Mise en page 1 - Chapters Site...intitulé Relations de l'audit interne avec les autres fonctions...

A U D I T I N T E R N E

LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA

R e l a t i o n s d e l ' a u d i tinterne avec les autres fonctions

d 'A s s u r a n c eM o d è l e d ’ i n t e r a c t i o n

Traduit et adapté par :

This article was reprinted with permission from the Marco de Relaciones de Auditoria Interna con otrasFunciones de Aseguramiento, published by Instituto de Auditores Internos de España – La fábrica depensamiento, and has been translated from Spanish to French.

Copyright © 2013 by Instituto de Auditores Internos de España – La fábrica de pensamiento. No parts ofthis material may be reproduced in any form without the written permission of COSO.

Permission has been obtained from the copyright holder, Instituto de Auditores Internos de España, C.I.F.G-78253176, C/ Danta Cruz de Marcenado, 33 1°, registration n° 55.432, Spain, to publish this translation,which is the same in all material respects, as the original unless approved as changed. No parts of thisdocument may be reproduced, stored in any retrieval system, or transmitted in any form, or by any meanselectronic, mechanical, photocopying, recording, or otherwise, without prior written permission of TheIIA Spain.

This document was translated by IIA France (IFACI – Institut France de l’Audit et du Contrôle Internes) onMay 2014.

ISBN : 978-2-915042-64-1



Traduction et adaptation - IFACI 3

La FÁBRICA DE PENSAMIENTO de l'Instituto de Auditores Internos

de España a publié le présent guide pratique, intitulé Marco de

Relaciones de Auditoria Interna con otras Funciones de

Aseguramiento pour répondre aux attentes des auditeurs

internes et des lecteurs qui, indépendamment de leur position

hiérarchique dans l'organisation, souhaitent acquérir une vision

claire des différentes formes de prestations d'assurance.

Ce guide montre que l'existence de cartographies de presta-

taires de services d'assurance améliore la coordination des dif-

férentes lignes de maîtrise, assure l'optimisation des ressources

de l'organisation, et permet de donner un niveau d'assurance

approprié à la direction générale et au Conseil.

Ce document complète et renforce le modèle des « trois lignes

de maîtrise », qui définit d'audit interne comme fonction d'éva-

luation de l'efficacité de la deuxième ligne, et de coordination

de l’ensemble des prestataires internes d'assurance pour répon-

dre à l’impératif d'efficience.

Je félicite les auteurs, membres de la commission technique,

pour avoir maintenu le niveau d'excellence auquel les publica-

tions de la FÁBRICA DE PENSAMIENTO nous ont habitués. Au

nom de l'Instituto de Auditores Internos de España, je remercie

sincèrement la FUNDACIÓN MAPFRE pour son parrainage.

José Manuel Muries

Président de l'Instituto de Auditores Internos de España

L'Institut Français de l'Audit et du Contrôle Interne (IFACI) favo-rise la diffusion des normes internationales de l'audit interne etdes meilleures pratiques contribuant à l’amélioration des dis-positifs de gouvernance, de gestion des risques et de contrôleinterne.

L’IFACI est affilié à The Institute of Internal Auditors (The IIA) etparticipe activement aux initiatives de l’ECIIA (EuropeanConfederation of Institutes of Internal Auditing). La traduction decette publication illustre la coopération entre les instituts duréseau de l’IIA. Le choix de cette thématique n’est pas anodintant la question de la coordination des fonctions d’assuranceet du rôle de l’audit interne est cruciale pour l’efficacité d’unsystème intégré de gestion des risques. Avec une approche trèspragmatique, ces travaux s’insèrent naturellement dans la sériede publications proposées par l’IIA et l’IFACI sur le mêmethème.

Le réseau de l’IIA est riche de multiples compétences et produitdes livrables d’une grande qualité sur lesquels l’IFACI doit capi-taliser. Ces travaux complètent ceux que nous conduisons etnous permettent de mieux répondre aux attentes de la profes-sion et d’anticiper ses besoins. Nous poursuivrons donc à l’ave-nir la mise à disposition de ressources publiées au sein duréseau, notamment en Europe. Je remercie tout particulière-ment les auteurs de la FÁBRICA DE PENSAMIENTO pour le pré-sent document et les réviseurs réunis par l'IFACI pour sonadaptation.

Philippe MocquardDélégué Général de l’IFACI

Dans ce cadre, l'Instituto de Ciencias del Seguro de la FUNDACIÓN MAPFRE développe et encourage des activités d'éducation et derecherche dans les domaines de l'assurance et de la gestion des risques. Entre autres, l'Institut élabore périodiquement des rapportset publie des ouvrages sur l'assurance et la gestion des risques, dans le but de contribuer à une meilleure connaissance de ces thé-matiques.Ces ouvrages peuvent servir de référence à des novices dans le monde de l'assurance ou comme source d'information pour l’appro-fondissement de thèmes spécifiques. C'est dans ce contexte que s'inscrit le soutien accordé à la publication de ce guide pratique,intitulé Relations de l'audit interne avec les autres fonctions d'assurance, et publié par la FÁBRICA DE PENSAMIENTO, think tank de l'Institutode Auditores Internos de España (Institut des Auditeurs internes d'Espagne).La FUNDACIÓN MAPFRE propose également des formations dont certaines sont réalisées en collaboration avec l'Universidad Pontificiade Salamanca. L'Institut favorise les aides à la recherche dans les domaines scientifiques du risque et de l'assurance. Il dispose en outred'un Centre de documentation spécialisé dans les assurances et la gestion des risques qui soutient ses activités. Pour plus d’information :www.fundacionmapfre.org\cienciasdelseguro.

http://www.fundacionmapfre.orgcienciasdelseguro

Traduction et adaptation - IFACI



4

MEMBRES DE LA COMMISSION TECHNIQUE DE L’IIA ESPAGNE

COORDINATION : Óscar del Olmo, CIA, CRMA, CFE. IBERDROLAPaz Argamentería, CRMA. INVERSISFrancisco José Narváez. GRUPO FUERTESYolanda Cortés, CIA, CRMA. VOCENTOLucila Carnicero. DELOITTEEduardo Cuesta, CISA, CISM. MAPFREAngel Juárez. BDOJosé Ignacio Domínguez, CRMA, ROACJosé Luis Solís, ROAC, CRMA, TEC. EYRafael Muriel. LIBERBANKMónica Albadalejo, CIA, CRMA. BANCO ESPIRITO SANTO

TRADUCTION ET ADAPTATION EN FRANÇAIS

Marie-Elisabeth ALBERT, CIAJulien CORNUCHE, CIABenoît HAREL, CIA, CRMABéatrice KI-ZERBO, CIAYann LE BOURTHE, CIAJacques RENARD

Auteurs




Table des matières

Introduction ........................................................................................................................................... 06

Objectif et étendue des travaux de la commission ...................................................... 09

Recensement des fonctions d’assurance ............................................................................ 10

Conditions nécessaires à l’efficacité d’une fonction d’assurance ......................... 11

Procédures d’audit interne relatives à l’efficacitédes autres fonctions d’assurance ............................................................................................ 12

Périmètre et rôle de l’audit interne par rapportaux autres fonctions d’assurance .............................................................................................. 14

Pistes pour une collaboration efficiente entre l’audit interneet les autres fonctions d’assurance.Cartographie des services d’assurance ................................................................................. 15

Glossaire ................................................................................................................................................... 18

Annexes .................................................................................................................................................... 20Annexe 1. Contrôle interne ..................................................................................... 20Annexe 2. Contrôle interne relatif au reporting financier .................... 22Annexe 3. Sécurité des systèmes d'information ........................................ 24Annexe 4. Sécurité physique des actifs et des personnes ................... 26Annexe 5. Conformité réglementaire ............................................................... 28Annexe 6. Gestion des risques .............................................................................. 30Annexe 7. Système de management intégré .............................................. 32Annexe 8. Responsabilité sociale et réputation de l’entreprise ........ 34




6

Nous avons créé, au sein de l'Instituto deAuditores Internos de España, une sériede commissions techniques chargéesde développer des prises de positionqui clarifient le positionnement desauditeurs internes et les aident à analy-ser les enjeux stratégiques futurs. Leprésent guide pratique s'inscrit dans cecontexte.

La crise renforce la nécessité d'améliorerl'utilisation efficiente des ressources.L'audit interne n'y fait pas exception etdoit également veiller à maintenir unniveau approprié d'assurance. Pouratteindre cet objectif, il lui faut coordon-ner son activité avec les autres fonc-tions d'assurance de l'organisation, ettirer parti des travaux existants.

Ce guide propose une synthèse de dif-férentes publications sur ce thème etdes retours d'expérience des membresde la commission technique.

