Fiabil iser la stratégie par une gestionorganisée des risques

Trois lignes de Maîtrisepour une meilleureperformance

3© AMRAE - IFACI - 2013

e challenge de nos organisations – entreprises et secteur public – est d’assurer l’atteintede leurs objectifs stratégiques et opérationnels dans les meilleures conditions de confor-mité et d’efficacité. Cela passe par l’optimisation de leurs dispositifs de maîtrise des

risques.

Ce document est une aide concrète pour y parvenir. En effet, les lignes directrices qui y sontdécrites ont pour objectif de renforcer, d’un côté, les capacités de pilotage et de supervisiondes Directions Générales et des Comités d'Audit sur les activités d’une organisation, et del’autre, la clarté et la cohérence des fonctions qui y contribuent. Elles s’appuient notammentsur les travaux réalisés en Europe par les organismes professionnels concernés par la gou-vernance : instituts d'audit interne : IFACI en France et ECIIA en Europe, associations de Risk Managers : AMRAE en France et FERMA en Europe, instituts des administrateurs : IFA en France et EcoDa en Europe.

Sans coordination entre elles, les activités de management des risques, d’assurance et desupervision perdent en efficacité.

L’AMRAE et l’IFACI ont partagé leur vision d’une organisation intégrée face aux risques pouren présenter, pour la première fois, une version francophone unique et cohérente.

Ce document est articulé autour de 6 questions essentielles quant à l’intérêt de l’organisationdu dispositif de maîtrise des risques organisé en trois lignes distinctes et complémentaires.

Farid Aractingi Gilbert CanamérasPrésident de l’IFACI Président de l’AMRAE

La maîtrise des risques est essentielle au développement de toute entrepriseet, en son absence, sa survie peut être menacée. Les administrateurs, le comitéd'audit sont ainsi particulièrement vigilants quant à la mise en œuvre des res-

sources et moyens contribuant à l'objectif de maîtrise des risques. Dans ce cadre, l'InstitutFrançais des Administrateurs soutient pleinement l'initiative conjointe de l'IFACI et lel'AMRAE. Ce document de synthèse sur le dispositif des trois lignes de maîtrise des risquesest un outil facilitant la diffusion et l'intégration de ce concept dans l'organisation desentreprises. Il contribuera à renforcer l'assurance raisonnable apportée par la directionet par l'audit interne au comité d'audit que les risques acceptables résultant de la stra-tégie sont identifiés et maîtrisés.

Daniel LebèguePrésident de l’Institut Français des Administrateurs (IFA)

L

Trois lignes de Maîtrise pour une meilleure performance

4 © AMRAE - IFACI - 2013

IntroductionL’adoption d'un référentiel partagé de gestion des risques et de contrôle interne, la coordi-nation de l’ensemble des activités liées à la maîtrise des risques conjuguées et la mise enœuvre d’un modèle de gouvernance efficace permettent aux organisations : de prendre des risques maîtrisés et de saisir des opportunités ; de fiabiliser la formulation de leur stratégie, sa mise en œuvre et la performance des

activités ; d’affecter leurs ressources proportionnellement aux véritables enjeux ; de communiquer de manière appropriée avec tous leurs partenaires ; d’aligner l’organisation sur une vision globale et commune des risques.

Ce document a un double objectif :Dans un premier temps, il propose un modèle de gouvernance fondé sur trois lignes de maî-trise.Dans un second temps, il identifie au travers de questions-réponses, les apports d’un systèmeorganisé de maîtrise des risques.

5© AMRAE - IFACI - 2013

Une appréhensionglobale desdispositifs degestion desrisques et decontrôle interne

Pour les dirigeants, il est primordial de concourirà la croissance, la performance et à la pérennitéde l'organisation. Pour ce faire, il faut répondre àdes problématiques cruciales, notamment euégard aux responsabilités du Conseil d’Adminis-tration : Comment les objectifs de l’organisation

sont-ils déclinés et mis en cohérence avecles missions de l’organisation ?

Les risques significatifs sont-ils identifiés etévalués dans tous les domaines de l’organi-sation ?

Les réponses aux risques sont-elles appro-priées, proportionnées et alignées avec l’ap-pétence pour le risque de l’organisation ?

Les contrôles pour éviter ou limiter lesrisques sont-ils adéquats et efficaces ?

