Escolar Documentos
Profissional Documentos
Cultura Documentos
1
o Une assurance « raisonnable »
o Problème de comptabilité des missions d’assurance et de conseil
o Exemples de missions de conseil :
Conseil en organisation
Actions de formation au contrôle interne
Formation et mise en œuvre de procédures organisationnelles
Participation à un projet d’acquisition ou de fusion
Animation d’ateliers d’auto-évaluation
Plan de continuité des opérations (gestion de crise)
o Répartition des missions (enquête IIA 2010) :
Assurance : 72% (contre 79% en 2002)
Conseil : 28%
2. Processus de management des risques, de contrôle et de gouvernement d’entreprise
o Une organisation ne peut atteindre ses objectifs sans des processus efficaces de management des
risques, de contrôle (interne) et de gouvernement d’entreprise.
o Ces processus sont complexes et interdépendants
o Ces processus font l’objet de chapitres ultérieurs
o Définitions :
Le gouvernement d’entreprise : c’est la façon dont les décisions majeures de l’entreprise sont prises
et contrôlées et dont la structure de tête de l’entreprise est organisée pour prendre ses décisions en
faisant en sorte qu’elles répondent aux attentes des actionnaires et autres parties prenantes. C’est le
dispositif comprenant les processus et les structures mis en place par le Conseil afin d’informer, de
diriger, de gérer et de piloter les activités de l’organisation en vue de réaliser ses objectifs.
Le management des risques : c’est le processus visant à identifier, évaluer, gérer et piloter les
évènements éventuels et les situations, pour fournir une assurance raisonnable quant à la réalisation
des objectifs de l’organisation.
Le contrôle : "Le contrôle interne est un processus mis en œuvre par le Conseil d'Administration, les
dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants :
2
Objectifs de l’organisation Objectifs de la mission
Objectif stratégique Accroitre la part de marche de -Déterminer la position de
l’organisation en achetant des l'organisation au sein de son domaine
entreprises à l’activité d’activité
complémentaire -Identifier les forces, faiblesses,
opportunités et menaces (SWOT) de
l'organisation.
-Une analyse culturelle afin de
déterminer les aspects devant être
changer pour soutenir les objectifs.
-Identifier les compétences de base
d'une organisation
-Créer de la valeur pour les parties
pressantes
Objectif opérationnel Envoyer toutes les commandes 48 -Assurer que l’organisation du service
heures après la réception du bon de d’expédition en termes de gestion
commande d’absences, effectif, circulation de
l’information
-Que l’entreprise se fixe en termes
d’efficacité et d’efficience, protection
de patrimoine
Objectif de reporting Enregistrer uniquement les ventes qui -S’assurer que le rapprochement
ont réellement eu lieu factures/bon de livraisons sont
effectués par le comptable
-Fiabilité de l’information transmise
par l’entreprise à l’intérieur vers
l’extérieur, info financier ou non
Objectif de conformité Appliquer les normes d’hygiène et -S’assurer que les politiques et
sécurité procédures mises en place pour
assurer la conformité sont pertinentes
et documentées, communiquées et
bien comprises efficacement.
-Conformité aux lois, réglementation,
norme et code des bonnes pratiques
o L’objectivité signifie que l’auditeur doit être capable de rendre un jugement impartial, sans biais. A
cette fin, l’auditeur ne doit pas être impliqué dans les opérations, prendre des décisions, ou se trouver
dans des situations susceptibles de générer des conflits d’intérêts. [-> cf. Code de Déontologie (section 4)]
3
5. Une approche systématique et méthodique :
o Un cadre de référence exigeant : mission, principes fondamentaux, code de déontologie, normes,
lignes directrices.
o Une méthodologie rigoureuse :
Aperçu des trois grandes phases :
- Préparation de la mission
- Réalisation de la mission
- Conclusion de la mission
Mise en œuvre dans le cours de Pierre Schick
o Synthèse : une vision positive de l’audit interne :
L’audit interne joue un rôle fondamental au sein de l’organisation :
- l’audit interne en tant que garant des sécurités
- l’audit interne en tant qu’acteur du changement
L’audit interne n’est pas une fonction comptable et financière
L’audit interne n’est pas une activité d’inspection
L’activité de l’audit interne doit être expliquée au management
o Missions:
représenter la profession auprès des instances politiques de l’Union Européenne
promouvoir l’audit interne auprès des pays émergents d’Europe et du bassin méditerranéen.
o Vocation : promouvoir et développer la pratique professionnelle de l’audit interne dans les pays
totalement ou partiellement d’expression française, en regroupant les associations d’auditeurs
internes de ces pays :
développer les échanges, les contacts, les rencontres afin de mettre en commun les expertises
de chacun
accroitre le nombre de publications de langue française, en leur assurant une plus grande
diffusion
apporter une aide à la formation d’auditeurs internes et assurer la promotion de la CPAI
(Certification Professionnelle de l’Audit Interne) et du CIA en français
aider à la constitution d’associations d’auditeurs internes.
4
4. L’IFACI :
o Institut Français de l’Audit et du Contrôle Interne – fonde en 1965 – 5 300 auditeurs – 600
organismes.
o Missions :
représenter la profession d’audit interne
promouvoir son développement
servir les auditeurs internes
o L’IFACI est l’un des instituts nationaux les plus importants et est membre permanent du Conseil
d’Administration de l’IIA.
o Les adhérents régionaux de l’Institut sont invités à participer aux activités des antennes régionales.
A. Rappel Historique :
Première définition de l’audit interne en 1947
Premier corps de normes défini par l’IIA en 1978
Groupe de réflexion forme en 1997 sur l’avenir de l’audit interne
Nouvelles Normes Professionnelles de l’AI adoptées aux Etats-Unis en juin 1999, en France fin
2001
Mise à jour en 2002, 2004, 2006, 2008
Nouveaux cadre référentiel (CRIPP) applicable le 1er janvier 2009
Révisions mineures des normes en 2011, en 2013
Nouveau CRIPP en 2015
B. Le CRIPP (IPPF), répertorie et organise les différents concepts et lignes directrices pour les auditeurs
internes. Il comprend :
La mission de l’audit interne décrit l’objectif principal et constitue la clé de voûte de l’audit interne :
« Accroître et préserver la valeur de l’organisation en donnant avec objectivité une assurance, des
conseils et des points de vue fondes sur une approche par les risques ».
La réalisation de cette mission repose sur la mise en œuvre de l’ensemble des dispositions du CRIPP.
Les principes fondamentaux pris dans leur ensemble sont constitutifs de l’efficacité de l’audit interne :
6
VI. Le Code de déontologie
L’audit interne est une profession normée qui s’appuie sur un cadre de référence à vocation mondiale
comprenant un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant
leur pratique professionnelle.
