Master 2 Direction Financière, Contrôle de Gestion et Audit Interne

UE 1.3 : CONTROLE INTERNE, MANAGEMENT DES RISQUES et GOUVERNANCE

D’ENTRISE
CHAPITRE I. LE CADRE DE REFERENCE INTERNATIONAL POUR LA PRATIQUE PROFESSIONNELLE DE L’AUDIT
INTERNE
Le Cadre de Référence International des Pratiques Professionnelles de l‘audit interne (CRIPP) est le cadre
conceptuel qui organise les lignes directrices faisant autorité et qui sont promulguées par l'IIA. En tant
qu'institution mondiale digne de confiance et élaborant les directives, l'IIA offre aux professionnels de l'audit
interne du monde entier le cadre réglementaire de la profession sous la forme des dispositions obligatoires et
des dispositions recommandées.
Les dispositions obligatoires sont :
 Principes Fondamentaux pour la pratique professionnelle de l’audit interne
 Définition
 Code de déontologie
 Normes internationales pour la pratique professionnelle de l’audit interne
Les dispositions recommandées du CRIPP sont :
 Lignes directrices de mise en œuvre
 Lignes directrices complémentaires

I. Qu’est-ce que l’audit interne ?

A. Définition et caractéristiques de l’audit :

Définition du mot audit :
L’audit est le processus critique, méthodique et documenté, effectué par un professionnel compètent et
indépendant, permettant de recueillir des informations objectives, pour déterminer dans quelle mesure les
éléments du système cible satisfont aux exigences du référentiel du domaine concerne ou aux critères d’audit.
L’audit débouche sur la formulation d’une opinion.

B. Définition officielle de l’audit interne :

« L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le
degré de maitrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la
valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique
et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et
en faisant des propositions pour renforcer leur efficacité ».
Définition approuvée le 21 mars 2000 par le Conseil d’Administration de l’IFACI – Traduction de la définition internationale approuvée
par l’IIA le 29 juin.

C. Explication et précision des concepts-clés de la définition :

1. Mission d’assurance et mission de conseil
o Objectifs d’une mission d’assurance :
 Evaluer et mesurer objectivement un sujet, dont la responsabilité incombe à une autre partie, par
rapport à des critères définis et appropries
 Exprimer une conclusion qui fournit à l’utilisateur destine un degré d’assurance vis-à-vis du sujet en
question
o Objectifs d’une mission de conseil :
 Faire des propositions pour améliorer…
 Créer de la valeur ajoutée

1
 o Une assurance « raisonnable »
o Problème de comptabilité des missions d’assurance et de conseil
o Exemples de missions de conseil :
 Conseil en organisation
 Actions de formation au contrôle interne
 Formation et mise en œuvre de procédures organisationnelles
 Participation à un projet d’acquisition ou de fusion
 Animation d’ateliers d’auto-évaluation
 Plan de continuité des opérations (gestion de crise)
o Répartition des missions (enquête IIA 2010) :
 Assurance : 72% (contre 79% en 2002)
 Conseil : 28%
2. Processus de management des risques, de contrôle et de gouvernement d’entreprise
o Une organisation ne peut atteindre ses objectifs sans des processus efficaces de management des
risques, de contrôle (interne) et de gouvernement d’entreprise.
o Ces processus sont complexes et interdépendants
o Ces processus font l’objet de chapitres ultérieurs
o Définitions :
Le gouvernement d’entreprise : c’est la façon dont les décisions majeures de l’entreprise sont prises
et contrôlées et dont la structure de tête de l’entreprise est organisée pour prendre ses décisions en
faisant en sorte qu’elles répondent aux attentes des actionnaires et autres parties prenantes. C’est le
dispositif comprenant les processus et les structures mis en place par le Conseil afin d’informer, de
diriger, de gérer et de piloter les activités de l’organisation en vue de réaliser ses objectifs.

Le management des risques : c’est le processus visant à identifier, évaluer, gérer et piloter les
évènements éventuels et les situations, pour fournir une assurance raisonnable quant à la réalisation
des objectifs de l’organisation.

Le contrôle : "Le contrôle interne est un processus mis en œuvre par le Conseil d'Administration, les
dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants :

 réalisation et optimisation des opérations,

 fiabilité des informations financières,
 respect des lois et réglementations en vigueur." (COSO, 1948)
3. Objectifs de l’entreprise :
 Objectifs stratégiques
 Objectifs opérationnels
 Objectifs de reporting
 Objectifs de conformité
Les objectifs donnent un cadre de référence à l’auditeur interne : ils l’aident à déterminer les objectifs de sa
propre mission.

2

Objectif stratégique
Objectif opérationnel
Objectif de reporting
Objectif de conformité
Objectifs de l’organisation
Accroitre la part de marche de
l’organisation en achetant des
entreprises à l’activité
complémentaire
Envoyer toutes les commandes 48
heures après la réception du bon de
commande
Enregistrer uniquement les ventes qui
ont réellement eu lieu
Appliquer les normes d’hygiène et
sécurité
Objectifs de la mission
-Déterminer la position de
l'organisation au sein de son domaine
d’activité
-Identifier les forces, faiblesses,
opportunités et menaces (SWOT) de
l'organisation.
-Une analyse culturelle afin de
déterminer les aspects devant être
changer pour soutenir les objectifs.
-Identifier les compétences de base
d'une organisation
-Créer de la valeur pour les parties
pressantes
-Assurer que l’organisation du service
d’expédition en termes de gestion
d’absences, effectif, circulation de
l’information
-Que l’entreprise se fixe en termes
d’efficacité et d’efficience, protection
de patrimoine
-S’assurer que le rapprochement
factures/bon de livraisons sont
effectués par le comptable
-Fiabilité de l’information transmise
par l’entreprise à l’intérieur vers
l’extérieur, info financier ou non
-S’assurer que les politiques et
procédures mises en place pour
assurer la conformité sont pertinentes
et documentées, communiquées et
bien comprises efficacement.
-Conformité aux lois, réglementation,
norme et code des bonnes pratiques

L’audit interne se focalise sur :

 L’efficacité et l’efficience des processus dans l’entreprise
 La fiabilité des systèmes d’information et la qualité des informations transmises par ces systèmes
 La protection des actifs contre la perte, le vol, la fraude…
 La conformité aux objectifs/politiques de l’entreprise, aux contrats, aux lois, aux règlementations, aux
codes…

4. Une activité indépendante et objective :

o L’indépendance fait référence à la capacité de l’auditeur à résister aux pressions de l’audité. Pour être
indépendant, l’audit interne doit être rattaché au plus haut niveau dans l’organisation :
 Rattachement hiérarchique
 Rattachement fonctionnel

o L’objectivité signifie que l’auditeur doit être capable de rendre un jugement impartial, sans biais. A
cette fin, l’auditeur ne doit pas être impliqué dans les opérations, prendre des décisions, ou se trouver
dans des situations susceptibles de générer des conflits d’intérêts. [-> cf. Code de Déontologie (section 4)]
3
 5. Une approche systématique et méthodique :
o Un cadre de référence exigeant : mission, principes fondamentaux, code de déontologie, normes,
lignes directrices.
o Une méthodologie rigoureuse :
 Aperçu des trois grandes phases :
- Préparation de la mission
- Réalisation de la mission
- Conclusion de la mission
 Mise en œuvre dans le cours de Pierre Schick
o Synthèse : une vision positive de l’audit interne :
 L’audit interne joue un rôle fondamental au sein de l’organisation :
- l’audit interne en tant que garant des sécurités
- l’audit interne en tant qu’acteur du changement
 L’audit interne n’est pas une fonction comptable et financière
 L’audit interne n’est pas une activité d’inspection
 L’activité de l’audit interne doit être expliquée au management

II. La profession de l’audit interne

A. L’organisation de la profession :

1. L’IIA : un réseau mondial :

o The Institute of Internal Auditors a été fondée en 1941 – 150 000 membres – 165 pays
o Association professionnelle qui a pour objet essentiel d’assurer la diffusion des idées et des techniques
les plus modernes en matière d’audit interne :
 Définit le cadre de référence de la pratique professionnelle de l’audit interne
 Effectue de nombreuses recherches financées par « The IIA Research Foundation ».
 Certifie les auditeurs à travers plusieurs examens dont le CIA (Certified Internal Auditor)
 Publie la revue « Internal Auditor » et procède à de nombreuses publications
2. L’ECIIA : un réseau européen :
o European Confederation of Institutes of Internal Auditing – fondé 1982 – 32 Instituts

o Missions:
 représenter la profession auprès des instances politiques de l’Union Européenne
 promouvoir l’audit interne auprès des pays émergents d’Europe et du bassin méditerranéen.

3. L’UFAI : un réseau francophone :

o Union Francophone de l’Audit Interne – fondée en 1988

o Vocation : promouvoir et développer la pratique professionnelle de l’audit interne dans les pays
totalement ou partiellement d’expression française, en regroupant les associations d’auditeurs
internes de ces pays :
 développer les échanges, les contacts, les rencontres afin de mettre en commun les expertises
de chacun
 accroitre le nombre de publications de langue française, en leur assurant une plus grande
diffusion
 apporter une aide à la formation d’auditeurs internes et assurer la promotion de la CPAI
(Certification Professionnelle de l’Audit Interne) et du CIA en français
 aider à la constitution d’associations d’auditeurs internes.
4
 4. L’IFACI :
o Institut Français de l’Audit et du Contrôle Interne – fonde en 1965 – 5 300 auditeurs – 600
organismes.

o Missions :
 représenter la profession d’audit interne
 promouvoir son développement
 servir les auditeurs internes

o Pour réaliser ces missions, l’IFACI met en œuvre, notamment :

 l’organisation de séminaires de formation, réunions mensuelles, colloques et conférences
 la réalisation et la publication de revues (Audit Interne), d’ouvrages et de tous autres supports
d’information (résultats d’enquêtes sur la pratique professionnelle de l’audit interne)
 la certification professionnelle d’audit interne attestant que les activités des directions d’audit
interne sont « conduites conformément aux normes professionnelles »

o L’IFACI est l’un des instituts nationaux les plus importants et est membre permanent du Conseil
d’Administration de l’IIA.

o Les adhérents régionaux de l’Institut sont invités à participer aux activités des antennes régionales.

B. L’implantation de l’audit interne dans les entreprises :

0.5

 Des différences importantes selon les secteurs d’activité

 Un audit interne puissant au sein de la Banque
 Des progrès à faire dans le secteur public
 L’impact de SOX et de la LSF

III. L’évolution du Cadre de Reference pour la Pratique Professionnelle de l’Audit Interne

A. Rappel Historique :
 Première définition de l’audit interne en 1947
 Premier corps de normes défini par l’IIA en 1978
 Groupe de réflexion forme en 1997 sur l’avenir de l’audit interne
 Nouvelles Normes Professionnelles de l’AI adoptées aux Etats-Unis en juin 1999, en France fin
2001
 Mise à jour en 2002, 2004, 2006, 2008
 Nouveaux cadre référentiel (CRIPP) applicable le 1er janvier 2009
 Révisions mineures des normes en 2011, en 2013
 Nouveau CRIPP en 2015

B. Le CRIPP (IPPF), répertorie et organise les différents concepts et lignes directrices pour les auditeurs
internes. Il comprend :

1. Des éléments obligatoires :

 la mission de l’audit interne
 les principes fondamentaux
 la définition de l’audit interne
 le code de déontologie
 les normes professionnelles internationales
5
 2. Des éléments fortement recommandés :
 les lignes directrices de mise en œuvre
 les lignes directrices complémentaires

IV. La mission de l’audit interne

 La mission de l’audit interne décrit l’objectif principal et constitue la clé de voûte de l’audit interne :
« Accroître et préserver la valeur de l’organisation en donnant avec objectivité une assurance, des
conseils et des points de vue fondes sur une approche par les risques ».
 La réalisation de cette mission repose sur la mise en œuvre de l’ensemble des dispositions du CRIPP.

V. Les principes fondamentaux

Les principes fondamentaux pris dans leur ensemble sont constitutifs de l’efficacité de l’audit interne :

 Faire preuve d’intégrité

 Faire preuve de compétence et de conscience professionnelle
 Etre objectif et libre de toute influence indue (indépendante)
 Etre en phase avec la stratégie, les objectifs et les risques de l’organisation
 Etre positionne de manière appropriée et disposer des ressources adéquates
 Démontrer la qualité de l’audit interne et son amélioration continue
 Communiquer de manière efficace
 Fournir une assurance fondée sur une approche par les risques
 Etre perspicace, proactif et oriente vers le futur
 Encourager le progrès au sein de l’organisation

6
VI. Le Code de déontologie

L’audit interne est une profession normée qui s’appuie sur un cadre de référence à vocation mondiale
comprenant un code de déontologie fournissant aux auditeurs internes les principes et valeurs régissant
leur pratique professionnelle.

