Fiabiliser la stratégie par une gestion
organisée des risques
Trois lignes de Maîtrise
pour une meilleure
performance
3© AMRAE - IFACI - 2013
e challenge de nos organisations – entreprises et secteur public – est d’assurer l’atteinte
de leurs objectifs stratégiques et opérationnels dans les meilleures conditions de confor-
mité et d’efficacité. Cela passe par l’optimisation de leurs dispositifs de maîtrise des
risques.
Ce document est une aide concrète pour y parvenir. En effet, les lignes directrices qui y sont
décrites ont pour objectif de renforcer, d’un côté, les capacités de pilotage et de supervision
des Directions Générales et des Comités d'Audit sur les activités d’une organisation, et de
l’autre, la clarté et la cohérence des fonctions qui y contribuent. Elles s’appuient notamment
sur les travaux réalisés en Europe par les organismes professionnels concernés par la gou-
vernance :
instituts d'audit interne : IFACI en France et ECIIA en Europe,
associations de Risk Managers : AMRAE en France et FERMA en Europe,
instituts des administrateurs : IFA en France et EcoDa en Europe.
Sans coordination entre elles, les activités de management des risques, d’assurance et de
supervision perdent en efficacité.
L’AMRAE et l’IFACI ont partagé leur vision d’une organisation intégrée face aux risques pour
en présenter, pour la première fois, une version francophone unique et cohérente.
Ce document est articulé autour de 6 questions essentielles quant à l’intérêt de l’organisation
du dispositif de maîtrise des risques organisé en trois lignes distinctes et complémentaires.
Farid Aractingi Gilbert Canaméras
Président de l’IFACI Président de l’AMRAE
L
a maîtrise des risques est essentielle au développement de toute entreprise
et, en son absence, sa survie peut être menacée. Les administrateurs, le comité
d'audit sont ainsi particulièrement vigilants quant à la mise en œuvre des res-
sources et moyens contribuant à l'objectif de maîtrise des risques. Dans ce cadre, l'Institut
Français des Administrateurs soutient pleinement l'initiative conjointe de l'IFACI et le
l'AMRAE. Ce document de synthèse sur le dispositif des trois lignes de maîtrise des risques
est un outil facilitant la diffusion et l'intégration de ce concept dans l'organisation des
entreprises. Il contribuera à renforcer l'assurance raisonnable apportée par la direction
et par l'audit interne au comité d'audit que les risques acceptables résultant de la stra-
tégie sont identifiés et maîtrisés.
Daniel Lebègue
Président de l’Institut Français des Administrateurs (IFA)
L
Trois lignes de Maîtrise pour une meilleure performance
4 © AMRAE - IFACI - 2013
Introduction
L’adoption d'un référentiel partagé de gestion des risques et de contrôle interne, la coordi-
nation de l’ensemble des activités liées à la maîtrise des risques conjuguées et la mise en
œuvre d’un modèle de gouvernance efficace permettent aux organisations :
de prendre des risques maîtrisés et de saisir des opportunités ;
de fiabiliser la formulation de leur stratégie, sa mise en œuvre et la performance des
activités ;
d’affecter leurs ressources proportionnellement aux véritables enjeux ;
de communiquer de manière appropriée avec tous leurs partenaires ;
d’aligner l’organisation sur une vision globale et commune des risques.
Ce document a un double objectif :
Dans un premier temps, il propose un modèle de gouvernance fondé sur trois lignes de maî-
trise.
Dans un second temps, il identifie au travers de questions-réponses, les apports d’un système
organisé de maîtrise des risques.
5© AMRAE - IFACI - 2013
Une appréhension
globale des
dispositifs de
gestion des
risques et de
contrôle interne
Pour les dirigeants, il est primordial de concourir
à la croissance, la performance et à la pérennité
de l'organisation. Pour ce faire, il faut répondre à
des problématiques cruciales, notamment eu
égard aux responsabilités du Conseil d’Adminis-
tration :
Comment les objectifs de l’organisation
sont-ils déclinés et mis en cohérence avec
les missions de l’organisation ?
