h a n g e Vi h a n g e Vi

XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

M. Philippe MARINI, Sénateur de l’Oise, au nom de la commission des

finances du Sénat.
Il en ressort que les acteurs de la vie financière se sont rapidement
appropriés la loi, avec notamment la création rapide de l’AMF dès
novembre 2003.
Il en ressort également que l’ensemble des entreprises est maintenant
sensibilisé au renforcement des obligations en matière d’information sur
le Contrôle Interne et sur l’organisation des travaux du Conseil, mais que
subsistent des difficultés d’interprétation et d’application avec notam-
ment le « faux-débat » sur la sémantique « rendre compte » : description
ou évaluation du Contrôle Interne ?

Extraits :
« III. FIABILISER LA CHAÎNE DE VALEUR DE L’INFORMATION FINANCIÈRE

A. LE RENFORCEMENT DES OBLIGATIONS EN MATIÈRE D’INFORMATION SUR LE CONTRÔLE INTERNE ET SUR

L’ORGANISATION DES TRAVAUX DU CONSEIL

Des difficultés d’application et d’interprétation

Description ou évaluation : un faux débat.
« Sans doute faut-il relativiser le débat entre description et évaluation qui est souvent
présenté de manière trop caricaturale. Il ne s’agit naturellement pas de demander à l’entre-
prise de procéder à une autocritique qui pourrait avoir des effets destructeurs. Il s’agit
d’encourager l’adoption d’une perspective dynamique orientée vers le progrès, plutôt que
figée sur l’existant. Le consensus en faveur d’une démarche descriptive ne doit pas consti-
tuer un prétexte à l’adoption d’une démarche superficielle qui constituerait alors une forma-
lité supplémentaire à la charge des entreprises, sans véritablement induire en contrepartie de
conséquences sur leurs comportements et leurs méthodes. »
« L’exigence d’une analyse suffisamment fine et d’une perspective dynamique devrait
permettre de dépasser le débat stérile entre description et évaluation. »

Néanmoins cette loi pose une question d’interprétation fondamen-

tale : qu’entend-on par Procédure de Contrôle Interne ?
Plusieurs définitions existent. On peut reprendre celle de la CNCC ou du
COSO, ou encore celle du MEDEF (Mouvement des Entreprises Fran-
çaise) qui en a restreint le champ :

Les concepts essentiels du Contrôle Interne permanent I 43

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE43 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

« Les procédures de Contrôle Interne veillent à ce que les actes de gestion

ou de réalisation des opérations ainsi que les comportements des
personnels, s’inscrivent dans le cadre défini par les orientations données
aux activités de l’entreprise par les organes sociaux, par les lois et les
règlements applicables, et par les valeurs, normes et règles internes de
l’entreprise.
Par ailleurs, elles permettent de vérifier que les informations comptables,
financières et de gestion communiquées aux organes sociaux de la société
reflètent avec sincérité l’activité et la situation de l’entreprise. »
D’autre part, il est intéressant de noter que le champ d’application de
la LSF a été limité aux sociétés anonymes faisant appel public à
l’épargne (APE) dans le cadre de la loi Breton du 26 juillet 2005.

• La LSF et son rapport

La LSF impose de produire un rapport joint au rapport de gestion des

sociétés conformément aux dispositions des articles L. 225-37 et
L. 225-68 du Code du commerce au titre des exercices ouverts à partir du
1er janvier 2003.
Sous la responsabilité du Conseil d’Administration (ou de Surveillance),
il revient à la Direction Générale / Directoire de définir et de mettre en
œuvre des procédures de Contrôle Interne adéquates et efficaces.
Il appartient au Président du Conseil d’Administration ou de Surveillance
d’en rendre compte dans son rapport.
La responsabilité civile collective des administrateurs / membres du
Conseil de Surveillance peut être engagée, sans occulter celle du Direc-
teur Général / Directoire, pour toute faute commise dans l’exécution de
leur mandat (notamment défaut de Contrôle Interne).

• La LSF et la diffusion de son rapport

Aux termes des articles L. 225-37 et L. 225-68 du Code de Commerce, le

rapport du Président doit être joint au rapport de gestion du Conseil
d’Administration (ou de Surveillance). Dans le cas d’une société tête de
Groupe, il est également joint au rapport sur l’activité du Groupe.

44 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE44 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

En conséquence, il va suivre les règles de publicité suivantes :

• envoi aux actionnaires sur leur demande ou mise à leur disposition
(art. 135 du décret du 23 mars 1967),
• présentation (et non lecture) à l’Assemblée Générale ordinaire annuelle
des actionnaires (art. L. 225-100),
• dépôt au greffe du Tribunal de commerce (art. L. 232-23).
Le Conseil d’Administration (ou de Surveillance) doit-il formellement
prendre connaissance du rapport ?
La loi reste muette sur ce point. Néanmoins, il serait préférable que le
rapport soit officiellement présenté au Conseil d’Administration (ou de
Surveillance) et, plus précisément, à l’occasion de l’arrêté des comptes
annuels.
L’art. L. 621-18-3 du Code monétaire et financier prévoit que les sociétés
cotées rendent publiques les informations dans les conditions fixées par
le règlement général de l’AMF (Autorité des Marchés Financiers) : mise à
disposition sous format électronique sur le site de l’AMF, et sur le site de
l’émetteur lorsqu’il dispose d’un tel site.

