation
des objectifs de l'organisation.

Quels sont les types de risques couverts par le COSO 2 ?

Le COSO 2 couvre une large gamme de risques, comprenant les risques opérationnels, financiers, stratégiques, de
conformité et autres risques pertinents pour l'organisation. Il englobe également les risques positifs ou opportunités qui
pourraient favoriser la réalisation des objectifs.

Que représentent la probabilité d'occurrence et l'impact dans le contexte de l'évaluation des risques ?
La probabilité d'occurrence représente la possibilité qu'un événement donné se produise, tandis que l'impact désigne les
conséquences résultant de la réalisation de cet événement.

Quelle est la définition du risque inhérent selon le cadre COSO ?

Le risque inhérent est le risque auquel une entité est exposée en l'absence de mesures correctives pour modifier la
probabilité d'occurrence ou l'impact.

Et comment est défini le risque résiduel selon le même cadre ?

Le risque résiduel est le risque auquel une entité reste exposée après avoir pris en compte les solutions mises en œuvre
par le management.

Qu’est-ce que le « Risk Appetite » ou appétence du risque ?

Le terme "Risk appetite" ou appétence du risque fait référence au niveau et à l'étendue des risques que l'organisation
est prête à prendre dans la poursuite de ses objectifs. Cela implique de définir les limites et les seuils au-delà desquels
les risques deviennent inacceptables ou excessifs.

Comment se définit la tolérance au risque selon le cadre COSO ?

La tolérance au risque est associée aux objectifs de l'organisation et représente le degré de variation que l'entité accepte en
ce qui concerne l'atteinte d'un objectif spécifique. Par exemple, pour un objectif de livraisons dans les délais de 98% au
minimum, on peut tolérer un taux de 97%. Cette tolérance au risque doit être mesurée dans la même unité que l'objectif
pour être un indicateur pertinent.

Pourquoi les données externes peuvent-elles également être utiles dans l'évaluation des risques ?
Les données externes peuvent être utiles soit pour servir de point de référence dans l'évaluation, soit pour renforcer
l'analyse des risques.
Quels sont les deux modes d'évaluation des risques selon le texte ?
Les deux modes d'évaluation des risques sont l'évaluation quantitative et l'évaluation qualitative.

Quelle est la principale différence entre les techniques quantitatives et qualitatives dans l'évaluation des risques ?
Les techniques quantitatives sont généralement plus précises et sont utilisées dans des activités complexes pour compléter
les techniques qualitatives.

Dans quels cas les organisations optent-elles pour une évaluation qualitative des risques plutôt qu'une évaluation
quantitative ?
Les organisations choisissent l'évaluation qualitative (faible, moyen, fort) lorsque les risques ne peuvent pas être
quantifiés, lorsqu'il n'y a pas suffisamment de données fiables pour une quantification, ou lorsque l'obtention et l'analyse
des données seraient trop coûteuses.

Quels sont les avantages du management des risques selon le cadre COSO ?
(1) Alignement de la stratégie :
Le management des risques permet d'harmoniser la stratégie de l'organisation avec son appétence pour
le risque.
(2) Renforcement des modes de traitement du risque :
Il améliore les méthodes de gestion des risques.
(3) Réduction des incidents et des pertes opérationnelles :
L'identification et l'analyse des risques conduisent à la création de solutions pour minimiser les coûts et
les pertes associés.
(4) Identification et gestion des risques transverses :
Il gère les risques de manière individuelle et globale en tenant compte des impacts liés.
(5) Traitement intégré des risques multiples :
Le dispositif gère la multitude de risques en les intégrant pour traiter efficacement la succession
d'événements générant des risques.
(6) Saisie des opportunités :
L'identification large des risques aide à repérer les opportunités et à élargir les perspectives.
(7) Optimisation de l'utilisation du capital :
Le management des risques évalue les besoins en capital de façon efficace, améliore son utilisation et
évite le gaspillage de ressources.

Quel est l'objectif principal du COSO 2 en matière de risques ?