Selon les Normes internationales pourla pratique professionnelle de l'auditinterne : « Afin d'assurer une couvertureadéquate et d'éviter les doublesemplois, le responsable de l'auditinterne devrait partager des informa-tions et coordonner les activités avec lesautres prestataires internes et externesd'assurance et de conseil. » (cf. Norme2050 – Coordination).

Le Cadre de référence international despratiques professionnelles de l'audit

interne de l'Institute of Internal Auditors(IIA) propose un ensemble de lignesdirectrices (modalités pratiques d'appli-cation, guides pratiques, prises de posi-tion) qui précisent et facilitent la miseen œuvre de la Norme 2050. Selon lamodalité pratique d'application 2050-3 : « Pour fournir au Conseil une assu-rance concernant la gouvernance, lemanagement des risques et le contrôleinterne, l’auditeur interne peut s’ap-puyer sur les travaux d’autres presta-taires internes ou externes de servicesd’assurance ou utiliser leurs travaux. ».D’autres documents complètent cetteMPA : Modalités pratiques d'application :

2050-1 Coordination ; 2050-2Cartographie des services donnantune assurance sur les dispositifs decontrôle et de management desrisques.

Guide pratique : Reliance by InternalAudit on Other Assurances providers,décembre 2011.

Guide pratique : Coordinating riskmanagement and assurance, mars2012.

Prise de position : Les trois lignes demaîtrise pour une gestion des risques etun contrôle efficaces, janvier 2013. Afinde positionner l'audit interne au seinde l'organisation, le présent guide uti-lise comme référence le modèle destrois lignes de maîtrise proposé etdéveloppé par l'IIA.

Toute fonction sedoit d’optimiser

l’utilisation de sesressources. Il en est

de même pour l'auditinterne qui doit par

ailleurs veiller àmaintenir un niveau

appropriéd'assurance.

Introduction

D’autres documentscomplètent ces réfé-rences : Position Paper –

CorporateGovernanceInsights, 2012,ECIIA

Prise de Position –L’urbanisme ducontrôle interne,2008, IFACI

Prise de position –Trois lignes demaîtrise pour unemeilleure perfor-mance, 2013, IFACI/ AMRAE

Commentaire IFACI




Les Normes définissent les activitésd'assurance comme l'« examen objectifd'éléments probants, effectué en vuede fournir à l'organisation une évalua-tion indépendante des processus degouvernement d'entreprise, de mana-gement des risques et de contrôle. »

Selon la prise de position « Les troislignes de maîtrise pour une gestion desrisques et un contrôle efficaces », les fonc-tions de gestion des risques et deconformité qui composent la deuxièmeligne de maîtrise s’assurent de laconception et du fonctionnement effi-

cace de la première ligne de maîtrise.Dans ce modèle, les fonctions de ladeuxième ligne peuvent intervenirdirectement sur le développement desdispositifs de gestion des risques et decontrôle interne. Néanmoins, elles nepeuvent en aucun cas offrir aux organesde gouvernance une assurance indé-pendante concernant l’efficacité desdispositifs de gestion des risques et decontrôle interne. L'assurance indépen-dante est du ressort de la troisièmeligne de maîtrise, l'audit interne.

DÉFINITION DES ACTIVITÉS D'ASSURANCE

2ème ligne de maîtrise

Conseil d’administration / Comité d’auditRégulateurs

Audit externe

Direction générale

1ère ligne de maîtrise 3ème ligne de maîtrise

Managementopérationnel

Auditinterne

S.I.

R.H.

Juridique

Finance

HSE

Contrôlede gestion

...

assuranceconform

ité

gestion des risquescontrôle interne




8

La décision de s'appuyer sur les travauxd'autres prestataires de services répondà plusieurs objectifs : couvrir des domaines pour lesquels

l'audit interne ne disposent pas descompétences nécessaires ;

transmettre des connaissances ; améliorer la couverture des risques

au-delà du plan d'audit interne ; éviter les doubles emplois et créer

des synergies en termes d'utilisationet d'optimisation des ressources.

Le bon fonctionnement et la coordina-tion des relations de l'audit interne avecles autres fonctions d'assurance présen-

tent notamment les avantages sui-vants : élargissement de la couverture des

risques, sans augmentation du tempsconsacré à la mission d'audit interne ;

augmentation de la réactivité des dis-positifs de gestion des risques ;

amélioration du niveau d'assurancepar la mobilisation de l’expertiseappropriée ;

limitation du phénomène de satura-tion ;

efficience accrue par l'élimination desdoubles emplois ;

conformité renforcée grâce auxefforts conjoints.

S’APPUYER SUR LES INFORMATIONS DES TIERS

Le bonfonctionnement etla coordination desrelations de l'audit

interne avec lesautres fonctions

d'assuranceprésentent des

avantages.

Tout service d'assurance implique troiscatégories de parties prenantes : les personnes chargées des opéra-

tions, de l'exécution du processus, dufonctionnement du système, etc., etcelles chargées de la supervision :gestion des risques, conformité, etc. ;

les personnes chargées de l'évalua-tion : le prestataire de services d'assu-rance ;

les utilisateurs de l'évaluation, qu'ilssoient internes (direction générale ouConseil) ou externes.

Il existe trois types de prestataires, clas-sés selon le bénéficiaire des servicesd'assurance, leur niveau d'indépen-dance par rapport à réalisation des acti-vités évaluées, et la robustesse de leur

conclusion :a) Les prestataires internes qui ren-

dent compte à la direction généraleet/ou en font partie : personnes char-gées de l'auto-évaluation ducontrôle, auditeurs QESH (qualité,environnement, sécurité, hygiène),gestionnaires des risques, fonctionsrelatives à l’évaluation du gouverne-ment d’entreprise, au reportingfinancier, à la conformité, etc..

b) Les prestataires qui rendentcompte au Conseil, parmi lesquelsl'audit interne.

c) Les prestataires qui rendentcompte aux parties prenantesexternes tels que l'auditeur externequi informe les actionnaires.

CLASSIFICATION DES PRESTATAIRESDE SERVICES D'ASSURANCE

Recensement desfonctions d’assurance

Conditions nécessaires àl’efficacité d’une fonction

d’assurance

Rôle de l’audit internepar rapport aux autresfonctions d’assurance

Procédures d’audit internerelative à l’efficacitédes autres fonctions

d’assurance

Pistes pour unecollaboration efficiente

entre l’audit interne et lesautres fonctions d’assurance




S'appuyer sur les autres prestatairescomporte également des risques, telsque : les déficiences du contrôle, liées au

fait que le périmètre couvert par leprestataire est insuffisant ;

l’absence d'identification des pro-blèmes, due au manque d'indépen-dance du prestataire ;

l’accroissement des risques jugés nonsignificatifs ou leur analyse horscontexte par l'audit interne.

Nous avons élaboré un guide pratiquedes relations entre l'audit interne et lesautres fonctions d'assurance interne quipermet : de procéder au recensement (non

exhaustif ) des fonctions d'assu-rance ;

d’identifier les conditions néces-saires à l'efficacité d'une fonctiond'assurance ;

d’élaborer des procédures d'auditinterne relatives à l'efficacité desautres fonctions d'assurance ;

de définir le rôle de l'audit internepar rapport aux autres fonctionsd'assurance, les « lignes jaunes » àne pas franchir ainsi que lesdomaines exclusifs d’interventionde l'audit interne.

d’envisager des pistes pour une col-laboration efficiente entre l'auditinterne et les autres fonctions d'as-surance, qui renforcent les principalesnormes d'assurance et l'efficacité, etévitent les doubles emplois.

Objectif et étendue des travauxde la commission




10

Seules sont abordées les fonctionsinternes qui rendent compte à la direc-tion générale ou au Conseil.

Il est très complexe d'élaborer unmodèle organisationnel unique concer-nant les prestataires internes de servicesd'assurance. Cela dépend de leur degréde maturité, du secteur d'activité et ducontexte. Nous considérons néanmoinsqu'indépendamment de la question dela fonction responsable de la prestationd'assurance, il existe un ensemble d'ac-tivités qui doivent être réalisées et parconséquent être intégrées dans le cadredes « organisations ou fonctionsinternes ».

En particulier, nous avons identifié lesactivités et fonctions d'assurance sui-vantes, en lien avec les domaines sui-vants :1. Contrôle interne : assurance portant

sur le contrôle interne de l'entreprise.Il englobe les objectifs opérationnels,de conformité et de reporting.

2. Contrôle interne relatif au reportingfinancier : assurance portant sur lesystème de contrôle interne des pro-cessus d'élaboration du reportingfinancier.

3. Sécurité des systèmes d’informa-tion : assurance portant sur l'infra-structure technique et garantissant laconfidentialité, l'intégrité et la dispo-nibilité de l'information.