Les risques significatifs sont-ils identifiés et
évalués dans tous les domaines de l’organi-
sation ?
Les réponses aux risques sont-elles appro-
priées, proportionnées et alignées avec l’ap-
pétence pour le risque de l’organisation ?
Les contrôles pour éviter ou limiter les
risques sont-ils adéquats et efficaces ?
Les responsabilités et les structures organi-
sationnelles sont-elles suffisamment claires
pour permettre de décider efficacement en
cas de survenance des risques ?
Les informations utiles sur le risque sont-
elles recueillies et communiquées en temps
voulu à l’ensemble de l’organisation pour
permettre aux collaborateurs, au manage-
ment et au Conseil de s’acquitter de leurs
responsabilités ?
Les fonctions dédiées comme la gestion de
risques, le contrôle et l’audit internes représen-
tent les meilleurs moyens pour répondre à ces
questions lorsqu’elles s’appuient sur des bases
solides. La définition et l’adoption d’un système
d’information partagé pour les dispositifs de ges-
tion des risques et de contrôle interne consti-
tuent une clé de succès pour un bouclage
efficace des objectifs stratégiques, chaque fonc-
tion comprenant et diffusant clairement les
objectifs recherchés
1
.
Une approche exhaustive et transversale de
l’évaluation des risques représente un élément
clé de la gouvernance et doit :
assurer une couverture complète de tous
les risques significatifs ;
identifier les risques et en avoir une vision
consolidée ;
veiller à ce que les risques soient clairement
corrélés aux objectifs de l’entité ;
favoriser une affectation appropriée et pro-
portionnée des ressources aux fonctions de
contrôle chargées de s’assurer de la maîtrise
des activités afin d’éviter de dépasser les
limites acceptables.
Les démarches utilisées pour identifier les
risques doivent permettre d’être le plus exhaustif
possible sans être biaisées en étant trop axés sur
des aspects réglementaires ou sur d’autres
points spécifiques. Ces dernières années, l’atten-
tion des organisations était parfois focalisée sur
des domaines de risques particuliers, comme les
risques juridiques ou financiers, du fait de l’évo-
lution de la réglementation. Mais à suivre cette
stratégie, les organisations ont pu accorder une
attention et affecter des ressources trop impor-
tantes à ces risques particuliers, au détriment
d’autres risques.
Le processus d’identification des risques doit
pouvoir se dérouler à la fois au niveau de la direc-
tion de l’entité et au niveau opérationnel. Les
fonctions chargées d’évaluer des risques spéci-
fiques doivent contribuer au dispositif global de
gestion des risques de l’organisation. Ce dispo-
sitif a pour objet de hiérarchiser les risques en
fonction de leur corrélation avec les objectifs, les
valeurs ou les ressources de l’entité. En outre, il
doit prendre en compte l’importance de l’impact
potentiel des risques combinés sur un ou plu-
sieurs objectifs.
1
1
Les notions de gestion des risques, d’audit interne et de
dispositif de contrôle interne sont définis en annexe.
Trois lignes de Maîtrise pour une meilleure performance
6 © AMRAE - IFACI - 2013
L’adoption d’un référentiel global et systéma-
tique de gestion des risques, tels que le cadre de
référence de l’AMF, COSO II
2
(ERM
3
) ou ISO 31000,
a pour objectif de garantir une approche struc-
turée pour identifier les niveaux réels de risques
dans tous les domaines de l’organisation, du
risque stratégique à ceux liés aux domaines opé-
rationnels, financiers et de conformité. L’ERM
contribue à une gouvernance interne efficace et
intégrée. Ce cadre peut, par ailleurs, être utilisé
dans le secteur privé comme dans le secteur
public
4
.
L’ERM doit être intégré au sein de tous les pro-
cessus de l’organisation. Son déploiement est
généralement facilité par une communication
efficace et par l’intégration du projet ERM aux
processus de planification et de reporting glo-
baux au travers, notamment, de dispositifs inci-
tatifs et d’indicateurs de risque.