L'objectif principal du COSO 2 est d'aider les organisations à gérer leurs risques de manière proactive et systématique
afin de protéger la valeur, d'améliorer la prise de décision, de renforcer la résilience face aux incertitudes et de favoriser
l'atteinte des objectifs fixés.

Comment le COSO 2 aborde-t-il la gestion des risques ?

Le COSO ERM fournit un cadre structuré pour identifier, évaluer, gérer et surveiller les risques. Il encourage l'intégration
de la gestion des risques dans les processus opérationnels et la prise de décisions stratégiques, favorisant ainsi une
culture du risque au sein de l'organisation.

Comment le COSO 2 considère-t-il les opportunités liées aux risques ?

Le COSO 2 reconnaît que les risques peuvent également présenter des opportunités. Il encourage les organisations à
exploiter, améliorer, partager ou accepter l’opportunité.

Quelle est la contribution du COSO 2 à la gouvernance d'entreprise ?

Le COSO 2 renforce la gouvernance d'entreprise en aidant les conseils d'administration et la direction à avoir une vision
plus complète des risques et opportunités. Il permet une meilleure compréhension des enjeux liés à la réalisation des
objectifs tout en assurant une gestion équilibrée des risques.

Quelles sont les quatre étapes pour du processus de gestion des risques et en quoi consistent-elles ?
Les quatre étapes pour une gestion optimale des risques sont :
 - L’identification des risques :
Implique de passer en revue les activités, les processus et les objectifs de l'organisation pour identifier
les sources potentielles de risques, qu'ils soient internes ou externes.
Il peut s'agir de risques opérationnels, financiers, de conformité, stratégiques, technologiques, etc.
L'objectif est de dresser une liste exhaustive des risques auxquels l'organisation pourrait être exposée.

- L’évaluation des risques :

Une fois les risques identifiés, ils sont évalués en termes de probabilité de survenance et d'impact
potentiel sur l’atteinte des objectifs de l’organisation. Cette évaluation permet de classer les risques en
fonction de leur gravité et de leur priorité. Les évaluations quantitatives (chiffrées) et qualitatives
(basées sur l'expertise) peuvent être utilisées pour mieux comprendre les risques.

- Le traitement des risques :

Une fois les risques évalués, l’organisation peut traiter le risque de 4 façons :

1. Éviter/Exploiter : élimination totale du risque / Exploitation de l’opportunité.

2. Atténuer/Améliorer : Réduire l'impact ou la probabilité des risques en mettant en place des mesures
préventives ou correctives. (externalisation ou sous-traitance, par exemple). Accroître (pour une
opportunité) la probabilité d’occurrence dans le cas d’une opportunité.
3. Transférer/partager : Décharger la responsabilité des risques sur des tiers via des contrats d'assurance,
des partenariats ou des accords contractuels ou partager les bénéfices d’une opportunité réalisée.
4. Accepter : lorsque le risque inhérent se situe déjà au niveau de la tolérance au risque, la solution
consiste à n'engager aucun coût spécifique pour modifier la probabilité d'occurrence ou l'impact du
risque tolérable.

- Le monitoring et reporting des risques :

Le monitoring implique la surveillance continue des opérations pour détecter tout signe de risque ou
de déviation par rapport aux normes établies. Le reporting consiste à rassembler, analyser et
communiquer les informations pertinentes sur les risques aux parties prenantes, telles que la direction
et les auditeurs internes ou externes.

Comment définiriez-vous la criticité du risque ?

La criticité du risque désigne l'ampleur de l'impact que le risque peut avoir sur l’atteinte des objectifs de l'organisation.

Qu'est-ce que la cartographie des risques ?

La cartographie des risques dans le contrôle interne est la représentation visuelle des risques auxquels une organisation
est exposée, en mettant en évidence la probabilité et l’impact.

Comment la cartographie des risques peut-elle aider une organisation ?

La cartographie des risques permet de prioriser et de gérer plus efficacement les risques au sein de l'organisation.