4. Sécurité physique des actifs et despersonnes : assurance portant surl'intégrité des actifs et des personnes,et garante de la continuité des acti-vités1.

5. Conformité réglementaire : assu-rance portant sur la conformité à desobligations concernant notammentla protection des données person-nelles, la lutte contre le blanchimentet le financement du terrorisme, lerèglement général de l’autorité desmarchés financiers, des codes dedéontologie, la responsabilité pénaledes entreprises et des dirigeants oudes directives sectorielles spéci-fiques.

6. Gestion des risques : assurance por-tant sur la gestion adéquate desrisques susceptibles d’affecter demanière significative les activités del'entreprise.

7. Système de management intégré :assurance portant sur la conformitéà la réglementation en matière dequalité, d'environnement, de préven-tion des risques professionnels, et derecherche, développement et inno-vation (RDI).

8. Responsabilité sociale et réputationde l'entreprise : assurance portantsur la transparence des activités del'entreprise et des relations avec lesparties prenantes.

Recensement des fonctionsd’assurance

1 Les nouvelles lois et les bonnes pratiques en matière de sécurité s’orientent vers une gestion intégrée et coordonnée de lasécurité, en mettant l’accent, non pas sur la protection physique ou logique d’un domaine spécifique, mais plutôt sur laprotection globale d’un actif.




Selon le Guide pratique de l'IIA, Relianceby Internal Audit on other assurance pro-viders, paru en décembre 2011, les prin-cipes et éléments permettant d'évaluerles travaux des prestataires d'assuranceinterne et de déterminer leur fiabilitésont les suivants :1. Objectif de la mission : l'objectif de

la mission des prestataires d'assu-rance doit être précisé et être clair etpertinent au regard du périmètre etdes objectifs de la mission d’auditinterne.

2. Objectivité du prestataire de ser-vices : les prestataires d'assurancedoivent démontrer leur impartialitéet leur objectivité.

3. Compétences techniques : l’évalua-tion dépend de l'expérience et del’expertise du prestataire. Ce principeest d’autant plus important que leprestataire n’est pas indépendant.

4. Pratiques et méthodologies : l'exis-tence de politiques, procédures etprogrammes utilisés dans la réalisa-tion de leur mission doit être évaluée.Les travaux doivent être planifiés,supervisés, documentés et examinésde manière satisfaisante, et êtreétayés par des éléments probants etsuffisants. L'accès aux informationsnécessaires pour émettre les conclu-sions est effectif.

5. Communication des résultats etmesures correctives : des procé-dures de communication des résul-tats des missions d'assurance à ladirection sont en place, avec pourobjectif l'adoption de mesures cor-rectives et un suivi de leur mise enœuvre.

Conditions nécessaires à l'efficacitéd'une fonction d'assurance




12

La décision de s'appuyer sur le travaild'autres fonctions d'assurance doit êtrefondée sur une évaluation préalable del'audit interne. Le bien-fondé de cettedécision repose sur quatre facteurs :

1. Objectivité de la fonction d'assu-rance par rapport à l’activité super-visée :a. chaîne de responsabilité et niveau

hiérarchique auquel est subordon-née la fonction d'assurance ;

b. niveau d’indépendance dans ladétermination des programmesde travail et dans l’accès aux élé-ments probants;

c. politiques et pratiques permettantd'éviter des conflits d'intérêts dansle cas où certains membres de lafonction d'assurance auraientauparavant occupé des responsa-bilités opérationnelles.

2. Compétences professionnelles desmembres de la fonction d'assu-rance :a. formation et expérience profes-

sionnelle des membres de la fonc-tion d'assurance ;

b. obtention de certificats profes-sionnels et programmes de forma-tion continue.

3. Existence de politiques, de procé-dures et de programmes écrits rela-tifs à l'exercice des fonctionsd'assurance :

a. existence de politiques, de procé-dures et de programmes pourl'exercice de l'activité d'assurance ;

b. procédures internes garantissantla qualité des documents de tra-vail, des rapports et des recom-mandations ; existence desupports documentaires deconclusions fondées sur des élé-ments probants et sur le suivi desrecommandations ;

c. procédures de supervision etd'examen des activités des colla-borateurs de la fonction ; évalua-tion annuelle de l'activité dupersonnel.

4. Production de rapports compre-nant des conclusions et des recom-mandations qui sont suivies jusqu’àleur mise en œuvre :a. existence de procédures de com-

munication des résultats des mis-sions d'assurance à la directionafin que les mesures correctivessoient prises ;

b. existence de procédures de suivides recommandations émises etdes mesures adoptées pour pallierles défaillances.

Enfin, l'audit interne doit mettre enœuvre ses propres procédures d'ana-lyse et de révision de ces travaux, afinde disposer de preuves concernant laqualité et la rigueur de ces activitésd'assurance.

Procédures d'audit interne relativesà l'efficacité des autres fonctionsd'assurance




Afin de garantir la performance et laqualité de l'activité d'audit interne, il estnécessaire de procéder à des évalua-tions périodiques, tant internes qu'ex-ternes, comme le souligne la Norme

1300, Programme d'assurance et d'amé-lioration qualité, contenue dans le Cadrede référence international des pratiquesprofessionnelles de l'audit interne.

Plus les objectifs des prestataires(internes et externes) sont alignés avecceux de l’audit interne, plus les audi-teurs internes trouveront que les tra-vaux des prestataires d’assurance sontpertinents.Le niveau de confiance accordé à cestravaux variera selon les 4 éléments pré-sentés dans le schéma ci-dessus. Malgréune indépendance moindre que cellede l’audit interne (notamment du faitde leur rattachement hiérarchique), lesfonctions d’assurance peuvent fairepreuve d’objectivité.

Cette faiblesse peut être partiellementcompensée par le niveau de compé-tence, le recours à des procédures ouà des normes rigoureuses permettantd’étayer en temps opportun lesconstats ainsi que la capacité à avoir unimpact sur la management du faitd’une plus grande proximité ou d’uneréactivité facilitée par la surveillance encontinu des risques et la mise en œuvredes mesures de traitement.

Afin de garantirla qualité de l'activitéd'audit interne,il est nécessairede procéder àdes évaluationspériodiques,tant internesqu'externes.

NIVEAU ÉLEVÉ DE CONFIANCE

FAIBLE NIVEAU DE CONFIANCE

Obj

ectiv

ité

Obj

ectif

de

l’aud

it in

tern

e

Obj

ectif

de

la fo

nctio

n d’

assu

ranc

e

Com

péte

nces

Nor

mes

et

p

rocé

dure

s

Impa

ct m

anag

éria

lNiveau de

risque

Schéma : Facteurs à prendre en compte dans la détermination du niveau de confianceAdapté à partir du Guide pratique de l'IIA, Reliance by internal audit on other assurance providers




14

Il est fréquent que certaines activitésréalisées par d'autres fonctions d'assu-rance soient redondantes, et mêmequ'elles relèvent du périmètre de l'auditinterne, ou inversement. Il peut égale-ment arriver que l'on confonde le rôlede l'audit interne avec celui des autresfonctions d'assurance.

Afin de contribuer à clarifier le rôle et lepérimètre de l'audit interne par rapportà chacune des autres fonctions d'assu-rance, nous proposons une série d'an-nexes qui décrivent les activités quirelèvent de l'audit interne et qui ne doi-vent pas être réalisées par des tiers, etdes limites que ne doit pas franchir l'au-dit interne (pages 22 à 37).

Périmètre et rôle de l'audit internepar rapport aux autres fonctionsd'assurance




L'une des principales responsabilités duConseil est de s’assurer que les proces-sus sont mis en œuvre conformémentaux critères définis pour l’atteinte desobjectifs. Pour ce faire, le Conseil dis-pose de plusieurs sources de prestationd'assurance mais elles peuvent laisserdes zones de risques non couvertes ? Ilest donc nécessaire de savoir si les pro-cessus de gestion des risques fonction-nent efficacement, et si les risquesprincipaux ou critiques encourus parl'entreprise sont ramenés à un niveauacceptable.

L'élaboration d'une cartographie desservices d'assurance constitue unebonne représentation de la coordina-tion des différentes activités d'assu-rance en permettant de visualiserl'effort commun et de réduire lesrisques.

Nous proposons que la cartographiedes services d'assurance soit réaliséepar l'audit interne, puisque c'est sur luique repose la compréhension des exi-gences d'assurance du Conseil et ladéfinition des rôles et du niveau d'assu-rance. L'objectif principal d'une carto-graphie des services d'assurance est, enpremier lieu, de présenter au Conseil età la direction générale, à un instantdonné, le niveau d'assurance global parrapport aux principaux risques suscep-tibles d’affecter l'entreprise. Il s'agit, endeuxième lieu, d'identifier la fonctionprestataire d'assurance et, enfin, d'éva-luer les risques par catégorie en fonc-tion du niveau d'assurance fourni.