Les responsabilités et les structures organi-sationnelles sont-elles suffisamment clairespour permettre de décider efficacement encas de survenance des risques ?

Les informations utiles sur le risque sont-elles recueillies et communiquées en tempsvoulu à l’ensemble de l’organisation pourpermettre aux collaborateurs, au manage-ment et au Conseil de s’acquitter de leursresponsabilités ?

Les fonctions dédiées comme la gestion derisques, le contrôle et l’audit internes représen-tent les meilleurs moyens pour répondre à cesquestions lorsqu’elles s’appuient sur des basessolides. La définition et l’adoption d’un systèmed’information partagé pour les dispositifs de ges-tion des risques et de contrôle interne consti-tuent une clé de succès pour un bouclageefficace des objectifs stratégiques, chaque fonc-

tion comprenant et diffusant clairement lesobjectifs recherchés1.

Une approche exhaustive et transversale del’évaluation des risques représente un élémentclé de la gouvernance et doit : assurer une couverture complète de tous

les risques significatifs ; identifier les risques et en avoir une vision

consolidée ; veiller à ce que les risques soient clairement

corrélés aux objectifs de l’entité ; favoriser une affectation appropriée et pro-

portionnée des ressources aux fonctions decontrôle chargées de s’assurer de la maîtrisedes activités afin d’éviter de dépasser leslimites acceptables.

Les démarches utilisées pour identifier lesrisques doivent permettre d’être le plus exhaustifpossible sans être biaisées en étant trop axés surdes aspects réglementaires ou sur d’autrespoints spécifiques. Ces dernières années, l’atten-tion des organisations était parfois focalisée surdes domaines de risques particuliers, comme lesrisques juridiques ou financiers, du fait de l’évo-lution de la réglementation. Mais à suivre cettestratégie, les organisations ont pu accorder uneattention et affecter des ressources trop impor-tantes à ces risques particuliers, au détrimentd’autres risques.

Le processus d’identification des risques doitpouvoir se dérouler à la fois au niveau de la direc-tion de l’entité et au niveau opérationnel. Lesfonctions chargées d’évaluer des risques spéci-fiques doivent contribuer au dispositif global degestion des risques de l’organisation. Ce dispo-sitif a pour objet de hiérarchiser les risques enfonction de leur corrélation avec les objectifs, lesvaleurs ou les ressources de l’entité. En outre, ildoit prendre en compte l’importance de l’impactpotentiel des risques combinés sur un ou plu-sieurs objectifs.

1

1 Les notions de gestion des risques, d’audit interne et dedispositif de contrôle interne sont définis en annexe.

Trois lignes de Maîtrise pour une meilleure performance

6 © AMRAE - IFACI - 2013

L’adoption d’un référentiel global et systéma-tique de gestion des risques, tels que le cadre deréférence de l’AMF, COSO II2 (ERM3) ou ISO 31000,a pour objectif de garantir une approche struc-turée pour identifier les niveaux réels de risquesdans tous les domaines de l’organisation, durisque stratégique à ceux liés aux domaines opé-rationnels, financiers et de conformité. L’ERMcontribue à une gouvernance interne efficace etintégrée. Ce cadre peut, par ailleurs, être utilisédans le secteur privé comme dans le secteurpublic4.

L’ERM doit être intégré au sein de tous les pro-cessus de l’organisation. Son déploiement estgénéralement facilité par une communicationefficace et par l’intégration du projet ERM auxprocessus de planification et de reporting glo-baux au travers, notamment, de dispositifs inci-tatifs et d’indicateurs de risque.Mais avant tout, l’ERM doit bénéficier d’un sou-tien indéfectible de la Direction Générale.

Modèle des trois lignes de maîtrise

2 Le management des risques de l’entreprise :COSO II report / IFAC, PWC. – 2005.

3 Enterprise-wide Risk Management - dénominationinternationale du dispositif de gestion globale des risques

4 Guidelines for Internal Control Standards for the Public Sector –INTOSAI GOV 9100 - 2004 - L'INTOSAI reconnaît l’intérêt d’une

telle démarche et a, en particulier, développé des lignesdirectrices concernant le contrôle interne.

Fonctions participant au dispositif de maîtrise globale des risques

Les organisations ont besoind’une responsabilité clairementdéfinie en matière de maîtrisedes risquesIl appartient à la Direction Générale de conce-voir et de gérer des dispositifs efficaces degestion des risques et de contrôle interne. Lemodèle des « trois lignes de maîtrise » fournitdes recommandations utiles sur la définitionclaire des responsabilités en matière de ges-tion des risques et de contrôle interne.