Comment le dispositif de management des risques est-il lié au processus de management global ?
Le dispositif de management des risques intègre des éléments du processus de management global, ce qui aide la
direction à prendre des décisions éclairées. Cependant, il est important de noter que même si de bons choix ont été
faits, cela ne garantit pas automatiquement l'efficacité du dispositif de gestion des risques.
 SECTION 4 : COSO ERM 2017 ou COSO 2 2017

Le COSO ERM 2017 met davantage l'accent sur l'intégration de la gestion des risques dans l'ensemble de l'organisation,
en insistant sur la culture, la gouvernance et la stratégie. Il tient compte des évolutions du paysage commercial, y
compris les risques liés à la technologie, à la mondialisation et à la réglementation.

Le COSO ERM 2017 est structuré de la manière suivante : par 5 composants et 20 principes.

Les 5 composantes du COSO ERM 2017 :

- Gouvernance et culture
- Stratégie et définition des objectifs
- Performance
- Revue et amendement
- Information, communication et reporting

Les 20 principes sont repartis entre les 5 composants de la manière suivante :

1. Gouvernance et Culture (Governance and Culture) :

- Ce composant concerne la mise en place de la structure de gouvernance nécessaire pour superviser la gestion des
risques au sein de l'organisation. Il englobe également la création d'une culture organisationnelle qui encourage une
prise de conscience et une gestion proactive des risques à tous les niveaux.

2. Stratégie et Objectifs (Strategy and Objective-Setting) :

- Ce composant se concentre sur l'alignement de la gestion des risques avec les objectifs stratégiques de l'organisation.
Il s'agit de déterminer comment les risques peuvent affecter la réalisation des objectifs stratégiques et comment les
décisions stratégiques peuvent influencer les risques.

3. Performance (Performance) :
La gestion des risques doit être intégrée dans les opérations quotidiennes de l'organisation. Ce composant implique
l'évaluation continue de la performance en matière de gestion des risques pour s'assurer que les processus fonctionnent
efficacement et que les objectifs sont atteints.

4. Révision et Amélioration (Review and Improvement) :

- La gestion des risques n'est pas statique. Ce composant concerne l'évaluation régulière des processus de gestion des
risques pour identifier les améliorations potentielles. Cela inclut également la mise en place de mécanismes pour
s'adapter aux changements dans l'environnement des risques.

5. Information, Communication et Suivi (Information, Communication and Reporting) :

La communication efficace des informations liées aux risques est essentielle pour permettre une prise de décision
éclairée. Ce composant implique la collecte, l'analyse et la diffusion d'informations pertinentes sur les risques à toutes
les parties prenantes internes et externes.

Ces cinq composants du COSO ERM 2017 sont interconnectés et doivent fonctionner de manière synergique pour créer
un cadre de gestion des risques robuste et adapté aux besoins de l'organisation. L'objectif global de ce cadre est d'aider
les organisations à gérer de manière proactive les risques tout en favorisant la réalisation de leurs objectifs stratégiques.
CHAPITRE 3 : GOUVERNANCE D’ENTREPRISE

Qu'est-ce que la gouvernance d'entreprise et quel est son rôle ?

La gouvernance d'entreprise est un ensemble de règles adoptées par une entreprise pour équilibrer les pouvoirs au sein
de sa direction, de son management et entre les parties prenantes. Son rôle est de créer un équilibre entre les intérêts
des actionnaires et ceux des autres parties prenantes tout en mettant l'accent sur la responsabilité sociale de
l'entreprise.

Quels sujets peuvent être abordés par les procédures de gouvernance d'entreprise ?
- Les procédures de gouvernance d'entreprise peuvent aborder différents sujets, tels que :
1. Le mode de prise de décision basé sur la concertation.
2. Le pouvoir des managers, en particulier des managers exécutifs.
3. La nomination et la rémunération des dirigeants.
4. L'élaboration des stratégies.
5. Le pilotage de la performance.
6. Le reporting et l'audit.
7. La conformité aux règlements légaux, comptables, fiscaux ou spécifiques à l'entreprise.