Ces informations peuvent constituer labase à partir de laquelle l'audit interneoriente son plan annuel vers lesdomaines de risques dont le niveaud'assurance ne semble pas approprié.

Pistes pour une collaborationefficiente entre l'audit interne et lesautres fonctions d'assurance.Cartographie des servicesd’assurance




16

Processus d'élaborationde la cartographie des servicesd'assurance

L'élaboration de la cartographie des ser-vices d'assurance se décompose entrois étapes : Étape 1 : Identification des proces-

sus ou activités pertinents de l'en-treprise, afin de garantir l'intégrité dela cartographie des services d'assu-rance. Une « cartographie des pro-cessus » est élaborée en identifiantpour chacun d'entre eux le responsa-ble de l'activité, et la fonction d'assu-rance exercée par le deuxième niveaude contrôle.

Étape 2 : Identification des risquesportant sur les processus ou activi-tés. L'objectif est d'associer aux pro-cessus correspondants les principauxrisques auxquels est confrontée l'en-treprise et qui ont été identifiés dansle modèle des risques.

C'est à cette étape que sont intégrésles critères (limites ou indicateurs)permettant de mesurer les risques parrapport à la valeur souhaitable. Cescritères sont déterminés en fonctionde l'appétence pour le risque et de latolérance au risque tels que définispar le Conseil2.

Étape 3 : Identifions des fonctionsqui donnent une assurance surchacun des risques. Evaluation duniveau d'assurance fourni parchaque fonction en lien avecchacun des risques sous sa supervi-sion. Tout ceci constitue la « carto-graphie des services d'assurance ».

L'audit interne, selon la cartographiedes services d'assurance ainsi élabo-rée, détermine les activités sur les-quelles pèsent des risques présentantun déficit de supervision, que cettedernière soit absente ou insuffisante.

1 Voir le document de LA FÁBRICA DE PENSAMIENTO sur la définition et la mise en œuvre de l'appétence pour le risque :Definición e implantación de Apetito de Riesgo.

L'audit internedétermine les

activités selon lacartographie des

services d’assuranceainsi élaborée, et met

l'accent sur lesrisques présentant

un déficit desupervision.

1 ÉLABORATION DE LACARTOGRAPHIE DES PROCESSUS

2 ASSOCIATION DES RISQUESAUX PROCESSUS

3 ÉLABORATION DE LA CARTOGRAPHIEDES SERVICES D’ASSURANCE




Caté

gorie

de ri

sque

s

RISQ

UE

Intit

ulé

Des

crip

tion

Stra

tégi

ques

Opé

ratio

nnel

s

Conf

orm

ité

Repo

rtin

g

Le n

ivea

u d’

assu

ranc

e, a

insi

que

l’ac

tivité

four

niss

ant l

’ass

uran

ce,

sera

ient

indi

qués

de

diffé

rent

es c

oule

urs

dans

les

cellu

les

où s

e re

coup

ent l

e ris

que

et la

fonc

tion

Cont

rôle

inte

rne

Cont

rôle

rela

tif a

ure

port

ing

finan

cier

Sécu

rité

phys

ique

des a

ctifs

Ges

tion

des

risqu

es

Syst

ème

de m

ana-

gem

ent

inté

gré

RSE

etré

puta

tion

Audi

t int

erne

Conf

orm

itéré

glem

en-

taire

Sécu

rité

des

syst

èmes

d’in

form

atio

n

2eLI

GN

E D

E M

AÎTR

ISE

3eLI

GN

E D

EM

AÎTR

ISE

EXEM

PLE

DE

CART

OG

RAPH

IE D

ES S

ERVI

CES

D'A

SSU

RAN

CE




18

ABEAutorité Bancaire Européenne (autoritéindépendante de l'Union Européennequi œuvre afin de garantir un niveau derèglementation et de surveillance pru-dentielles efficace et cohérent dansl'ensemble du secteur bancaire euro-péen)

ACPR (ou tout autre organe de supervi-sion de banque et de l’assurance)Autorité de Contrôle Prudentiel et deRésolution

AEMFAutorité Européenne des MarchésFinanciers

AMFAutorité des Marchés Financiers enFrance ou tout autre régulateur jouantle rôle de commission nationale régu-lant les marchés de valeurs

CAATComputer Assisted Auditing Techniques(Techniques d'audit assistées par ordi-nateur, TAAO)

CEICommission électrotechnique interna-tionale

COBITControl Objectives for Information andRelated Technology. Référentiel relativeaux SI publié par l’ISACA(www.isaca.org)

COSOCommittee of Sponsoring Organizationsof the Treadway. Commission a notam-ment produit des référentiels sur lecontrôle interne et la gestion desrisques

CRBF 97-02Règlement n°97-02 du 21 février 1997relatif au contrôle interne des établisse-ments de crédit et des entreprises d'in-vestissement

Directive européenne 2002/58/CEconcernant le traitement des donnéesà caractère personnel et la protectionde la vie privée dans le secteur descommunications électroniques

EBAEuropean Banking Authority (Autoritébancaire européenne, ABE)

EFQMEuropean Foundation for QualityManagement (Fondation européennepour le management par la qualité)

EIOPAEuropean Insurance and OccupationalPensions Authority (Autorité européennedes assurances et des pensions profes-sionnelles)

ESMAEuropean Supervision Market Authority(Autorité européenne des marchésfinanciers, AEMF)

Glossaire

http://www.isaca.org




FBFFédération Bancaire Française ou toutautre association professionnelle secto-rielle

IFRSNormes internationales d'informationfinancière

IIAInstitute of Internal Auditors

ISOOrganisation internationale de norma-lisation.

LCBFTLutte contre le blanchiment de capitauxet le financement du terrorisme

Loi Informatique et LibertésLoi n°78-17 du 6 janvier 1978 relative àl'informatique, aux fichiers et aux liber-tés

MiFIDMarkets in Financial Instruments Directive(Directive sur les marchés d'instrumentsfinanciers, MIF)

OHSASOccupational Health and SafetyAssessment Series (Système de manage-ment de la santé et de la sécurité au tra-vail)

PCI-DSSPayment Card Industry - Data SecurityStandard (Norme de sécurité des don-nées pour l'industrie des cartes de paie-ment)

PNUEProgramme des Nations Unies pourl'environnement

RSEResponsabilité sociale des entreprises

SISystèmes d’information

Solvabilité IIDirective 2009/138/CE du 25 novembre2009 sur l’accès aux activités de l'assu-rance et de la réassurance et leur exer-cice

SOXLoi Sarbanes-Oxley 107-204 du 30 juillet2002 sur la réforme de la comptabilitédes sociétés cotées et la protection desinvestisseurs




20

Anne

xe 1

- Co

ntrô

le in

tern

e

MIS

SIO

N E

TO

BJEC

TIFS

Appo

rter

à l'

entr

epris

e l’a

ssist

ance

néc

essa

ire p

our l

a di

ffusio

n de

s prin

cipe

s du

cont

rôle

inte

rne.

Il s'

agit

deco

ncev

oir,

met

tre

en p

lace

et p

ilote

r un

syst

ème

de c

ontr

ôle

inte

rne

qui p

uiss

e do

nner

à la

dire

ctio

n et

au

com

ité d

'aud

it un

e as

sura

nce

raiso

nnab

le c

once

rnan

t la

fiabi

lité

des c

ontrô

les i

ntég

rés a

ux p

roce

ssus

mét

ier

et s

uppo

rt (e

n so

ulig

nant

le rô

le c

lé d

es p

roce

ssus

info

rmat

isés

qui s

uppo

rten

t les

mét

iers

), et

qui

vise

nt la

rédu

ctio

n de

s risq

ues a

insi

que

l'att

eint

e de

s obj

ectif

s str

atég

ique

s de

l'ent

repr

ise.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

as

sista

nce

appo

rtée

à la

dire

ctio

n gé

néra

le d

ans

la d

iffus

ion

de la

cul

ture

de

cont

rôle

inte

rne

et l’o

ptim

i-sa

tion

de l'

envi

ronn

emen

t de

cont

rôle

;

coor

dina

tion

de l'

hom

ogén

éisa

tion

des p

oliti

ques

, des

pro

cédu

res,

et d

es d

ispos

itifs

de

cont

rôle

inte

rne

;

suiv

i de

la m

ise e

n œ

uvre

des

sys

tèm

es d

e co

ntrô

le in

tern

e da

ns l’

orga

nisa

tion,

en

vue

de g

aran

tir u

neco

uver

ture

adé

quat

e de

s risq

ues e

t la

prot

ectio

n de

la ré

puta

tion

d’en

trep

rise.