3. Contenu :
o Principes fondamentaux :
Intégrité
Objectivité
Confidentialité
Compétence
o Règles de conduite
Distribution et prise de connaissance du Code de déontologie (Traduction du Code of Ethics adapté par le
Conseil d’administration de l’IIA, le 17 juin 2000) – Commentaires et exemples
L’audit interne est une profession normée qui s’appuie sur un cadre de référence à vocation mondiale
comprenant des Normes pour les guider dans la réalisation de leur mission et la gestion de leur activité. Elles
commencent toujours par une déclaration : « L’Audit interne doit or devrait… » parfois suivies d’une
interprétation avant un glossaire.
o Objectifs des normes :
Définir les principes de base que la pratique de l’AI doit suivre
Établir les critères d’appréciation du fonctionnement de l’AI
Renforcer le professionnalisme des auditeurs internes
Exercer l’audit interne avec plus d’autorité
Accroître la visibilité de la profession
a. Déclinaison des précédentes normes pour des missions spécifiques, en distinguant mission d’assurance
et missions de conseil
b. Numéro à 4 chiffres commençant soit par 1, soit par 2, selon qu’elles déclinent une NQ ou une NF, suivi
d’un point puis de la lettre A (pour mission d’Assurance) ou C (pour mission de Conseil) et d’un chiffre.
c. Exemples : NMO 1220.A1 / NMO 2440.C2
Distribution et consultation du document IFACI « Normes professionnelles de l’audit interne ».
o Elle exige la définition de la mission, des pouvoirs et des responsabilités dans une Charte. Ce document
fondateur doit être le premier acte de la création d’un service d’audit interne.
o Les NMO 1000.A1 et 1000.C1 précisent respectivement la nature des missions d’assurance et celle des
missions de conseil.
b. 1010 Reconnaissance de la définition de l’AI, du Code de déontologie, des Normes dans la Charte d’AI
o 1210 Compétence
NMO 1210.A1 : recherche de personnes qualifiées si besoin est
NMO 1210.A2 : cas particulier de la fraude
NMO 1210.A3 : technologies de l’information
NMO 1210.C1 : mêmes exigences pour les activités de conseil
o 1321 Utilisation de la mention « établi conformément aux normes » : cette pratique est encouragée
9
o 2030 Gestion des ressources : en cohérence avec le programme
o 2040 Règles et procédures : les auditeurs internes doivent avoir leurs procédures, la responsabilité
en incombe au RAI
o 2050 Coordination : le responsable de l’AI assure la coordination avec les autres prestataires
internes et externes. Sont ici vises les risk managers et les auditeurs externes
c. 2200 Planification :
o 2201 Considération relatives à la planification :
Prise en compte des objectifs de l’activité auditée, des risques et moyens utilisés pour leur faire
échec, de l’efficacité des systèmes de contrôle et des opportunités d’amélioration
NMO 2201.A1 et 2101.C1 : formaliser avec l’utilisateur/le client objectifs et champ de la mission
10
d. 2300 Accomplissement de la mission :
o Définition de ce qu’il faut faire en insistant sur la nécessité de fonder ses conclusions. Tout constat
doit être étayé et donc non contestable. L’auditeur interne ne travaille pas à partir d’hypothèses,
mais s’appuie sur des certitudes. Normes de conservation des dossiers
o 2310 Identification des informations : elles doivent être fiables, pertinentes et utiles
o 2420 Qualité de la communication : exacte, objective, claire, concise, constructive, complète et émise
en temps utile
o 2431 Indication de non-conformité aux normes : indiquer le quoi, le pourquoi et les conséquences
Si le niveau de risque résiduel apparait inacceptable, il faut l’examiner avec la Direction Générale.
Si aucune décision n’est prise, il faut le soumettre au Conseil.
11
VIII. Les lignes directrices de mise en œuvre
o Les lignes directrices de mise en œuvre visent à être plus complètes que les modalités pratiques
d’application pour aider les auditeurs internes à se mettre en conformité avec les Normes.
o Les guides de mise en œuvre et les modalités pratiques d’application proposent des approches d’AI,
des méthodologies et des points d’attention mais elles ne décrivent pas en détail les processus et les
procédures.
o Jusqu’à début 2017, des guides de mise en œuvre remplaceront, au fur et à mesure, les modalités
d’applications correspondantes.
o Contenu des Modalités Pratiques d’Application : orientation liées à la mise en œuvre des normes
1110-1 # rajouté en 2004 : « la présence active et la participation du RAI aux réunions du Conseil
lui permettant d’être informe des orientations stratégiques de l’entreprise…et de soulever en
amont tout problème important relatif aux risques, aux systèmes, aux procédures ou aux
contrôles… »
Daniel Lebègue, Président de l’Institut Français des Administrateurs : « Dans la plupart des
Comités d’audit que je préside, le RAI assiste a toutes nos réunions, pas seulement les réunions
portant sur les risques ou sur le contrôle, mais même les réunions portant sur les comptes. Le RAI
est devenu vraiment un des partenaires, un des acteurs dans le jeu collectif, dans l’exercice collégial
de la fonction d’audit. »
o Une large définition de la fraude : La fraude est la tentative délibérée d'utiliser de fausses
informations ou induire en erreur les personnes pour le profit personnel ou de gain.
o L’auditeur doit avoir une bonne connaissance des éléments constitutifs possibles de la fraude :
Les 3 dimensions (le triangle) de la fraude
La personnalité du fraudeur
12
o Les auditeurs internes ne sont pas des experts en matière de détection de fraudes. Des actions
spécifiques :
Vérification de la qualité de l’environnement de contrôle, de la bonne gestion des aspects
éthiques, de l’existence d’une culture d’exemplarité
Evaluer le caractère significatif du risque de fraude
Informer les autorités compétentes de l’existence d’indices
Réaliser des investigations complémentaires pour asseoir son constat
Collaborer avec les spécialistes
S’assurer que toutes les bonnes mesures de contrôle interne ont été prises pour éviter la
survenue et le retour de tels incidents.
Les facteurs de risque de fraude font référence à une théorie développée dans les années 60 par un sociologue
américain, Donald Cressey, intitulée « le triangle de fraude ».
Une opportunité : l'existence d'une opportunité dans un cas de fraude renvoie au contrôle interne, car c'est lui
qui doit empêcher l'opportunité de fraude de se présenter. Le fraudeur ne recherche pas forcément les failles
du système : le plus souvent, elles se présentent à lui à l'occasion d'erreurs non corrigées. Ainsi, les principales
opportunités pour réaliser une fraude proviennent :
- de l'absence de contrôle ;
- d'un contrôle mal exécuté ;
- d'un contrôle contourné (par exemple, imitation de signature, falsification de document, etc.).