Mais avant tout, l’ERM doit bénéficier d’un sou-
tien indéfectible de la Direction Générale.
Modèle des trois lignes de maîtrise
2
Le management des risques de l’entreprise :
COSO II report / IFAC, PWC. – 2005.
3
Enterprise-wide Risk Management - dénomination
internationale du dispositif de gestion globale des risques
4
Guidelines for Internal Control Standards for the Public Sector –
INTOSAI GOV 9100 - 2004 - L'INTOSAI reconnaît l’intérêt d’une
telle démarche et a, en particulier, développé des lignes
directrices concernant le contrôle interne.
Fonctions participant au dispositif de maîtrise globale des risques
Les organisations ont besoin
d’une responsabilité clairement définie en matière de maîtrise
des risques
Il appartient à la Direction Générale de conce-
voir et de gérer des dispositifs efficaces de
gestion des risques et de contrôle interne. Le
modèle des « trois lignes de maîtrise » fournit
des recommandations utiles sur la définition
claire des responsabilités en matière de ges-
tion des risques et de contrôle interne.
2
ème
ligne de maîtrise
Conseil d’administration / Comité d’audit
Régulateurs
Audit externe
Direction générale
1
ère
ligne de maîtrise 3
ème
ligne de maîtrise
Management
opérationnel
Audit
interne
S.I.
R.H.
Juridique
Finance
HSE
Contrôle
de gestion
...
assurance
conformité
gestion des risques
contrôle interne
7© AMRAE - IFACI - 2013
Un modèle
efficient structuré
en trois lignes de
maîtrise
La Direction Générale est au cœur du dispositif
de maîtrise globale des risques. Sa structure en
« trois lignes de maîtrise
5
» est une approche per-
tinente des rôles et responsabilités du manage-
ment opérationnel, des fonctions transverses, et
de l’audit interne.
Des activités de contrôles définies et mises
en œuvre par les opérationnels
La première ligne de maîtrise des activités est
constituée par les managers opérationnels, res-
ponsables de l’évaluation et de la diminution des
risques, notamment par la mise en œuvre d’un
dispositif de contrôle adéquat, portant sur les
processus dont ils ont la charge. Cette première
ligne permet la maîtrise des activités au jour le
jour en mettant en œuvre les pratiques les plus
efficaces de gestion des risques au niveau de
chaque processus et en communiquant les
informations appropriées à la deuxième ligne de
maîtrise.
Un dispositif structuré et coordonné par la
deuxième ligne de maîtrise
La deuxième ligne de maîtrise est constituée des
services fonctionnels responsables de domaines
d’expertise et des fonctions dédiées à l’anima-
tion du dispositif global de maîtrise des risques
(fonctions de gestion des risques, de contrôle
interne, d’assurance, de conformité...). Ces ser-
vices disposent en effet d’une expertise et d’un
savoir-faire uniques pour l’analyse des organisa-
tions et de compétences essentielles en matière
d’activités de contrôle.
Elle a pour objectif la structuration et la mainte-
nance du dispositif de maîtrise des activités de
l’organisation, notamment en :
assistant les opérationnels dans l’identifica-
tion et l’évaluation des principaux risques
relevant de leur domaine d’expertise ;
proposant des politiques et des procédures
de groupe par domaine d’activité ;
contribuant avec les opérationnels à la
conception des contrôles les plus perti-
nents ;
développant les meilleurs pratiques et les
échanges (benchmarks) ;
observant et en rendant compte du fonc-
tionnement effectif des processus.
Pour être efficace, il est donc nécessaire de
recenser préalablement les rôles et les responsa-
bilités des fonctions qui concourent à la défini-
tion et à la maintenance du dispositif global de
maîtrise des risques.
Une évaluation globale et indépendante du
dispositif conduite par la troisième ligne
En tant que troisième ligne de maîtrise des acti-
vités, une fonction d’audit interne indépendante
et rattachée au plus haut niveau de l’organisa-
tion fournit, à travers une approche fondée sur
le risque, une assurance globale aux instances
de surveillance et à la direction générale de l’or-
ganisation.