• La LSF et le rôle des commissaires aux comptes

Les Commissaires aux Comptes (CAC) doivent faire part de leurs propres
observations sur le rapport du Président « pour celles des procédures de
Contrôle Interne qui sont relatives à l’élaboration et au traitement de
l’information comptable et financière » (article L. 225-235 du Code de
Commerce et art. 120 de LSF) :
• le CAC doit lui aussi rédiger un rapport spécial, lequel sera joint à son
rapport général. Dans ce cadre, il est nécessaire que le CAC dispose des
informations utiles à son établissement (la CNCC précise que le contenu
du rapport du président doit être suffisamment documenté afin de
permettre aux CAC de mettre en œuvre leurs diligences),
• selon l’ANSA (Association Nationale des Sociétés Anonymes), « le
CAC n’a pas à porter de jugement sur l’efficacité du Contrôle Interne
et doit se borner à vérifier l’exactitude factuelle des informations
contenues dans le rapport ; en cas d’inexactitude, il doit la signaler ».

Les concepts essentiels du Contrôle Interne permanent I 45

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE45 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

S’agissant de la publicité attachée au rapport spécial du CAC, ce dernier

étant généralement joint au rapport général, suivra les mêmes règles de
publicité :
• envoi aux actionnaires sur leur demande ou mise à leur disposition
(art. 135 du décret du 23 mars 1967),
• présentation à l’Assemblée Générale ordinaire annuelle des actionnaires
(art. L. 225-100),
• dépôt au greffe du Tribunal de commerce (art. L. 232-23).

• La LSF et les sanctions

Comme beaucoup de dispositifs mis en place ces dernières années par le

législateur, le non établissement du rapport sur les procédures de Contrôle
Interne n’entraîne pas de sanction particulière, mais uniquement une
mention de carence portée dans le rapport spécial du Commissaire aux
Comptes, et une éventuelle responsabilité civile du Président si un tiers
intéressé s’estime lésé par une telle carence ou, éventuellement, par la
production d’un rapport fallacieux.
Pour ce qui concerne les sociétés cotées, en revanche, outre la sanction
du marché, seront éventuellement applicables les sanctions prévues dans
le cadre de la diffusion de fausses informations de nature à modifier le
fonctionnement du marché, infraction sanctionnée à la fois par une ordon-
nance du 28 septembre 1967 et un règlement COB – loi du 2 août 1989 –,
revêtant ainsi une double qualification : pénale et administrative.
Néanmoins, l’intérêt est également en interne dans la mesure où le dispositif
doit automatiquement entraîner les entreprises à s’interroger sur la perti-
nence de leur Contrôle Interne, à en vérifier l’efficacité et donc à améliorer
leur sécurité juridique. C’est une opportunité à saisir pour un Groupe afin de
s’assurer de la maîtrise de ces risques et de sensibiliser les opérationnels à
leur environnement de contrôle et aux notions de Contrôle Interne.

v Travaux de la Commission Européenne

Dans le cadre des 4e et 7e directives comptables, la Commission Euro-

péenne a proposé des modifications. Il est notamment prévu que « les
sociétés […] faisant appel public à l’épargne fassent chaque année une

46 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE46 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

description des principales caractéristiques des systèmes de contrôle

interne et de gestion des risques […] dans le cadre du processus d’établis-
sement de l’information financière ou, au niveau consolidé, en relation
avec le processus d’établissement des comptes consolidés. […] ».
Les 4e et 7e directives retiennent une approche descriptive, tant en matière
de contrôle interne qu’en matière de gestion des risques même si la gestion
des risques est abordé uniquement dans le cadre de sa relation avec
l’établissement des comptes.
La 8e directive sur le contrôle légal des comptes pose le principe que
« les entités d’intérêt public doivent être dotées d’un Comité d’audit, tout
en laissant, sous certaines conditions, aux États membres la possibilité de
ne pas imposer sa mise en place. Ainsi, les États membres peuvent
permettre que les fonctions attribuées au Comité d’audit soient exercées
par l’organe d’administration ou de surveillance dans son ensemble »
(art. 39.1).
Le Comité d’audit […] est en charge du suivi du processus d’élaboration
de l’information financière, le suivi de l’efficacité des systèmes de contrôle
interne, de l’audit interne, le cas échéant, et de la gestion des risques de la
société. »
Il est également prévu que le contrôleur légal [commissaire aux comptes]
fasse rapport au Comité d’audit sur les questions fondamentales soulevées
par le contrôle légal notamment les faiblesses majeures du contrôle
interne en rapport avec le processus d’élaboration de l’information
financière ».

v Solvabilité II

Depuis 2005, le monde des assurances est entré – comme l’on déjà fait les
bancassureurs avec le projet Bâle II – dans une logique de renforcement
des exigences en matière de suivi des risques et de Contrôle Interne. Plus
particulièrement, c’est l’analyse même de la solvabilité des entreprises
d’assurance 1 qui va connaître de profondes mutations. Ces mutations

1. Les trois familles d’assureurs sont visées par les réformes en cours : mutuelles (Code
de la Mutualité), Institutions de Prévoyance (Code de la Sécurité Sociale), Compagnies
d’Assurances (Code des Assurances).