Un besoin ou une pression : Il s'agit essentiellement d'un problème financier que le fraudeur cherche à
résoudre, par exemple, un train de vie élevé, la nécessité d'éponger des dettes, l'addiction au jeu, un projet
impossible à réaliser autrement, etc. Il est difficile pour l'entreprise d'agir sur ce facteur, mais elle peut rester
attentive aux changements de comportements.
Dans le cas des états financiers, le besoin prend la forme de pressions jugées excessives, par exemple des
objectifs irréalistes.
La rationalisation de l'acte frauduleux : c'est un processus qui permet au fraudeur de rendre son acte
acceptable par rapport à son système de valeurs.
Conclusion : L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique et
méthodique.
13
14
15
16
17
CHAPITRE II. LA GOUVERNANCE D’ENTREPRISE
A. Question fondamentale : comment faire en sorte que les dirigeants des entreprises agissent au mieux des
intérêts des actionnaires (propriétaires) et des autres parties prenantes (salaries, clients, fournisseurs,
collectivités, etc.) ?
La gouvernance d'entreprise propose une nouvelle conception du processus de décision, accordant toute
sa place à la concertation entre les parties prenantes (les stakeholders).
Les enjeux de la gouvernance d'entreprise sont bien d'assurer une meilleure coordination entre les
différentes entités de l'organisation et de ses partenaires (prestataires et sous-traitants).
Il s'agit donc de mettre en place des dispositifs (protocoles, conventions, contrats, normes...) destinés à
faciliter les échanges constructifs entre les parties prenantes, tout en améliorant la performance au sens
de chacune d'entre-elles. Le tout en respectant à la lettre les règlements officiels, normes et statuts
établis pour mettre en œuvre ladite gouvernance dans l'entreprise.
18
F. Les constituants de la gouvernance :
1. Le contenu institutionnel du dispositif de GE (gouvernance d'entreprise) :
Les structures
Les procédures
2. Les comportements
A. 2 grands courants :
Le courant disciplinaire
Le courant cognitif
B. Le courant disciplinaire :
1. La gouvernance a un effet disciplinaire sur les dirigeants
19
o La vision partenariale (stakeholders) :
Prise en compte des autres parties prenantes
Gouvernance = « ensemble des mécanismes organisationnels qui ont pour effet de délimiter les
pouvoirs et d’influencer les décisions des dirigeants, autrement dit qui gouvernent leur
conduite et définissent leur espace discrétionnaire » (Charreaux, 1997)
o Conclusion :
Une représentation contractuelle de l’organisation : l’entreprise est un nœud de contrats
Existence de conflits d’intérêts
Nécessité de mettre en place des dispositifs pour prévenir ou agir sur des conflits d’intérêts entre
parties prenantes à l’entreprise.
C. Le courant cognitif :
o L’organisation est un lieu de production de connaissances et d’apprentissage
20
III. Les mécanismes de gouvernance de l’entreprise
21
22
B. Focus sur les comités du Conseil d’administration (en particulier : le Comité d’audit)
o Nommés au sein du Conseil d’Administration, qui en fixe la composition et les attributions, les comites ont
un rôle consultatif, en France. Leurs travaux font l’objet d’un compte rendu au Conseil d’Administration.
o Exemples : comité stratégique, comité des nominations et des rémunérations, comité des comptes ou
comité d’audit.
o Comité d’audit : corps consultatif (et décisionnaire aux US) émanant du conseil d’administration
o Aux Etats-Unis :
1. La Loi Sarbanes-Oxley (2002) rend obligatoire le comité d’audit pour toutes les sociétés par actions
et exige l’indépendance de tous ses membres ainsi qu’une expertise en matière comptable et
financière.
2. Missions :
o En France :
Comité d’audit obligatoire (pour les entreprises soumises à SOX et à la suite de la transposition de la
8eme directive par l’ordonnance du 8 décembre 2008)
100% des Conseils du CAC 40 étaient déjà dotés d’un Comité d’audit
Nb de membres entre 3 et 10 personnes
Compétence et expertise
Indépendance (non précisée par la loi, mais par le code de déontologie)
Implication : fréquence des réunions et des auditions
Auditions des dirigeants, des directeurs financiers et comptables, des CAC, du Responsable de l’AI.
23
IV. La règlementation et les codes de bonnes pratiques en matière de gouvernance d’entreprise
o Principalement à destination des entreprises cotées, ces rapports visent à élaborer des dispositifs
organisationnels susceptibles de garantir l’effectivité du contrôle des actionnaires sur les dirigeants
o Ils ont d’abord été inities dans le contexte anglo-saxon : rapport Cadbury en 1992, rapport Greenbury en
1995, rapport Hampel en 1998, rapport Higgs en 1998
o Ce mouvement atteint la France dès 1995. Voir ci-après les principales dispositions des rapports français et
lois en matière de gouvernance.
o 1995 – Le rapport Vienot I – Le conseil d’administration des sociétés cotées (AFEP – Association française
des entreprises privées et CNPF – Conseil national du patronat français) :
o 1996 – Le rapport Marini – Chapitre III. Promouvoir un meilleur équilibre des pouvoirs et des
responsabilités au sein de l’entreprise d’un rapport visant à la modernisation du droit des sociétés
françaises :
Constat d’un double déséquilibre imputable à notre droit des sociétés : suprématie des fonctions de
direction sur celles de contrôle et suprématie des contrôles de type judiciaires au contrôle de type
internes exercent par l’actionnaire et/ou les Commissaires aux Comptes
Proposition sur la possibilité de dissocier dans les statuts les fonctions de président du Conseil
d’Administration de celles de directeur général
Proposition pour limiter le nombre de mandats d’administrateurs pour un travail plus effectif du fait
d’une grande disponibilité ainsi que de légiférer pour donner plus d’efficacité et de poids aux comites.
o 1999 – Le rapport Vienot II. – Rapport sur le gouvernement d’entreprise (AFEP – Association française des
entreprises privées et MEDEF – Mouvement des entreprises de France) :
Proposition d’une information standardisée et clarifie sur les pratiques de gouvernement d’entreprise
avec notamment une information sur les rémunérations globales des dirigeants.
Adoption d’une définition simplifiée de l’administrateur indépendant et la volonté d’une présence plus
forte d’administrateurs indépendants au sein du conseil et de ses émanations que sont les comites.
24
o 2001 - La loi NRE – Nouvelles Régulations Economiques : genèse de la réforme du droit des sociétés
Assurer un meilleur équilibre des pouvoirs entre les organes en séparant les fonctions de président et
de directeur général ou en étendant les pouvoirs des actionnaires minoritaires.
Limitation du cumul de postes d’administrateurs ou de membres d’un conseil de surveillance,
transparence totale sur la rémunération des mandataires sociaux.