Cette assurance globale couvre l’efficacité des
deux premières lignes de maîtrise et de la gou-
vernance de l’organisation. Elle englobe tous les
éléments du cadre de maîtrise des risques : des
processus d’identification et d’évaluation au dis-
positif de contrôle interne pour atténuer les
risques.
Pour un audit interne efficace :
Toutes les organisations devraient se doter
d’un service d’audit interne structuré.
Les rattachements hiérarchique et fonc-
tionnel du responsable de l’audit doivent
renforcer l’indépendance organisationnelle
de la fonction.
2
5
La notion de « 3 lines of defense » a été développée par un
partenariat en ECIIA et FERMA.
Trois lignes de Maîtrise pour une meilleure performance
8 © AMRAE - IFACI - 2013
Un dispositif donnant une vision éclairée
des risques pris ou à prendre
Le dispositif de maîtrise globale des risques
couvre l’ensemble des processus stratégiques et
opérationnels qui donnent à la Direction Géné-
rale une vision éclairée des risques. Cette der-
nière décline la stratégie, met en œuvre les
moyens pour y parvenir et utilise ce dispositif
comme un outil d’aide à la décision.
Pour exercer pleinement ses missions telles que
définies notamment par la loi, les statuts, la
charte du comité d’audit, le comité d’audit a un
« devoir d’impulsion ». Ce n’est pas son rôle de
piloter la mise en place du dispositif des trois
lignes de maîtrise. Toutefois, il devrait s’assurer
que les moyens sont déployés afin que ce dis-
positif, adapté au contexte de l’organisation, soit
effectivement mis en œuvre et régulièrement
évalué.
Les commissaires
aux comptes et
les régulateurs,
partenaires
externes du
dispositif des trois
lignes de maîtrise
Ce dispositif de maîtrise des risques couvre l’en-
semble des processus stratégiques et opération-
nels qui donnent à la Direction Générale, au
conseil d’administration (ou de surveillance) et
au comité d’audit une assurance raisonnable sur
la fiabilité des informations financières et extra-
financières, et notamment celles qui sont com-
muniquées aux actionnaires, au marché, aux
régulateurs et aux autres parties prenantes.
Parallèlement, l’audit externe constitue une
source importante d’informations et d’assurance
raisonnable pour les actionnaires, les investis-
seurs potentiels et plus généralement toutes les
parties prenantes de l’organisation.
Il existe de nombreuses normes et recomman-
dations décrivant comment un auditeur externe
peut utiliser les travaux de l’audit interne qui
constituent une base importante pour le com-
missaire aux comptes. Ces travaux permettent
par ailleurs à l’auditeur externe d’apprécier les
points forts de l’organisation et de gérer les
conséquences des faiblesses importantes sus-
ceptibles d’avoir un impact sur les processus de
diffusion de l’information financière.
Pour autant, l’audit interne ne doit pas être utilisé
en tant que sous-traitant du commissaire aux
comptes. En plus de limiter la capacité d’action
de l’audit interne, cela remettrait en cause le
positionnement du commissaire aux comptes
qui se doit, pour accomplir sa mission, de rester
« externe » à l’organisation.
Un dialogue régulier entre le comité d’audit, le
commissaire aux comptes et l’audit interne sur
les activités et les constatations de l’audit interne
et de l’audit externe renforcera la solidité du dis-
positif global de maîtrise des risques.
3
9© AMRAE - IFACI - 2013
Le pilotage de nos
activités est efficace.
Quels avantages
supplémentaires
aurions-nous à
déployer et à maintenir
un système organisé de
gestion des risques ?
La conduite efficace des activités repose sur une
prise de risque maîtrisée. Pour atteindre leurs
objectifs, les managers engagent l’organisation,
prennent des risques dans les limites possibles,
puis définissent et mettent en œuvre les traite-
ments adaptés à chaque risque.