2ème ligne de maîtrise

Conseil d’administration / Comité d’audit

Régulateurs

Audit externe

Direction générale

1ère ligne de maîtrise 3ème ligne de maîtrise

Managementopérationnel

Auditinterne

S.I.

R.H.

Juridique

Finance

HSE

Contrôlede gestion

...

assuranceconform

ité

gestion des risquescontrôle interne

7© AMRAE - IFACI - 2013

Un modèleefficient structuréen trois lignes demaîtrise

La Direction Générale est au cœur du dispositifde maîtrise globale des risques. Sa structure en« trois lignes de maîtrise5 » est une approche per-tinente des rôles et responsabilités du manage-ment opérationnel, des fonctions transverses, etde l’audit interne.

Des activités de contrôles définies et misesen œuvre par les opérationnels

La première ligne de maîtrise des activités estconstituée par les managers opérationnels, res-ponsables de l’évaluation et de la diminution desrisques, notamment par la mise en œuvre d’undispositif de contrôle adéquat, portant sur lesprocessus dont ils ont la charge. Cette premièreligne permet la maîtrise des activités au jour lejour en mettant en œuvre les pratiques les plusefficaces de gestion des risques au niveau dechaque processus et en communiquant lesinformations appropriées à la deuxième ligne demaîtrise.

Un dispositif structuré et coordonné par ladeuxième ligne de maîtrise

La deuxième ligne de maîtrise est constituée desservices fonctionnels responsables de domainesd’expertise et des fonctions dédiées à l’anima-tion du dispositif global de maîtrise des risques(fonctions de gestion des risques, de contrôleinterne, d’assurance, de conformité...). Ces ser-vices disposent en effet d’une expertise et d’unsavoir-faire uniques pour l’analyse des organisa-tions et de compétences essentielles en matièred’activités de contrôle.

Elle a pour objectif la structuration et la mainte-nance du dispositif de maîtrise des activités del’organisation, notamment en :

assistant les opérationnels dans l’identifica-tion et l’évaluation des principaux risquesrelevant de leur domaine d’expertise ;

proposant des politiques et des procéduresde groupe par domaine d’activité ;

contribuant avec les opérationnels à laconception des contrôles les plus perti-nents ;

développant les meilleurs pratiques et leséchanges (benchmarks) ;

observant et en rendant compte du fonc-tionnement effectif des processus.

Pour être efficace, il est donc nécessaire derecenser préalablement les rôles et les responsa-bilités des fonctions qui concourent à la défini-tion et à la maintenance du dispositif global demaîtrise des risques.

Une évaluation globale et indépendante dudispositif conduite par la troisième ligne

En tant que troisième ligne de maîtrise des acti-vités, une fonction d’audit interne indépendanteet rattachée au plus haut niveau de l’organisa-tion fournit, à travers une approche fondée surle risque, une assurance globale aux instancesde surveillance et à la direction générale de l’or-ganisation.Cette assurance globale couvre l’efficacité desdeux premières lignes de maîtrise et de la gou-vernance de l’organisation. Elle englobe tous leséléments du cadre de maîtrise des risques : desprocessus d’identification et d’évaluation au dis-positif de contrôle interne pour atténuer lesrisques.

Pour un audit interne efficace : Toutes les organisations devraient se doter

d’un service d’audit interne structuré. Les rattachements hiérarchique et fonc-

tionnel du responsable de l’audit doiventrenforcer l’indépendance organisationnellede la fonction.

2

5 La notion de « 3 lines of defense » a été développée par unpartenariat en ECIIA et FERMA.

Trois lignes de Maîtrise pour une meilleure performance

8 © AMRAE - IFACI - 2013

Un dispositif donnant une vision éclairéedes risques pris ou à prendre

Le dispositif de maîtrise globale des risquescouvre l’ensemble des processus stratégiques etopérationnels qui donnent à la Direction Géné-rale une vision éclairée des risques. Cette der-nière décline la stratégie, met en œuvre lesmoyens pour y parvenir et utilise ce dispositifcomme un outil d’aide à la décision.