Faciliter l’utilisation des nouvelles technologies de l’information pour renforcer la démocratie
actionnariale. La saisie du Comité d’entreprise en cas d’OPA/OPE va dans le même sens.
o 2002 - Le rapport Bouton – Le gouvernement d’entreprise (AFEP – Association française des entreprises
privées et MEDEF – Mouvement des entreprises de France)
Mise en avant de l’importance du rôle des comités pour un meilleur équilibre des pouvoirs impliquant
des administrateurs indépendants et compétents ayant à leur disposition l’ensemble des informations
nécessaires à la bonne exécution de leurs travaux
Incitation pour le comité d’audit à entendre le responsable de l’AI, à se prononcer sur l’organisation de
son service et à être destinataire des rapports de l’AI
Evocation de l’importance des connaissances et des savoir-faire spécifiques des administrateurs
Précision sur les modalités d’évaluation du conseil d’administration en ajoutant à l’auto-évaluation
annuelle une évaluation externe formalisée tous les trois ans au moins
Réaffirmation du principe d’indépendance des Commissaires aux Comptes
Publication obligatoire d’un rapport par le président sur le gouvernement d’entreprise (conditions de
préparation et d’organisation des travaux du conseil) et le contrôle interne (procédures de contrôle
interne mises en place)
Elargissement des pouvoirs de contrôle avec la possibilité pour les associations d’investisseurs d’agir en
justice pour la défense de tout préjudice direct ou indirect à l’intérêt collectif des investisseurs
Instauration d’une autorité de contrôle indépendante avec la création du Haut Conseil du Commissariat
aux Comptes (H3C) et redéfinition des contours de l’exercice légal du commissariat aux comptes.
Restriction du champ des sociétés devant établir un rapport sur le contrôle interne aux seules sociétés
anonymes cotées
Encadrement des parachutes dores : l’attribution de parachutes dores devra faire l’objet de conventions
réglementées (approuvées par le conseil d’administration et l’assemblée générale des actionnaires)
25
o 2007 – La Loi TEPA (Loi en faveur du travail, de l'emploi et du pouvoir d'achat) : encadrement des
parachutes dorés versés aux dirigeants :
L’attribution des indemnités de départ sera désormais soumise non seulement aux performances du
bénéficiaire, mais aussi à celles de la société qu’il dirige
Les engagements en cours dans les entreprises devront être mis en conformité avec la nouvelle loi dans
un délai de 18 mois à compter de sa date de publication
Recommandations sur la rémunération des dirigeants mandataires sociaux de sociétés dont les titres sont
admis aux négociations sur un marché réglementé :
o 2013 – Code de gouvernement d’entreprise des sociétés cotées AFEP – MEDEF (Révisé) :
Say on Pay : l'expression anglaise « say on pay » est une règle en droit des sociétés par laquelle les
actionnaires d'une entreprise ont le droit de voter sur la rémunération de leurs dirigeants.
Salaries au comité des rémunérations
Plafonnement des indemnités et des retraites chapeau – Condition pour la perception des
rémunérations variables de long terme
Limitation des mandats d’administrateurs : les mandataires sociaux ne peuvent exercer que deux
autres mandats dans des sociétés cotées
Haut Comité de Gouvernement d’entreprise
26
o 2015 – Loi sécurisation de l’emploi du 14 juin 2013, modifiée par la Loi relative au dialogue social du 17
aout 2015
Comprennent des administrateurs représentant les salaries les conseils d’administration ou conseils de
surveillance des entreprises employant a la clôture de deux exercices consécutifs :
Au moins 1 000 salariés permanents dans la société et ses filiales en France
Au moins 5 000 salariés permanents dans la société et ses filiales en France
Qui ont pour obligation de mettre en place un comité d’entreprise
Nombre d’administrateurs :
Au moins 2 (nb d’admrs > 12)
Au moins 1 (nb d’admrs < ou = 12)
Le code réaffirme que la stratégie est la décision de gouvernance par excellence. Il s'emploie à définir
clairement le rôle des uns et des autres (actionnaire, administrateur, dirigeant).
Parmi les recommandations mises en exergue : accorder une grande attention à la succession des
dirigeants ; identifier et traiter des conflits d'intérêt éventuels à tous les niveaux de l'organisation
considérée ; respecter les actionnaires minoritaires surtout quand le capital de la société est verrouillé.
Il recommande aussi que le vote des actionnaires sur les rémunérations des dirigeants (le fameux « say
on pay ») soit facultatif
Prône la mise en place de comités sur mesure (cela signifie la fin des comités inutiles).
Comme pour le code AFEP Medef, les entreprises qui adoptent ces règles s'engagent à s'y conformer ou, sinon,
à expliquer les raisons pour lesquelles elles s'en écartent (c'est le fameux « comply or explain »).
Synthèse :
Les codes de gouvernance sont qualifiés de « soft law »
L’application des codes de gouvernance s’opère sur la base du « comply or explain »
Une des caractéristiques des différents codes de gouvernance est la convergence de leurs
recommandations
Les différents codes de gouvernance sont très sélectifs quant aux mécanismes de gouvernance abordes
Ils ne prennent pas en compte les interactions entre les différents mécanismes, ni les effets de
substitution
Les pratiques conçues pour gérer des conflits d’intérêt ne permettent pas forcément la meilleure gestion
des conflits cognitifs
Comment appréhender la valeur d’une pratique de gouvernance d’entreprise ?
27
V. L’information sur la gouvernance d’entreprise :
o Conformément à l’avant-dernier alinéa des articles L. 225-37 et L. 225-68 du code de commerce (depuis la LSF
et la loi Breton), le président du conseil d’administration ou du conseil de surveillance de toute société
anonyme faisant appel public à l’épargne rend compte à l’assemblée générale annuelle des actionnaires,
dans un rapport joint au rapport de gestion, des « conditions de préparation et d’organisation des travaux
du conseil ainsi que des procédures de contrôle interne mises en place par la société ». Le rapport indique en
outre les « éventuelles limitations que le conseil d’administration apporte aux pouvoirs du directeur
général ».
o Aux termes de l’article L. 225- 102-1 du code de commerce, le rapport de gestion doit contenir, de façon
individuelle et nominative, le montant des rémunérations et avantages de toute nature versées à chaque
mandataire social, durant l’exercice, par la société et les sociétés contrôlées ou contrôlantes.
o Les articles 26 à 30 de la loi #2008-649 du 3 juillet 2008 transposent en droit français certaines dispositions de
la directive #2006/46/CE du 14 juin 2006. Le président du Conseil de sociétés faisant appel public à l’épargne,
établit un rapport précisant :
la composition, les conditions de préparation et d’organisation des travaux du conseil et les procédures
de contrôle interne.