1. Objectif : promouvoir une culture de l’éthique au sein de la profession de l’audit interne

2. Champ d’application et caractère obligatoire :

o Toutes les personnes et entités qui fournissent des services d’audit interne
o Sanctions

3. Contenu :
o Principes fondamentaux :
 Intégrité
 Objectivité
 Confidentialité
 Compétence
o Règles de conduite

Distribution et prise de connaissance du Code de déontologie (Traduction du Code of Ethics adapté par le
Conseil d’administration de l’IIA, le 17 juin 2000) – Commentaires et exemples

VII. Les normes professionnelles internationales

L’audit interne est une profession normée qui s’appuie sur un cadre de référence à vocation mondiale
comprenant des Normes pour les guider dans la réalisation de leur mission et la gestion de leur activité. Elles
commencent toujours par une déclaration : « L’Audit interne doit or devrait… » parfois suivies d’une
interprétation avant un glossaire.
o Objectifs des normes :
 Définir les principes de base que la pratique de l’AI doit suivre
 Établir les critères d’appréciation du fonctionnement de l’AI
 Renforcer le professionnalisme des auditeurs internes
 Exercer l’audit interne avec plus d’autorité
 Accroître la visibilité de la profession

o Les normes sont constituées :

 Des déclarations
 Des interprétations
 D’un glossaire

o Contenu des normes :

i. Les normes de qualification : ce que sont les auditeurs. (IFACI p. 3/22 et 9/22)
a. Caractéristiques que doivent présenter les organisations et les personnes accomplissant des
activités d’audit interne

b. Numéro de 4 chiffres commençant par 1 :

 1000 Mission, pouvoirs et responsabilités
 1100 Indépendance et objectivité
 1200 Compétence et conscience professionnelle
 1300 Programme d’assurance et d’amélioration qualité
c. Déclinaison de ces articles principaux en plusieurs sous-articles. Exemple : 1220
7
 ii. Les normes de fonctionnement : ce que font les auditeurs :
a. Nature des activités d’audit interne et critères de qualité permettant d’évaluer les services
fournis

b. Numéro de 4 chiffres commençant par 2 :

 2000 Gestion de l’audit interne
 2100 Nature du travail
 2200 Planification de la mission
 2300 Accomplissement de la mission
 2400 Communication des résultats
 2500 Surveillance des actions de progrès
 2600 Acceptation des risques par la direction générale
c. Déclinaison de ces articles principaux en plusieurs sous-articles. Exemple : 2440

iii. Les normes de mise en œuvre :

a. Déclinaison des précédentes normes pour des missions spécifiques, en distinguant mission d’assurance
et missions de conseil
b. Numéro à 4 chiffres commençant soit par 1, soit par 2, selon qu’elles déclinent une NQ ou une NF, suivi
d’un point puis de la lettre A (pour mission d’Assurance) ou C (pour mission de Conseil) et d’un chiffre.
c. Exemples : NMO 1220.A1 / NMO 2440.C2
 Distribution et consultation du document IFACI « Normes professionnelles de l’audit interne ».

A. Les normes de qualification et les normes de mise en œuvre associées :

a. 1000 Mission, pouvoirs et responsabilités :

o Elle exige la définition de la mission, des pouvoirs et des responsabilités dans une Charte. Ce document
fondateur doit être le premier acte de la création d’un service d’audit interne.
o Les NMO 1000.A1 et 1000.C1 précisent respectivement la nature des missions d’assurance et celle des
missions de conseil.

b. 1010 Reconnaissance de la définition de l’AI, du Code de déontologie, des Normes dans la Charte d’AI

c. 1100 Indépendance et objectivité :

o Il ne saurait y avoir de véritable indépendance sans véritable objectivité. Indépendance et
objectivité à 3 niveaux (auditeur, fonction, mission)

o 1110 indépendance dans l’organisation :

 Rattachement à un niveau hiérarchique satisfaisant
 La NMO 1110.A1 traite de l’ingérence
o 1111 Relation directe avec le Conseil

o 1120 Objectivité individuelle : absence de préjugés, impartialité…

o 1130 Atteintes à l’indépendance et à l’objectivité : primes, cadeaux, relations personnelle…

 NMO 1130.A1 : audit d’opérations dont l’auditeur a été précédemment responsable. Délais
de un an.
 NMO 1130.A2 : missions confiées au RAI. Mission d’assurance relative à cette activité est
confiée à une personne externe
 NMO 1131.C1 et 1130.C2
8
 o Obligation aux auditeurs de déclarer tout conflit d’intérêt potentiel
o Rotation des auditeurs sur les activités à auditer

d. 1200 Compétence et conscience professionnelle :

o Compétence individuelle des auditeurs / Compétence globale du service

o 1210 Compétence
 NMO 1210.A1 : recherche de personnes qualifiées si besoin est
 NMO 1210.A2 : cas particulier de la fraude
 NMO 1210.A3 : technologies de l’information
 NMO 1210.C1 : mêmes exigences pour les activités de conseil

o 1220 Conscience professionnelle – Elle n’implique pas l’infaillibilité

 NMO 1220.A1 : éléments à prendre en considération pour apprécier sa capacité
 NMO 1220.A2 : techniques informatiques
 NMO 1210.A3 : vigilance envers les risques significatifs
 NMO 1220.C1 : prendre en compte le cout, la complexité et les attentes du client pour les
missions de conseil

o 1230 Formation professionnelle continue :

Exigence cohérente avec la règle 4.3 du Code de déontologie.

e. 1300 Programme d’assurance et d’amélioration qualité :

o Processus qui assure que le service a les caractéristiques essentielles qu’il doit avoir pour être de
qualité. Référentiel : normes IIA, code de déontologie

o 1310 Evaluation du programme qualité

 1311 Evaluations internes : contrôles continus ou périodiques
 1312 Evaluations externes : par des personnes maitrisant les normes de l’audit interne et
indépendantes de l’organisation.

o 1320 Rapports relatifs au programme qualité : à communiquer au Conseil

o 1321 Utilisation de la mention « établi conformément aux normes » : cette pratique est encouragée

o 1322 Indication de non-conformité : en informer la Direction Générale et le Conseil

B. Les normes de fonctionnement et les normes de mise en œuvre associées :

a. 2000 Gestion de l’audit interne :

o 2010 Planification
 Fondée sur les risques pour permettre de définir les priorités
 NMO 2010.A1 : cette évaluation des risques doit être annuelle et prendre en compte les points
de vue de la Direction Générale et du Conseil
 NMO 2010.C1 : intégrer également les missions de conseil

o 2020 Communication et approbation : programme et besoins à communiquer à la Direction

Générale et au Conseil

9
 o 2030 Gestion des ressources : en cohérence avec le programme

o 2040 Règles et procédures : les auditeurs internes doivent avoir leurs procédures, la responsabilité
en incombe au RAI

o 2050 Coordination : le responsable de l’AI assure la coordination avec les autres prestataires
internes et externes. Sont ici vises les risk managers et les auditeurs externes

o 2060 Rapports au Conseil et à la Direction Générale

b. 2100 Nature du travail :

o 2110 Gouvernement d’entreprise : contribuer au processus de gouvernance :
 NMO 2110.A1 : évaluation des éléments lies a l’éthique
 NMO 2110.A2 : gouvernance des systèmes d’information

o 2120 Management des risques : participer à l’évaluation et à l’identification des risques

 NMO 2120.A1 : évaluer les risques afférents à la gouvernance, aux opérations et aux systèmes
d’information
 NMO 2120.A2 : risque de fraude
 NMO 2120.C1 et 2120.C2 : risques lors des missions de conseil
 NMO 2120.C3 : limitation des responsabilités opérationnelles des AI dans les processus de
management des risques.

o 2130 Contrôle : aider à maintenir un dispositif de contrôle :

 NMO 2130.A1 : en évaluer la pertinence et l’efficacité
 NMO 2130.C1 : contrôle et missions de conseil

c. 2200 Planification :
o 2201 Considération relatives à la planification :
 Prise en compte des objectifs de l’activité auditée, des risques et moyens utilisés pour leur faire
échec, de l’efficacité des systèmes de contrôle et des opportunités d’amélioration
 NMO 2201.A1 et 2101.C1 : formaliser avec l’utilisateur/le client objectifs et champ de la mission

o 2210 Objectifs de la mission : on définit le périmètre de ces objectifs :

 NMO 2210.A1 : identifier les risques et les évaluer objectifs
 NMO 2210.A2 : attention aux erreurs possibles
 NMO 2210.C1 : exigences pour les missions de conseil

o 2220 Champ de la mission : il doit répondre aux objectifs :

 NMO 2220.A1 : exhaustive du champ
 NMO 2220.C1 : exigences pour les missions de conseil

o 2230 Ressources affectées à la mission : déterminer les ressources

o 2240 Programme de travail de la mission : élabore et formalise :

 NMO 2240.A1 : finalité du programme de travail
 NMO 2240.C1 : variabilité du programme de conseil

10
d. 2300 Accomplissement de la mission :
o Définition de ce qu’il faut faire en insistant sur la nécessité de fonder ses conclusions. Tout constat
doit être étayé et donc non contestable. L’auditeur interne ne travaille pas à partir d’hypothèses,
mais s’appuie sur des certitudes. Normes de conservation des dossiers

o 2310 Identification des informations : elles doivent être fiables, pertinentes et utiles

o 2320 Analyse et évaluation : procédures (procédures analytiques, etc.) à mettre en place

o 2330 Documentation des informations : c’est une nécessité

 NMO 2330.A1 : accès aux dossiers avec éventuellement accord de la Direction Générale et avis
d’un juriste
 NMO 2330.A2 : définir les règles de conservation des dossiers
 NMO 2330.C1 : définir des procédures de conservation des dossiers des missions de conseil

o 2340 Supervision de la mission : c’est une exigence

e. 2400 Communication des résultats :

o 2410 Contenu de la communication : outre les objectifs et le champ d’application, elle doit
comprendre conclusions, recommandations et plans d’action
 NMO 2410.A1 : communication finale
 NMO 2410.A2 : on doit faire état des forces relevées
 NMO 2410.C1 : variabilité des modalités de communication (conseil)

o 2420 Qualité de la communication : exacte, objective, claire, concise, constructive, complète et émise
en temps utile

o 2421 Erreurs et omissions : transmettre la correction a tous les destinataires du rapport

o 2430 Mention « conduit conformément aux normes… »

o 2431 Indication de non-conformité aux normes : indiquer le quoi, le pourquoi et les conséquences

o 2440 Diffusion des résultats : aux personnes appropries

 NMO 2440.A1 : communication des résultats définitifs par le responsable
 NMO 2440.C1 et 2440.C2 : communication des résultats (conseil)

f. 2500 Surveillance des actions de progrès

Le responsable de l’AI doit mettre en place un système permettant cette surveillance :
 NMO 2500.A1 : le système doit permettre de surveiller et de garantir que des mesures ont été
prises
 NMO 2500.C1 : idem pour les missions de conseil

g. 2600 Acceptation des risques par la Direction Générale

Si le niveau de risque résiduel apparait inacceptable, il faut l’examiner avec la Direction Générale.
Si aucune décision n’est prise, il faut le soumettre au Conseil.

11
VIII. Les lignes directrices de mise en œuvre

o Les lignes directrices de mise en œuvre visent à être plus complètes que les modalités pratiques
d’application pour aider les auditeurs internes à se mettre en conformité avec les Normes.

o Les guides de mise en œuvre et les modalités pratiques d’application proposent des approches d’AI,
des méthodologies et des points d’attention mais elles ne décrivent pas en détail les processus et les
procédures.

o Jusqu’à début 2017, des guides de mise en œuvre remplaceront, au fur et à mesure, les modalités
d’applications correspondantes.

o Contenu des Modalités Pratiques d’Application : orientation liées à la mise en œuvre des normes

o Facultatives, mais font autorité

o Réponses à la question : « comment ? »

o Explication du numéro à partir de 2 exemples : MPA 2120-1 et MPA 1210.A1-1

o Présentation : normes et MPA sont imbriquées.

o Quelques exemples de MPA :

 1312-1 souligne les avantages d’une évaluation externe pour l’AI, la Direction Générale et le
Conseil. Elles doivent être effectuées par des personnes qualifiées et indépendantes

 1130-1 précise les restrictions à l’indépendance et a l’objectivité

 1000-1 précise les modalités de rédaction de la charte d’audit interne, son contenu et sa diffusion

 1110-1 # rajouté en 2004 : « la présence active et la participation du RAI aux réunions du Conseil
lui permettant d’être informe des orientations stratégiques de l’entreprise…et de soulever en
amont tout problème important relatif aux risques, aux systèmes, aux procédures ou aux
contrôles… »

Daniel Lebègue, Président de l’Institut Français des Administrateurs : « Dans la plupart des
Comités d’audit que je préside, le RAI assiste a toutes nos réunions, pas seulement les réunions
portant sur les risques ou sur le contrôle, mais même les réunions portant sur les comptes. Le RAI
est devenu vraiment un des partenaires, un des acteurs dans le jeu collectif, dans l’exercice collégial
de la fonction d’audit. »

Audit Interne et fraude :

o Une large définition de la fraude : La fraude est la tentative délibérée d'utiliser de fausses
informations ou induire en erreur les personnes pour le profit personnel ou de gain.

o Norme 2120-A2 introduite en 2009

o L’auditeur doit avoir une bonne connaissance des éléments constitutifs possibles de la fraude :
 Les 3 dimensions (le triangle) de la fraude
 La personnalité du fraudeur

12
 o Les auditeurs internes ne sont pas des experts en matière de détection de fraudes. Des actions
spécifiques :
 Vérification de la qualité de l’environnement de contrôle, de la bonne gestion des aspects
éthiques, de l’existence d’une culture d’exemplarité
 Evaluer le caractère significatif du risque de fraude
 Informer les autorités compétentes de l’existence d’indices
 Réaliser des investigations complémentaires pour asseoir son constat
 Collaborer avec les spécialistes
 S’assurer que toutes les bonnes mesures de contrôle interne ont été prises pour éviter la
survenue et le retour de tels incidents.