Pour exercer pleinement ses missions telles quedéfinies notamment par la loi, les statuts, lacharte du comité d’audit, le comité d’audit a un« devoir d’impulsion ». Ce n’est pas son rôle depiloter la mise en place du dispositif des troislignes de maîtrise. Toutefois, il devrait s’assurerque les moyens sont déployés afin que ce dis-positif, adapté au contexte de l’organisation, soiteffectivement mis en œuvre et régulièrementévalué.

Les commissairesaux comptes etles régulateurs,partenairesexternes dudispositif des troislignes de maîtrise

Ce dispositif de maîtrise des risques couvre l’en-semble des processus stratégiques et opération-nels qui donnent à la Direction Générale, auconseil d’administration (ou de surveillance) etau comité d’audit une assurance raisonnable surla fiabilité des informations financières et extra-financières, et notamment celles qui sont com-muniquées aux actionnaires, au marché, auxrégulateurs et aux autres parties prenantes.

Parallèlement, l’audit externe constitue unesource importante d’informations et d’assuranceraisonnable pour les actionnaires, les investis-seurs potentiels et plus généralement toutes lesparties prenantes de l’organisation.

Il existe de nombreuses normes et recomman-dations décrivant comment un auditeur externepeut utiliser les travaux de l’audit interne quiconstituent une base importante pour le com-missaire aux comptes. Ces travaux permettentpar ailleurs à l’auditeur externe d’apprécier lespoints forts de l’organisation et de gérer lesconséquences des faiblesses importantes sus-ceptibles d’avoir un impact sur les processus dediffusion de l’information financière.

Pour autant, l’audit interne ne doit pas être utiliséen tant que sous-traitant du commissaire auxcomptes. En plus de limiter la capacité d’actionde l’audit interne, cela remettrait en cause lepositionnement du commissaire aux comptesqui se doit, pour accomplir sa mission, de rester« externe » à l’organisation.

Un dialogue régulier entre le comité d’audit, lecommissaire aux comptes et l’audit interne surles activités et les constatations de l’audit interneet de l’audit externe renforcera la solidité du dis-positif global de maîtrise des risques.

3

9© AMRAE - IFACI - 2013

Le pilotage de nosactivités est efficace.Quels avantagessupplémentairesaurions-nous àdéployer et à maintenirun système organisé degestion des risques ?

La conduite efficace des activités repose sur uneprise de risque maîtrisée. Pour atteindre leursobjectifs, les managers engagent l’organisation,prennent des risques dans les limites possibles,puis définissent et mettent en œuvre les traite-ments adaptés à chaque risque.

Dans cet esprit, un système organisé de maîtrisedes risques, au cœur duquel se trouve la Direc-tion Générale, permet : de définir le cadre de la gestion des risques,

ses limites, les acteurs et leurs rôles ; les liensexistant avec le Contrôle Interne, le Juri-dique, les Assurances, mais aussi les opéra-tions et toutes les fonctions ;

de diffuser le processus nécessaire à l’éva-luation des risques et à la mise en œuvrepar les opérationnels des traitements lesplus efficaces ;

de prendre des risques maîtrisés en ajustantles activités de contrôle correspondantes ;

de faciliter la consolidation d’informationsfiables et pertinentes ;

de partager les expériences des opération-nels, faire émerger les meilleures pratiqueset les consolider au niveau stratégique ;

de mieux répondre aux attentes des légis-lateurs, des régulateurs et des autres partiesprenantes, dont le comité d'audit.

En définitive, l'utilisation d'un système organiséde maîtrise des risques permet d'optimiser laperformance de l’organisation en donnant auxmanagers un cadre, une latitude, un champ deresponsabilité, des outils et, parallèlement, enl‘ajustant des dispositifs de traitement à la prisede risque souhaitée.

Le risque zéro n’existepas : jusqu’où faut-ilinvestir dans desdispositifs de maîtrisedes risques et decontrôle interne ?

La prise de risque est naturelle, courante et sou-haitable dans toute organisation. L’objectif d’undispositif organisé de maîtrise des risques n’estpas uniquement de réduire les risques mais depermettre à l’organisation de bien les identifieret de décider quels risques elle souhaite prendre. Ce positionnement de l’organisation vis-à-vis deniveaux de risques qu’elle juge souhaitables etacceptables détermine la nature des solutionsque le management adoptera pour les traiter.Par exemple : élaborer et mettre en œuvre des plans de

réduction de la probabilité d’occurrence(prévention) ou de l’impact du risque (pro-tection) ;

transférer ou partager le risque avec untiers ;

cesser certaines activités à l’origine durisque ;

accepter les risques dont le traitementserait disproportionné par rapport à laréduction escomptée ;

utiliser certains risques pour en faire desopportunités.