Pres

tatio

ns :

ra

ppor

t à la

dire

ctio

n gé

néra

le su

r le

cont

rôle

inte

rne

;

cart

ogra

phie

des

risq

ues ;

pr

opos

ition

d’in

form

atio

ns à

incl

ure

dans

le ra

ppor

t ann

uel s

ur le

gou

vern

emen

t d’en

trep

rise.

INST

AN

CES

ET O

UTI

LS

co

mité

s de

cont

rôle

inte

rne

;

mod

élisa

tion

des

proc

essu

s et

out

ils d

e ge

stio

n de

s ris

ques

et d

e tr

aite

men

t de

mas

se d

es d

onné

es p

arde

s CAA

Ts;

in

dica

teur

s pou

r la

desc

riptio

n de

l'en

viro

nnem

ent d

e co

ntrô

le in

tern

e ;

ca

rtog

raph

ie d

es p

roce

ssus

et m

atric

es d

es ri

sque

s et c

ontr

ôles

. Man

uels

de p

rocé

dure

s ;

rapp

orts

d'e

xam

en p

ério

diqu

es.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

disp

ositi

ons

éman

ant d

e ré

gula

teur

s se

ctor

iels,

en

part

icul

ier c

once

rnan

t les

act

ivité

s fin

anci

ères

et d

'as-

sura

nce

(par

exe

mpl

e le

règl

emen

t CRB

F 97

-02

pour

les

banq

ues

en F

ranc

e ; l

es re

com

man

datio

ns d

el’E

IOPA

) ;

régl

emen

tatio

n co

mpt

able

app

licab

le (p

lan

com

ptab

le g

énér

al, I

FRS,

etc

.) ;

lo

is et

règl

emen

ts su

r les

mar

chés

fina

ncie

rs (C

f. AM

F en

Fra

nce)

;

loi d

e Sé

curit

é Fi

nanc

ière

200

3-70

6 du

1er

août

200

3 et

Loi

n°2

011-

420

du 1

5 m

ai 2

001

rela

tive

aux

nouv

elle

sré

gula

tions

éco

nom

ique

s) ;

co

de d

e bo

nne

gouv

erna

nce

;

disp

ositi

ons r

ecom

man

dées

: CO

SO, C

OBI

T.

Inst

ruct

ions

inte

rnes

:

obje

ctifs

et p

rinci

pes d

'act

ions

de

la fo

nctio

n ;

po

litiq

ues e

t man

uels

de p

rocé

dure

s int

erne

s de

la fo

nctio

n ;

pl

ans s

trat

égiq

ues e

t ann

uels

de la

fonc

tion

;

code

de

bonn

e go

uver

nanc

e, c

ode

d’ét

hiqu

e et

de

cond

uite

, pol

itiqu

es e

t man

uels

de c

ontrô

le in

tern

e, e

tc.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

revo

ir et

éva

luer

le c

adre

de

cont

rôle

inte

rne

et d

e la

fonc

tion

;

exam

iner

l'effi

caci

té d

es c

ontr

ôles

et l

'éva

luat

ion

et la

ges

tion

appr

oprié

es d

es ri

sque

s ;

suiv

re le

s pla

ns d

'act

ion

conc

erna

nt la

mise

en

œuv

re d

es c

ontr

ôles

reco

mm

andé

s ;

donn

er u

ne a

ssur

ance

con

cern

ant l

es p

roce

ssus

d'é

valu

atio

n du

con

trôl

e in

tern

e ;

ét

ablir

des

rapp

orts

pér

iodi

ques

de

l'aud

it su

r le

cont

rôle

inte

rne

et su

ivre

les p

lans

d'a

ctio

n ;

as

siste

r éve

ntue

llem

ent a

ux c

omité

s de

cont

rôle

inte

rne.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

part

icip

er à

l'éla

bora

tion

des p

oliti

ques

et p

rocé

dure

s int

erne

s, et

au

tran

sfer

t de

conn

aiss

ance

s con

cer-

nant

l'en

viro

nnem

ent d

e co

ntrô

le in

tern

e ;

or

gani

ser d

es ré

unio

ns ré

guliè

res d

e co

ordi

natio

n et

de

prom

otio

n de

s act

ivité

s des

deu

x fo

nctio

ns d

'as-

sura

nce,

en

vue

d’ét

ablir

des

lien

s et u

ne c

olla

bora

tion

;

aide

r à l'

iden

tifica

tion

des d

éfai

llanc

es d

e co

ntrô

le d

ans l

es p

roce

ssus

info

rmat

isés e

t mét

ier ;

co

nsei

ller l

a di

rect

ion

géné

rale

lors

de

l’éta

bliss

emen

t des

prio

rités

pou

r l'e

xécu

tion

des p

lans

d'a

ctio

n.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

dé

finir

et m

ettr

e en

œuv

re d

u ca

dre

de c

ontr

ôle

inte

rne

de l'

entr

epris

e : p

oliti

ques

et

proc

édur

esin

tern

es;

av

oir l

a re

spon

sabi

lité

de la

con

cept

ion,

de

la m

ise e

n pl

ace

et d

u pi

lota

ge d

es d

ispos

itifs

de

cont

rôle

inte

rne.




22

Anne

xe 2

- Co

ntrô

le in

tern

e re

latif

au

repo

rtin

g fin

anci

er

MIS

SIO

N E

TO

BJEC

TIFS

Four

nir à

la d

irect

ion

et a

u co

mité

d'a

udit

une

assu

ranc

e ra

isonn

able

con

cern

ant l

a fia

bilit

é de

l’inf

orm

atio

nfin

anci

ère

qu'il

s pr

ésen

tent

au

Cons

eil p

our a

ppro

batio

n, e

t qui

fait

l’obj

et d

e co

mm

unic

atio

ns ré

guliè

res

àl’in

tent

ion

des r

égul

ateu

rs e

t du

mar

ché.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

co

ncep

tion

et m

ise e

n œ

uvre

d’u

n sy

stèm

e, fo

ndé

sur l

'éva

luat

ion

des

risqu

es, v

isant

le c

ontr

ôle

inte

rne

rela

tif a

u re

port

ing

finan

cier

;

mise

en

œuv

re d

es c

ompo

sant

es d

u co

ntrô

le in

tern

e, e

n ac

cord

ave

c le

réfé

rent

iel r

eten

u ;

su

ivi d

u ni

veau

de

mise

en

œuv

re d

u sy

stèm

e de

con

trôl

e in

tern

e au

sein

de

l'org

anisa

tion

et ra

ppor

t à la

dire

ctio

n gé

néra

le.

Pres

tatio

ns :

ca

rtog

raph

ie d

es ri

sque

s des

pro

cess

us d

'éla

bora

tion

de l'

info

rmat

ion

finan

cièr

e ;

ra

ppor

t ann

uel s

ur le

gou

vern

emen

t d'e

ntre

prise

(déc

rivan

t le

syst

ème

de c

ontrô

le in

tern

e re

latif

au

repo

r-tin

g fin

anci

er) ;

in

stru

ctio

ns in

tern

es c

once

rnan

t le

syst

ème

de c

ontr

ôle

inte

rne

rela

tif a

u re

port

ing

finan

cier

;

rapp

ort à

la d

irect

ion

géné

rale

sur

la m

ise e

n œ

uvre

du

syst

ème

de c

ontr

ôle

inte

rne

rela

tif a

u re

port

ing

finan

cier

.

INST

AN

CES

ET O

UTI

LS

co

mité

de

cont

rôle

de

l’info

rmat

ion

finan

cièr

e ;

sy

stèm

es in

form

atiq

ues l

iés à

l'él

abor

atio

n de

l'in

form

atio

n fin

anci

ère

;

syst

èmes

info

rmat

ique

s de

gest

ion

du c

ontr

ôle

inte

rne

rela

tif a

u re

port

ing

finan

cier

;

cart

ogra

phie

des

pro

cess

us d

'éla

bora

tion

de l'

info

rmat

ion

finan

cièr

e.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

régl

emen

tatio

n co

mpt

able

app

licab

le (p

lan

com

ptab

le g

énér

al, I

FRS,

etc

.) ;

lo

i sur

le m

arch

é de

s val

eurs

et r

égle

men

tatio

n de

l’AM

F et

/ou

loi S

OX

;

loi d

e Sé

curit

é Fi

nanc

ière

200

3-70

6 du

1er

août

200

3 et

Loi

n°2

011-

420

du 1

5 m

ai 2

001

rela

tive

aux

nouv

elle

sré

gula

tions

éco

nom

ique

s ;

disp

ositi

ons r

ecom

man

dées

: CO

SO, C

OBI

T.