Les facteurs de risque de fraude font référence à une théorie développée dans les années 60 par un sociologue
américain, Donald Cressey, intitulée « le triangle de fraude ».

Une opportunité : l'existence d'une opportunité dans un cas de fraude renvoie au contrôle interne, car c'est lui
qui doit empêcher l'opportunité de fraude de se présenter. Le fraudeur ne recherche pas forcément les failles
du système : le plus souvent, elles se présentent à lui à l'occasion d'erreurs non corrigées. Ainsi, les principales
opportunités pour réaliser une fraude proviennent :

- de l'absence de contrôle ;
- d'un contrôle mal exécuté ;
- d'un contrôle contourné (par exemple, imitation de signature, falsification de document, etc.).
Un besoin ou une pression : Il s'agit essentiellement d'un problème financier que le fraudeur cherche à
résoudre, par exemple, un train de vie élevé, la nécessité d'éponger des dettes, l'addiction au jeu, un projet
impossible à réaliser autrement, etc. Il est difficile pour l'entreprise d'agir sur ce facteur, mais elle peut rester
attentive aux changements de comportements.
Dans le cas des états financiers, le besoin prend la forme de pressions jugées excessives, par exemple des
objectifs irréalistes.
La rationalisation de l'acte frauduleux : c'est un processus qui permet au fraudeur de rendre son acte
acceptable par rapport à son système de valeurs.

Conclusion : L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique et
méthodique.

Trois lignes de défense contre la fraude :

- Prévention : stopper la fraude avant qu'elle n'arrive (contrôle interne, politique, éthique, formation,
communication, ressources humaines)
- Dissuasion : empêcher la fraude de se produire en faisant apparaître que des contrôles sont en place
(audit, communication)
- Détection : reconnaître si une fraude a eu lieu (indicateurs, reporting, et dispositifs d'alerte)

13
14
15
16
17
 CHAPITRE II. LA GOUVERNANCE D’ENTREPRISE

Le gouvernement d'entreprise (ou gouvernance d'entreprise - « corporate governance » ) désigne le système

formé par l'ensemble des processus, réglementations, lois et institutions destinés à cadrer la manière dont
l'entreprise est dirigée, administrée et contrôlée.
En fonction des objectifs qui gouvernent l'entreprise, ce système est appelé à réguler les relations entre les
nombreux acteurs impliqués ou parties prenantes (stakeholders).

I. L’émergence du concept de « corporate governance »

A. Question fondamentale : comment faire en sorte que les dirigeants des entreprises agissent au mieux des
intérêts des actionnaires (propriétaires) et des autres parties prenantes (salaries, clients, fournisseurs,
collectivités, etc.) ?

La gouvernance d'entreprise propose une nouvelle conception du processus de décision, accordant toute
sa place à la concertation entre les parties prenantes (les stakeholders).

Les enjeux de la gouvernance d'entreprise sont bien d'assurer une meilleure coordination entre les
différentes entités de l'organisation et de ses partenaires (prestataires et sous-traitants).

Il s'agit donc de mettre en place des dispositifs (protocoles, conventions, contrats, normes...) destinés à
faciliter les échanges constructifs entre les parties prenantes, tout en améliorant la performance au sens
de chacune d'entre-elles. Le tout en respectant à la lettre les règlements officiels, normes et statuts
établis pour mettre en œuvre ladite gouvernance dans l'entreprise.

B. Raisons de l’apparition de la gouvernance d’entreprise :

1. La dispersion du capital :
La nouvelle complexité induite par la globalisation touche bien sûr de plein fouet les entreprises. De
toute façon, il était temps comme le propose la "gouvernance d'entreprise" d'en reprendre "à
plusieurs mains" le pilotage. En effet, avec l'éparpillement de l'actionnariat, le management exécutif
dispose des coudées franches.

2. L’abus du pouvoir managérial :

Bien trop souvent, le management exécutif est tenté d'accorder la priorité à la performance de son
propre compte bancaire plutôt qu'à celle de l'entreprise. À un tel point que, paradoxalement, certains
économistes voient d'un bon œil la prise de pouvoir par les instruments financiers les plus
controversés, tels les hedges funds, private equity et autres outils spéculatifs.

C. Objectifs essentiels de la gouvernance d’entreprise :

1. Instaurer la transparence :
La transparence est le premier principe fondateur. Chaque acteur de l'entreprise a droit à une
information complète et à jour.

2. Instaurer un meilleur contrôle

D. Les sujets de la gouvernance : les dirigeants

E. L’objet de la gouvernance : le « management du management »

18
F. Les constituants de la gouvernance :
1. Le contenu institutionnel du dispositif de GE (gouvernance d'entreprise) :
 Les structures
 Les procédures

2. Les comportements

G. Les dispositifs de régulation : le « management de la gouvernance »

H. L’harmonisation des dispositifs de régulation : la « gouvernance de la gouvernance »

I. La création de l’Institut Français des Administrateurs (IFA) (2003) :

1. Association professionnelle d’administrateurs de sociétés

2. Objectif : « contribuer à la promotion du gouvernement d’entreprise en France par son action en

faveur de l’exercice professionnel de la fonction d’administrateur »

3. Création d’outils : charte de l’administrateur, questionnaire de recrutement des administrateurs…

4. Multiples activités du Club Recherche :

 Matinales et conférences débats périodiques réunissant chercheurs et praticiens
 Forum annuel de la recherche
 Prix de l’IFA de la recherche sur la gouvernance
 Revue Française de Gouvernance d’Entreprise

II. Les fondements théoriques de la gouvernance d’entreprise

A. 2 grands courants :
 Le courant disciplinaire
 Le courant cognitif

B. Le courant disciplinaire :
1. La gouvernance a un effet disciplinaire sur les dirigeants

2. Vision actionnariale / Vision partenariale :

o La vision actionnariale (shareholders) :

 Théorie de l’agence (Jensen et Meckling, 1976)
 Risque de comportements opportunistes du dirigeant
 Nécessité de mettre en place des mécanismes pour réguler les comportements opportunistes
 Gouvernance = mise en place de dispositifs organisationnels par lesquels les actionnaires sont
susceptibles d’exercer un contrôle sur le processus de décisions-actions des dirigeants
 Exemples de dispositifs/mécanismes : conseil d’administration, droit de vote des actionnaires,
stock-options
 Exemples d’outils opérationnels de la GE « orientée actionnaires : Free Cash-Flow, EVA, Fair
Value

19
 o La vision partenariale (stakeholders) :
 Prise en compte des autres parties prenantes

 Objectif de la gouvernance : s’assurer qu’aucun stakeholder ne s’accapare durablement une part

de richesse trop importante au détriment des autres – assurer la viabilité de la coalition

 Gouvernance = « ensemble des mécanismes organisationnels qui ont pour effet de délimiter les
pouvoirs et d’influencer les décisions des dirigeants, autrement dit qui gouvernent leur
conduite et définissent leur espace discrétionnaire » (Charreaux, 1997)

 Exemples de mécanismes : direction de la déontologie et de l’éthique, actionnariat salarié.

o Conclusion :
 Une représentation contractuelle de l’organisation : l’entreprise est un nœud de contrats
 Existence de conflits d’intérêts
 Nécessité de mettre en place des dispositifs pour prévenir ou agir sur des conflits d’intérêts entre
parties prenantes à l’entreprise.

C. Le courant cognitif :
o L’organisation est un lieu de production de connaissances et d’apprentissage

o Il existe des conflits cognitifs

o La diversité cognitive constitue le moteur de l’esprit d’entreprise, de l’innovation, de la performance

o Gouvernance = « ensemble de mécanismes créant un climat organisationnel propice au

développement des conflits cognitifs qui feront émerger par émulation les investissements rentables,
les voies de croissance » (Charreaux, 2004)

o Exemples : compétences/expériences spécifiques et hétérogénéité/complémentarité au sein du

Conseil d’administration

o Une nécessaire réflexion sur la dynamique du fonctionnement du conseil :

 Quelles sont les conditions dans lesquelles se préparent et se déroulent délibérations ?
 Comment l’ordre du jour est-il arrêté ? Comment la parole est-elle distribuée ? Quelles sont les
personnes qui s’expriment ? Quand et sur quel sujet ? Que deviennent les diverses
contributions ?
 Existe-t-il un comité stratégique ?
 Quel est le temps consacré respectivement à l’examen des comptes et aux discussions
stratégiques ?
 L’ambiance du conseil ressemble-t-elle à celle d’un tribunal statuant sur le respect des intérêts
légitimes (approche disciplinaire) ou à celle d’un séminaire de recherche engage sur la voie
d’un apprentissage collectif (approche cognitive) ?

20
III. Les mécanismes de gouvernance de l’entreprise

A. Typologie des mécanismes traditionnels de gouvernance (Charreaux, 1997)

1. Mécanismes externes : relèvent de la discipline de marche :
 Marche financier
 Marche du travail
 Marche des biens et services…

2. Mécanismes internes : construits au sein même de l’entreprise :

 Conseil d’administration
 Direction de la déontologie…

21
22
B. Focus sur les comités du Conseil d’administration (en particulier : le Comité d’audit)

o Nommés au sein du Conseil d’Administration, qui en fixe la composition et les attributions, les comites ont
un rôle consultatif, en France. Leurs travaux font l’objet d’un compte rendu au Conseil d’Administration.

o Exemples : comité stratégique, comité des nominations et des rémunérations, comité des comptes ou
comité d’audit.

o Comité d’audit : corps consultatif (et décisionnaire aux US) émanant du conseil d’administration

o Aux Etats-Unis :
1. La Loi Sarbanes-Oxley (2002) rend obligatoire le comité d’audit pour toutes les sociétés par actions
et exige l’indépendance de tous ses membres ainsi qu’une expertise en matière comptable et
financière.

2. Fonctions du comité d’audit dans le contexte américain :

 Planification : revue et allocation des ressources de la fonction d’audit
 Surveillance : supervision du déroulement et du respect des plans d’audit
 Communication : rapport formel au conseil d’administration

o Au niveau européen : 8eme Directive (2006) :

1. Comité d’audit obligatoire dans les sociétés cotées

2. Missions :

 Suivi du processus d’élaboration de l’information financière

 Suivi de l’efficacité des systèmes de contrôle interne, de l’AI, le cas échéant, et de la gestion des risques
de la société
 Suivi du contrôle légal des comptes annuels et des comptes consolidés
 Examen et suivi de l’indépendance du contrôleur légal ou du cabinet d’audit
 Sélection préalable de tout contrôleur légal dont la désignation est proposée par l’organe
d’administration ou de surveillance

o En France :

 Comité d’audit obligatoire (pour les entreprises soumises à SOX et à la suite de la transposition de la
8eme directive par l’ordonnance du 8 décembre 2008)
 100% des Conseils du CAC 40 étaient déjà dotés d’un Comité d’audit
 Nb de membres entre 3 et 10 personnes
 Compétence et expertise
 Indépendance (non précisée par la loi, mais par le code de déontologie)
 Implication : fréquence des réunions et des auditions
 Auditions des dirigeants, des directeurs financiers et comptables, des CAC, du Responsable de l’AI.

23
IV. La règlementation et les codes de bonnes pratiques en matière de gouvernance d’entreprise

o Le modèle actionnarial de la gouvernance est à l’origine du développement de nombreux rapports

définissant des règles de bonne gouvernance

o Principalement à destination des entreprises cotées, ces rapports visent à élaborer des dispositifs
organisationnels susceptibles de garantir l’effectivité du contrôle des actionnaires sur les dirigeants

o Ils ont d’abord été inities dans le contexte anglo-saxon : rapport Cadbury en 1992, rapport Greenbury en
1995, rapport Hampel en 1998, rapport Higgs en 1998

o Ce mouvement atteint la France dès 1995. Voir ci-après les principales dispositions des rapports français et
lois en matière de gouvernance.

o 1995 – Le rapport Vienot I – Le conseil d’administration des sociétés cotées (AFEP – Association française
des entreprises privées et CNPF – Conseil national du patronat français) :

 Incitation pour le conseil d’administration à se pencher régulièrement sur sa composition, son

organisation et son mode de fonctionnement au travers d’une auto-évaluation
 Réaffirmation des missions du conseil d’administration
 Propositions sur le principe de croisement des administrateurs, le nombre de mandats d’administrateur
et les droits et devoirs des administrateurs, la création de comités, l’entrée d’administrateurs
indépendants
 Incitation pour le comité d’audit a vérifier et à donner son avis sur les procédures internes de collecte et
de contrôle des information, à se pencher sur les opérations importantes a l’occasion desquelles aurait
pu se produire un conflit d’intérêts et à rencontrer les directeurs et les personnes participant à
l’élaboration ou au contrôle des comptes.

o 1996 – Le rapport Marini – Chapitre III. Promouvoir un meilleur équilibre des pouvoirs et des
responsabilités au sein de l’entreprise d’un rapport visant à la modernisation du droit des sociétés
françaises :

 Constat d’un double déséquilibre imputable à notre droit des sociétés : suprématie des fonctions de
direction sur celles de contrôle et suprématie des contrôles de type judiciaires au contrôle de type
internes exercent par l’actionnaire et/ou les Commissaires aux Comptes
 Proposition sur la possibilité de dissocier dans les statuts les fonctions de président du Conseil
d’Administration de celles de directeur général
 Proposition pour limiter le nombre de mandats d’administrateurs pour un travail plus effectif du fait
d’une grande disponibilité ainsi que de légiférer pour donner plus d’efficacité et de poids aux comites.

o 1999 – Le rapport Vienot II. – Rapport sur le gouvernement d’entreprise (AFEP – Association française des
entreprises privées et MEDEF – Mouvement des entreprises de France) :

 Ralliement a une possible dissociation des fonctions de président et de directeur général

 Proposition d’une information standardisée et clarifie sur les pratiques de gouvernement d’entreprise
avec notamment une information sur les rémunérations globales des dirigeants.