Les concepts essentiels du Contrôle Interne permanent I 47

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE47 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

touchent autant les aspects qualitatifs relatifs à la Gouvernance et au

Contrôle Interne (Pilier 2), que les méthodes et règles d’analyse quantita-
tives de la solvabilité (Pilier 1).
Le présent document propose une synthèse des travaux en cours sur ces
points.

v Rappel des principales caractéristiques de Solvabilité I

L’analyse de la solvabilité telle que requise par les autorités de contrôle

françaises, en application des Directives Européennes « Solvabilité 1 »
des années 1970 (mises à jour en 2002 et 2003) repose sur les principes
suivants :

• Justesse du provisionnement

Il s’agit de s’assurer que les engagements pris par l’organisme d’assurance

sont bien identifiés et que les provisions constituées sont « bonnes ». Cela
nécessite, sur ce dernier point, de disposer de données fiables, d’utiliser
des méthodes actuarielles usuelles et de retenir des hypothèses prudentes.

• Respect de règles quantitatives et qualitatives sur les actifs admis

en représentation des engagements

Les actifs (incorporels, immobiliers, mobiliers, réassurance, etc.) doivent

répondre à des règles stricts d’investissement (règles de dispersion, de
diversification, de congruence, etc.).

• Respect des exigences de marge de Solvablité

L’entreprise d’assurance doit faire état d’une bonne couverture des

exigences de marge de solvabilité à court, moyen et long termes. En
d’autres termes, les Fonds Propres (et d’autres éléments tels que les titres
subordonnés, la réserve de capitalisation et aussi, ce qui est plus discu-
table, les plus-values latentes) doivent être significativement supérieurs à
l’exigence de marge de solvabilité.
Cette dernière correspond, suivant les activités, à un pourcentage des
provisions en Vie, des cotisations ou de la charge de sinistres en Non Vie
(cf. état ministériel C6).

48 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE48 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Ces dispositions ont été enrichies en 2003 avec la mise en place du test
d’exigibilité (cf. état ministériel C6 bis). En cas de risque de liquidité
avéré, les autorités de contrôle peuvent demander des compléments de
fonds propres.
L’ensemble de ces éléments doit être détaillé dans le rapport de solvabilité
annuel.
L’approche « Solvabilité 1 », qui n’a pas failli à ce jour en France,
présente néanmoins des limites indéniables :
• Le système des ratios utilisé pour calculer l’exigence de marge de solva-
bilité s’applique à des grandeurs comptables telles que les provisions,
alors même que cette notion n’est pas homogène à travers l’Europe. Plus
généralement, les systèmes comptables ne sont pas encore comparables
(malgré les normes IFRS pour les comptes consolidés des entreprises
faisant appel public à l’épargne), ne serait-ce par exemple qu’au niveau
du traitement des actifs (valeur comptable vs valeur historique).
• Les risques ne sont pas toujours appréhendés dans le détail et de manière
explicite mais au travers de méthodes et d’hypothèses « prudentes ».
• L’approche Solvabilité 1 ne pénalise pas systématiquement les entre-
prises qui sous-provisionnent ou qui sous-tarifient les risques, mais
pénalise en revanche les entreprises qui tarifient ou provisionnent avec
des marges de prudence importantes.
La Commission Européenne a donc annoncé son intention de présenter
une directive 1 en matière d’assurance « Solvabilité II » dont les effets sont
présentés comme pouvant modifier en profondeur le contexte de l’exercice
de l’activité d’assurance.
Le Comité Européen des Contrôleurs des Assurances et des Pensions
professionnelles (CEIOPS), au sein duquel l’ACAM (Autorité de Contrôle
des Assurances et des Mutuelles) est le représentant français, est réguliè-
rement consulté par la Commission Européenne pour lui apporter avis et
éclairages durant la phase de préparation de cette directive. Le CEIOPS a
ainsi été mandaté pour mener des études quantitatives d’impact (QIS

1. Cf. projet de Directive proposé par la Commission Européenne proposée le 10 juillet

2007.

Les concepts essentiels du Contrôle Interne permanent I 49

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE49 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Quantitative Impact Studies) auprès des compagnies d’assurance, des

mutuelles et des institutions de prévoyance.
La quatrième étude QIS4 se déroulera d’avril à juillet 2008. Un pré-cahier
des charges est disponible depuis fin décembre 2007.

v Les principes de Solvabilité II

Le projet Solvabilité II offre avant tout un cadre formel pour la gestion des
risques au sein des entreprises d’assurance, tant sur le plan quantitatif que
sur le plan qualitatif. Les principes d’analyse sont les suivants :

• L’ensemble des risques devra être étudié

La directive propose sa classification des risques et distingue les risques

techniques et financiers d’une part et les risques opérationnels d’autre part
(cf. figure 1). Ces derniers constituent ce que l’on nomme le Pilier 2 de la
future Directive.
Nous ne présenterons pas dans ce qui suit l’exhaustivité du contenu du
pilier 2 car il concerne essentiellement la maîtrise des activités et la mise
en place d’un dispositif de contrôle interne (partie largement développée
dans l’ensemble de l’ouvrage).
Néanmoins, en synthèse, le pilier 2 impose une connaissance exhaustive
et une maîtrise totale des risques et aborde cette maîtrise en imposant la
mise en œuvre de procédures de Contrôle Interne et de gestion des risques
opérationnels : processus, personnes, systèmes d’information, sécurité
physique, événements externes…
Les principaux thèmes mis en avant dans le cadre de l’évolution des règles
de solvabilité sont :
• la gouvernance des organismes d’assurance,
• le contrôle et la gestion des procédures, des risques et des aspects
financiers,
• la mise en place de modèles internes de gestion des risques.

50 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE50 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Fig. 1 – Les risques à analyser en Solvabilité II

• Les risques devront être étudiés de manière prospective

Il s’agira d’appréhender les conséquences sur la situation nette de l’entre-

prise de la survenance des risques analysés.