Le code de gouvernement d’entreprise auquel la société a choisi de se référer ou, à défaut, les règles
retenues par cette société en complément des exigences requises par la loi
Les modalités particulières relatives à la participation des actionnaires à l’assemblée générale ou
renvoyer aux stipulations des statuts qui prévoient ces modalités
o L’article 122 de la LSF instaure l’AMF qui devra chaque année établir un rapport sur la base des informations
qui auront été publiées.
o L’article L. 621-18-3 du Code monétaire et financier prévoit que les sociétés cotées rendent publiques les
informations dans les conditions fixées par le règlement général de l’AMF : mise à disposition sous format
électronique sur le site de l’AMF, et sur le site de l’émetteur lorsqu’il dispose d’un tel site.
o Le triple rôle de l’auditeur interne en matière de gouvernance d’entreprise : partie prenante, juge et
conseiller.
L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations
appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs
suivants :
28
promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre
compte
communiquer aux services concernés de l'organisation les informations relatives aux risques et aux
contrôles
fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et
assurer une coordination de leurs activités.
29
CHAPITRE III. LE CONTROLE INTERNE
Le contrôle interne est un dispositif mis en œuvre par la direction d'une entreprise pour lui permettre de
maîtriser les opérations à risques. Pour cela ses ressources sont mesurées, dirigées et supervisées de façon à
permettre au management de réaliser ses objectifs.
Article 117 impose au Président du Conseil d’Administration d’élaborer et signer un rapport rendant
compte des procédures de CI mises en place dans la société.
Article 120 impose aux commissaires aux comptes d’établir un rapport spécifique sur le rapport du
Président en faisant part de leurs observations, et uniquement au sujet du CI comptable et financier. Ils
n’ont pas à certifier leurs certitudes (pas d’obligation).
Article 122 crée l'Autorité des marchés financiers (AMF) qui est une autorité publique française
indépendante, qui a pour missions de veiller à la protection de l'épargne investie dans les instruments
financiers, à l'information des investisseurs, au bon fonctionnement des marchés d'instruments
financiers. AMF publie chaque année une synthèse des produits sur le CI.
30
3. La loi du 3 juillet 2008 (2008-649) transposant la directive européenne 2006/46 (4eme et 7eme directives).
Cette loi transpose en droit français la directive n° 2006/46 ayant pour effet d’accroitre les obligations de
transparence des sociétés en matière de gouvernement d’entreprise et de contrôle interne. Cette loi
impose au Président de rendre compte des procédures de risques.
Reprise des éléments de l’article 46bis
Modification du contenu du rapport du Président
4. L’ordonnance du 8 décembre 2008 (2008-1278) transposant la directive 2006-43 (dite 8eme directive)
Ordonnance relative au contrôle légal des comptes. La directive a réformé les règles gouvernant les
conditions d'exercice des activités des commissaires aux comptes : séparation des fonctions d'audit et de
conseil (Comité d’audit et contrôle interne)
o Les principes :
Le référentiel COSO est basé sur les principes de base suivants :
Le contrôle interne est un processus : c’est un moyen, pas une fin ; il ne se cantonne pas à un recueil de
procédures mais nécessite l’implication de tous à chaque niveau de l’organisation.
Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et
d’une direction respectueuse des lois.
Le contrôle interne est adapté à la réalisation effective des objectifs.
31
o Le cadre :
Le cadre COSO repose sur les notions d'objectifs et de composants.
o Les trois objectifs :
Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à
tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des
trois objectifs suivants :
l'efficacité et l'efficience des opérations,
la fiabilité des informations financières,
la conformité aux lois et règlements.
On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.
o Les cinq composants :
Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent
un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. Il s’agit de :
l`environnement de contrôle, correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise ;
l`évaluation des risques à l'aune de leur importance et fréquence ;
les activités de contrôle, définies comme les règles et procédures mises en œuvre pour traiter les
risques, le COSO imposant la matérialisation factuelle des contrôles ;
l`information et la communication, qu'il s'agit d'optimiser ;
le pilotage, c'est-à-dire le « contrôle du contrôle » interne.
o Le cube :
Après les objectifs et composants, le COSO impose de distinguer les structures de l'entreprise (sociétés,
entités, fonctions, …). La combinaison des trois objectifs, des cinq composants et des structures de
l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appelé le cube COSO.
32
o Spécificités dans les petites entreprises :
besoins réduits et faibles moyens
importance du chef d’entreprise
2. Le Comité d’audit :
Il est composé d'administrateurs indépendants chargés d'initier et de suivre les missions d'audit. À ce titre
il a pour mission de demander le renforcement des procédures de contrôle interne -> il doit s'assurer que
les procédures de contrôle interne sont en place, fonctionnent et donnent les résultats attendus.
3. Le Conseil d’administration :
Exprime ses attentes : Il représente les actionnaires et il est à ce titre directement intéressé par le
niveau de CI de l'entreprise.
Supervise le CI : Il doit notamment s'assurer que les procédures internes garantissent la significativité
et l'honnêteté des comptes sociaux.
4. Le personnel (dont DF, DRH, DSI…)
Est en charge du fonctionnement
Tous les salariés de l'entreprise sont responsables du CI. Quels que soient leur métier et les tâches qui
leur sont confiés, ils doivent veiller à ce que les instructions qui leur sont données sont effectivement
appliquées.
5. Le service d’audit interne :
Evalue la pertinence et l’efficacité du CI
Fait des préconisations
Sensibilise et forme
Rend compte à la DG et au Comité d’Audit
6. L’émergence de nouveaux acteurs : chief Internal Control Officer Compliance Officer
Fonction de support
Aide à la mise en œuvre du dispositif du CI
Les déontologies se sont développées dans certaines entreprises.
33
1. Le COSO (1992/2013)
« Internal Control – Integrated Framework » ou COSO
Fortement recommande par la SEC et le PCAOB (=H3C) pour la mise en œuvre de SOX
La Public Company Accounting Oversight Board (or PCAOB) est une société créée par la loi américaine
Sarbanes-Oxley en 2002 afin de superviser les audits des entreprises cotées.
2. Le COCO (1995)
Recommandations sur le CI publiées par l’Institut Canadien des Comptables Agréés
Conforme aux exigences du PCAOB et de la SEC
Le COCO (Criteria on Control Committee): les objectifs de l'organisation .qui font partie des trois
catégories suivantes : Efficacité et efficience du fonctionnement; Fiabilité de l'information interne et
externe; Conformité aux lois, aux règlements et aux politiques internes.