 Adoption d’une définition simplifiée de l’administrateur indépendant et la volonté d’une présence plus
forte d’administrateurs indépendants au sein du conseil et de ses émanations que sont les comites.

24
o 2001 - La loi NRE – Nouvelles Régulations Economiques : genèse de la réforme du droit des sociétés

 Assurer un meilleur équilibre des pouvoirs entre les organes en séparant les fonctions de président et
de directeur général ou en étendant les pouvoirs des actionnaires minoritaires.
 Limitation du cumul de postes d’administrateurs ou de membres d’un conseil de surveillance,
transparence totale sur la rémunération des mandataires sociaux.
 Faciliter l’utilisation des nouvelles technologies de l’information pour renforcer la démocratie
actionnariale. La saisie du Comité d’entreprise en cas d’OPA/OPE va dans le même sens.

o 2002 - Le rapport Bouton – Le gouvernement d’entreprise (AFEP – Association française des entreprises
privées et MEDEF – Mouvement des entreprises de France)

 Mise en avant de l’importance du rôle des comités pour un meilleur équilibre des pouvoirs impliquant
des administrateurs indépendants et compétents ayant à leur disposition l’ensemble des informations
nécessaires à la bonne exécution de leurs travaux
 Incitation pour le comité d’audit à entendre le responsable de l’AI, à se prononcer sur l’organisation de
son service et à être destinataire des rapports de l’AI
 Evocation de l’importance des connaissances et des savoir-faire spécifiques des administrateurs
 Précision sur les modalités d’évaluation du conseil d’administration en ajoutant à l’auto-évaluation
annuelle une évaluation externe formalisée tous les trois ans au moins
 Réaffirmation du principe d’indépendance des Commissaires aux Comptes

o 2003 - La loi de Sécurité Financière :

 Publication obligatoire d’un rapport par le président sur le gouvernement d’entreprise (conditions de
préparation et d’organisation des travaux du conseil) et le contrôle interne (procédures de contrôle
interne mises en place)
 Elargissement des pouvoirs de contrôle avec la possibilité pour les associations d’investisseurs d’agir en
justice pour la défense de tout préjudice direct ou indirect à l’intérêt collectif des investisseurs

 Instauration d’une autorité de contrôle indépendante avec la création du Haut Conseil du Commissariat
aux Comptes (H3C) et redéfinition des contours de l’exercice légal du commissariat aux comptes.

o 2005 – La Loi Breton :

 Restriction du champ des sociétés devant établir un rapport sur le contrôle interne aux seules sociétés
anonymes cotées
 Encadrement des parachutes dores : l’attribution de parachutes dores devra faire l’objet de conventions
réglementées (approuvées par le conseil d’administration et l’assemblée générale des actionnaires)

25
o 2007 – La Loi TEPA (Loi en faveur du travail, de l'emploi et du pouvoir d'achat) : encadrement des
parachutes dorés versés aux dirigeants :
 L’attribution des indemnités de départ sera désormais soumise non seulement aux performances du
bénéficiaire, mais aussi à celles de la société qu’il dirige
 Les engagements en cours dans les entreprises devront être mis en conformité avec la nouvelle loi dans
un délai de 18 mois à compter de sa date de publication

o 2008 – Nouveau code de gouvernement d’entreprise AFEP – MEDEF :

Recommandations sur la rémunération des dirigeants mandataires sociaux de sociétés dont les titres sont
admis aux négociations sur un marché réglementé :

 Mettre un terme au contrat de travail en cas de mandat social

 Mettre un terme aux « parachutes dores »
 Renforcer l’encadrement des régimes de retraite supplémentaires
 Fixer des règles pour les options d’achat ou de souscription d’actions et l’attribution d’actions de
performance
 Améliorer la transparence sur tous les éléments de la rémunération
Proposition d’une présentation standardisée : « comply or explain »

o 2010 – Code de gouvernement d’entreprise des sociétés cotées AFEP – MEDEF :

 Principes de gouvernement d’entreprise résultant de la consolidation de précédents rapports et

recommandations de l’AFEP et du MEDEF, et en particulier des rapports VIENOT et BOUTON, du rapport
d’octobre 2008 sur la rémunération des dirigeants mandataires sociaux des sociétés cotées et de la
recommandation d’avril 2010 sur le renforcement de la présence des femmes dans les conseils
 Cet ensemble de recommandations, qui constitue le Code AFEP-MEDEF, peut être désigné par les
sociétés cotées comme étant leur code de référence en application de la loi du 3 juillet 2008
 Il est recommandé que les autres sociétés appliquent ces recommandations en tout ou partie en les
adaptant à leurs spécificités

o 2011 - Loi Copé – Zimmerman :

Les entreprises cotées d’au moins 500 salaries sont soumises à un quota de 40% de femmes dans les
conseils d’administration a horizon 2017

o 2013 – Code de gouvernement d’entreprise des sociétés cotées AFEP – MEDEF (Révisé) :

 Say on Pay : l'expression anglaise « say on pay » est une règle en droit des sociétés par laquelle les
actionnaires d'une entreprise ont le droit de voter sur la rémunération de leurs dirigeants.
 Salaries au comité des rémunérations
 Plafonnement des indemnités et des retraites chapeau – Condition pour la perception des
rémunérations variables de long terme
 Limitation des mandats d’administrateurs : les mandataires sociaux ne peuvent exercer que deux
autres mandats dans des sociétés cotées
 Haut Comité de Gouvernement d’entreprise

26
o 2015 – Loi sécurisation de l’emploi du 14 juin 2013, modifiée par la Loi relative au dialogue social du 17
aout 2015

 Comprennent des administrateurs représentant les salaries les conseils d’administration ou conseils de
surveillance des entreprises employant a la clôture de deux exercices consécutifs :
 Au moins 1 000 salariés permanents dans la société et ses filiales en France
 Au moins 5 000 salariés permanents dans la société et ses filiales en France
 Qui ont pour obligation de mettre en place un comité d’entreprise

 Nombre d’administrateurs :
 Au moins 2 (nb d’admrs > 12)
 Au moins 1 (nb d’admrs < ou = 12)

 Désignation des administrateurs (élection, CE, organisation syndicale)

o 2016 – Code de Gouvernement d’entreprise Middlenext (nouvelle Édition/Septembre 2016) :

 Le code réaffirme que la stratégie est la décision de gouvernance par excellence. Il s'emploie à définir
clairement le rôle des uns et des autres (actionnaire, administrateur, dirigeant).

 Parmi les recommandations mises en exergue : accorder une grande attention à la succession des
dirigeants ; identifier et traiter des conflits d'intérêt éventuels à tous les niveaux de l'organisation
considérée ; respecter les actionnaires minoritaires surtout quand le capital de la société est verrouillé.

 Pour garantir l'indépendance du conseil d'administration, il prône la nomination de deux

administrateurs indépendants.

 Il recommande aussi que le vote des actionnaires sur les rémunérations des dirigeants (le fameux « say
on pay ») soit facultatif

 Prône la mise en place de comités sur mesure (cela signifie la fin des comités inutiles).

Comme pour le code AFEP Medef, les entreprises qui adoptent ces règles s'engagent à s'y conformer ou, sinon,
à expliquer les raisons pour lesquelles elles s'en écartent (c'est le fameux « comply or explain »).

Synthèse :
 Les codes de gouvernance sont qualifiés de « soft law »
 L’application des codes de gouvernance s’opère sur la base du « comply or explain »
 Une des caractéristiques des différents codes de gouvernance est la convergence de leurs
recommandations
 Les différents codes de gouvernance sont très sélectifs quant aux mécanismes de gouvernance abordes
 Ils ne prennent pas en compte les interactions entre les différents mécanismes, ni les effets de
substitution
 Les pratiques conçues pour gérer des conflits d’intérêt ne permettent pas forcément la meilleure gestion
des conflits cognitifs
 Comment appréhender la valeur d’une pratique de gouvernance d’entreprise ?

27
V. L’information sur la gouvernance d’entreprise :

o Conformément à l’avant-dernier alinéa des articles L. 225-37 et L. 225-68 du code de commerce (depuis la LSF
et la loi Breton), le président du conseil d’administration ou du conseil de surveillance de toute société
anonyme faisant appel public à l’épargne rend compte à l’assemblée générale annuelle des actionnaires,
dans un rapport joint au rapport de gestion, des « conditions de préparation et d’organisation des travaux
du conseil ainsi que des procédures de contrôle interne mises en place par la société ». Le rapport indique en
outre les « éventuelles limitations que le conseil d’administration apporte aux pouvoirs du directeur
général ».

o Aux termes de l’article L. 225- 102-1 du code de commerce, le rapport de gestion doit contenir, de façon
individuelle et nominative, le montant des rémunérations et avantages de toute nature versées à chaque
mandataire social, durant l’exercice, par la société et les sociétés contrôlées ou contrôlantes.

o Les articles 26 à 30 de la loi #2008-649 du 3 juillet 2008 transposent en droit français certaines dispositions de
la directive #2006/46/CE du 14 juin 2006. Le président du Conseil de sociétés faisant appel public à l’épargne,
établit un rapport précisant :

 la composition, les conditions de préparation et d’organisation des travaux du conseil et les procédures
de contrôle interne.
 Le code de gouvernement d’entreprise auquel la société a choisi de se référer ou, à défaut, les règles
retenues par cette société en complément des exigences requises par la loi
 Les modalités particulières relatives à la participation des actionnaires à l’assemblée générale ou
renvoyer aux stipulations des statuts qui prévoient ces modalités

o L’article 122 de la LSF instaure l’AMF qui devra chaque année établir un rapport sur la base des informations
qui auront été publiées.

o L’article L. 621-18-3 du Code monétaire et financier prévoit que les sociétés cotées rendent publiques les
informations dans les conditions fixées par le règlement général de l’AMF : mise à disposition sous format
électronique sur le site de l’AMF, et sur le site de l’émetteur lorsqu’il dispose d’un tel site.

VI. L’évaluation de la gouvernance d’entreprise

o Evaluer le processus de gouvernement d’entreprise revient à évaluer la conformité aux lois,

règlementations et codes de bonne conduite en la matière

o Le triple rôle de l’auditeur interne en matière de gouvernance d’entreprise : partie prenante, juge et
conseiller.

o Le référentiel de gouvernance IFACI / IFA (2009) :

« Le rôle de l’audit interne dans le gouvernement d’entreprise » :
 Relation de l’audit interne avec les autres organes de gouvernance
 Evaluation des processus de gouvernement d’entreprise

 L'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations
appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs
suivants :
28
  promouvoir des règles d'éthique et des valeurs appropriées au sein de l'organisation ;
 garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre
compte
 communiquer aux services concernés de l'organisation les informations relatives aux risques et aux
contrôles
 fournir une information adéquate au Conseil, aux auditeurs internes et externes et au management, et
assurer une coordination de leurs activités.

o Evaluation des processus de gouvernement d’entreprise :

 Ethique
 Contrôle interne
 Management des risques
 Communication externe
 Gouvernance des filiales
 Politique de développement durable
 Fraude
 Autres

o La notation des pratiques de gouvernance

Quelques acteurs (voir diapositives suivantes – Source : Investors relations update, CCG, Aout
2003 – Deminor rating, brochure 2004)

29
 CHAPITRE III. LE CONTROLE INTERNE

Le contrôle interne est un dispositif mis en œuvre par la direction d'une entreprise pour lui permettre de
maîtriser les opérations à risques. Pour cela ses ressources sont mesurées, dirigées et supervisées de façon à
permettre au management de réaliser ses objectifs.

I. Le cadre réglementaire et législatif du contrôle interne

A. Le manuel des procédures comptables :
Le décret du 29 novembre 1983 concerne les obligations comptables des commerçants et de certaines
sociétés. Ce décret rend obligatoire toutes les entreprises soumises au code de commerce l’élaboration des
procédures des manuels comptables seulement si ce manuel est nécessaire à la compréhension de
l’information comptable, financière, et à la réalisation du contrôle.

B. Les règlementations spécifiques à des secteurs d’activité :

Secteur de la Banque : le règlement CRBF 97-02 (CRBF – Comité Règlementaire Bancaire et Financière)
remplace par l’arrêté du 3 novembre 2014 impose la mise en place du contrôle interne (CI) des
établissements de crédits.
Secteur de l’Assurance : le décret du 13 mars 2006 rend obligatoire la mise en place d’un système de CI
efficace.