• La richesse économique de l’organisme d’assurance devra être supérieure

à une exigence extra-comptable

La norme Solvabilité II propose une refonte complète du cadre comptable,

qui devient davantage économique.
La richesse de l’assureur correspondra à la différence entre les actifs et
les passifs (en valeur de marché). Malgré une volonté de convergence
entre le cadre comptable Solvabilité II et celui des normes IFRS (encore
en cours de discussion pour les contrats d’assurances), des divergences
pourraient subsister dans les modalités de calcul de la valeur des passifs
principalement.

Les concepts essentiels du Contrôle Interne permanent I 51

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE51 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

D’autres éléments seront pris en compte dans la mesure de la richesse, s’ils

sont effectivement mobilisables en cas de problèmes (certains titres subor-
donnés notamment). Certains éléments de richesse moins « sûrs » a priori
(comme par exemple la faculté d’effectuer des rappels de cotisations en
cas de forte sinistralité) pourront également être pris en compte, dans des
proportions moindres.

v L’exigence extra-comptable se fera à deux niveaux

• Le « MCR » ou le Capital Minimum de Solvabilité

Si la richesse économique devait devenir inférieure à ce niveau de capital,

cela mettrait en danger les assurés et nécessiterait une intervention immé-
diate et sévère de l’autorité de contrôle.

• Le « SCR » ou le Capital de Solvabilité Requis

Il représente le capital « cible » économique nécessaire, dans une optique

de continuité d’activité, afin de réduire le risque de ruine à un an à un
niveau suffisamment faible (probabilité de ruine inférieure à 0,5 %). En
l’état actuel de la directive, son franchissement à la baisse entraînerait
également l’exigence d’un plan de redressement.

v Le nouveau cadre comptable

• Un bilan économique

Le nouveau bilan proposé par Solvabilité II est présenté de manière

synthétique dans la figure 2 ci-après.

• Précisions sur les actifs en valeur de marché

Les normes IFRS en vigueur depuis 2005 pour l’établissement des

comptes consolidés des entreprises faisant appel public à l’épargne servi-
ront de référence pour déterminer les valeurs de marché des actifs.
Il s’agit principalement des normes IAS 39 pour les valeurs mobilières et
les prêts, IAS 40 pour les actifs immobiliers, IAS 16 pour les valeurs
corporelles.

52 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE52 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Fig. 2 – Le bilan Solvabilité II

La valeur de marché des créances sur les réassureurs sera déterminée

suivant des méthodes analogues à celles retenues pour estimer les passifs
techniques (cf. ci-après).
Les règles limitant les investissements dans certaines catégories d’actifs
(par exemple les règles de dispersion et de diversification de Solvabilité 1)
n’existeront plus dans Solvabilité II. Dans Solvabilité II, les investisse-
ments seront supposés avoir été choisis suivant le principe de « gestion
prudente », c’est-à-dire en tenant compte des passifs assurés. Des analyses
spécifiques des investissements seront réalisées au moment de la détermi-
nation du SCR et du MCR.

• Précisions sur le passif en valeur de marché

Les passifs des entreprises d’assurance peuvent schématiquement être

classés en deux catégories :
Les passifs non techniques pour lesquels les normes IFRS « classiques »
vont s’appliquer : IAS 19 pour les engagements pris envers le personnel
(indemnités de fin de carrière, régimes de retraite à prestations définies,
régimes frais de santé pour les retraités, etc.), IAS 37 pour les provisions
non techniques, IAS 39 pour les passifs financiers, IAS 12 pour les impôts,
etc.
Les passifs techniques, correspondant au provisionnement des risques
d’assurances.

Les concepts essentiels du Contrôle Interne permanent I 53

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE53 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Le projet de directive distingue deux types de risques :

• Les risques « couvrables » : ces risques peuvent être parfaitement
couverts sur les marchés financiers (par des produits dérivés ou des
opérations de titrisation par exemple). La valeur des risques
« couvrables » correspond à la valeur de marché des éléments permet-
tant de réaliser la couverture.
• Les risques « non couvrables » : par référence à la solution proposée
pour la future norme IFRS sur les contrats d’assurances, en l’absence de
valeur observable sur les marchés, la valeur du passif correspondra pour
ces risques à la « valeur actuelle de sortie » ou « current exit value ».
Cette dernière correspond à la valeur qu’un autre organisme d’assurance
demanderait pour reprendre les droits et obligations attachés au porte-
feuille étudié.
De manière opérationnelle, la « valeur actuelle de sortie » peut être
décomposée en deux éléments : la « meilleure estimation des engagements
futurs » ou « Best Estimate » et la « marge de risque ».
En pratique, et dans la mesure où il n’existe que très peu de risques
couvrables sur le marché français (on peut citer à titre d’exemple des bons
de capitalisation à taux garantis élevés pouvant être couverts par des obli-
gations zéro-coupon), les provisions techniques « en valeur de marché »
devront être estimées sur la base de leur « valeur actuelle de sortie ».
La « valeur actuelle de sortie » remplacera toutes les provisions habi-
tuelles : provisions mathématiques, provisions pour sinistres à payer,
provisions pour risques croissants, provision pour aléas financiers, provi-
sion globale de gestion, etc.
D’après les spécifications techniques du CEIOPS, la « meilleure estima-
tion » est égale à « la moyenne pondérée par leur probabilité des flux de
trésorerie futurs, compte tenu de la valeur temporelle de l’argent (valeur
actuelle probable des flux de trésorerie futurs), déterminée à partir de la
courbe des taux sans risque pertinente. Le calcul de la meilleure estima-
tion est fondé sur des informations actuelles crédibles et des hypothèses
réalistes et il fait appel à des méthodes actuarielles et des techniques statis-
tiques adéquates ».
La meilleure estimation doit tenir compte de tous les éléments futurs :
prestations, frais, primes futures (sous certaines conditions), etc.