Dans cet esprit, un système organisé de maîtrise
des risques, au cœur duquel se trouve la Direc-
tion Générale, permet :
de définir le cadre de la gestion des risques,
ses limites, les acteurs et leurs rôles ; les liens
existant avec le Contrôle Interne, le Juri-
dique, les Assurances, mais aussi les opéra-
tions et toutes les fonctions ;
de diffuser le processus nécessaire à l’éva-
luation des risques et à la mise en œuvre
par les opérationnels des traitements les
plus efficaces ;
de prendre des risques maîtrisés en ajustant
les activités de contrôle correspondantes ;
de faciliter la consolidation d’informations
fiables et pertinentes ;
de partager les expériences des opération-
nels, faire émerger les meilleures pratiques
et les consolider au niveau stratégique ;
de mieux répondre aux attentes des légis-
lateurs, des régulateurs et des autres parties
prenantes, dont le comité d'audit.
En définitive, l'utilisation d'un système organisé
de maîtrise des risques permet d'optimiser la
performance de l’organisation en donnant aux
managers un cadre, une latitude, un champ de
responsabilité, des outils et, parallèlement, en
l‘ajustant des dispositifs de traitement à la prise
de risque souhaitée.
Le risque zéro n’existe
pas : jusqu’où faut-il
investir dans des
dispositifs de maîtrise
des risques et de
contrôle interne ?
La prise de risque est naturelle, courante et sou-
haitable dans toute organisation. L’objectif d’un
dispositif organisé de maîtrise des risques n’est
pas uniquement de réduire les risques mais de
permettre à l’organisation de bien les identifier
et de décider quels risques elle souhaite prendre.
Ce positionnement de l’organisation vis-à-vis de
niveaux de risques qu’elle juge souhaitables et
acceptables détermine la nature des solutions
que le management adoptera pour les traiter.
Par exemple :
élaborer et mettre en œuvre des plans de
réduction de la probabilité d’occurrence
(prévention) ou de l’impact du risque (pro-
tection) ;
transférer ou partager le risque avec un
tiers ;
cesser certaines activités à l’origine du
risque ;
accepter les risques dont le traitement
serait disproportionné par rapport à la
réduction escomptée ;
utiliser certains risques pour en faire des
opportunités.
1
2
Questions – Réponses
Trois lignes de Maîtrise pour une meilleure performance
10 © AMRAE - IFACI - 2013
Nous devons être
flexibles et réactifs. Un
référentiel de maîtrise
des risques n'est-il pas
bureaucratique et
source de rigidités ?
Un système organisé de maîtrise des risques
permet de réaliser des synergies entre les fonc-
tions transverses contribuant au dispositif de
gestion des risques. Il s’agit de :
fonctions dédiées à la maîtrise des risques
(direction de la gestion des risques, direc-
tion du contrôle interne, conformité règle-
mentaire...) ;
toutes les fonctions support, qualité, res-
sources humaines, finance, organisation,
contrôle de gestion, systèmes d’informa-
tion, HSE, développement durable...
Le dispositif de maîtrise des risques ne doit pas
imposer de solutions prédéfinies à mettre en
œuvre de façon mécanique. Le référentiel doit
être suffisamment adaptable pour permettre la
prise en compte de changements dans l’organi-
sation ou du lancement de nouveaux produits
ou projets. Son objectif principal reste de distin-
guer les risques acceptables de ceux qui ne le
sont pas.
Au sein de l’organisation, lors d’une acquisition
ou du développement rapide d’une activité, un
dispositif de gestion des risques réactif cherche
à analyser objectivement les menaces et les
opportunités potentiellement manquées dans
les limites des risques acceptables.
La prise de décision
nécessite des
informations
pertinentes et fiables.
En quoi un système de
maîtrise des risques
contribue-t-il à
améliorer cette
fiabilité ?
Le développement du système d'information
entraîne une multiplication des données à tous
les niveaux de l’organisation et constitue un actif
précieux. Générées pour des usages initiaux dif-
férents et dans des conditions très diverses, ces
données doivent être fiabilisées et consolidées
pour devenir de véritables aides à la décision :
obtenir à temps les informations pour la
conduite d’un projet majeur ;
fournir une information juste et adéquate
aux parties prenantes externes (clients, par-
tenaires, législateurs, superviseurs) ;
s’assurer que des organisations compara-
bles (concurrents par exemple) n’ont pas
identifié des risques non traités dans notre
organisation, et assurer une veille des inci-
dents majeurs connus.