Quels sont les objectifs de la gouvernance d'entreprise et comment équilibre-t-elle les intérêts des parties prenantes ?
Les objectifs de la gouvernance d'entreprise sont d'équilibrer les intérêts des actionnaires et des autres parties
prenantes tout en mettant l'accent sur la responsabilité sociale de l'entreprise. Elle réalise cela en cherchant un équilibre
entre les intérêts des actionnaires et ceux des autres parties prenantes, et en tenant compte de l'ensemble des parties
prenantes et de leurs intérêts.

Quels sont les deux types de gouvernance d'entreprise et comment se différencient-ils ?

Les deux types de gouvernance d'entreprise sont la gouvernance actionnariale (modèle shareholders) et la gouvernance
partenariale (modèle stakeholders). La gouvernance actionnariale privilégie les intérêts de l'actionnariat en offrant un
contrôle sur les actions déployées en entreprise et en visant un équilibre actionnaire/dirigeant. En revanche, la
gouvernance partenariale prend en compte l'ensemble des parties prenantes et leurs intérêts, allant au-delà de la
rentabilité et incluant des éléments tels que les consommateurs ou l'environnement.

Comment la gouvernance partenariale diffère-t-elle de la gouvernance actionnariale en termes de vision stratégique ?

La gouvernance partenariale diffère de la gouvernance actionnariale en adoptant une vision stratégique plus large. Dans
la gouvernance partenariale, la valeur générée par l'entité intègre d'autres éléments que la rentabilité et l'augmentation
de la richesse actionnariale, tels que les consommateurs et l'environnement.

EXPLICATION DU SCHEMA DE LA RELATION ENTRE ENTRE LA GOUV, LE CI ET LE RISQUE

La risque étant omniprésent dans la société, la GOUVERNANCE doit l’EVALUER et entreprendre les actions nécessaires
jusqu’à ce que l’organe inférieur lui fasse le REPORTING.

Quelles sont les principes de gouvernance d’entreprise ?

LES ORGANES DE GOUVERNANCE

Quelles sont les différents organes de gouvernance dans les sociétés commerciales ?
Dans les sociétés commerciales on a généralement 3 grands organes, l’organe suprême, les organes de gestions et les
organes de gestion et d’administration.

Quel est le rôle de la direction générale ?

La Direction Générale (DG) d'une entreprise est responsable de la définition des orientations stratégiques, de la
coordination des services, de la gestion des défis et de la prise de décisions clés liées aux finances, au marketing, à la
politique sociale, à la gestion du personnel, etc. Son rôle essentiel est de façonner l'avenir de l'entreprise. Dans l'espace
OHADA, la DG peut être dirigée par un gérant pour certaines formes de sociétés ou par différents types de dirigeants tels
que Président, Administrateur général, Directeur Général Adjoint, etc. En matière de contrôle interne, la DG a la
responsabilité de définir, mettre en place et surveiller le dispositif de contrôle interne.

Quel est le rôle du conseil d’administration ?

Le Conseil d'Administration (CA) a quatre missions principales :
1) définir la stratégie de la société,
2) choisir l'organisation de la société et nommer les dirigeants,
3) contrôler la mise en œuvre des choix stratégiques par la direction générale,
4) garantir la qualité de l'information aux actionnaires et aux marchés via les comptes annuels et opérations majeures.

En termes de contrôle interne, le CA surveille le dispositif. Il peut comporter des comités tels que le Comité d'Audit
(surveillance financière, audit interne, engagement de l'auditeur externe), le Comité de Gouvernance et d'Éthique
(pratiques de gouvernance), ainsi que des comités spécialisés (crédit, risques, surveillance).

Quel est le rôle de l’assemblée générale ?

L'assemblée générale des actionnaires dans l'espace OHADA joue un rôle souverain au sein de la société. Tout
actionnaire peut y participer, sauf exceptions. Il existe quatre types d'assemblées : la constitutive, qui se réunit à la
création de la société, l'ordinaire pour prendre des décisions non statutaires, l'extraordinaire pour les modifications
statutaires, et la spéciale pour les droits des actionnaires. L'assemblée assure un rôle de coordination et de contrôle
interne, agissant comme chef d'orchestre entre les organes de gouvernance.

