Trois Lignes de Maîtrise Pour Une Meilleure Performance (IFACI - AMRAE)
Trois Lignes de Maîtrise Pour Une Meilleure Performance (IFACI - AMRAE)
Trois Lignes de Maîtrise Pour Une Meilleure Performance (IFACI - AMRAE)
L
a maîtrise des risques est essentielle au développement de toute entreprise
et, en son absence, sa survie peut être menacée. Les administrateurs, le comité
d'audit sont ainsi particulièrement vigilants quant à la mise en œuvre des res-
sources et moyens contribuant à l'objectif de maîtrise des risques. Dans ce cadre, l'Institut
Français des Administrateurs soutient pleinement l'initiative conjointe de l'IFACI et le
l'AMRAE. Ce document de synthèse sur le dispositif des trois lignes de maîtrise des risques
est un outil facilitant la diffusion et l'intégration de ce concept dans l'organisation des
entreprises. Il contribuera à renforcer l'assurance raisonnable apportée par la direction
et par l'audit interne au comité d'audit que les risques acceptables résultant de la stra-
tégie sont identifiés et maîtrisés.
Daniel Lebègue
Président de l’Institut Français des Administrateurs (IFA)
Introduction
L’adoption d'un référentiel partagé de gestion des risques et de contrôle interne, la coordi-
nation de l’ensemble des activités liées à la maîtrise des risques conjuguées et la mise en
œuvre d’un modèle de gouvernance efficace permettent aux organisations :
de prendre des risques maîtrisés et de saisir des opportunités ;
de fiabiliser la formulation de leur stratégie, sa mise en œuvre et la performance des
activités ;
d’affecter leurs ressources proportionnellement aux véritables enjeux ;
de communiquer de manière appropriée avec tous leurs partenaires ;
d’aligner l’organisation sur une vision globale et commune des risques.
Direction générale
S.I.
Audit externe
Régulateurs
assurance
R.H.
Juridique
Management Audit
opérationnel interne
Finance
contrôle interne
conformité
HSE
Contrôle
de gestion
...
Un dispositif donnant une vision éclairée Parallèlement, l’audit externe constitue une
des risques pris ou à prendre source importante d’informations et d’assurance
raisonnable pour les actionnaires, les investis-
Le dispositif de maîtrise globale des risques seurs potentiels et plus généralement toutes les
couvre l’ensemble des processus stratégiques et parties prenantes de l’organisation.
opérationnels qui donnent à la Direction Géné-
rale une vision éclairée des risques. Cette der- Il existe de nombreuses normes et recomman-
nière décline la stratégie, met en œuvre les dations décrivant comment un auditeur externe
moyens pour y parvenir et utilise ce dispositif peut utiliser les travaux de l’audit interne qui
comme un outil d’aide à la décision. constituent une base importante pour le com-
missaire aux comptes. Ces travaux permettent
Pour exercer pleinement ses missions telles que par ailleurs à l’auditeur externe d’apprécier les
définies notamment par la loi, les statuts, la points forts de l’organisation et de gérer les
charte du comité d’audit, le comité d’audit a un conséquences des faiblesses importantes sus-
« devoir d’impulsion ». Ce n’est pas son rôle de ceptibles d’avoir un impact sur les processus de
piloter la mise en place du dispositif des trois diffusion de l’information financière.
lignes de maîtrise. Toutefois, il devrait s’assurer
que les moyens sont déployés afin que ce dis- Pour autant, l’audit interne ne doit pas être utilisé
positif, adapté au contexte de l’organisation, soit en tant que sous-traitant du commissaire aux
effectivement mis en œuvre et régulièrement comptes. En plus de limiter la capacité d’action
évalué. de l’audit interne, cela remettrait en cause le
positionnement du commissaire aux comptes
qui se doit, pour accomplir sa mission, de rester
Les commissaires « externe » à l’organisation.
3 aux comptes et Un dialogue régulier entre le comité d’audit, le
les régulateurs, commissaire aux comptes et l’audit interne sur
les activités et les constatations de l’audit interne
partenaires et de l’audit externe renforcera la solidité du dis-
externes du positif global de maîtrise des risques.
dispositif des trois
lignes de maîtrise
Ce dispositif de maîtrise des risques couvre l’en-
semble des processus stratégiques et opération-
nels qui donnent à la Direction Générale, au
conseil d’administration (ou de surveillance) et
au comité d’audit une assurance raisonnable sur
la fiabilité des informations financières et extra-
financières, et notamment celles qui sont com-
muniquées aux actionnaires, au marché, aux
régulateurs et aux autres parties prenantes.