La description de l’environnement interne et de
l’organisation des délégations du référentiel par-
tagé de maîtrise des risques, permet d'expliciter
les responsabilités et de formaliser le cadre orga-
nisationnel du reporting. Ceci permet de locali-
ser les sources d’information puis d’établir les
canaux de validation pertinents et les responsa-
bilités appropriées en matière de communica-
tion externe notamment.
Par ailleurs, la hiérarchisation des informations et
le dimensionnement des dispositifs de contrôle
réalisés dans le cadre d’une gestion organisée
des risques assurent l'efficience du processus
d'information ; de la collecte des données à leur
stockage, en passant par leur transformation et
leur exploitation.
3 4
11© AMRAE - IFACI - 2013
Notre organisation est
multirégionale,
multisectorielle. Le
déploiement d’un
référentiel unifié de
maîtrise des risques
peut-il trouver du sens
dans toutes ces
entités ?
Comment assurer une
vision consolidée de
toutes les informations
disparates qui sont
remontées ?
Face à la complexité des organisations qui voient
souvent se côtoyer des métiers et des cultures
différentes, un dispositif global de maîtrise des
risques donne une orientation et des éléments
de langage communs. Le référentiel et les
méthodes partagés par un réseau de correspon-
dants, témoins de la culture risque des entités,
facilitent la consolidation d’informations dispa-
rates et apportent au management opérationnel
une boîte à outils adaptable aux différentes acti-
vités.
En renfort de la 1
ère
ligne de maîtrise des activités,
située chez les opérationnels, la 2
ème
ligne, avec
notamment les fonctions de gestion des risques,
de contrôle interne, de conformité..., exerce un
rôle prépondérant dans la diffusion et l’explicita-
tion des principes de la gestion des risques. Par
les méthodes, l’organisation et les outils
déployés, ces fonctions animent et font vivre le
dispositif.
Une cartographie des
risques n’est jamais
exhaustive. Comment
nous préparer à réagir
face à une situation
imprévue ?
« Prévenir et non subir » : le dispositif de maîtrise
des risques a comme objectif de savoir réagir aux
situations prévues comme à celles qui ne l’au-
raient pas été. Même les pires catastrophes se
produisent, et si les risques majeurs ne se réali-
sent généralement pas exactement comme ils
avaient été anticipés et imaginés, l’étude de scé-
narios de risques permet à l’organisation de pré-
voir l’activation des mécanismes de protection
et de les tester.
Parmi ces mécanismes, on peut notamment
trouver :
un plan de continuité d’activité ;
un plan de gestion de crise ;
une communication de crise ;
la mobilisation d’experts ;
l’organisation des compensations finan-
cières par les assureurs.
Un dispositif de maîtrise des risques efficace
permet d’identifier les signes avant-coureurs et
de réagir dès le premier stade de l’incident pour
en minimiser l’impact.
S’exercer à envisager l’inimaginable, se mettre en
capacité d’exploiter la base de connaissance de
l’organisation en matière de gestion des risques
et de mobiliser rapidement les personnes qui
sauront innover et proposer des solutions appro-
priées, consulter les données disponibles à l’ex-
térieur, permet de préparer l’ensemble du
dispositif à la réaction. Face à une situation
exceptionnelle, l’organisation, flexible et adapta-
ble, saura sortir des schémas habituels, qui ont
tout leur intérêt dans le cadre d’une activité nor-
male, pour proposer une structure ad hoc.
Cette cartographie des risques est également un
outil essentiel pour le comité d’audit dans l’exer-
cice d’une de ses missions : s’assurer de la maî-
trise des risques par le management.
5 6
12 © AMRAE - IFACI - 2013
Trois lignes de Maîtrise pour une meilleure performance
Définitions
La gestion des risquesest l’affaire de tous les
acteurs de la société. Elle vise à être globale et à
couvrir l’ensemble des activités, processus et
actifs de la société.