C. Les réglementations applicables aux entreprises cotées :

1. Le Sarbanes-Oxley Act (31 juillet 2002)
 La section 404 impose aux entreprises de mettre en place des contrôles interne dont l'efficacité devra
être démontrée. Le Directeur Générales et le Directeur Financier sont responsable du CI comptable et
financier.
 La section 302 impose au DG et DF de rédiger et signer un rapport sur l’efficacité du CI comptable et
financier.
 La section 404 impose la certification de (états financiers) ce rapport par des auditeurs externes

2. La Loi de Sécurité Financière - LSF (2003)

Loi de Sécurité Financière impose au président du conseil d'administration ou du conseil de surveillance de
rendre compte, dans un rapport joint au rapport de gestion annuel, des conditions de préparation et
d'organisation des travaux du conseil, ainsi que des procédures de contrôle interne mises en place par la
société. En 2005, la loi Breton restreint cette loi. Cette nouvelle loi s'applique à toutes les sociétés
anonymes ainsi qu'aux sociétés faisant appel à l'épargne publique. Comme la loi américaine Sarbanes-
Oxley, la loi de sécurité financière repose principalement sur:
 Une responsabilité accrue des dirigeants
 Un renforcement du contrôle interne
 Une réduction des sources de conflits d'intérêt

 Article 117 impose au Président du Conseil d’Administration d’élaborer et signer un rapport rendant
compte des procédures de CI mises en place dans la société.
 Article 120 impose aux commissaires aux comptes d’établir un rapport spécifique sur le rapport du
Président en faisant part de leurs observations, et uniquement au sujet du CI comptable et financier. Ils
n’ont pas à certifier leurs certitudes (pas d’obligation).
 Article 122 crée l'Autorité des marchés financiers (AMF) qui est une autorité publique française
indépendante, qui a pour missions de veiller à la protection de l'épargne investie dans les instruments
financiers, à l'information des investisseurs, au bon fonctionnement des marchés d'instruments
financiers. AMF publie chaque année une synthèse des produits sur le CI.

30
 3. La loi du 3 juillet 2008 (2008-649) transposant la directive européenne 2006/46 (4eme et 7eme directives).

Cette loi transpose en droit français la directive n° 2006/46 ayant pour effet d’accroitre les obligations de
transparence des sociétés en matière de gouvernement d’entreprise et de contrôle interne. Cette loi
impose au Président de rendre compte des procédures de risques.
 Reprise des éléments de l’article 46bis
 Modification du contenu du rapport du Président

4. L’ordonnance du 8 décembre 2008 (2008-1278) transposant la directive 2006-43 (dite 8eme directive)
Ordonnance relative au contrôle légal des comptes. La directive a réformé les règles gouvernant les
conditions d'exercice des activités des commissaires aux comptes : séparation des fonctions d'audit et de
conseil (Comité d’audit et contrôle interne)

D. Les autres réglementations :

1. L’Union Européenne et le Public Internal Financial Control (PIFC)
Dispositif de CI et financier, dont le périmètre s’étend à tout le corps public
2. La loi Organique relative aux Lois de Finances (LOLF) (2001)
Cette loi rend obligatoire la certification des comptes de l’Etat par la cour des comptes et la mise en
place d’un CI comptable et financier.
3. Le décret du 28 juin 2011 (relatif à l'audit interne dans l'administration)
Un dispositif de contrôle et d'audit internes est mis en œuvre dans chaque ministère, il vise à assurer la
maîtrise des risques liés à la gestion des politiques publiques.

II. La notion de contrôle interne

A. La définition, le périmètre et les limites du contrôle interne :

1. Définition du COSO (1992/2013) :

Organisation à but non-lucratif, créée par des associations du chiffre: AICPA + AAA + FEI +IMA + IIA + Big 8
Le COSO est un référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the
Treadway Commission. Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant
des lois Sarbanes-Oxley, SOX ou Loi de sécurité financière, LSF, pour les entreprises assujetties
respectivement aux lois américaines ou françaises. Le référentiel initial appelé COSO 1 a évolué depuis 2002
vers un second corpus dénommé COSO 2. En 2013, une nouvelle version du COSO.
 « Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants, le
personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs
suivantes :
 Réalisation et optimisation des opérations
 Fiabilité des informations (financières)
 Conformiste aux lois et aux règlementations en vigueur »

o Les principes :
Le référentiel COSO est basé sur les principes de base suivants :
 Le contrôle interne est un processus : c’est un moyen, pas une fin ; il ne se cantonne pas à un recueil de
procédures mais nécessite l’implication de tous à chaque niveau de l’organisation.
 Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et
d’une direction respectueuse des lois.
 Le contrôle interne est adapté à la réalisation effective des objectifs.

31
 o Le cadre :
Le cadre COSO repose sur les notions d'objectifs et de composants.
o Les trois objectifs :
Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à
tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des
trois objectifs suivants :
 l'efficacité et l'efficience des opérations,
 la fiabilité des informations financières,
 la conformité aux lois et règlements.
On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.
o Les cinq composants :
Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent
un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation. Il s’agit de :
 l`environnement de contrôle, correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise ;
 l`évaluation des risques à l'aune de leur importance et fréquence ;
 les activités de contrôle, définies comme les règles et procédures mises en œuvre pour traiter les
risques, le COSO imposant la matérialisation factuelle des contrôles ;
 l`information et la communication, qu'il s'agit d'optimiser ;
 le pilotage, c'est-à-dire le « contrôle du contrôle » interne.

o Le cube :
Après les objectifs et composants, le COSO impose de distinguer les structures de l'entreprise (sociétés,
entités, fonctions, …). La combinaison des trois objectifs, des cinq composants et des structures de
l'entreprise, vus comme trois axes d'analyse distincts, constitue ce qui est appelé le cube COSO.

2. Définition du Cadre de Reference de l’AMF (2006):

o « Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il
comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptes aux
caractéristiques propres de chaque société qui :
 Contribue à la maitrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente
de ses ressources
 Doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils
soient opérationnels, financiers ou de conformité.
o Le dispositif vise plus particulièrement à assurer :
 La conformité aux lois et règlements
 L’application des instructions et des orientations fixées par la DG ou le Directoire
 Le bon fonctionnement des processus internes de la société, notamment ceux concourant à la
sauvegarde de ses actifs
 La fiabilité des informations financières »

3. Le champ et le périmètre du contrôle interne :

o Vaste champ : il déborde des aspects financiers
o Maitrise des activités et pilotage efficace de l’organisation = vérification a posteriori
o Intérêt particulier dans les grandes entreprises et les groupes :
 théorie de l’agence : la théorie de l'agence (ou dilemme de l'agence) est la branche de
l'économie qui s'occupe des conséquences du problème principal-agent, en particulier à
l'intérieur d'une même unité économique, administration ou entreprise.
 contrôle interne des filiales

32
 o Spécificités dans les petites entreprises :
 besoins réduits et faibles moyens
 importance du chef d’entreprise

4. Les limites du contrôle :

o Assurance raisonnable (et non absolue) que l’organisation pourra atteindre ses objectifs. Limites
inhérentes au contrôle interne
o Equilibre couts-avantages  Risques et activités critiques
L'objectif du contrôle interne est d'arriver à une assurance raisonnable du bon fonctionnement de
l'entreprise.

B. Les acteurs du contrôle interne :

1. La Direction Générale :
 La DG est responsable de la mise en place (procédures de contrôle interne) et, si c'est nécessaire, de le
renforcer -> la responsabilité du CI relève de la direction générale
 Rend compte de ce dispositif au Conseil d’Administration
 A un devoir d’exemplarité

2. Le Comité d’audit :
Il est composé d'administrateurs indépendants chargés d'initier et de suivre les missions d'audit. À ce titre
il a pour mission de demander le renforcement des procédures de contrôle interne -> il doit s'assurer que
les procédures de contrôle interne sont en place, fonctionnent et donnent les résultats attendus.

3. Le Conseil d’administration :
 Exprime ses attentes : Il représente les actionnaires et il est à ce titre directement intéressé par le
niveau de CI de l'entreprise.
 Supervise le CI : Il doit notamment s'assurer que les procédures internes garantissent la significativité
et l'honnêteté des comptes sociaux.
4. Le personnel (dont DF, DRH, DSI…)
 Est en charge du fonctionnement
 Tous les salariés de l'entreprise sont responsables du CI. Quels que soient leur métier et les tâches qui
leur sont confiés, ils doivent veiller à ce que les instructions qui leur sont données sont effectivement
appliquées.
5. Le service d’audit interne :
 Evalue la pertinence et l’efficacité du CI
 Fait des préconisations
 Sensibilise et forme
 Rend compte à la DG et au Comité d’Audit
6. L’émergence de nouveaux acteurs : chief Internal Control Officer Compliance Officer
 Fonction de support
 Aide à la mise en œuvre du dispositif du CI
 Les déontologies se sont développées dans certaines entreprises.

C. Les principaux référentiels de contrôle interne :

33
 1. Le COSO (1992/2013)
 « Internal Control – Integrated Framework » ou COSO
 Fortement recommande par la SEC et le PCAOB (=H3C) pour la mise en œuvre de SOX
La Public Company Accounting Oversight Board (or PCAOB) est une société créée par la loi américaine
Sarbanes-Oxley en 2002 afin de superviser les audits des entreprises cotées.
2. Le COCO (1995)
 Recommandations sur le CI publiées par l’Institut Canadien des Comptables Agréés
 Conforme aux exigences du PCAOB et de la SEC
Le COCO (Criteria on Control Committee): les objectifs de l'organisation .qui font partie des trois
catégories suivantes : Efficacité et efficience du fonctionnement; Fiabilité de l'information interne et
externe; Conformité aux lois, aux règlements et aux politiques internes.
3. Le Turnbull Guidance (1999)
 Internal Control Guidance for Directors on the Combined Code développé par l’Institut des Experts
Comptables d’Angleterre et du Pays de Gale
 Conforme aux exigences du PCAOB et de la SEC
4. Le Cadre de Reference de l’AMF (2006)
 conséquence de la LSF
 « Le dispositif de contrôle interne : cadre de référence »
 Outil de gestion au service des sociétés cotées
 Rédaction par les représentants des entreprises et des institutions comptables ainsi que par des
personnalités qualifiées appartenant notamment à l’IFA, l’IFACI, l’AMRAE et les big 4 »
5. Le COBIT (1996, 2012)
 Control objectives for Information and Technology conçu par l’ISACA (Information Systems Audit and
Control Association)
 Cadre de référence complémentaire en matière de sécurité et de contrôle des technologies de
l’information

D. Les composantes du contrôle interne : analyse comparative COSO / AMF :

1. Le COSO distingue 5 composantes : ces 5 composantes doivent être présentes pour qu’un CI soit
efficace :
 Environnement de contrôle : culture du CI et des risques dans l’organisation. La DG et C.
d’Administration jouent-ils leurs rôles ?
 Evaluation des risques : Les risques sont-ils évalués dans chaque fonction, activité…
 Activités de contrôle : face à chaque risque juge significatif -> mise en place d’activités de contrôle
efficaces et pertinentes
 Information et communication : connaitre ses responsabilités en matière de CI
 Pilotage : surveillance et évaluation du CI régulière et de façon indépendante

2. Le COSO représente symboliquement le contrôle interne d’une entité sous la forme d’un cube

34
 3. Le modèle français (AMF) a seulement procédé à un léger remaniement dans la formulation et
l’agencement de certaines composantes. Ces 5 composantes sont :
 Une organisation adaptée
 La diffusion en interne d’informations pertinentes
 Un système visant à recenser et analyser les principaux risques
 Des activités de contrôle
 Une surveillance permanente

E. Les composantes du contrôle interne : zoom sur le COSO 2013 :

1. Préambule
17 principes – 81 attributs

2. L’environnement de contrôle interne :

 Engagement envers l’intégrité et des valeurs éthiques
 Exercice de la responsabilité de supervision
 Etablissement d’une structure, de niveaux hiérarchiques, de pouvoirs et responsabilités
appropries
 Engagement à attirer, à former et à conserver des employés compétents
 Obligation de rendre compte de l’exécution des responsabilités confiées

3. L’évaluation des risques :

Définition de risque : tout ce qui empêche l’organisation d’atteindre ses objectifs. Les risques sont
hiérarchisés.
 Fixation d’objectifs appropriés
 Identification et analyse des risques
 Evaluation du risque de fraude
 Identification et évaluation des changements significatifs.

4. Les activités de contrôle :

 Sélection et mise en place des activités de contrôle
 Sélection et mise en place de contrôles généraux de la technologie
 Déploiement des activités de contrôle au moyen de politiques et procédures

5. L’information et la communication
 Utilisation d’informations pertinentes et de qualité
 Communication en interne
 Communication avec les parties externes

6. Le pilotage
 Conduite d’évaluations continues et/ou ponctuelles
 Evaluation et communication des défaillances

7. Implication
Lacune / lacune grave – efficacité
La lacune grave est une composante du CI. Le CI fonctionne mal si un principe n’existe pas ou
dysfonctionne.