RESPONSABILITE DES ORGANES DE GOUVERNANCE EN MATIERE DE CONTROLE INTERNE

Dans l’espace OHADA, quelles sont les responsabilités civiles des administrateurs ?
Dans l'espace OHADA, les administrateurs sont sujets à diverses responsabilités civiles, notamment pour des omissions
dans les statuts, des irrégularités lors de modifications statutaires, des dommages résultant de l'annulation de la société,
des pertes dues à des conventions désapprouvées, des infractions législatives et statutaires, ainsi que des fautes de
gestion. Les décisions de l'assemblée générale ne peuvent pas éteindre les actions en responsabilité. La responsabilité
des actionnaires peut être engagée pour manquement à leurs engagements envers la société, avec des limitations en
fonction des formes de sociétés.

Dans l’espace OHADA, quelles sont les responsabilités pénales des administrateurs ?
Dans l'espace OHADA, les administrateurs sont susceptibles de faire face à des responsabilités pénales, notamment pour
des actions telles que la distribution de dividendes fictifs, la publication d'états financiers trompeurs, les abus de biens
sociaux, l'entrave à la participation à une assemblée, les délits liés aux émissions d'actions, les infractions au droit de
souscription préférentielle, la présentation de rapports inexacts à l'assemblée, la non-provocation de la désignation du
commissaire aux comptes, et d'autres délits liés aux obligations légales et réglementaires des entreprises.
LE MODÈLE DES TROIS LIGNES DE MAÎTRISE (POUR + de détails voir PDF « three lines … » dans dossier COSO)

Qu’est-ce que le modèle des trois lignes de maîtrise ?

Le modèle des "Trois Lignes de Maîtrise" est un concept de gouvernance d'entreprise qui a émergé comme un moyen de
clarifier les responsabilités en matière de gestion des risques, de conformité et de gouvernance au sein d'une
organisation. Ce modèle vise à améliorer la gestion des risques et la prise de décision au sein de l'entreprise en
définissant les rôles et les responsabilités des différentes parties prenantes.

Quelles sont ses trois lignes de maîtrise ?

Première Ligne de Maîtrise (Management opérationnel) : Il s'agit des fonctions opérationnelles de l'entreprise,
notamment les équipes opérationnelles, les ventes, la production, etc. La première ligne est responsable de la
gestion quotidienne des risques et de la conformité dans le cadre de ses activités. Elle doit mettre en œuvre les
politiques et les procédures de gestion des risques établies par la direction.

Deuxième Ligne de Maîtrise (Risk Management) : La deuxième ligne de maîtrise regroupe les fonctions de gestion des
risques, de conformité et de contrôle interne. Cela inclut les départements de gestion des risques, de conformité,
d'audit interne, de contrôle interne et d’assurance. La deuxième ligne a pour rôle de surveiller et de conseiller la
première ligne en matière de gestion des risques et de garantir que les politiques et les procédures sont suivies de
manière appropriée.

Troisième Ligne de Maîtrise (Audit indépendant) : La troisième ligne de maîtrise est généralement composée du
département d'audit interne ou d'une fonction similaire, indépendant et rattaché au plus haut niveau de
l’organisation, qui fournit à travers une approche fondée sur le risque, une assurance globale aux instances de
surveillance et à la direction générale de l’organisation. Cette assurance globale couvre l’efficacité des deux
premières lignes de maîtrise et de la gouvernance de l’organisation. Elle englobe tous les éléments du cadre de
maîtrise des risques : des processus d’identification et d’évaluation au dispositif de contrôle interne pour atténuer les
risques.

L’audit externe constitue une source importante d’informations et d’assurance raisonnable pour les actionnaires, les
investisseurs potentiels et plus généralement toutes les parties prenantes de l’organisation.

SCHÉMA DU MODÈLE DES TROIS LIGNES DE MAÎTRISE