54 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE54 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

À cette estimation, il convient d’ajouter une « marge de risque ». Dans la

logique de « valeur de sortie », cette marge de risque doit permettre de
servir les prestations futures avec un degré de confiance plus élevé et de
rémunérer les « actionnaires » (le terme de preneur de risque sera plus
adapté pour les mutuelles et les institutions de prévoyance).
Plusieurs méthodes de calcul de cette marge de risque ont été proposées à
l’origine des réflexions, parmi lesquelles :

• La méthode de la « Value at Risk » VaR

Dans cette approche, la « valeur de sortie » correspond au montant à provi-

sionner pour que les prestations futures ne dépassent pas ce montant avec
un certain niveau de probabilité (75 % ou 90 % par exemple).
La « meilleure estimation » correspond au montant moyen des prestations
futures probables et la « marge de risque » à la différence entre la « valeur
de sortie » et la « meilleure estimation ».
Pour utiliser cette méthode il convient de disposer des lois probabilistes
des prestations futures, ce qui s’avère difficile, voire irréalisable, dans
certains cas.

• La méthode du « coût du capital » 1

Cette méthode est basée sur le principe que les actionnaires des entreprises
d’assurance (ou les preneurs de risques) doivent être rémunérés au delà
des taux de rémunération offerts par les placements sans risque. Le taux
de rémunération supplémentaire est fixé à 6 % par le CEIOPS pour le
moment (soit une rémunération annuelle totale de 10 % avec un rendement
sans risque de 4 %). La détermination de la marge de risque nécessite de
projeter les besoins en fonds propres futurs pour couvrir les SCR futurs ; la
marge de risque est alors égale à 6 % de la valeur actuelle des besoins en
fonds propres futurs.

1. Cette méthode (« coc », « cost of capital ») est privilégiée par le CEIOPS dans les
questionnaires d’impact 3 et 4. La méthode du coût du capital est également utilisée par
les entreprises d’assurance valorisant périodiquement leur valeur intrinsèque ou
« Embedded Value ».

Les concepts essentiels du Contrôle Interne permanent I 55

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE55 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

La « meilleure estimation » majorée de la « marge de risque » devrait

permettre de couvrir les prestations futures (et les frais attachés) et de
rémunérer les actionnaires.

v Quelques illustrations

• Portefeuille de rentes viagères

Une entreprise d’assurance garantit un portefeuille de rentes viagères (de

type retraite ou rentes de conjoint).
Lors de l’arrêté des comptes 2007, elle a constitué des provisions mathé-
matiques selon les règles en vigueur :
• tables de mortalité : TGH05 pour les hommes et TGF05 pour les femmes,
• taux technique : 2,5 %.
Les provisions mathématiques au 31/12/2007 sont égales à 99,5 Mi.
La « meilleure estimation » a été évaluée à partir des hypothèses suivantes
(les frais ne sont pas pris en compte dans cette illustration) :
• Tables de mortalité : TGH05 pour les hommes et TGF05 pour les
femmes (en l’absence de tables de mortalité d’expérience l’entreprise
d’assurance a considéré que les tables réglementaires étaient les plus
adaptées).
• Taux d’actualisation : courbe des taux des emprunts d’État.
Taux de revalorisation future des rentes : cette hypothèse est difficile à
fixer car les revalorisations futures dépendront de nombreux paramètres
(rendements des actifs sous-jacents, résultats techniques du portefeuille,
clauses de participations aux bénéfices, revalorisations commerciales
au-delà des contraintes contractuelles).
Dans l’illustration, il a été supposé que les rentes seraient revalorisées à
hauteur de l’inflation (soit 2 % par an).
Sur ces bases, la « Meilleure Estimation » est égale à 100 Mi.
La « Marge de risque » ressort à :
• 3,1 Mi pour la méthode Value at Risk (au niveau de 75 %),

56 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE56 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

• 2,9 Mi pour la méthode Coût du Capital (coc) ; ce niveau de marge de

risque, qui permettra a priori de rémunérer l’actionnaire à hauteur de
6 % au delà du taux sans risque, couvrirait à 73 % la charge de presta-
tions résiduelles (Value at Risk de 73 %).
Au final, en retenant la méthode Coût du Capital pour déterminer la marge
de risque, la provision économique Solvabilité II du portefeuille étudié (ou
« Current Exit Value ») serait égale à 102,9 Mi (soit 103,4 % des provi-
sions mathématiques utilisées dans les comptes au 31/12/2007).