3. Le Turnbull Guidance (1999)
Internal Control Guidance for Directors on the Combined Code développé par l’Institut des Experts
Comptables d’Angleterre et du Pays de Gale
Conforme aux exigences du PCAOB et de la SEC
4. Le Cadre de Reference de l’AMF (2006)
conséquence de la LSF
« Le dispositif de contrôle interne : cadre de référence »
Outil de gestion au service des sociétés cotées
Rédaction par les représentants des entreprises et des institutions comptables ainsi que par des
personnalités qualifiées appartenant notamment à l’IFA, l’IFACI, l’AMRAE et les big 4 »
5. Le COBIT (1996, 2012)
Control objectives for Information and Technology conçu par l’ISACA (Information Systems Audit and
Control Association)
Cadre de référence complémentaire en matière de sécurité et de contrôle des technologies de
l’information
2. Le COSO représente symboliquement le contrôle interne d’une entité sous la forme d’un cube
34
3. Le modèle français (AMF) a seulement procédé à un léger remaniement dans la formulation et
l’agencement de certaines composantes. Ces 5 composantes sont :
Une organisation adaptée
La diffusion en interne d’informations pertinentes
Un système visant à recenser et analyser les principaux risques
Des activités de contrôle
Une surveillance permanente
5. L’information et la communication
Utilisation d’informations pertinentes et de qualité
Communication en interne
Communication avec les parties externes
6. Le pilotage
Conduite d’évaluations continues et/ou ponctuelles
Evaluation et communication des défaillances
7. Implication
Lacune / lacune grave – efficacité
La lacune grave est une composante du CI. Le CI fonctionne mal si un principe n’existe pas ou
dysfonctionne.
35
F. Des exemples d’activités ou de procédures de contrôle interne :
36
III. La mise en œuvre du contrôle interne
A. L’analyse des processus de l’entreprise :
Le processus est une suite d’activités concourant à un objectif commun.
1. La collecte d’informations sur les processus
o Les processus :
Ensemble de tâches qui utilise des ressources pour convertir des éléments d’entrée en
éléments de sortie possédant une valeur ajoutée
3 grandes catégories de processus : Exécutifs, Opérationnels, et Support
Processus conçus de façon transversale
Processus et sous-processus : jusqu’où aller ?
-Définition du niveau de granularité du contrôle interne
-Facteurs influençant le niveau de granularité
o Les informations à recueillir :
Tout document décrivant le fonctionnement de l’entreprise
Les procédures ou instructions de travail
Les organigrammes (obtention et vérification ou établissement)
Les descriptions de poste
Les délégations de pouvoir existantes
Les rapports des auditeurs internes
Etc…
o Les moyens de collecte :
L’observation physique
L’inspection des documents
Les entretiens avec les collaborateurs
2. La formalisation de l’information sur les processus
o La narration
o L’organigramme fonctionnel :
Permet de repérer une même fonction partagée par plusieurs personnes, une personne
remplissant plusieurs fonctions, les fonctions non occupées, les personnes sans fonction
Voir exemple ci-après : de l’organigramme hiérarchique a l’organigramme fonctionnel
37
o La grille d’analyse des tâches :
Découpage de toutes les tâches relatives à un processus concerne ou à la fonction étudiée, par
ordre chronologique
Précision de la nature de chaque tache
Indication du nom des intervenants
Objectif : vérifier l’application du principe de séparation des tâches, les tâches effectuées deux
fois, les taches non réalisées
Voir exemple ci-après : grille d’analyse des taches se rapportant au processus de paiement des
factures fournisseurs
38
Cf. bons de commande en 3 exemplaires
Problème : la comptabilité commande et paie -> il faudrait une personne (un trésorier) pour valider et payer la commande.
Réception des marchandises : pas de contrôle -> un bon de commande devrait être transmis au magasin afin de comparer ce
qui a été commande et reçu.
Au sein d’un processus, certaines activités/taches sont plus problématiques -> il faudrait créer une base de données recensant
les risques produits et leurs conséquences.
39
B. L’identification et l’évaluation des risques :
1. L’indentification des risques
Risque : tout évènement qui empêche la réalisation des objectifs. Le risque est l’association de quatre
facteurs : un danger, une probabilité d'occurrence, sa gravité et de son acceptabilité
Se focaliser sur les risques essentiels
Analyse détaillée des différents processus couplée avec l’étude des incidents
Sollicitation des collaborateurs pour identifier les risques inhérents aux activités de leur périmètre de
responsabilité
Risques inhérents : risques avant toute activité de CI.
40
Cartographie des risques : Représentation graphique de la probabilité et de l’impact permettant de visualiser
le niveau de risques.
41
C. L’indentification et l’appréciation des contrôles :
1. Typologies des contrôles
o Selon la nature des activités de contrôle :
Approbation
Vérification
Autorisation
Rapprochement
Mise en place de moyens de protection des actifs
o Selon les objectifs des activités de contrôle :
Exhaustivité des traitements
Réalité d’une opération ou d’un bien
Exactitude d’un montant ou d’un calcul
Cohérence d’information
o Selon les modalités des activités de contrôle :
Contrôles manuels
Contrôles automatiques (contrôles bloquants / Messages d’alerte)
o Selon l’emplacement des activités de contrôle dans le système de contrôle interne :
Contrôle de 1er niveau : responsabilité des opérationnels par eux-mêmes – Ex : dans un
magasin, une caissière contrôle son solde de caisse. Le supérieur hiérarchique validera
l’opération des subordonnés
Contrôle de 2em niveau : contrôle exercé par la direction du service ou du département
Contrôle de 2em niveau bis : contrôle exercé par la direction du CI
Contrôle de 3em niveau : contrôle exercé par un corps indépendant – Ex : l’audit interne et
l’audit externe assurent que chaque niveau remplit sa participation
Contrôle de 4em niveau : contrôle est assure par le Comité d’Audit ou le Conseil
d’Administration.
o Selon le positionnement temporel par rapport à la survenance du risque
Contrôles directifs (préventifs) : visent à expliquer ce qu’il faut faire – Ex : former le personnel
pour empêcher que le risque ne se produise
Contrôles préventifs : empêchent la survenance du risque – Ex : la séparation des taches, les
autorisations, un contrôle automatique/informatique bloquant, la fermeture d’une porte à clé
Contrôles détectifs : détectent une anomalie ou une erreur déjà commise – Ex : les
rapprochements des bons de commande/livraison, les inventaires, les installations de
détecteurs de fumée…
Contrôles correctifs : interviennent une fois le risque survenu et visent à réduire les
conséquences – Ex : l’existence d’une procédure de facturation manuelle, l’installation
d’extincteurs…
42
2. Les contrôles attendus / à mettre en place :
Critères de pertinence, bonne information et de compétence. Un contrôleur interne devra aller tester
l’exécution du contrôle, i.e :
réexécution du contrôle
examen de la preuve du contrôle
observation de la réalisation du contrôle
interview / questionnaire
Existe-t-il une instruction/procédure écrite ? Elle doit être aisément préhensive, communiquée aux bonnes
personnes, et actualisée.
43
o La cotation de l’efficacité des contrôles :
Cotation de l’efficacité des contrôles sur chacun des 4 critères s/1 échelle allant de 1 à 5 :
1 = très faible
2 = assez faible
3 = moyenne
4 = bonne
5 = très bonne
3 dimensions des risques : probabilité d’occurrence (impact), le degré de maitrise, et la maturité.