35
F. Des exemples d’activités ou de procédures de contrôle interne :

1. La séparation des tâches

Des règles strictes doivent être appliquées pour qu'une même personne ne soit pas à la fois chargée d'une
action et en même temps d'en contrôler l'exécution :
o Objectif : s’assurer qu’une même personne ne puisse pas commettre une malversation et la
dissimuler
o Fonctions incompatibles entre elles :
 La fonction de décision
 La fonction de détention des valeurs ou des biens
 La fonction d’enregistrement
 La fonction de contrôle
2. La traçabilité des opérations ou la piste d’audit
Il est nécessaire d'enregistrer toutes les opérations effectuées permettant ensuite de reconstituer les
opérations :

Objectif : possibilité de valider une information en remontant à sa source

3. Les délégations de pouvoir et les procédures d’autorisation
 Effectuées avec logique
 Supervisées : la surveillance des opérations permet de s'assurer que les opérations se déroulent
normalement sans incident
 Approuvées
4. Les restrictions des accès :
 Objectif : limiter les risques de fraudes ou de divulgation d’informations sensibles
 Exemples : la sécurité des opérations -> Il faut pouvoir assurer un bon niveau de sécurité de
façon à pouvoir redémarrer rapidement après un incident sans perdre d'information significative.
5. La protection physique :
 Objets à protéger
 Moyens de protection
6. L’auto-contrôle :
 Points de contrôle générés par l’organisation elle-même, indépendamment de toute intervention
extérieure
 Recoupements : rapprochements bancaires
 Contrôles réciproques : réalisation d’une même tâche par 2 personnes différentes de façon
simultanée ou subséquente – Ex : double signature
 Contrôles informatiques : réduire les interventions humaines afin d’éviter les fraudes ou
omissions
 Réalisation de taches ultérieures
7. L’écriture des procédures
 Objectif : rendre transparents les processus, faciliter la transmission des connaissances et des
savoir-faire, clarifier les responsabilités…
 Manuel des procédures
 Documentation sur les systèmes informatiques

36
III. La mise en œuvre du contrôle interne
A. L’analyse des processus de l’entreprise :
Le processus est une suite d’activités concourant à un objectif commun.
1. La collecte d’informations sur les processus
o Les processus :
 Ensemble de tâches qui utilise des ressources pour convertir des éléments d’entrée en
éléments de sortie possédant une valeur ajoutée
 3 grandes catégories de processus : Exécutifs, Opérationnels, et Support
 Processus conçus de façon transversale
 Processus et sous-processus : jusqu’où aller ?
-Définition du niveau de granularité du contrôle interne
-Facteurs influençant le niveau de granularité
o Les informations à recueillir :
 Tout document décrivant le fonctionnement de l’entreprise
 Les procédures ou instructions de travail
 Les organigrammes (obtention et vérification ou établissement)
 Les descriptions de poste
 Les délégations de pouvoir existantes
 Les rapports des auditeurs internes
 Etc…
o Les moyens de collecte :
 L’observation physique
 L’inspection des documents
 Les entretiens avec les collaborateurs
2. La formalisation de l’information sur les processus
o La narration
o L’organigramme fonctionnel :
 Permet de repérer une même fonction partagée par plusieurs personnes, une personne
remplissant plusieurs fonctions, les fonctions non occupées, les personnes sans fonction
 Voir exemple ci-après : de l’organigramme hiérarchique a l’organigramme fonctionnel

37
o La grille d’analyse des tâches :
 Découpage de toutes les tâches relatives à un processus concerne ou à la fonction étudiée, par
ordre chronologique
 Précision de la nature de chaque tache
 Indication du nom des intervenants
 Objectif : vérifier l’application du principe de séparation des tâches, les tâches effectuées deux
fois, les taches non réalisées
 Voir exemple ci-après : grille d’analyse des taches se rapportant au processus de paiement des
factures fournisseurs

o Le diagramme de flux ou flow chart :

 Description graphique de la circulation de l’information ou/et d’objets physiques
 Objectif :
- visualisation et compréhension des relations entre les différents intervenants et les différentes
taches
- visualisation de la chronologie des opérations
- mise en évidence des inefficiences du processus et des éventuelles failles
 Voir exemple ci-après

38
 Cf. bons de commande en 3 exemplaires

Problème : la comptabilité commande et paie -> il faudrait une personne (un trésorier) pour valider et payer la commande.
Réception des marchandises : pas de contrôle -> un bon de commande devrait être transmis au magasin afin de comparer ce
qui a été commande et reçu.
Au sein d’un processus, certaines activités/taches sont plus problématiques -> il faudrait créer une base de données recensant
les risques produits et leurs conséquences.

3. Les tests de conformité de la compréhension

o Objectif : s’assurer que la compréhension des procédures et points-clés est juste
o Tests de cheminement
o Restitution de la description aux acteurs concernes
4. L’indentification des activités critiques
o Activités les plus créatrices de valeur ou les plus vulnérables
o Objectif : focaliser les efforts sur les enjeux essentiels
5. La prise de connaissance / constitution d’une base « incidents »
o Mécanisme de collecte des incidents
o Objectif : faciliter l’identification des zones de vulnérabilités, les sources d’anomalies, la fréquence
des incidents
6. La construction de la matrice des processus
Exemple : le processus paie (source : IFACI 2008, « Des clés pour la mise en œuvre du contrôle interne »,
Cahier de recherche, février)
Objectifs du processus paie :
a. Payer les salariés dans les temps
b. Payer conformément aux contrats de travail et aux décisions de la direction
c. Déposer les déclarations fiscales et sociales dans les temps
d. Se conformer à la règlementation fiscale et sociale
e. Protéger la trésorerie et les données de paie
f. Enregistrer rapidement et correctement les données de paie »

39
B. L’identification et l’évaluation des risques :
1. L’indentification des risques
 Risque : tout évènement qui empêche la réalisation des objectifs. Le risque est l’association de quatre
facteurs : un danger, une probabilité d'occurrence, sa gravité et de son acceptabilité
 Se focaliser sur les risques essentiels
 Analyse détaillée des différents processus couplée avec l’étude des incidents
 Sollicitation des collaborateurs pour identifier les risques inhérents aux activités de leur périmètre de
responsabilité
Risques inhérents : risques avant toute activité de CI.

2. L’évaluation des risques

o Qualification des risques selon 2 critères :
 Leur probabilité de survenance
 Leur impact en cas de survenance
o Echelle de cotation allant de 1 à 5
o Cotation globale à partir de la combinaison des 2 critères

40
Cartographie des risques : Représentation graphique de la probabilité et de l’impact permettant de visualiser
le niveau de risques.

3. La construction de la matrice des risques

41
C. L’indentification et l’appréciation des contrôles :
1. Typologies des contrôles
o Selon la nature des activités de contrôle :
 Approbation
 Vérification
 Autorisation
 Rapprochement
 Mise en place de moyens de protection des actifs
o Selon les objectifs des activités de contrôle :
 Exhaustivité des traitements
 Réalité d’une opération ou d’un bien
 Exactitude d’un montant ou d’un calcul
 Cohérence d’information
o Selon les modalités des activités de contrôle :
 Contrôles manuels
 Contrôles automatiques (contrôles bloquants / Messages d’alerte)
o Selon l’emplacement des activités de contrôle dans le système de contrôle interne :
 Contrôle de 1er niveau : responsabilité des opérationnels par eux-mêmes – Ex : dans un
magasin, une caissière contrôle son solde de caisse. Le supérieur hiérarchique validera
l’opération des subordonnés
 Contrôle de 2em niveau : contrôle exercé par la direction du service ou du département
 Contrôle de 2em niveau bis : contrôle exercé par la direction du CI
 Contrôle de 3em niveau : contrôle exercé par un corps indépendant – Ex : l’audit interne et
l’audit externe assurent que chaque niveau remplit sa participation
 Contrôle de 4em niveau : contrôle est assure par le Comité d’Audit ou le Conseil
d’Administration.
o Selon le positionnement temporel par rapport à la survenance du risque
 Contrôles directifs (préventifs) : visent à expliquer ce qu’il faut faire – Ex : former le personnel
pour empêcher que le risque ne se produise
 Contrôles préventifs : empêchent la survenance du risque – Ex : la séparation des taches, les
autorisations, un contrôle automatique/informatique bloquant, la fermeture d’une porte à clé
 Contrôles détectifs : détectent une anomalie ou une erreur déjà commise – Ex : les
rapprochements des bons de commande/livraison, les inventaires, les installations de
détecteurs de fumée…
 Contrôles correctifs : interviennent une fois le risque survenu et visent à réduire les
conséquences – Ex : l’existence d’une procédure de facturation manuelle, l’installation
d’extincteurs…

42
 2. Les contrôles attendus / à mettre en place :

3. L’appréciation des contrôles existants / mis en place :

o Objectif : mettre en exergue les forces et les faiblesses du contrôle interne
o Inventaire des contrôles existants : la matrice risques / contrôles
 Objectifs :
-faire l’inventaire des risques et des contrôles
-recréer le lien entre contrôles et risques couverts
-mener une analyse en ligne et une analyse en colonne
 Voir exemple ci-après

o Les critères d’appréciation du contrôle interne : 4 questions

 La conception du contrôle est-elle adéquate pour couvrir le risque ?
 Le contrôle fonctionne-t-il comme prévu ?
 L’exécution du contrôle s’appuie-t-elle sur un mode opératoire défini ?
 L’exécution du contrôle est-elle formalisée ?

Critères de pertinence, bonne information et de compétence. Un contrôleur interne devra aller tester
l’exécution du contrôle, i.e :
 réexécution du contrôle
 examen de la preuve du contrôle
 observation de la réalisation du contrôle
 interview / questionnaire

Existe-t-il une instruction/procédure écrite ? Elle doit être aisément préhensive, communiquée aux bonnes
personnes, et actualisée.

43
 o La cotation de l’efficacité des contrôles :
 Cotation de l’efficacité des contrôles sur chacun des 4 critères s/1 échelle allant de 1 à 5 :
1 = très faible
2 = assez faible
3 = moyenne
4 = bonne
5 = très bonne
 3 dimensions des risques : probabilité d’occurrence (impact), le degré de maitrise, et la maturité.
 Pondération des différents critères
 Notation globale de chaque contrôle
o Le degré de maturité des activités de contrôle :
Une appréciation sur une échelle qui va de 1 à 5

o Tableau synthétique
 Evaluation des risques, évaluation des contrôles, recommandations
 Documentation complémentaire

44
D. L’incidence de l’environnement informatique :
1. Incidences de l’informatique :
 Saisie des données
 Processus de traitement des données
 Conservation des données
2. Risques d’autant plus élevés avec l’utilisation des PGI :
Un progiciel de gestion intégré (PGI) est un outil informatique permettant de piloter une entreprise. Il
s'appuie sur une base de données commune à tous les services de l'entreprise et permet de gérer
l'ensemble des processus de celle-ci.
3. Les risques :
o Diversité des risques :
 Manque de trace matérielle
 Erreurs de programmation
 Séparation insuffisante des taches
 Sécurité physique insuffisante
 Absence de plan de reprise après sinistre
 Erreur de stratégie informatique
o Indentification des risques :
 Analyse de la dépendance informatique
 Prise de connaissance de la politique en matière de personnel
 Examen de la stratégie informatique
 Recensement des prestataires informatique
 Elaboration de la cartographie des applications et des interfaces
4. Les contrôles informatiques :
o Les différents types de contrôles :
 Les contrôles généraux : principes et procédures contribuant à assurer un bon
fonctionnement continue des systèmes d’information – Ex : installation visant à protéger les
serveurs, programmes, données – Ex : gestion de sauvegarde/ droit d’accès ou l’existence de
procédures d’acquisition de matériel…
 Les contrôles applicatifs : principes et procédures assurant l’exhaustivité et la fiabilité des
données restituées par les applications informatiques – Ex : le contrôle de cohérence, les
états d’anomalies
o La méthodologie d’évaluation : quelques clés :
 Sécurité physique : le CI doit garantir la sécurité des matériels contre toute détérioration
accidentelle ou intentionnelle
 Sécurité logique : le CI doit garantir la sécurité des applications et des données contre toute
détérioration accidentelle ou intentionnelle.

45
I_Existence d’une documentation des applications, accessible, compréhensive, et mise à jour – Une séparation
des fonctions – Formation juridique des prestataires extérieurs.
II_Réalisation de sauvegarde régulière, accessible et protégée – Formation des utilisateurs – Limitation au
programme – Supervision des travaux.
III_Sauvegarde régulière, mots de passe, gestion des applications…
IV_Procédure archivage sécurisée – Ex : externalisation / coffre
Contrôle des accès
VI_Anti-virus mis à jour
VII_Firewall
VIII_Séparation des fonctions, limitation des accès…

E. Le contrôle interne comptable et financier :

1. Préambule : les critères de qualité de l’information comptable et financière / les objectifs du
contrôle
o Au niveau de « l’amont » de la production comptable :
 Réalité : opérations enregistrées se rapportent à l’entité
 Exhaustivité : toutes les opérations devant être enregistrées l’ont été
 Mesure : les montants relatifs aux opérations ont été correctement enregistres
 Séparation des exercices : les opérations enregistrées dans la bonne période
 Classification : les opérations enregistrées dans les comptes adéquats.
o Au niveau de l’arrêté des comptes :
 Existence : les actifs et passifs existent
 Droits et obligations : l’entité contrôle les droits sur les actifs et dettes aux obligations de
l’entité
 Exhaustivité : tous les actifs et passifs devant être enregistres l’ont été
 Evaluation et imputation : les actifs et les passifs enregistres dans les comptes adéquats et pour
les bons montants, tous les ajustements nécessaires ont été effectues
 Présentation et intelligibilité : l’information financière est décrite de manière appropriée. Les
informations données dans l’annexe sont clairement présentées
2. Le processus de pilotage de l’organisation comptable et financière :
o Assuré par DCF et DG / supervisé par le Conseil
o Principes de base :
 La séparation des fonctions
 Les délégations de pouvoir
 La documentation des processus et des contrôles
 Une organisation claire et une attribution des fonctions clairement définie
 Une gestion des ressources humaines efficace
 Une maitrise des règles comptables
 La sécurité physique et logique des systèmes et données informatiques
46
 3. Les processus concourant à l’élaboration de l’information comptable et financière publiés
o 2 sous-processus à analyser pour chaque thème/cycle :
 Le processus amont de la production comptable
 Les cycles :
- Ventes / Clients
- Achats / Fournisseurs
- Paie / Personnel
- Etat
- Investissements
- Stocks
- Capitaux propres (CP)
- Produits et Charges exceptionnelles
- Trésorerie
 Le cycle correspond à un ensemble d’opérations homogènes : le processus d’arrêté des comptes

o Illustration : le cycle Achats / Fournisseurs :

 Maitrise du processus amont de la production comptable – Exemple :
-Critère : Réalité -> toutes les opérations (achats) enregistrées existent et se rapportent à
l’entité
-Risques – Ex : si les achats sont fictifs -> fournisseurs fictifs  détournement de fonds
-Activités de CI : pour le prévenir il faudrait une séparation des fonctions/autorisation des
commandes de possession, réception, et règlement des fournisseurs
 Maitrise du processus d’arrêté des comptes – Exemple :
-Critère : Exhaustivité : tous les achats devant être enregistres dans les comptes l’ont été
-Risques : perte d’une facture
-Activités de CI : classement des factures dans un classeur unique, par numéro de pièce.