• Portefeuille Responsabilité Civile

Une entreprise d’assurance garantit le risque Responsabilité Civile

Générale.
Lors de l’arrêté des comptes 2007, elle a constitué sur ce portefeuille des
provisions pour sinistres à payer selon les règles en vigueur :
• Provisions dossier/dossier pour les sinistres connus non payés.
• Provision supplémentaire pour les sinistres survenus mais non encore
réglés. Cette provision a été estimée suivant des approches classiques
basées sur les cadences de règlements observées par le passé.
• Provision au titre des charges de gestion futures.
Les provisions pour sinistres à payer au 31/12/2007 sont égales à 111 Mi.
La « Meilleure Estimation » est égale à 100 Mi (soit 90 % des provisions
pour sinistres à payer).
La « Marge de risque » ressort à :
• 5,5 Mi pour la méthode « Value at Risk » (au niveau de 75 %),
• 10,1 Mi pour la méthode Coût du Capital (coc) ; ce niveau de marge de
risque, qui permettrait a priori de rémunérer l’actionnaire à hauteur de
6 % au delà du taux sans risque, couvre à 87,8 % la charge de prestations
résiduelles (Value at Risk de 87,8 %).
Au final, en retenant la méthode Coût du Capital pour déterminer la marge
de risque, la provision économique du portefeuille étudié (ou « Current
Exit Value ») est égale à 110 Mi (soit un montant légèrement inférieur aux
provisions pour sinistres à payer enregistrées dans les comptes).

Les concepts essentiels du Contrôle Interne permanent I 57

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE57 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

• Le cas particulier de l’assurance Santé

En assurance santé, les provisions constituées par les organismes d’assurance

sont généralement assez faibles, du fait des garanties annuelles accordées.
Ainsi, les provisions pour sinistres à payer représentent quelques semaines
de prestations. La « valeur de sortie » ne sera donc pas éloignée de la
valeur comptable des provisions pour sinistres à payer.
Une analyse simple des cadences de règlement permettra de ventiler la
valeur entre « meilleure estimation » et « marge de risque ».
Pour les assureurs santé offrant des garanties viagères (du fait de la Loi
Évin), pour lesquelles des provisions pour risque croissant sont consti-
tuées, l’analyse devra être plus poussée. Les travaux réalisés depuis
quelques années par de nombreux assureurs sur cette provision ont montré
la difficulté à définir des méthodes robustes, ne conduisant pas à des varia-
tions importantes d’une année à l’autre du montant de provision constitué.
La « meilleure estimation » pourra reposer sur un calcul déterministe de
la provision, avec les paramètres les plus adaptés et notamment une actua-
lisation des prestations futures avec la courbe des taux des emprunts d’État
(et non plus 60 % du TME). La marge de risque sera déterminée par la
méthode du coût du capital.

v De nouvelles contraintes de solvabilité

• Le capital cible

Dans la formule standard proposée par le projet de directive, le capital cible,

« SCR », est obtenu : en mesurant, à tour de rôle, les besoins en capitaux
obtenus pour chacun des risques analysés (cf. titre 1) : le risque de souscrip-
tion non vie (les risques de passif non vie), le risque de souscription vie (les
risques de passif vie), le risque de marché (les risques liés aux actifs) et le
risque de défaut de contrepartie (le risque lié au défaut de réassureurs).
Les besoins de capitaux sont estimés suivant la même logique pour chacun
des risques : il s’agit de mesurer, pour les scénarii proposés, l’impact de
la variation d’une hypothèse sur la richesse économique de l’organisme
d’assurance (et donc sur chaque poste d’actif et de passif du bilan). Ainsi,
par exemple, le scénario relatif à la variation des taux permettra de
mesurer la variation de la richesse en cas de hausse ou de baisse des taux.

58 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE58 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Le besoin en capital au titre du risque de taux correspondra à la baisse de

la richesse économique consécutive au scénario de hausse des taux (si les
actifs sont globalement plus longs que les passifs) ou au scénario de baisse
des taux futurs (si les actifs sont globalement plus courts que les passifs).
Pour les risques non vie, y compris l’assurance santé et l’incapacité, une
attention particulière sera portée sur la sinistralité passée (mesurée par les
ratios annuels « Prestations/Cotisations », bruts et nets de frais) : plus les
ratios varieront d’une année à l’autre, plus le besoin en capital sera impor-
tant pour faire face à la volatilité des résultats.
Puis en « agrégeant » ces besoins, en tenant compte des corrélations entre
chacun des risques, la formule standard fournit les niveaux de corrélation.
Les différents scénarii ainsi que les matrices de corrélation sont proposés
dans la formule standard. Ils ont été « calibrés » de telle sorte qu’une
entreprise d’assurance qui fera état d’une richesse économique égale au
SCR connaîtra une probabilité de ruine à un an inférieure à 0,5 %.
Les entreprises peuvent par ailleurs développer des modèles internes pour
mesurer le SCR. Ils devront naturellement reposer sur une analyse pros-
pective de l’ensemble des risques auxquels l’entreprise d’assurance est
soumise et respecter le critère précédent de 0,5 %.
Ce critère de non ruine à un an est jugé trop strict par certains intervenants,
principalement ceux gérant des risques longs (retraite, assurance responsa-
bilité civile très longue, etc.), dans la mesure où l’horizon d’un an semble
inapproprié.

• Le capital minimum

Le calcul du capital minimum, « MCR », ne fait intervenir que les risques

de souscription et le risque de marché. Différents scénarii sont proposés
par le CEIOPS, dans la formule standard, pour évaluer les différents
modules ainsi que les matrices de corrélation.

v Le résultat des enquêtes menées par le CEIOPS

Des études d’impact quantitatives (QIS) sont proposées régulièrement par

le CEIOPS au marché. Ces études doivent permettre d’affiner le calibrage,
de s’assurer de la faisabilité des calculs et de vérifier les résultats globaux