1

2

Questions – Réponses

Trois lignes de Maîtrise pour une meilleure performance

10 © AMRAE - IFACI - 2013

Nous devons êtreflexibles et réactifs. Unréférentiel de maîtrisedes risques n'est-il pasbureaucratique etsource de rigidités ?

Un système organisé de maîtrise des risquespermet de réaliser des synergies entre les fonc-tions transverses contribuant au dispositif degestion des risques. Il s’agit de : fonctions dédiées à la maîtrise des risques

(direction de la gestion des risques, direc-tion du contrôle interne, conformité règle-mentaire...) ;

toutes les fonctions support, qualité, res-sources humaines, finance, organisation,contrôle de gestion, systèmes d’informa-tion, HSE, développement durable...

Le dispositif de maîtrise des risques ne doit pasimposer de solutions prédéfinies à mettre enœuvre de façon mécanique. Le référentiel doitêtre suffisamment adaptable pour permettre laprise en compte de changements dans l’organi-sation ou du lancement de nouveaux produitsou projets. Son objectif principal reste de distin-guer les risques acceptables de ceux qui ne lesont pas.

Au sein de l’organisation, lors d’une acquisitionou du développement rapide d’une activité, undispositif de gestion des risques réactif chercheà analyser objectivement les menaces et lesopportunités potentiellement manquées dansles limites des risques acceptables.

La prise de décisionnécessite desinformationspertinentes et fiables.En quoi un système demaîtrise des risquescontribue-t-il àaméliorer cettefiabilité ?

Le développement du système d'informationentraîne une multiplication des données à tousles niveaux de l’organisation et constitue un actifprécieux. Générées pour des usages initiaux dif-férents et dans des conditions très diverses, cesdonnées doivent être fiabilisées et consolidéespour devenir de véritables aides à la décision : obtenir à temps les informations pour la

conduite d’un projet majeur ; fournir une information juste et adéquate

aux parties prenantes externes (clients, par-tenaires, législateurs, superviseurs) ;

s’assurer que des organisations compara-bles (concurrents par exemple) n’ont pasidentifié des risques non traités dans notreorganisation, et assurer une veille des inci-dents majeurs connus.

La description de l’environnement interne et del’organisation des délégations du référentiel par-tagé de maîtrise des risques, permet d'expliciterles responsabilités et de formaliser le cadre orga-nisationnel du reporting. Ceci permet de locali-ser les sources d’information puis d’établir lescanaux de validation pertinents et les responsa-bilités appropriées en matière de communica-tion externe notamment.Par ailleurs, la hiérarchisation des informations etle dimensionnement des dispositifs de contrôleréalisés dans le cadre d’une gestion organiséedes risques assurent l'efficience du processusd'information ; de la collecte des données à leurstockage, en passant par leur transformation etleur exploitation.

3 4

11© AMRAE - IFACI - 2013

Notre organisation estmultirégionale,multisectorielle. Ledéploiement d’unréférentiel unifié demaîtrise des risquespeut-il trouver du sensdans toutes cesentités ?Comment assurer unevision consolidée detoutes les informationsdisparates qui sontremontées ?

Face à la complexité des organisations qui voientsouvent se côtoyer des métiers et des culturesdifférentes, un dispositif global de maîtrise desrisques donne une orientation et des élémentsde langage communs. Le référentiel et lesméthodes partagés par un réseau de correspon-dants, témoins de la culture risque des entités,facilitent la consolidation d’informations dispa-rates et apportent au management opérationnelune boîte à outils adaptable aux différentes acti-vités.

En renfort de la 1ère ligne de maîtrise des activités,située chez les opérationnels, la 2ème ligne, avecnotamment les fonctions de gestion des risques,de contrôle interne, de conformité..., exerce unrôle prépondérant dans la diffusion et l’explicita-tion des principes de la gestion des risques. Parles méthodes, l’organisation et les outilsdéployés, ces fonctions animent et font vivre ledispositif.

Une cartographie desrisques n’est jamaisexhaustive. Commentnous préparer à réagirface à une situationimprévue ?