Inst

ruct

ions

inte

rnes

:

obje

ctifs

et p

rinci

pes d

'act

ions

de

la fo

nctio

n ;

po

litiq

ues e

t man

uels

de p

rocé

dure

s int

erne

s rel

atifs

à la

fonc

tion

;

plan

s str

atég

ique

s et a

nnue

ls de

la fo

nctio

n ;

co

de d

e co

ndui

te su

r les

mar

chés

fina

ncie

rs ;

ré

glem

enta

tions

et p

oliti

ques

com

ptab

les,

rela

tives

à la

clô

ture

des

com

ptes

, au

repo

rtin

g, à

la s

écur

itéde

s sys

tèm

es d

'info

rmat

ion,

aux

act

ivité

s sou

s-tr

aité

es, e

t aux

aut

res é

lém

ents

affe

ctan

t de

man

ière

sign

i-fic

ativ

e le

s pro

cess

us d

'éla

bora

tion

de l'

info

rmat

ion

finan

cièr

e.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

éval

uer a

nnue

llem

ent l

e fo

nctio

nnem

ent e

t l'e

ffica

cité

glo

bale

du

syst

ème

de c

ontrô

le in

tern

e re

latif

au

repo

rtin

g fin

anci

er (a

naly

se d

e la

cap

acité

du

syst

ème

à dé

tect

er o

u pr

éven

ir le

s ris

ques

impa

ctan

t de

man

ière

sign

ifica

tive

la fi

abili

té d

e l'i

nfor

mat

ion

finan

cièr

e) ;

ex

amin

er p

ério

diqu

emen

t l'e

ffica

cité

des

con

trôl

es d

u sy

stèm

e de

con

trôl

e in

tern

e re

latif

au

repo

rtin

gfin

anci

er ;

co

mm

uniq

uer a

u co

mité

d'a

udit

;

suiv

re d

es re

com

man

datio

ns ;

re

voir

la p

artie

con

cern

ant l

e sy

stèm

e de

con

trôl

e in

tern

e re

latif

au

repo

rtin

g fin

anci

er d

ans

le ra

ppor

tan

nuel

sur l

e go

uver

nem

ent d

'ent

repr

ise.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

appo

rter

un

appu

i mét

hodo

logi

que

à l'i

dent

ifica

tion

et à

l'éva

luat

ion

des r

isque

s du

proc

essu

s d’él

abo-

ratio

n de

l'in

form

atio

n fin

anci

ère

;

appo

rter

un

appu

i à l'

iden

tifica

tion

des c

ontr

ôles

ou

à le

ur c

once

ptio

n.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

pr

endr

e de

s déc

ision

s con

cern

ant l

a ge

stio

n du

syst

ème

de c

ontr

ôle

inte

rne

sur l

e re

port

ing

finan

cier

;

exéc

uter

des

act

ivité

s de

cont

rôle

.




24

Anne

xe 3

- Sé

curit

é de

s sys

tèm

es d

'info

rmat

ion

MIS

SIO

N E

TO

BJEC

TIFS

Défi

nir e

t éla

bore

r des

disp

ositi

fs, d

es st

raté

gies

, des

solu

tions

org

anisa

tionn

elle

s et d

es sy

stèm

es d

’info

rma-

tion

perm

etta

nt d

e ré

alise

r, pr

éser

ver,

prot

éger

et g

aran

tir le

s pr

inci

pale

s ca

ract

érist

ique

s de

la s

écur

ité d

el'i

nfor

mat

ion

(con

fiden

tialit

é, in

tégr

ité e

t disp

onib

ilité

).

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

él

abor

atio

n d'

un c

adre

de

gouv

erna

nce

de la

sécu

rité

des s

ystè

mes

d'in

form

atio

n et

défi

nitio

n de

nor

mes

en la

mat

ière

;

élab

orat

ion

des c

ontrô

les e

t disp

ositi

fs g

aran

tissa

nt l'a

dopt

ion

des m

esur

es n

éces

saire

s en

mat

ière

de

sécu

-rit

é de

s sy

stèm

es d

'info

rmat

ion,

et é

labo

ratio

n de

test

s de

séc

urité

, en

vue

d'id

entifi

er le

s vu

lnér

abili

tés

des s

ystè

mes

;

appu

i aux

inve

stig

atio

ns in

form

atiq

ues p

our l

a dé

tect

ion

et la

pré

vent

ion

des f

raud

es.

Pres

tatio

ns :

pl

an d

irect

eur d

e sé

curit

é ;

ca

rtog

raph

ie d

es ri

sque

s lié

s à la

sécu

rité

des s

ystè

mes

d'in

form

atio

n ;

po

litiq

ues,

norm

es e

t pro

cédu

res e

n m

atiè

re d

e sé

curit

é de

s sys

tèm

es d

'info

rmat

ion

;

rapp

orts

sur l

es te

sts d

e sé

curit

é, ta

nt in

tern

es (b

oîte

bla

nche

) qu'

exte

rnes

(boî

te n

oire

).

INST

AN

CES

ET O

UTI

LS

co

mité

s de

sécu

rité

;

outil

s inf

orm

atiq

ues d

e co

dage

des

syst

èmes

, con

trôl

es e

t sur

veill

ance

des

inci

dent

s de

sécu

rité

;

syst

èmes

de

prév

entio

n (a

ntiv

irus e

t par

e-fe

u) e

t dét

ectio

n de

s int

rusio

ns ;

sy

stèm

es d

e co

ntrô

le d

'acc

ès a

ux sy

stèm

es. M

atric

es d

'aut

orisa

tion

et ty

pes d

'acc

ès a

ux sy

stèm

es ;

pr

otoc

oles

sécu

risés

de

com

mun

icat

ion.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

légi

slatio

n en

mat

ière

de

prot

ectio

n de

s do

nnée

s à

cara

ctèr

e pe

rson

nel (

Loi I

nfor

mat

ique

et L

iber

tés

&di

rect

ive

euro

péen

ne su

r la

prot

ectio

n de

s don

nées

per

sonn

elle

s) ;

ob

ligat

ion

sect

orie

lle e

n m

atiè

re d

e co

ntin

uité

d’a

ctiv

ité (p

ar e

xem

ple,

art

icle

14

du C

RBF

97-0

2 po

ur le

sba

nque

s) ;

lé

gisla

tion

sur l

a m

onna

ie é

lect

roni

que

(PCI

-DSS

) ;

disp

ositi

ons r

ecom

man

dées

: CO

SO, C

OBI

T, n

orm

es d

e la

série

ISO

/CEI

270

00 e

t ISO

177

99.

Inst

ruct

ions

inte

rnes

:

polit

ique

s et m

anue

ls de

pro

cédu

res i

nter

nes r

elat

ifs à

la fo

nctio

n ;

pl

ans s

trat

égiq

ues e

t ann

uels

des s

ystè

mes

d'in

form

atio

n ;

po

litiq

ue d

e sé

curit

é de

s sys

tèm

es d

'info

rmat

ion

;

Plan

de

Seco

urs

Info

rmat

ique

(PSI

). D

ispos

itif r

égle

men

taire

rela

tif à

la s

écur

ité d

es s

ystè

mes

d'in

form

a-tio

n;

co

de d

’éthi

que

et d

e co

ndui

te.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

exam

iner

et é

valu

atio

n de

cha

que

dom

aine

de

resp

onsa

bilit

é de

la fo

nctio

n de

séc

urité

des

sys

tèm

esd'

info

rmat

ion

;

suiv

re le

s pl

ans

d'ac

tion

sur l

a sé

curit

é de

s sy

stèm

es d

'info

rmat

ion

résu

ltant

de

miss

ion

d'au

dit a

nté-

rieur

es.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

élab

orer

le p

lan

annu

el d

'aud

it de

s sy

stèm

es d

’info

rmat

ion.

Elé

men

ts s

uppl

émen

taire

s à

pren

dre

enco

mpt

e po

ur l’i

dent

ifica

tion

d’év

entu

elle

s miss

ions

d'a

udit

;

aide

r à l'

iden

tifica

tion

des f

aibl

esse

s de

la sé

curit

é de

s sys

tèm

es d

'info

rmat

ion

;

orga

nise

r des

réun

ions

régu

lière

s de

coor

dina

tion

et d

e pr

omot

ion

des a

ctiv

ités d

es d

eux

fonc

tions

d'a

s-su

ranc

e, e

n vu

e d’

inst

aure

r des

lien

s et u

ne c

olla

bora

tion.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

dé

finir

et m

ettr

e en

œuv

re le

disp

ositi

f rég

lem

enta

ire re

latif

à la

sécu

rité

des s

ystè

mes

d'in

form

atio

n ;

dé

finir

les c

ontr

ôles

et a

ctio

ns y

affé

rent

s.