F. L’auto-évaluation du contrôle interne :

1. Définition : pratique aidant la DG à identifier et évaluer les risques inhérents aux activités de
l'entreprise.
o Démarche initiée par la Direction Générale
o Evaluation en mode déclaratif par chaque responsable des contrôles dont il a la responsabilité
o Evaluation destinée à la hiérarchie et confrontée à d’autres visions (DG, AI, CAC)

2. Objectifs :
o Favoriser l’appropriation du dispositif de contrôle interne de l’organisation par les opérationnels,
responsables des opérations sur le terrain
o Améliorer les opérations au moyen des plans d’action qui résultent de l’auto-évaluation
o Favoriser une amélioration continue du dispositif de contrôle interne
o Bénéficier d’une information sur la qualité du contrôle interne, et sur l’évaluation des risques
inhérents et résiduels, aux différents niveaux de l’organisation

3. Acteurs :
o La Direction Générale : elle prend la décision
o La hiérarchie : elle mobilise les équipes opérationnelles et coordonne la démarche, valide le plan
d’action, et vérifie la mise en œuvre

47
 o Les opérationnels : ils effectuent les travaux d’auto-évaluation, proposent les plans d’action pour
corriger les dysfonctionnements -> quoi, qui et comment ?
o Le Coordonnateur : peut-être l’Auditeur Interne, le responsable du CI, il/elle informe et forme,
donne les outils, les critères de réalisation
o L’audit interne : s’il n’est pas le coordinateur, il pourra former et aider le coordinateur. L’Auditeur
interne est le client de ce travail car il reçoit le résultat.
o Le Conseil d’Administration (et éventuellement le comité d’audit) : il est à l’origine de l’initiative,
s’intéresse au résultat, et peut formuler des recommandations.

4. Méthodologies :
o Les questionnaires :
 Avantages : utile pour déterminer quels domaines/services contrôler en priorité
 Inconvénients : la sincérité des réponses, une pédagogie limitée
o Les ateliers :
 Avantages : une approche pédagogique, permet un échange des bonnes pratiques…
 Inconvénients : la rédaction de la synthèse / occupe beaucoup trop de temps (chronophage)

IV. L’information sur le contrôle interne

A. La charte de contrôle interne :
1. Objectifs :
o Définir le cadre de référence choisi
o Préciser les principes et les responsabilités en matière de CI au sein du groupe
o Proposer des outils et des livrables
o Communiquer sur l’actualité, les résultats de la veille, les textes incontournables
o Animer une véritable communauté
o Indiquer les modalités de revue du contrôle interne

2. Rappel des exigences légales

48
B. Le rapport du Président sur le contrôle interne :
1. « Le Président rend compte » : description ou évaluation ?

2. Règles de publicité du rapport

 Articles L. 225-37 et L. 225-68 du Code de commerce : le rapport du président doit être joint au
rapport de gestion. Dans le cas d’une société tête de groupe, il est également joint au rapport sur
l’activité du groupe
 Article L. 621-18-3 du Code monétaire et financier : les sociétés cotées rendent publiques les
informations dans les conditions fixées par le règlement général de l’AMF
3. Sanctions
 Mention de carence dans le rapport spécial du CAC
 Eventuelle responsabilité civile du Président
 Sanction du marché
 Eventuellement sanctions prévues dans le cadre de la diffusion de fausses informations de nature à
modifier le fonctionnement du marché
4. Pour une synthèse : voir le rapport de l’AMF sur le gouvernement d’entreprise et le contrôle interne

49
CHAPITRE IV. LE MANAGEMENT DES RISQUES A QMC

I. L’actualité du management des risques MZ

A. La multiplication des risques :
Le management du risque (risk management), est la discipline qui s'attache à identifier, évaluer et prioriser
les risques relatifs aux activités d'une organisation, pour les traiter méthodiquement de manière
coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés.

B. Zoom sur les aspects règlementaires : LOR BBS

 La loi du 3 juillet 2008 (ancienne 4eme et 7eme Directives) : le rapport du président doit également rendre
compte des procédures mises en place.
 L’ordonnance du 8 décembre 2008 transposant la 8eme Directive Européenne (2006) : le comité d’audit
doit assurer le suivi de la gestion des risques.
 Le Rapport Bouton (2002) : Le rapport met en avant la nécessité d'une plus grande indépendance des
conseils d'administration.
 Bale II (Entrée en vigueur 2007) : précise que les banques doivent tenir compte de leurs risques
opérationnels en plus des risques traditionnels. Elles doivent publier les informations nécessaires aux
risques qu’elles prennent.
 Bale III (Entrée en vigueur 2013) : traite également de la gestion des risques, précise les responsabilités
des risques de liquidité.
 Solvabilité II (Adoption 2009 – Entrée en vigueur 2016) : ensemble des risques sont étudiés, y compris les
risques opérationnels (cf. Méthodologie du COSO II)

II.Qu’est-ce que le processus de management des risques ? DOGAP

A. La définition :
Le processus de management des risques est un processus élaboré et maintenu par le Conseil, la direction
ou les opérationnels, déployé dans toute l’entreprise et destine à identifier des évènements potentiels
susceptibles d’affecter la vie de l’entreprise, a gérer ses risques et à fournir une assurance raisonnable que
ses objectifs seront atteints.
B. Les objectifs : IDD SIM
 Identification et hiérarchisation rapide des risques découlant des stratégies, des activités de
l’organisation et de l’environnement externe
 Détermination par la direction générale et les opérationnels d’un niveau de risques acceptable pour
l’organisation
 Définition et mise en œuvre de mesures d’atténuation et de maitrise des risques compte tenu des seuils
jugés acceptables.
 Suivi permanent des activités
 Information périodique du Conseil et de la direction générale sur les résultats des processus de
management des risques
 Maintien d’un niveau de qualité des reporting interne et externe

50
C. Les grandes phases : ITS G
o Identifier et évaluer les risques :
 Approche bottom-up : modéliser les processus, identifier les risques inhérents, évaluer leurs
impacts, la probabilité et la hiérarchisation des risques
 Approche top-down : déterminer les risques par parties prenantes
o Traiter les risques : évaluer les risques et sélectionner le meilleur traitement (Accepter, Eviter,
Transférer, Partager)
o Suivre l’évolution des risques : au cours du temps, ils doivent adapter les mesures si nécessaire, et
fournir les informations de reporting correspondant
o Garantir la maîtrise des risques : pertinence des traitements est assurée par l’audit interne
idéalement, mais également per le Risk manager.

D. Les acteurs : CD RR ACT

1. Le Conseil (et le comité d’audit) : SI
 Supervise le processus de management des risques (PMR)
 Est informé des résultats
2. La Direction générale : RDF FSI
 Est responsable de la conception, de la mise en place et du pilotage
 Définit l’appétence pour le risque
 Fait partager la gestion du risque
 Fixe les responsabilités
 Suit et apprécie le PMR et ses évaluations
 Informe le Conseil des résultats des PMR
3. Les responsables opérationnels et fonctionnels : DR R
 Déterminent les risques
 Sont responsables du déploiement de la cartographie et de la carte des risques, le suivi des
risques
 Rendent compte au DG des nouveaux risques détectés, des faiblesses…
4. Le risk manager : EAS
 Elabore un langage commun dans l’élaboration
 Accompagne les employés à traiter les risques
 Supervise les plans d’action de management des risques
5. L’auditeur interne : E CSR
 Evalue
 Conseille pour améliorer
 Soutient
 Rend compte au DG et au comité d’audit
6. Contrôleur de gestion : AP
 Aide à sélectionner la stratégie de traitement
 Peut fournir des indicateurs
7. Les tiers
 Fournissent des informations – Ex : fournisseurs

E. Les principaux référentiels : C FIA

1. Le référentiel COSO 2 – Entreprise Risk Management (ERM) DNC DAA THRE
 Deuxième rapport du COSO paru en 2004, traduit en France en 2005 et intitulé « Le management des
risques de l’entreprise. Cadre de référence. Technique d’application »
 Ne remet pas en cause le premier rapport, ne se substitue pas à lui

51
 Complète le concept de contrôle interne en l’élargissant au thème central de la gestion des risques
 Définitions : EROM
 Les évènements
 Un risque : évènement survenant et nuisible à l’atteinte des objectifs
 Une opportunité
 Le management des risques : est un processus mis en œuvre par le Conseil d’Administration, la
Direction générale, le management et l’ensemble des collaborateurs de l’entreprise. Il est pris en
compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est
conçu pour identifier les évènements potentiels susceptibles d’affecter l’organisation et pour gérer
les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l’atteinte des objectifs de l’organisation
 Atteinte des objectifs : SA
 les objectifs stratégiques
 les objectifs associés (related objectives) :
 Les objectifs opérationnels
 Les objectifs de reporting
 Les objectifs de conformité

 Appétence pour le risque : DL

 Définition : La notion de « Risk Appetite » est nouvelle dans le COSO 2. Le « Risk Appetite » est le
niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur.
 Lien avec la stratégie de l’organisation : Différentes stratégies exposeront l’organisation à différents
risques. En conséquence, le « Risk Appetite » doit être pris en compte dans la définition de la
stratégie de l’organisation afin de s’assurer que les résultats de cette stratégie sont cohérents avec
le « Risk Appetite » défini pour l’organisation.
 Tolérance au risque : DU
 Définition : mesure dans laquelle on est disposé ou prêt à assumer le risque de perdre de l’argent à
la suite d’un placement
 Unité de mesure
 8 éléments du dispositif de management des risques : EFI ETA IP
 Environnement interne : il englobe la culture et l’esprit de l’organisation
 Fixation des objectifs : les objectifs doivent avoir été préalablement définis
 Indentification des évènements : les évènements internes et externes susceptibles d’affecter
l’atteinte des objectifs d’une organisation doivent être identifiés en faisant la distinction entre
risques et opportunités
 Evaluation des risques : les risques sont analysés, tant en fonction de leur probabilité que de leur
impacts
 Traitement des risques : le management définit des solutions permettant de faire face aux
risques : évitement, acceptation, réduction ou partage/transfert.
 Activités de contrôle : des politiques et procédures sont définies et déployées afin de veiller à la
mise en place et l’application effective des mesures de traitement des risques
 Information et communication : les informations utiles sont identifiées, collectées, et
communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs
responsabilités
 Pilotage : le processus de management des risques est piloté (évalué) dans sa globalité et modifié
en fonction des besoins

52
  Relation entre objectifs et éléments : 4, 8, U
Elle est illustrée par une matrice en trois dimensions ayant la forme d’un cube (voir ci-après)
 Les 4 grandes catégories d’objectifs sont représentées par les colonnes

 Les 8 éléments du management des risques figurent en ligne

 Les unités de l’organisation sont représentées par la troisième dimension

 Efficacité du processus : CIS

 Comment apprécier l’efficacité d’un PMR ?
 Impact d’un PMR efficace
 Spécificités lies à l’organisation
2. Le référentiel FERMA/AMRAE FAP
 FERMA (Federation of European Risk Management Association)
 Regroupe les associations nationales de gestion des risques en Europe
 Mission : étendre et élargir la culture de la gestion des risques en Europe
 Coordination des meilleures pratiques en matière de gestion des risques, l’éducation et
les groupes de travail
 Représentation au niveau européen, réalisation d’enquêtes et l’organisation de
séminaires sur des sujets qui influencent la fonction des gestionnaires de risques
 Congres « Risk Management Forum »

 AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) MA MME
 Membre de FERMA
 Association régie par la loi 1901
 Membres : acteurs majeurs des métiers du risque en entreprise
 Mission : apporter aux entreprises les moyens de réussir leur mutation dans le domaine de la
gestion des risques
 Echanges d’informations et d’expériences entre les membres, au travers de nombreuses
réunions et travaux des commissions techniques
 Le processus de management des risques (2002)