Pondération des différents critères
Notation globale de chaque contrôle
o Le degré de maturité des activités de contrôle :
Une appréciation sur une échelle qui va de 1 à 5
o Tableau synthétique
Evaluation des risques, évaluation des contrôles, recommandations
Documentation complémentaire
44
D. L’incidence de l’environnement informatique :
1. Incidences de l’informatique :
Saisie des données
Processus de traitement des données
Conservation des données
2. Risques d’autant plus élevés avec l’utilisation des PGI :
Un progiciel de gestion intégré (PGI) est un outil informatique permettant de piloter une entreprise. Il
s'appuie sur une base de données commune à tous les services de l'entreprise et permet de gérer
l'ensemble des processus de celle-ci.
3. Les risques :
o Diversité des risques :
Manque de trace matérielle
Erreurs de programmation
Séparation insuffisante des taches
Sécurité physique insuffisante
Absence de plan de reprise après sinistre
Erreur de stratégie informatique
o Indentification des risques :
Analyse de la dépendance informatique
Prise de connaissance de la politique en matière de personnel
Examen de la stratégie informatique
Recensement des prestataires informatique
Elaboration de la cartographie des applications et des interfaces
4. Les contrôles informatiques :
o Les différents types de contrôles :
Les contrôles généraux : principes et procédures contribuant à assurer un bon
fonctionnement continue des systèmes d’information – Ex : installation visant à protéger les
serveurs, programmes, données – Ex : gestion de sauvegarde/ droit d’accès ou l’existence de
procédures d’acquisition de matériel…
Les contrôles applicatifs : principes et procédures assurant l’exhaustivité et la fiabilité des
données restituées par les applications informatiques – Ex : le contrôle de cohérence, les
états d’anomalies
o La méthodologie d’évaluation : quelques clés :
Sécurité physique : le CI doit garantir la sécurité des matériels contre toute détérioration
accidentelle ou intentionnelle
Sécurité logique : le CI doit garantir la sécurité des applications et des données contre toute
détérioration accidentelle ou intentionnelle.
45
I_Existence d’une documentation des applications, accessible, compréhensive, et mise à jour – Une séparation
des fonctions – Formation juridique des prestataires extérieurs.
II_Réalisation de sauvegarde régulière, accessible et protégée – Formation des utilisateurs – Limitation au
programme – Supervision des travaux.
III_Sauvegarde régulière, mots de passe, gestion des applications…
IV_Procédure archivage sécurisée – Ex : externalisation / coffre
Contrôle des accès
VI_Anti-virus mis à jour
VII_Firewall
VIII_Séparation des fonctions, limitation des accès…
2. Objectifs :
o Favoriser l’appropriation du dispositif de contrôle interne de l’organisation par les opérationnels,
responsables des opérations sur le terrain
o Améliorer les opérations au moyen des plans d’action qui résultent de l’auto-évaluation
o Favoriser une amélioration continue du dispositif de contrôle interne
o Bénéficier d’une information sur la qualité du contrôle interne, et sur l’évaluation des risques
inhérents et résiduels, aux différents niveaux de l’organisation
3. Acteurs :
o La Direction Générale : elle prend la décision
o La hiérarchie : elle mobilise les équipes opérationnelles et coordonne la démarche, valide le plan
d’action, et vérifie la mise en œuvre
47
o Les opérationnels : ils effectuent les travaux d’auto-évaluation, proposent les plans d’action pour
corriger les dysfonctionnements -> quoi, qui et comment ?
o Le Coordonnateur : peut-être l’Auditeur Interne, le responsable du CI, il/elle informe et forme,
donne les outils, les critères de réalisation
o L’audit interne : s’il n’est pas le coordinateur, il pourra former et aider le coordinateur. L’Auditeur
interne est le client de ce travail car il reçoit le résultat.
o Le Conseil d’Administration (et éventuellement le comité d’audit) : il est à l’origine de l’initiative,
s’intéresse au résultat, et peut formuler des recommandations.
4. Méthodologies :
o Les questionnaires :
Avantages : utile pour déterminer quels domaines/services contrôler en priorité
Inconvénients : la sincérité des réponses, une pédagogie limitée
o Les ateliers :
Avantages : une approche pédagogique, permet un échange des bonnes pratiques…
Inconvénients : la rédaction de la synthèse / occupe beaucoup trop de temps (chronophage)
48
B. Le rapport du Président sur le contrôle interne :
1. « Le Président rend compte » : description ou évaluation ?
49
CHAPITRE IV. LE MANAGEMENT DES RISQUES A QMC
50
C. Les grandes phases : ITS G
o Identifier et évaluer les risques :
Approche bottom-up : modéliser les processus, identifier les risques inhérents, évaluer leurs
impacts, la probabilité et la hiérarchisation des risques
Approche top-down : déterminer les risques par parties prenantes
o Traiter les risques : évaluer les risques et sélectionner le meilleur traitement (Accepter, Eviter,
Transférer, Partager)
o Suivre l’évolution des risques : au cours du temps, ils doivent adapter les mesures si nécessaire, et
fournir les informations de reporting correspondant
o Garantir la maîtrise des risques : pertinence des traitements est assurée par l’audit interne
idéalement, mais également per le Risk manager.
51
Complète le concept de contrôle interne en l’élargissant au thème central de la gestion des risques
Définitions : EROM
Les évènements
Un risque : évènement survenant et nuisible à l’atteinte des objectifs
Une opportunité
Le management des risques : est un processus mis en œuvre par le Conseil d’Administration, la
Direction générale, le management et l’ensemble des collaborateurs de l’entreprise. Il est pris en
compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est
conçu pour identifier les évènements potentiels susceptibles d’affecter l’organisation et pour gérer
les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l’atteinte des objectifs de l’organisation
Atteinte des objectifs : SA
les objectifs stratégiques
les objectifs associés (related objectives) :
Les objectifs opérationnels
Les objectifs de reporting
Les objectifs de conformité
52
Relation entre objectifs et éléments : 4, 8, U
Elle est illustrée par une matrice en trois dimensions ayant la forme d’un cube (voir ci-après)
Les 4 grandes catégories d’objectifs sont représentées par les colonnes
AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) MA MME
Membre de FERMA
Association régie par la loi 1901
Membres : acteurs majeurs des métiers du risque en entreprise
Mission : apporter aux entreprises les moyens de réussir leur mutation dans le domaine de la
gestion des risques
Echanges d’informations et d’expériences entre les membres, au travers de nombreuses
réunions et travaux des commissions techniques
Le processus de management des risques (2002)
53
3. La norme ISO 31000 : 2009 NORN
Il s’agit d’une norme générale de management du risque applicable à toutes les organisations, tous
les métiers et tous les environnements
L’objectif principal est de présenter les ingrédients essentiels du management du risque et de les
« cadrer » avec les autres activités de l’organisation
Le risque est défini comme « l’effet de l’incertitude sur l’atteinte des objectifs »
La norme est structurée en 3 parties :
Lesprincipes répondent à la question « pourquoi fait-on du management des risques ? ». Le
management des risques :
crée de la valeur
s’intègre aux processus organisationnels
s’intègre aux processus de prise de décision
traite de l’incertitude
fonctionne de manière systématique et structurée
s’appuie sur la meilleure information
s’adapte au contexte
prend en compte les facteurs humains et culturels
est transparent et participatif
fonctionne de manière dynamique, itérative et réactive
facilite l’amélioration continue
Le cadre organisationnel explique comment intégrer le management des risques dans la
stratégie de l’organisation (conduite stratégique). Il est défini par un processus qui permet la
mise en place des processus de management des risques ainsi que leur amélioration continue. Il
importe de :
choisir des moyens efficaces pour réaliser les activités des processus de management des
risques
s’assurer que les informations liées au risque seront remontées, classées et structurées,
afin de garantir leur qualité et leur pertinence
mettre en place des dispositifs d’évaluation de ces moyens et les adapter en permanence.