26

Anne

xe 4

- Sé

curit

é ph

ysiq

ue d

es a

ctifs

et d

es p

erso

nnes

MIS

SIO

N E

TO

BJEC

TIFS

Sauv

egar

der l

es a

ctifs

phy

sique

s de

l'ent

repr

ise, la

sécu

rité

phys

ique

des

col

labo

rate

urs e

t des

resp

onsa

bles

de l'

orga

nisa

tion,

et g

érer

les

risqu

es p

ouva

nt ê

tre

part

agés

dan

s le

cad

re d

e po

lices

d'a

ssur

ance

ada

ptée

s.Il

s'agi

t éga

lem

ent,

en p

artic

ulie

r dan

s le

cas

d'o

rgan

isatio

ns s

oum

ises

à un

e ré

glem

enta

tion

sur l

es in

fra-

stru

ctur

es c

ritiq

ues,

de m

inim

iser l

es ri

sque

s lié

s au

terro

rism

e, à

la p

rolif

érat

ion

des

arm

es d

e de

stru

ctio

nm

assiv

e et

au

crim

e or

gani

sé.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

dé

finiti

on e

t mise

en

œuv

re d

e la

pol

itiqu

e de

séc

urité

de

l'org

anisa

tion

conc

erna

nt le

s ac

tifs

criti

ques

et

le p

erso

nnel

;

gest

ion,

coo

rdin

atio

n et

supe

rvisi

on d

u fo

nctio

nnem

ent d

es se

rvic

es d

e sé

curit

é in

tern

es e

t ext

erne

s ;

plan

ifica

tion

et e

xécu

tion

des

plan

s de

form

atio

n en

mat

ière

de

sécu

rité,

en

cons

eilla

nt, e

n ta

nt q

ue d

ebe

soin

, les

diff

éren

ts se

rvic

es d

e l'o

rgan

isatio

n.

Pres

tatio

ns :

ca

rtog

raph

ie d

es ri

sque

s lié

s à la

sécu

rité

phys

ique

des

act

ifs e

t des

per

sonn

es ;

pl

an st

raté

giqu

e de

sécu

rité,

pol

itiqu

es e

t pro

cédu

res d

'act

ion

inte

rne

et e

xter

ne ;

ra

ppor

ts p

ério

diqu

es su

r les

pol

ices

d’a

ssur

ance

s (bi

ens e

t évé

nem

ents

cou

vert

s, fra

nchi

ses)

.

INST

AN

CES

ET O

UTI

LS

co

mité

s des

risq

ues ;

po

litiq

ues d

e ge

stio

n de

s ass

uran

ces d

e l'o

rgan

isatio

n ;

ou

tils i

nfor

mat

ique

s d'a

naly

se a

ctua

rielle

des

risq

ues a

ssur

able

s ;

outil

s inf

orm

atiq

ues d

e ge

stio

n et

de

cont

rôle

des

risq

ues.

Mod

èles

alé

atoi

res e

t sta

tistiq

ues ;

m

anue

ls de

pro

cédu

res i

nter

nes d

e sé

curit

é ph

ysiq

ue d

es a

ctifs

et d

es c

olla

bora

teur

s.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

Régl

emen

tatio

n re

lativ

e à

la sé

curit

é pr

ivée

;

oblig

atio

n se

ctor

ielle

en

mat

ière

de

cont

inui

té d

’act

ivité

(par

exe

mpl

e, a

rtic

le 1

4 du

CRB

F 97

-02

pour

les

banq

ues ;

di

spos

ition

s rec

omm

andé

es :

suite

ISO

/CEI

270

00.

Inst

ruct

ions

inte

rnes

:

polit

ique

s et m

anue

ls de

pro

cédu

res i

nter

nes r

elat

ifs à

la fo

nctio

n, a

ux d

écla

ratio

ns d

e sin

istre

s, à

la sé

curit

éet

au

cont

rôle

des

acc

ès, e

tc. ;

pl

ans s

trat

égiq

ues e

t ann

uels

de la

fonc

tion

;

polit

ique

s gén

éral

es d

e so

uscr

iptio

n de

s ass

uran

ces ;

m

anue

ls de

sécu

rité

à de

stin

atio

n de

s sal

arié

s dan

s les

pay

s à ri

sque

s spé

cifiq

ues.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

donn

er u

ne a

ssur

ance

con

cern

ant l

es p

roce

ssus

de

gest

ion

des r

isque

s ;

éval

uer l

es p

roce

ssus

de

gest

ion

des r

isque

s lié

s à la

sécu

rité

phys

ique

des

act

ifs e

t des

per

sonn

es ;

év

alue

r l'é

labo

ratio

n de

s rap

port

s sur

les r

isque

s crit

ique

s et r

evoi

r leu

r ges

tion.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

part

icip

er à

l'él

abor

atio

n de

la c

arto

grap

hie

des

risqu

es :

iden

tifica

tion

et é

valu

atio

n de

s pr

inci

paux

risqu

es ;

co

nsei

ller l

a di

rect

ion

conc

erna

nt le

trai

tem

ent d

es ri

sque

s ide

ntifi

és d

ans c

e do

mai

ne ;

co

ntrib

uer à

la m

ise e

n œ

uvre

et a

u m

aint

ien

du c

adre

et d

e la

pol

itiqu

e de

ges

tion

des r

isque

s, en

app

uiau

Con

seil

via

le c

omité

d'a

udit.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

dé

finir

des r

isque

s pou

vant

ou

non

être

par

tagé

s ;

met

tre

en p

lace

des

pro

cess

us d

e ge

stio

n de

s ris

ques

liés

à la

séc

urité

phy

sique

des

act

ifs e

t des

per

-so

nnes

;

pren

dre

des d

écisi

ons c

once

rnan

t l'a

ssur

ance

des

risq

ues o

u le

ur tr

aite

men

t ;

assu

mer

des

resp

onsa

bilit

és e

n m

atiè

re d

e ge

stio

n de

ces

risq

ues.




28

Anne

xe 5

- Co

nfor

mité

régl

emen

taire

MIS

SIO

N E

TO

BJEC

TIFS

Iden

tifier

les

oblig

atio

ns d

écou

lant

des

lois

et rè

glem

ents

, sup

ervi

ser l

e ni

veau

de

conf

orm

ité à

ces

obl

iga-

tions

, coo

rdon

ner l

a co

ncep

tion

et la

mise

en

œuv

re d

e pl

ans d

’act

ions

cor

rect

ives

, éva

luer

l'éve

ntue

l im

pact

de l’é

volu

tion

du c

adre

régl

emen

taire

sur l

es a

ctiv

ités d

e l'e

ntre

prise

et d

éfini

r un

prog

ram

me

de c

onfo

rmité

en c

onsé

quen

ce.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

id

entifi

catio

n de

s ob

ligat

ions

régl

emen

taire

s dé

coul

ant d

es lo

is et

règl

emen

ts d

u se

cteu

r, et

éva

luat

ion

de l'

impa

ct d

es c

hang

emen

ts d

ans l

a ré

glem

enta

tion

sur l

es a

ctiv

ités d

e l'e

ntre

prise

;

élab

orat

ion

et d

éfini

tion

du p

rogr

amm

e de

con

form

ité s

ur la

bas

e de

l'in

vent

aire

des

évo

lutio

ns ré

gle-

men

taire

s ;

suiv

i du

nive

au d

e co

nfor

mité

aux

obl

igat

ions

régl

emen

taire

s, id

entifi

catio

n de

s dé

ficie

nces

et d

e le

urs

resp

onsa

bles

, et c

oord

inat

ion

avec

les s

ervi

ces i

mpl

iqué

s dan

s la

conc

eptio

n et

la m

ise e

n œ

uvre

de

plan

sd’

actio

ns c

orre

ctiv

es.

Pres

tatio

ns :

ca

rtog

raph

ie d

es ri

sque

s rég

lem

enta

ires ;

pr

ocès

-ver

baux

du

com

ité d

e co

nfor

mité

régl

emen

taire

et d

u co

mité

déd

ié à

la lu

tte

cont

re le

bla

nchi

men

tde

s cap

itaux

et l

e fin

ance

men

t du

terro

rism

e (L

CB-F

T) ;

ra

ppor

t pér

iodi

que

sur l

a co

nfor

mité

régl

emen

taire

à l’i

nten

tion

de la

dire

ctio

n gé

néra

le.