« Prévenir et non subir » : le dispositif de maîtrisedes risques a comme objectif de savoir réagir auxsituations prévues comme à celles qui ne l’au-raient pas été. Même les pires catastrophes seproduisent, et si les risques majeurs ne se réali-sent généralement pas exactement comme ilsavaient été anticipés et imaginés, l’étude de scé-narios de risques permet à l’organisation de pré-voir l’activation des mécanismes de protectionet de les tester.Parmi ces mécanismes, on peut notammenttrouver : un plan de continuité d’activité ; un plan de gestion de crise ; une communication de crise ; la mobilisation d’experts ; l’organisation des compensations finan-

cières par les assureurs.

Un dispositif de maîtrise des risques efficacepermet d’identifier les signes avant-coureurs etde réagir dès le premier stade de l’incident pouren minimiser l’impact.S’exercer à envisager l’inimaginable, se mettre encapacité d’exploiter la base de connaissance del’organisation en matière de gestion des risqueset de mobiliser rapidement les personnes quisauront innover et proposer des solutions appro-priées, consulter les données disponibles à l’ex-térieur, permet de préparer l’ensemble dudispositif à la réaction. Face à une situationexceptionnelle, l’organisation, flexible et adapta-ble, saura sortir des schémas habituels, qui onttout leur intérêt dans le cadre d’une activité nor-male, pour proposer une structure ad hoc.Cette cartographie des risques est également unoutil essentiel pour le comité d’audit dans l’exer-cice d’une de ses missions : s’assurer de la maî-trise des risques par le management.

5 6

12 © AMRAE - IFACI - 2013

Trois lignes de Maîtrise pour une meilleure performance

Définitions

La gestion des risques est l’affaire de tous lesacteurs de la société. Elle vise à être globale et àcouvrir l’ensemble des activités, processus etactifs de la société.

La gestion des risques est un dispositif dyna-mique de la société, défini et mis en œuvre soussa responsabilité.

La gestion des risques comprend un ensemblede moyens, de comportements, de procédureset d’actions adaptés aux caractéristiques dechaque société qui permet aux dirigeants demaintenir les risques à un niveau acceptablepour la société.

Le risque représente la possibilité qu’un événe-ment survienne et dont les conséquencesseraient susceptibles d’affecter les personnes, lesactifs, l’environnement, les objectifs de la sociétéou sa réputation.

Le contrôle interne est un dispositif de lasociété, défini et mis en œuvre sous sa respon-sabilité.Il comprend un ensemble de moyens, de com-portements, de procédures et d’actions adaptésaux caractéristiques propres de chaque sociétéqui : contribue à la maîtrise de ses activités, à l’ef-

ficacité de ses opérations et à l’utilisationefficiente de ses ressources, et

doit lui permettre de prendre en compte demanière appropriée les risques significatifs,qu’ils soient opérationnels, financiers ou deconformité.

Le dispositif vise plus particulièrement à assurer : la conformité aux lois et règlements ; l’application des instructions et des orienta-

tions fixées par la direction générale ou ledirectoire ;

le bon fonctionnement des processusinternes de la société, notamment ceuxconcourant à la sauvegarde de ses actifs ;

la fiabilité des informations financières.

Le contrôle interne ne se limite donc pas à unensemble de procédures ni aux seuls processuscomptables et financiers.

La définition du contrôle interne ne recouvre pastoutes les initiatives prises par les organes diri-geants ou le management comme par exemplela définition de la stratégie de la société, la déter-mination des objectifs, les décisions de gestion,le traitement des risques ou le suivi des perfor-mances.

L'audit interne est une activité indépendante etobjective qui donne à une organisation uneassurance sur le degré de maîtrise de ses opéra-tions, lui apporte ses conseils pour les améliorer,et contribue à créer de la valeur ajoutée. Il aidecette organisation à atteindre ses objectifs enévaluant, par une approche systématique etméthodique, ses processus de management desrisques, de contrôle, et de gouvernement d'en-treprise, et en faisant des propositions pour ren-forcer leur efficacité.

Annexe

13© AMRAE - IFACI - 2013

Bibliographie

Travaux de l’AMRAE Rôle de l’administrateur dans la maîtrise des

risques (en collaboration avec l’IFA, juin2009) ;

Analyse et présentation des travaux del’AMF relatifs à la gestion des risques et aucomité d’audit (juillet 2010) ;

Trajectoire vers un Enterprise Risk Manage-ment (ERM) (janvier 2012) ;

La cartographie: un outil de gestion desrisques (janvier 2010) ;

La mise en oeuvre du Cadre de Référenceactualisé de l’AMF (décembre 2012 avecl’APDC, KPMG et BMA / DFCG).