Les concepts essentiels du Contrôle Interne permanent I 59

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE59 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

sur les différentes structures d’assurance (au niveau solo et groupe). Les
opérateurs sont conviées à répondre, sur base volontaire, à ces
questionnaires.
Les principaux enseignements du QIS 3, réalisé en 2007 (et dont les
résultats ont été restitués en octobre et novembre), sont les suivants :
• En assurance vie :
Les provisions sont globalement en légère hausse. Des fortes hausses
peuvent être constatées sur les contrats présentant des options ou des
garanties spécifiques (facultés de rachat, de prorogation, conversion en
rentes à des conditions prédéfinies par exemple).
Des interprétations très diverses ont été observées sur les modalités de
calcul du « Best Estimate » (notamment au niveau de la prise en compte de
la participation aux bénéfices future).
Le SCR est en hausse parfois sensible. Environ 75 % du SCR est expliqué
par le risque de marché (avec une part importante du risque Actions/immo-
bilier), 15 % par le risque de souscription et le reste par les autres risques.
La couverture globale des nouvelles exigences de solvabilité demeure
respectée par les opérateurs français.
• En assurance non vie :
Les provisions sont globalement en baisse du fait de l’escompte.
Le SCR en revanche est en hausse (parfois de façon significative et en
particulier pour les risques longs). Plus de la moitié du SCR est expliquée
par le risque de souscription, une part importante par le risque de marché
et une part plus ou moins élevée (suivant la politique de réassurance et la
nature des réassureurs) par le risque de concentration.
La couverture globale des nouvelles exigences de solvabilité demeure
respectée par les opérateurs français.
Le prochain QIS 4, dont les contours ont été dévoilés le 20 décembre 2007,
offrira une nouvelle fois l’occasion aux entreprises d’assurance de mesurer
les futures exigences pour leur cas particulier et, si besoin, d’influer sur le
cadre d’analyse à travers leurs fédérations de rattachement notamment.
Il sera officiellement lancé an avril 2008 et les résultats devront être
fournis au CEIOPS pour juillet 2008.

60 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE60 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

II I

L’ANALYSE DES RISQUES

II.1 QU’EST-CE QU’UN RISQUE ?

Dans le chapitre I, nous avons donné au Contrôle Interne la définition

suivante :
« Le Contrôle Interne est une démarche permanente de détermination des
risques ayant pour objectif la maîtrise permanente des activités. »
Il s’agit donc d’identifier les risques auxquels sont confrontées les organi-
sations pour être en mesure de les gérer.
D’une façon théorique la notion de risque peut se décrire de la façon
suivante :

Le risque est la possibilité qu’un événement se produise et ait une incidence défavo-
rable sur la poursuite et/ou l’atteinte des objectifs et/ou sur les actifs de l’entreprise.
L’événement doit être potentiel et sa potentialité de survenance doit être évaluée.

La gestion des risques suit quatre phases :

• l’identification des menaces,
• la hiérarchisation des risques identifiés,
• le traitement des risques,
• la mise en adéquation de la responsabilité de leur gestion.

L’analyse des risques I 61

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE61 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

II.1.1 Typologie des risques

L’éventualité de survenue d’un risque repose sur l’existence de causes

potentielles qui pèsent de fait sur les organisations. Comme l’indique la
figure « Typologie des risques » à la page suivante, nous avons choisi dans
notre méthodologie de classer ces menaces/risques selon deux origines et
trois grandes catégories :
• celles dues au hasard : aléas naturels,
• celles dues à l’homme : erreurs et malveillance (externe et interne).

II.1.2 Niveaux de risque

Les risques peuvent être de différents niveaux :

Fig. 1 – Échelle de risques

II.1.3 La méthode de classement des risques en risques majeurs,

courants et de non-qualité

La prise en compte de ces menaces permet d’identifier avec les acteurs

concernés des scénarios de risques. En effet, nous verrons un peu plus loin
que la découverte des risques et des scénarios associés se fait à l’aide des
séances dite de créativité avec les collaborateurs de chaque entité étudiée.
L’objectif, comme nous l’avons déjà explicité, est de faire en sorte que

62 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE62 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Typologie des risques d’après leurs causes

Les aléas naturels Les erreurs La malveillance

Catastrophes naturelles : – Erreurs de saisie Sabotages :
– éruption volcanique, (mauvaise saisie, – de biens matériels
– tremblement de terre, oubli, etc.). (immeubles, mobilier,
– inondation, avalanche, – Erreurs de transmis- informatique, etc.),
– glissement de terrain, sion (courrier, – des données (dossiers
– orage (perturbations – électromagné- télécom, etc.). manuels ou
tiques, foudre), – Erreurs d’application informatiques, etc.),
– cyclone, raz de marée, de la réglementation. – des programmes
– pollution naturelle (organique, – Erreurs de informatiques,
biologique, etc.). manipulations. – gaspillages (temps perdu,
fournitures, etc.).
Accidents :
– de travail, Agressions :
– de transport (terrestre, maritime, aérien, – verbales envers le
fluvial), personnel,
– incendie, – physiques du personnel
– dégât des eaux, en vue de voler des valeurs.
– chute,
– court-circuit, Vols :
– explosion, – vols de biens matériels,
– bris de machine, d’outillage, – fraudes par accumulation
– de climatisation, de chauffage, progressive ou gros
détournement.
Pannes :
– franche de matériel, Atteintes à la
– latente (dysfonctionnements), confidentialité :
– de fluide (alimentation, conversion), – vol de données,
– de réseau (téléphone, télécom, etc.), – consultation illicite
– dégradation rapide des performances d’informations,
(temps de réponse, taux – copie illicite de données,
d’interruptions, etc.), – piratage informatique.
– vice caché,
– « bogue » de constructeur de logiciel,
– suite modification des normes
techniques.