La gestion des risques est un dispositif dyna-
mique de la société, défini et mis en œuvre sous
sa responsabilité.
La gestion des risques comprend un ensemble
de moyens, de comportements, de procédures
et d’actions adaptés aux caractéristiques de
chaque société qui permet aux dirigeants de
maintenir les risques à un niveau acceptable
pour la société.
Le risquereprésente la possibilité qu’un événe-
ment survienne et dont les conséquences
seraient susceptibles d’affecter les personnes, les
actifs, l’environnement, les objectifs de la société
ou sa réputation.
Le contrôle interneest un dispositif de la
société, défini et mis en œuvre sous sa respon-
sabilité.
Il comprend un ensemble de moyens, de com-
portements, de procédures et d’actions adaptés
aux caractéristiques propres de chaque société
qui :
contribue à la maîtrise de ses activités, à l’ef-
ficacité de ses opérations et à l’utilisation
efficiente de ses ressources, et
doit lui permettre de prendre en compte de
manière appropriée les risques significatifs,
qu’ils soient opérationnels, financiers ou de
conformité.
Le dispositif vise plus particulièrement à assurer :
la conformité aux lois et règlements ;
l’application des instructions et des orienta-
tions fixées par la direction générale ou le
directoire ;
le bon fonctionnement des processus
internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs ;
la fiabilité des informations financières.
Le contrôle interne ne se limite donc pas à un
ensemble de procédures ni aux seuls processus
comptables et financiers.
La définition du contrôle interne ne recouvre pas
toutes les initiatives prises par les organes diri-
geants ou le management comme par exemple
la définition de la stratégie de la société, la déter-
mination des objectifs, les décisions de gestion,
le traitement des risques ou le suivi des perfor-
mances.
L'audit interneest une activité indépendante et
objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opéra-
tions, lui apporte ses conseils pour les améliorer,
et contribue à créer de la valeur ajoutée. Il aide
cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et
méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d'en-
treprise, et en faisant des propositions pour ren-
forcer leur efficacité.
Annexe
13© AMRAE - IFACI - 2013
Bibliographie
Travaux de l’AMRAE
Rôle de l’administrateur dans la maîtrise des
risques (en collaboration avec l’IFA, juin
2009) ;
Analyse et présentation des travaux de
l’AMF relatifs à la gestion des risques et au
comité d’audit (juillet 2010) ;
Trajectoire vers un Enterprise Risk Manage-
ment (ERM) (janvier 2012) ;
La cartographie: un outil de gestion des
risques (janvier 2010) ;
La mise en oeuvre du Cadre de Référence
actualisé de l’AMF (décembre 2012 avec
l’APDC, KPMG et BMA / DFCG).
Travaux de l’IFACI, de l’ECIIA et de l’IIA
Le Management des Risques de l’Entreprise,
COSO report II, 2005 (traduction) ;
L’efficacité des comités d’audit, les meil-
leures pratiques, 2012 (étude IIA réalisée par
PwC, traduction) ;
L’urbanisme du Contrôle Interne, 2008 ;
Des clés pour la mise en œuvre du contrôle
interne, avril 2008 (cahier de la recherche –
meilleures pratiques) ;
Contrôle interne et qualité, pour un mana-
gement intégré de la performance, mai
2008 (cahier de la recherche – notes profes-
sionnelles) ;
L’auto-évaluation du contrôle interne, octo-
bre 2005 (cahier de la recherche) ;
Etude du processus de management et de
cartographie des risques, janvier 2004
(cahier de la recherche – guide d’audit) ;
Management des risques, 2001 (cahier de
la recherche) ;
Corporate Governance insights, ECIIA, 2012 ;
Guidance on the 8th EU Company Law
Directive, ECIIA - FERMA, part 1 & part 2,
2010-2011 ;
The Three Lines of Defense in Effective Risk
Management and Control, The IIA, 2013.