Annexe
Définitions
La gestion des risques est l’affaire de tous les Le dispositif vise plus particulièrement à assurer :
acteurs de la société. Elle vise à être globale et à la conformité aux lois et règlements ;
couvrir l’ensemble des activités, processus et l’application des instructions et des orienta-
actifs de la société. tions fixées par la direction générale ou le
directoire ;
La gestion des risques est un dispositif dyna- le bon fonctionnement des processus
mique de la société, défini et mis en œuvre sous internes de la société, notamment ceux
sa responsabilité. concourant à la sauvegarde de ses actifs ;
la fiabilité des informations financières.
La gestion des risques comprend un ensemble
de moyens, de comportements, de procédures Le contrôle interne ne se limite donc pas à un
et d’actions adaptés aux caractéristiques de ensemble de procédures ni aux seuls processus
chaque société qui permet aux dirigeants de comptables et financiers.
maintenir les risques à un niveau acceptable
pour la société. La définition du contrôle interne ne recouvre pas
toutes les initiatives prises par les organes diri-
Le risque représente la possibilité qu’un événe- geants ou le management comme par exemple
ment survienne et dont les conséquences la définition de la stratégie de la société, la déter-
seraient susceptibles d’affecter les personnes, les mination des objectifs, les décisions de gestion,
actifs, l’environnement, les objectifs de la société le traitement des risques ou le suivi des perfor-
ou sa réputation. mances.
Le contrôle interne est un dispositif de la L'audit interne est une activité indépendante et
société, défini et mis en œuvre sous sa respon- objective qui donne à une organisation une
sabilité. assurance sur le degré de maîtrise de ses opéra-
Il comprend un ensemble de moyens, de com- tions, lui apporte ses conseils pour les améliorer,
portements, de procédures et d’actions adaptés et contribue à créer de la valeur ajoutée. Il aide
aux caractéristiques propres de chaque société cette organisation à atteindre ses objectifs en
qui : évaluant, par une approche systématique et
contribue à la maîtrise de ses activités, à l’ef- méthodique, ses processus de management des
ficacité de ses opérations et à l’utilisation risques, de contrôle, et de gouvernement d'en-
efficiente de ses ressources, et treprise, et en faisant des propositions pour ren-
doit lui permettre de prendre en compte de forcer leur efficacité.
manière appropriée les risques significatifs,
qu’ils soient opérationnels, financiers ou de
conformité.
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, est
illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une
contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.
L'IFACI rassemble plus de 5300 professionnels de L'AMRAE est la première association européenne
l'audit et du contrôle internes en France. L’Institut de Risk Managers, de professionnels des métiers
favorise la diffusion des normes internationales du risque et de partenaires spécialisés dans la
et des meilleures pratiques. Lieu de partage et gestion des risques. Cette structure rassemble
d'accompagnement, il est l’organisme de réfé- l’ensemble des grandes entreprises françaises et
rence en matière de formation professionnelle. internationales en France, et a pour mission de-
L’IFACI est également le partenaire privilégié des puis 20 ans d'apporter à toutes les organisations
organisations publiques et privées de toutes les moyens de réussir la mise en œuvre de leur
tailles souhaitant améliorer l'efficacité de l'en- stratégie, par le déploiement d’un dispositif clair
semble de leurs dispositifs de contrôle interne. et organisé, par l’analyse de l’acceptabilité des
risques et du meilleur traitement ou finance-
L’IFACI est affilié à l’IIA (The Institute of Internal ment du risque. L’AMRAE c’est également AMRAE
Auditors) qui bénéficie d’un réseau de 170 000 Formation, les Rencontres des métiers du risque
adhérents répartis dans plus de 160 pays. et la publication de nombreux ouvrages sur la
gestion des risques et des assurances.
Grâce à plus de 850 directeurs des risques et /
ou des assurances, l’AMRAE constitue un réseau
unique de décideurs spécialisés dans la gestion
des risques.
IFACI AMRAE
98 bis Boulevard Haussmann 80 Boulevard Haussmann
F-75008 Paris, France F-75008 Paris, France
Tél : +33 1 40 08 48 00 Tél : +33 1 42 89 33 16
Email : [email protected] Email : [email protected]
Web : www.ifaci.com Web : www.amrae.fr