Aléas conjoncturels :
– baisse de la demande,
– hausse imprévue de la demande.

Défaillances en matière de personnel :

– maladie contagieuse (incapacité
temporaire),
– décès,
– intoxication (alimentaire, chimique, etc.),
– démission, départ en retraite de
personnel ou stratégique (unitaire, massif).

L’analyse des risques I 63

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE63 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

chacun des acteurs soit capable de gérer ses propres risques, là où il est,
pour ce qui le concerne et en toutes circonstances.
Enfin, les risques issus des scénarios recensés sont évalués et classés en
trois catégories (majeurs, courants et non-qualité) sur la base de deux
critères traditionnels en analyse de risque :
• la gravité du risque qui mesure les conséquences pour l’entreprise,
• la probabilité de réalisation du risque qui détermine le taux d’occurrence,
Le résultat du produit « gravité x probabilité » donne ce que l’on nomme
l’espérance mathématique de la gravité (ou criticité). La criticité d’un
risque est donc un indicateur de l’acuité du risque.
Comme l’indiquent les tableaux suivants, une échelle à quatre niveaux est
utilisée pour chaque critère (gravité et probabilité), qui permet le classe-
ment des risques dans les trois catégories énoncées (cf. Fig. 3) :
• risques majeurs,
• risques courants,
• risques mineurs ou de non-qualité.

Échelle de cotation de la gravité du risque

4 Inadmissible Met l’équilibre de l’entreprise en cause, voire sa survie.

3 Vraiment grave Ne met pas vraiment l’entreprise en péril complet mais très grave
et doit impérativement être traité.
2 Relativement grave Ne peut être toléré que dans un premier temps, à titre provisoire.
1 Gênant Porte à conséquence, mais reste tolérable.
0 Insignifiant Sans aucune conséquence remarquable.

Une fois les risques identifiés en fonction de leur enjeu, nous pouvons
ensuite les classer et les prioriser à travers la matrice de vulnérabilité qui
reprend les critères de gravité et de fréquence. On obtient le graphique
ci-après.

64 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE64 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

Échelle d’évaluation de la probabilité de réalisation du risque

4 C’est très possible Cela arrivera sûrement à court ou moyen terme.

3 C’est bien possible
2 On ne peut pas dire que ce soit
raisonnablement impossible
1 Raisonnablement impossible
0 Strictement impossible
Cela arrivera certainement un jour ou l’autre.
Techniquement possible.
Il est possible que cela puisse se produire un jour.
Cela n’arrivera jamais.

Fig. 2 – Exemple de matrice de vulnérabilité

II.1.4 Le traitement du risque

L’intérêt du rappel de la définition du « risque » est de montrer la conti-

nuité quasi insécable dans les processus d’analyse.
Il est purement artificiel de ne s’intéresser qu’à une seule catégorie de
risques, car cela reviendrait à poser comme acquis la classification hiérar-
chique des risques qui résulte justement de cette analyse. On ne peut pas
rationnellement juger d’un risque sur la base d’à priori.

L’analyse des risques I 65

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE65 (P01 ,NOIR)

 h a n g e Vi h a n g e Vi
XC ew XC ew
PD F- F-

PD
er

er
!

!
W

W
O

O
N

N
y

y
bu

bu
to

to
k

k
lic

lic
C

C
w

w
m

m
w w
w

w
o

o
.d o .c .d o .c
c u -tr a c k c u -tr a c k

À cette morphologie du risque, on associe plusieurs grands types

d’actions :
• agir sur la probabilité et mettre en place des actions de Prévention,
• diminuer l’impact du risque (la gravité) en mettant en place des actions
de Protection,
• agir à la fois sur la probabilité et la gravité,
• supprimer le risque et donc annuler la probabilité d’occurrence,
• financer le risque par une assurance (transfert du risque à un tiers).
L’objectif est de réduire les menaces « brutes » pour arriver à un risque
résiduel le plus faible possible.

II.1.5 La mise en adéquation de la gestion des risques

avec l’échelle des responsabilités

Lorsque les risques ont été hiérarchisés, le travail n’est pas pour autant
terminé car il est nécessaire de déterminer qui, dans la hiérarchie, sera
chargé de mettre en place les actions de maîtrise des risques. Pour ce faire,
ce sont les enjeux inhérents aux risques qui sont associés aux niveaux de
responsabilités existants dans la structure concernée. Nous illustrons ce
principe à l’aide du tableau (cf. figure 4) où les actions de maîtrise des
risques majeurs de niveau 4 sont initiées et pilotées par la Direction et ainsi
de suite jusqu’aux risques de non qualité de niveau 1 qui peuvent être gérés
par les employés directement. Bien entendu, il s’agit d’une technique à
adapter dans chaque entreprise en fonction de l’organisation adoptée.

II.1.6 La distinction Risque Brut / Risque Net / Risque Résiduel

Dans toute démarche d’analyse des risques et pour chaque typologie

d’organisation, la qualification du risque doit être précisée afin d’éviter
tout contre sens.
Le risque brut ou risque inhérent correspond à un risque évalué avant
tout dispositif de maîtrise des risques -, et correspond à l’exposition de
l’organisation à son univers des risques intrinsèques à ses activités.

66 I Contrôle interne

PSW32-INSERT GRAPHIQUES-C5.04.03-P5.04.00-13/5/2008 15H5--L:/TRAVAUX2/MAXIMA/CONTROLE/TEXTE.866-PAGE66 (P01 ,NOIR)