Autres publications
Les dispositifs de gestion des risques et de
contrôle interne – Cadre de référence (AMF,
juillet 2010) ;
Les comités d’audit : 100 bonnes pratiques
(IFA, janvier 2008) ;
Prise de position IFA-IFACI sur le rôle de l’au-
dit interne dans le gouvernement d’entre-
prise (mai 2009) ;
Comités d’audit et auditeurs externes (IFA,
novembre 2009) ;
Guide Méthodologique de suivi de l’effica-
cité des systèmes de contrôle interne et de
gestion des risques (IFA, novembre 2010) ;
Directeur financier comité d’audit & conseil
d’administration (Travaux IFA - DFCG,
2011) ;
Bonnes pratiques en matière de relations
entre le comité d’audit et les autres mem-
bres du conseil (Travaux IFA - ACI, 2012).
© AMRAE – IFACI – Paris – juin 2013 – ISBN : 978-2-915042-55-9
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est
illicite (loi du 11 mars 1957, alinéa 1
er
de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une
contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.
conception/réalisation : ebzone communication (www.ebzone.fr)
L'AMRAE est la première association européenne
de Risk Managers, de professionnels des métiers
du risque et de partenaires spécialisés dans la
gestion des risques. Cette structure rassemble
l’ensemble des grandes entreprises françaises et
internationales en France, et a pour mission de-
puis 20 ans d'apporter à toutes les organisations
les moyens de réussir la mise en œuvre de leur
stratégie, par le déploiement d’un dispositif clair
et organisé, par l’analyse de l’acceptabilité des
risques et du meilleur traitement ou finance-
ment du risque. L’AMRAE c’est également AMRAE
Formation, les Rencontres des métiers du risque
et la publication de nombreux ouvrages sur la
gestion des risques et des assurances.
Grâce à plus de 850 directeurs des risques et /
ou des assurances, l’AMRAE constitue un réseau
unique de décideurs spécialisés dans la gestion
des risques.
AMRAE
80 Boulevard Haussmann
F-75008 Paris, France
Tél : +33 1 42 89 33 16
Email : amrae@amrae.fr
Web : www.amrae.fr
L'IFACI rassemble plus de 5300 professionnels de
l'audit et du contrôle internes en France. L’Institut
favorise la diffusion des normes internationales
et des meilleures pratiques. Lieu de partage et
d'accompagnement, il est l’organisme de réfé-
rence en matière de formation professionnelle.
L’IFACI est également le partenaire privilégié des
organisations publiques et privées de toutes
tailles souhaitant améliorer l'efficacité de l'en-
semble de leurs dispositifs de contrôle interne.
L’IFACI est affilié à l’IIA (The Institute of Internal
Auditors) qui bénéficie d’un réseau de 170 000
adhérents répartis dans plus de 160 pays.
IFACI
98 bis Boulevard Haussmann
F-75008 Paris, France
Tél : +33 1 40 08 48 00
Email : contact@ifaci.com
Web : www.ifaci.com
Trois lignes de Maîtrise pour une meilleure performance - 2013
Le challenge de nos organisations – entreprises et secteur public – est d’assurer l’atteinte de leurs objectifs stratégiques et opérationnels dans les meilleures conditions de conformité et d’efficacité. Cela passe par l’optimisation de leurs dispositifs de maîtrise des risques.
Ce document est une aide concrète pour y parvenir. En effet, les lignes directrices qui y sont décrites ont pour objectif de renforcer, d’un côté, les capacités de pilotage et de supervision des Directions Générales et des Comités d'Audit sur les activités d’une organisation, et de l’autre, la clarté et la cohérence des fonctions qui y contribuent. Elles s’appuient notamment sur les travaux réalisés en Europe par les organismes professionnels concernés par la gouvernance :
instituts d'audit interne : IFACI en France et ECIIA en Europe,
associations de Risk Managers : AMRAE en France et FERMA en Europe,
instituts des administrateurs : IFA en France et EcoDa en Europe .
DOCUMENTS À TÉLÉCHARGER
Trois lignes de Maîtrise pour une meilleure performance - 2013
TÉLÉCHARGER
AUTRES PUBLICATIONS SUR LE MÊME SUJET