Travaux de l’IFACI, de l’ECIIA et de l’IIA Le Management des Risques de l’Entreprise,

COSO report II, 2005 (traduction) ; L’efficacité des comités d’audit, les meil-

leures pratiques, 2012 (étude IIA réalisée parPwC, traduction) ;

L’urbanisme du Contrôle Interne, 2008 ; Des clés pour la mise en œuvre du contrôle

interne, avril 2008 (cahier de la recherche –meilleures pratiques) ;

Contrôle interne et qualité, pour un mana-gement intégré de la performance, mai2008 (cahier de la recherche – notes profes-sionnelles) ;

L’auto-évaluation du contrôle interne, octo-bre 2005 (cahier de la recherche) ;

Etude du processus de management et decartographie des risques, janvier 2004(cahier de la recherche – guide d’audit) ;

Management des risques, 2001 (cahier dela recherche) ;

Corporate Governance insights, ECIIA, 2012 ; Guidance on the 8th EU Company Law

Directive, ECIIA - FERMA, part 1 & part 2,2010-2011 ;

The Three Lines of Defense in Effective RiskManagement and Control, The IIA, 2013.

Autres publications Les dispositifs de gestion des risques et de

contrôle interne – Cadre de référence (AMF,juillet 2010) ;

Les comités d’audit : 100 bonnes pratiques(IFA, janvier 2008) ;

Prise de position IFA-IFACI sur le rôle de l’au-dit interne dans le gouvernement d’entre-prise (mai 2009) ;

Comités d’audit et auditeurs externes (IFA,novembre 2009) ;

Guide Méthodologique de suivi de l’effica-cité des systèmes de contrôle interne et degestion des risques (IFA, novembre 2010) ;

Directeur financier comité d’audit & conseild’administration (Travaux IFA - DFCG,2011) ;

Bonnes pratiques en matière de relationsentre le comité d’audit et les autres mem-bres du conseil (Travaux IFA - ACI, 2012).

© AMRAE – IFACI – Paris – juin 2013 – ISBN : 978-2-915042-55-9

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droits, ou ayants cause, estillicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une

contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal.

conc

eptio

n/ré

alisa

tion

:

ebzo

ne c

omm

unic

atio

n (w

ww

.ebz

one.

fr)

L'AMRAE est la première association européennede Risk Managers, de professionnels des métiersdu risque et de partenaires spécialisés dans lagestion des risques. Cette structure rassemblel’ensemble des grandes entreprises françaises etinternationales en France, et a pour mission de-puis 20 ans d'apporter à toutes les organisationsles moyens de réussir la mise en œuvre de leurstratégie, par le déploiement d’un dispositif clairet organisé, par l’analyse de l’acceptabilité desrisques et du meilleur traitement ou finance-ment du risque. L’AMRAE c’est également AMRAEFormation, les Rencontres des métiers du risqueet la publication de nombreux ouvrages sur lagestion des risques et des assurances.Grâce à plus de 850 directeurs des risques et /ou des assurances, l’AMRAE constitue un réseauunique de décideurs spécialisés dans la gestiondes risques.

AMRAE80 Boulevard Haussmann

F-75008 Paris, FranceTél : +33 1 42 89 33 16

Email : amrae@amrae.frWeb : www.amrae.fr

L'IFACI rassemble plus de 5300 professionnels del'audit et du contrôle internes en France. L’Institutfavorise la diffusion des normes internationaleset des meilleures pratiques. Lieu de partage etd'accompagnement, il est l’organisme de réfé-rence en matière de formation professionnelle.L’IFACI est également le partenaire privilégié desorganisations publiques et privées de toutestailles souhaitant améliorer l'efficacité de l'en-semble de leurs dispositifs de contrôle interne.

L’IFACI est affilié à l’IIA (The Institute of InternalAuditors) qui bénéficie d’un réseau de 170 000adhérents répartis dans plus de 160 pays.

IFACI98 bis Boulevard Haussmann

F-75008 Paris, FranceTél : +33 1 40 08 48 00

Email : contact@ifaci.comWeb : www.ifaci.com