53
3. La norme ISO 31000 : 2009 NORN
 Il s’agit d’une norme générale de management du risque applicable à toutes les organisations, tous
les métiers et tous les environnements
 L’objectif principal est de présenter les ingrédients essentiels du management du risque et de les
« cadrer » avec les autres activités de l’organisation
 Le risque est défini comme « l’effet de l’incertitude sur l’atteinte des objectifs »
 La norme est structurée en 3 parties :
Lesprincipes répondent à la question « pourquoi fait-on du management des risques ? ». Le
management des risques :
 crée de la valeur
 s’intègre aux processus organisationnels
 s’intègre aux processus de prise de décision
 traite de l’incertitude
 fonctionne de manière systématique et structurée
 s’appuie sur la meilleure information
 s’adapte au contexte
 prend en compte les facteurs humains et culturels
 est transparent et participatif
 fonctionne de manière dynamique, itérative et réactive
 facilite l’amélioration continue
Le cadre organisationnel explique comment intégrer le management des risques dans la
stratégie de l’organisation (conduite stratégique). Il est défini par un processus qui permet la
mise en place des processus de management des risques ainsi que leur amélioration continue. Il
importe de :
 choisir des moyens efficaces pour réaliser les activités des processus de management des
risques
 s’assurer que les informations liées au risque seront remontées, classées et structurées,
afin de garantir leur qualité et leur pertinence
 mettre en place des dispositifs d’évaluation de ces moyens et les adapter en permanence.
Un préalable : définir les objectifs et les indicateurs de performance du management des
risques.
Le processus de management précise comment intégrer le management des risques au niveau
opérationnel de la stratégie de l’organisation (conduite opérationnelle). Les étapes principales du
processus de management du risque sont :
 Etablissement du contexte
 Identification du risque
 Analyse du risque
 Evaluation du risque
 Traitement du risque

4. Le référentiel AMF DEDOC

o Les dispositifs de gestion des risques et de contrôle interne – Cadre de référence (2010)
o Edition revue et augmentée du cadre de référence sur le contrôle interne
o Définitions : GR
- Gestion des risques : ensemble de moyens, de comportements de procédures et d’actions
adaptes aux caractéristiques de chaque société, qui permet aux dirigeants de maintenir les
risques à un niveau acceptable pour la société
- Risque : possibilité qu’un évènement survienne et dont les conséquences seraient susceptibles
d’affecter les personnes, les actifs, l’environnement, les objectifs de la société ou sa réputation

54
 o Objectifs de la gestion des risques : CS FM
- Créer et préserver la valeur, les actifs et la réputation de la société
- Sécuriser la prise de décision et les processus de la société pour favoriser l’atteinte des objectifs
- Favoriser la cohérence des actions avec les valeurs de la société
- Mobiliser les collaborateurs de la société autour d’une vision commune des principaux risques
o Composantes du dispositif de gestion des risques : CPP
- Un cadre organisationnel :
- organisation qui « définit » et « établit »
- politique de gestion des risques qui « formalise »
- système d’information qui « diffuse »
- Un processus de gestion des risques :
- Identification des risques
- Analyse des risques
- Traitement du risque
- Un pilotage en continu du dispositif

III.La mise en œuvre du PMR (COSO 2 – ERM) E FIETA IP

A. L’environnement interne : C ASICS PP
1-La culture en matière de management des risques de l’organisation :
o Stipulation par écrit des éléments de la culture en matière de management des risques (voir ci-
après)
o Réalisation d’enquêtes portant sur la culture du risque (voir ci-après)

55
 2-L’appetence de l’organisation pour le risque

3-La surveillance exercée par le Conseil : IEE IRP

 Indépendance
 Expérience
 Eminence
 Implication
 Rigueur d’examen
 Pertinence des actions
4-L’integrite et les valeurs éthiques : PR MP
 Prérequis : intégrité du management
 Rédaction de codes de conduite
 Mise en place de dispositifs permettant aux employés de faire remonter les informations en
toute confiance
 Prévision de sanctions

5-La compétence du personnel

6-Une structure organisationnelle pertinente

7-La politique de délégations de pouvoirs et de responsabilités : claire et pertinente

8-La politique de ressources humaines

B. La fixation des objectifs : 4 PEO

o 4 catégories ppréalablement définis
o Le PMR permet de s’assurer que la direction a mis en place un processus de fixation des objectifs et
que ces objectifs sont en ligne avec la mission de l’entité et son appétence pour le risque

56
 o Exemple :
- Mission
- Appétence pour le risque
o Objectifs associés :

C. L’identification des évènements : FNT

1-Des facteurs aux évènements FF
o Facteurs externes, évènements liés et conséquences E EPS T
- Economique
- Environnemental
- Politique
- Social
- Technologique
o Facteurs internes, évènements liés et conséquences I PPT
- Infrastructure
- Personnel
- Processus
- Technologie
2-La nécessité de relier les évènements aux objectifs

3-Les techniques d’identification des évènements DM MIC

o La distinction risques et opportunités
o La mise en place de seuils d’alerte : DE
- Définition
- Exemple :
o La mise en place d’un suivi des données pertinentes OE
- Objectif
- Exemple
o Une identification permanente des évènements
Voir tableau ci-après

o Conclusion : OR
- Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou de la fixation des
objectifs
- Les risques doivent être évalués et nécessitent une réponse
57
D. L’évaluation des risques : P PAC TSC
o Prise en compte des évènements prévisibles et potentiels
o Problématique de l’horizon temporel
o Analyse en fonction de la probabilité d’occurrence et de l’impact potentiel

o Les critères d’évaluation d’un risque / les manifestations : DEA PPP

- Les dommages aux biens
- Les engagements de responsabilité
- Les atteintes de personne
- Les pertes d’informations
- Les pertes de réputation
- Les pertes de revenus

58
o Les techniques d’évaluation : M MEAQ
- La méthode des scenarios : Cette méthode permet de bien voir les implications d’une décision et de
montrer qu’il y a choix, qu’il n’y a jamais une seule solution.
- Les méthodes probabilistes : Son principe est de montrer que si l'on choisit au hasard des objets
d'une catégorie, la probabilité que le résultat soit d'un certain type est plus que zéro.
- Les entretiens
- Les ateliers
- Les questionnaires
o Les sources d’information
o La cartographie des risques : DOD
- Définition : representation graphique de la probabilite d’occurrence et de l’impact d’un ou plusieurs
risques
- Objectif : identifier les risques les plus significatifs
- Différents types de représentations :
- Exemple
- 2 types de représentation proposés ci-après

59
E. Le traitement des risques : SEC C PIE
o Les solutions permettant de faire face aux risques : 4 stratégies
 L’évitement : cesser l’activité à l’ origine du risque – Ex : interrompre une ligne de produits ou ne pas
s’impliquer dans une nouvelle activité
 La réduction : prendre des mesures visant à réduire la probabilité ou minimiser le risque en cas
d’occurrence du risque – Ex : investir dans un système de réparation de pannes ou d’électrogènes
 Le partage/transfert : diminuer la probabilité ou le risque en le partageant ou en le transférant – Ex :
contracter une assurance contre le risque, conclure un partenariat, mise en œuvre d’une opération
de couverture, sous-traiter une activité
 L’acceptation : l’entreprise ne prend aucune mesure et accepte ces conséquences dommageables

o L’évaluation des conséquences des solutions sur la probabilité d’occurrence et l’impact des risques
 Exemple :

o Le chiffrage du rapport cout/bénéfice des solutions

 Coûts directs et indirects
 Exemple

o La cohérence de la solution retenue

o Le portefeuille de risques résiduels : DIDE

 Définition : une consolidation des risques inhérents et résiduels a l’échelle de l’organisation

 Intérêt d’une telle approche

 Différentes représentation possibles

 Exemple

o L’inévitable risque résiduel

o L’élaboration d’un plan de mise en œuvre de la solution retenue

60
F. Les activités de contrôle : OD RACE
o L’objectif est de veiller à la mise en place et à l’application effective des mesures de traitement des risques

o Dans certains cas, les activités de contrôle constituent elles-mêmes le traitement du risque : ceci est vrai
pour les objectifs de reporting et de conformité car les activités de contrôle permettent la réduction du
risque.

o Retour sur les typologies des activités de contrôle : NO MEP

 Selon la nature des activités de contrôle : AVAR M
- Approbation
- Vérification
- Autorisation
- Rapprochement
- Mise en place de moyens de protection des actifs
 Selon les objectifs des activités de contrôle : EREC
- Exhaustivité des traitements
- Réalité d’une opération ou d’un bien
- Exactitude d’un montant ou d’un calcul
- Cohérence d’informations
 Selon les modalités des activités de contrôle : MAB
- Contrôles manuels
- Contrôles automatiques
- Contrôles bloquants
 Selon l’emplacement des activités de contrôle dans le système de contrôle interne : PD
- Contrôles de premier niveau
- Coroles de deuxième et de troisième niveau
 Selon le positionnement temporel par rapport à la survenance du risque PDC
- Contrôles préventifs
- Contrôles detectifs
- Contrôles correctifs
o L’appréciation des contrôles existants / mis en place : OIC CD
 Objectif : mettre en exergue les forces et les faiblesses du contrôle interne
 L’inventaire des contrôles existants : la matrice risques/contrôles :
- Objectifs :
 faire l’inventaire des risques et des contrôles
 recréer le lien entre contrôles et risques couverts
 mener une analyse en ligne et une analyse en colonne

- Voir exemple ci-après :

 Les critères d’appréciation des contrôles : 4 questions CC EE

61
 - La conception du contrôle est-elle adéquate pour couvrir le risque ?
- Le contrôle fonctionne-t-il comme prévu ?
- L’exécution du contrôle s’appuie-t-elle sur un mode opératoire défini ?
- L’exécution du contrôle est-elle formalisée ?
 La cotation de l’efficacité des contrôles : CPN
- Cotation de l’efficacité des contrôles sur chacun des 4 critères (questions ci-dessus) sur une
échelle allant de 1 à 5 :
1 = très faible
2 = assez faible
3 = moyenne
4 = bonne
5 = très bonne
- Pondération des différents critères
- Notation globale de chaque contrôle
 Le degré de maturité des activités de contrôle
- Appréciation sur une échelle qui va de 1 à 5

o Contrôles spécifiques en ce qui concerne les systèmes d’information

o Examen des points faibles identifies et mise en place de mesures corrective

62
G. Information et communication : IC
o Les informations : UI
 Utiles, exactes, internes et externes, quantitatives et qualitatives, historiques et actuelles

 Identifiées, collectées, communiquées sous un format et dans des délais permettant aux
collaborateurs d’exercer leurs responsabilités
o La communication CMIR CL
 Circulation verticale et transversale de l’information
 Message : le management des risques doit être pris au sérieux
 Instruments de communication pertinents
 Remontée d’informations sensibles : WD
 Le whistleblowing ou « alerte éthique »
 De la Direction au Conseil

 Canaux de communication externe ouverts

 Importance de la technologie

H. Le pilotage : DAE
o Définition : une évaluation de l’existence et du fonctionnement du processus du management des risques.
o Les activités courantes de pilotage
- Exemples :
o Les évaluations spécifiques : OEA
 Objectifs
 Evaluations indépendantes (meilleur évaluation indépendante : l’Audit Interne) : ACQ
- Acteurs de l’évaluation : Audite interne peut évaluer le PMR dans un cadre particulier ou globale de
l’entreprise. Champ de l’évaluation

- Le cas particulier de l’audit interne : L’AI ne prend aucune décision en matière de MR, il n’impose rien
et ne décide pas e la manière de traiter les risques, il ne met pas en œuvre les mesures de traitement
des risques. Il ne définit pas l’appétence des risques. Il informe, conseille et promeut.

- Le questionnaire d’évaluation du PMR publie par l’AMF

 Auto-évaluation : elle est assurée par les employés/opérationnels eux-mêmes de leur propres outils et le
management des risques

o La communication sur les défaillances du PMR GCI

 Généralités : les problèmes les plus graves doivent être remontes à la DG ou au C. d’Administration
 Cas des problèmes graves : lorsque la probabilité qu’un évènement se produise est élevé et que son
impact est tel qu’il peut se traduire a l’atteinte de la sécurité de personnes, un acte illégale, une
perte de réputation, perte significative d’actifs, une incapacité à réaliser des objectifs clés ou une
communication externe erronée ou trompeuse ou inappropriée.
 Informations sur les actions correctives

63
IV.Conclusion LLG E

o Les liens/différences entre le COSO et le COSO 2 :

Le COSO 1 propose un cadre de référence pour la gestion du contrôle interne. Le contrôle interne est un
processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation,
destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
 L'efficacité et l'efficience des opérations,
 La fiabilité des informations financières,
 La conformité aux lois et aux réglementations en vigueur
Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise (Enterprise Risk
Management Framework). La gestion des risques de l’entreprise est un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration de la stratégie et
transversal à l’entreprise, destiné à : MFT 43
 Identifier les événements potentiels pouvant affecter l’organisation,
 Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence au risque)» de
l’organisation,
 Fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.
 Tolérance aux risques
 4 stratégies de traitement des risques : partage, transfert…
 3 composantes en plus : fixation des objectifs, indentification des évènements, traitement des risques,
portefeuille des risques, horizon évaluation des risques.

Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le
concept de gestion des risques. Le COSO 2 est basé sur une vision orientée risques de l’entreprise.

o Les limites du dispositif de PMR END CD

 Erreur de jugement dans la prise de décision
 Nécessaire prise en compte du rapport coût/bénéfices
 Défaillances humaine
 Contrôles déjoues par collusion
 Décisions outrepassées par le management

o Gérer les risques inhérents au PMR AMMA EA CSA

 Absence de soutien de la Direction Générale
 Manque de coopération des managers fonctionnels et opérationnels
 Manque d’information ou fausse information
 Auto-censure par craintes de représailles
 Expérience insuffisante des acteurs
 Absence de méthode efficace
 Cartographie non exhaustive
 Sujets traites trop volumineux ou trop détaillés
 Alimentation du système par des personnes trop éloignées des opérations

o Etat d’avancement PRD

 Procédure de consultation jusqu’au 30 septembre 2016
 Révision
 Date de publication ?

64
Proposition d’une nouvelle architecture :

65