Un préalable : définir les objectifs et les indicateurs de performance du management des
risques.
Le processus de management précise comment intégrer le management des risques au niveau
opérationnel de la stratégie de l’organisation (conduite opérationnelle). Les étapes principales du
processus de management du risque sont :
Etablissement du contexte
Identification du risque
Analyse du risque
Evaluation du risque
Traitement du risque
54
o Objectifs de la gestion des risques : CS FM
- Créer et préserver la valeur, les actifs et la réputation de la société
- Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs
- Favoriser la cohérence des actions avec les valeurs de la société
- Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques
o Composantes du dispositif de gestion des risques : CPP
- Un cadre organisationnel :
- organisation qui « définit » et « établit »
- politique de gestion des risques qui « formalise »
- système d’information qui « diffuse »
- Un processus de gestion des risques :
- Identification des risques
- Analyse des risques
- Traitement du risque
- Un pilotage en continu du dispositif
55
2-L’appetence de l’organisation pour le risque
56
o Exemple :
- Mission
- Appétence pour le risque
o Objectifs associés :
o Conclusion : OR
- Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou de la fixation des
objectifs
- Les risques doivent être évalués et nécessitent une réponse
57
D. L’évaluation des risques : P PAC TSC
o Prise en compte des évènements prévisibles et potentiels
o Problématique de l’horizon temporel
o Analyse en fonction de la probabilité d’occurrence et de l’impact potentiel
58
o Les techniques d’évaluation : M MEAQ
- La méthode des scenarios : Cette méthode permet de bien voir les implications d’une décision et de
montrer qu’il y a choix, qu’il n’y a jamais une seule solution.
- Les méthodes probabilistes : Son principe est de montrer que si l'on choisit au hasard des objets
d'une catégorie, la probabilité que le résultat soit d'un certain type est plus que zéro.
- Les entretiens
- Les ateliers
- Les questionnaires
o Les sources d’information
o La cartographie des risques : DOD
- Définition : representation graphique de la probabilite d’occurrence et de l’impact d’un ou plusieurs
risques
- Objectif : identifier les risques les plus significatifs
- Différents types de représentations :
- Exemple
- 2 types de représentation proposés ci-après
59
E. Le traitement des risques : SEC C PIE
o Les solutions permettant de faire face aux risques : 4 stratégies
L’évitement : cesser l’activité à l’ origine du risque – Ex : interrompre une ligne de produits ou ne pas
s’impliquer dans une nouvelle activité
La réduction : prendre des mesures visant à réduire la probabilité ou minimiser le risque en cas
d’occurrence du risque – Ex : investir dans un système de réparation de pannes ou d’électrogènes
Le partage/transfert : diminuer la probabilité ou le risque en le partageant ou en le transférant – Ex :
contracter une assurance contre le risque, conclure un partenariat, mise en œuvre d’une opération
de couverture, sous-traiter une activité
L’acceptation : l’entreprise ne prend aucune mesure et accepte ces conséquences dommageables
o L’évaluation des conséquences des solutions sur la probabilité d’occurrence et l’impact des risques
Exemple :
Exemple
60
F. Les activités de contrôle : OD RACE
o L’objectif est de veiller à la mise en place et à l’application effective des mesures de traitement des risques
o Dans certains cas, les activités de contrôle constituent elles-mêmes le traitement du risque : ceci est vrai
pour les objectifs de reporting et de conformité car les activités de contrôle permettent la réduction du
risque.
61
- La conception du contrôle est-elle adéquate pour couvrir le risque ?
- Le contrôle fonctionne-t-il comme prévu ?
- L’exécution du contrôle s’appuie-t-elle sur un mode opératoire défini ?
- L’exécution du contrôle est-elle formalisée ?
La cotation de l’efficacité des contrôles : CPN
- Cotation de l’efficacité des contrôles sur chacun des 4 critères (questions ci-dessus) sur une
échelle allant de 1 à 5 :
1 = très faible
2 = assez faible
3 = moyenne
4 = bonne
5 = très bonne
- Pondération des différents critères
- Notation globale de chaque contrôle
Le degré de maturité des activités de contrôle
- Appréciation sur une échelle qui va de 1 à 5
62
G. Information et communication : IC
o Les informations : UI
Utiles, exactes, internes et externes, quantitatives et qualitatives, historiques et actuelles
Identifiées, collectées, communiquées sous un format et dans des délais permettant aux
collaborateurs d’exercer leurs responsabilités
o La communication CMIR CL
Circulation verticale et transversale de l’information
Message : le management des risques doit être pris au sérieux
Instruments de communication pertinents
Remontée d’informations sensibles : WD
Le whistleblowing ou « alerte éthique »
De la Direction au Conseil
H. Le pilotage : DAE
o Définition : une évaluation de l’existence et du fonctionnement du processus du management des risques.
o Les activités courantes de pilotage
- Exemples :
o Les évaluations spécifiques : OEA
Objectifs
Evaluations indépendantes (meilleur évaluation indépendante : l’Audit Interne) : ACQ
- Acteurs de l’évaluation : Audite interne peut évaluer le PMR dans un cadre particulier ou globale de
l’entreprise. Champ de l’évaluation
- Le cas particulier de l’audit interne : L’AI ne prend aucune décision en matière de MR, il n’impose rien
et ne décide pas e la manière de traiter les risques, il ne met pas en œuvre les mesures de traitement
des risques. Il ne définit pas l’appétence des risques. Il informe, conseille et promeut.
63
IV.Conclusion LLG E
Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le
concept de gestion des risques. Le COSO 2 est basé sur une vision orientée risques de l’entreprise.
64
Proposition d’une nouvelle architecture :
65