INST

AN

CES

ET O

UTI

LS

co

de d

e co

ndui

te ;

di

spos

itifs

d'a

lert

e ;

m

anue

ls de

pro

cédu

res i

nter

nes ;

in

vent

aire

des

évo

lutio

ns ré

glem

enta

ires.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

disp

ositi

ons

éman

ant d

e ré

gula

teur

s se

ctor

iels

(Com

ité d

e Bâ

le s

ur le

con

trôl

e ba

ncai

re, B

anqu

e ce

ntra

leeu

ropé

enne

, ABE

, EBA

, AEM

F, ba

nque

de

Fran

ce, A

MF,

ACPR

), co

ncer

nant

prin

cipa

lem

ent l

es a

ctiv

ités fi

nan-

cièr

es e

t d'a

ssur

ance

, not

amm

ent :

-la

dire

ctiv

e M

IF 2

004/

39/C

E et

sa

tran

spos

ition

, loi

s et

règl

emen

ts s

ur le

s m

arch

és fi

nanc

iers

, sur

l’org

a-ni

satio

n du

con

trôl

e in

tern

e (rè

glem

ent C

RBF

97-0

2), e

t sur

la lu

tte

cont

re le

bla

nchi

men

t de

capi

taux

et

le fi

nanc

emen

t du

terro

rism

e,-

loi s

ur l'

inte

rméd

iatio

n en

ass

uran

ce, r

ègle

men

t rel

atif

à l’o

rgan

isatio

n et

la s

uper

visio

n de

s as

sura

nces

priv

ées,

dire

ctiv

e So

lvab

ilité

II, r

égle

men

tatio

n de

la D

GSF

P, ré

glem

enta

tion

de l'

EIO

PA ;

lé

gisla

tion

rela

tive

à la

pro

tect

ion

des d

onné

es à

car

actè

re p

erso

nnel

;

code

pén

al ;

di

spos

ition

s rec

omm

andé

es :

FBF,

EIO

PA, C

OSO

.

Inst

ruct

ions

inte

rnes

:

obje

ctifs

et p

rinci

pes d

'act

ions

de

la fo

nctio

n ;

po

litiq

ues e

t man

uels

de p

rocé

dure

s int

erne

s rel

atifs

à la

fonc

tion

;

plan

s str

atég

ique

et a

nnue

ls de

la fo

nctio

n ;

m

anue

ls et

pol

itiqu

es in

tern

es : p

réve

ntio

n de

s risq

ues p

énau

x, lu

tte

cont

re le

bla

nchi

men

t de

capi

taux

et

le fi

nanc

emen

t du

terro

rism

e, ré

glem

enta

tion

conc

erna

nt le

s ins

trum

ents

fina

ncie

rs, lo

i de

prot

ectio

n de

sdo

nnée

s, co

de d

’éthi

que

et d

e co

ndui

te, d

ispos

itifs

d’a

lert

e, e

tc.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

éval

uer d

e fa

çon

pério

diqu

e et

indé

pend

ante

l'effi

caci

té d

e la

mise

en

œuv

re d

es a

ctiv

ités i

ncom

bant

àla

fonc

tion

de c

onfo

rmité

régl

emen

taire

;

anal

yser

la c

lart

é et

la tr

ansp

aren

ce d

es a

ctiv

ités i

ncom

bant

à la

fonc

tion

;

com

mun

ique

r les

info

rmat

ions

à la

fonc

tion

conf

orm

ité c

once

rnan

t tou

t con

stat

d'a

udit

inte

rne

rela

tifà

des r

isque

s de

non-

conf

orm

ité ré

glem

enta

ire.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

étab

lir u

ne re

latio

n av

ec le

s sup

ervi

seur

s et l

es ré

gula

teur

s ;

part

icip

er à

l'éla

bora

tion

de la

car

togr

aphi

e de

s risq

ues :

iden

tifica

tion

et é

valu

atio

n de

s risq

ues p

rinci

paux

;

part

icip

er à

la c

oord

inat

ion

de la

ges

tion

des r

isque

s rel

atifs

à la

con

form

ité ré

glem

enta

ire ;

co

ntrib

uer a

u m

aint

ien

du c

adre

de

gest

ion

des

risqu

es e

t à la

défi

nitio

n de

la s

trat

égie

de

gest

ion

des

risqu

es e

n ap

pui a

u Co

nsei

l.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

m

ettr

e en

pla

ce d

es p

roce

ssus

de

gest

ion

des r

isque

s de

non-

conf

orm

ité ;

dé

finir

les d

egré

s d'a

ppét

ence

pou

r le

risqu

e de

non

-con

form

ité ;

av

oir d

es re

spon

sabi

lités

en

mat

ière

de

gest

ion

des r

isque

s de

non-

conf

orm

ité ré

glem

enta

ire, e

n pa

rti-

culie

r par

la p

rise

de d

écisi

ons e

n ré

pons

e à

des s

ituat

ions

sens

ible

s ou

par l

a ré

alisa

tion

de c

ontr

ôles

de

prem

ier n

ivea

u.




30

Anne

xe 6

- G

estio

n de

s risq

ues

MIS

SIO

N E

TO

BJEC

TIFS

Adop

ter,

appl

ique

r et m

aint

enir

les

proc

édur

es e

t pol

itiqu

es d

e ge

stio

n de

s ris

ques

per

met

tant

de

four

nir

les i

nfor

mat

ions

per

tinen

tes s

ur la

situ

atio

n de

s risq

ues d

e l'o

rgan

isatio

n à

la d

irect

ion

géné

rale

et a

ux o

rgan

esde

gou

vern

ance

, afin

que

ces

der

nier

s aie

nt c

onna

issan

ce d

es c

onsé

quen

ces s

ur la

réal

isatio

n de

s obj

ectif

sde

l'or

gani

satio

n.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

co

ordi

natio

n de

s pr

oces

sus

d'id

entifi

catio

n et

d’é

valu

atio

n de

s ris

ques

grâ

ce à

l'él

abor

atio

n et

à l'

actu

ali-

satio

n de

la c

arto

grap

hie

des

risqu

es, e

n te

nant

com

pte

de la

men

ace

pote

ntie

lle s

ur la

réal

isatio

n de

sob

ject

ifs d

e l'o

rgan

isatio

n ;

co

ordi

natio

n de

s pr

oces

sus

de m

esur

e de

s ris

ques

et d

es c

ontr

ôles

et d

es p

rocé

dure

s né

cess

aire

s à

leur

atté

nuat

ion

dans

le c

adre

de

l’app

éten

ce p

our l

e ris

que

et d

es s

euils

de

tolé

ranc

e au

risq

ue d

éfini

s pa

r le

Cons

eil ;

él

abor

atio

n de

s méc

anism

es d

e co

mm

unic

atio

n pé

riodi

que

de l'

évol

utio

n et

du

suiv

i des

risq

ues,

en p

ar-

ticul

ier d

es p

lus c

ritiq

ues o

u s'é

tant

mat

éria

lisés

, et i

nfor

mat

ion

sur l

eurs

con

séqu

ence

s et l

eur i

mpa

ct é

co-

nom

ique

.

Pres

tatio

ns :

ca

rtog

raph

ie d

es ri

sque

s de

l'org

anisa

tion

;

rapp

ort s

ur le

suiv

i des

risq

ues,

leur

mat

éria

lisat

ion

et le

s pla

ns d

'act

ion

;

info

rmat

ion

sur l

a ge

stio

n de

s risq

ues d

ans l

e ra

ppor

t ann

uel s

ur le

gou

vern

emen

t d'e

ntre

prise

.

INST

AN

CES

ET O

UTI

LS

co

mité

s des

risq

ues ;

po

litiq

ues d

e ge

stio

n de

s risq

ues e

t man

uels

de p

rocé

dure

s ;

outil

s inf

orm

atiq

ues d

e ge

stio

n et

de

cont

rôle

des

risq

ues ;

ca

rtog

raph

ie d

es ri

sque

s et d

es p

roce

ssus

.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

lois

et rè

glem

ents

sur l

es m

arch

és fi

nanc

iers

(Cf.

AMF

en F

ranc

e);

co

de d

e bo

nne

gouv

erna

nce

;

disp

ositi

ons r

ecom

man

dées

: CO

SO, C

OBI

T, N

orm

e IS

O 3

1000

.

Inst

ruct

ions

inte

rnes

:

obje

ctifs

et p

rinci

pes d

'act

ions

de

la fo

nctio

n ;

po

litiq

ues

de g

estio

n de

s ris

ques

et o

rient

atio

ns d

u co

mité

d'a

udit

et d

u Co

nsei

l con

cern

ant l

e su

ivi d

essy

stèm

es d

e ge

stio

n de

s risq

ues ;

pl

ans s

trat

égiq

ues e

t ann

uels

de la

fonc

tion

;

code

d’ét

hiqu

e et

cod

e de

con

duite

.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

donn

er u

ne a

ssur

ance

rela

tive

à l’é

valu

atio

n et

à la

ges

tion

des r

isque

s ;

éval

uer l

es p

roce

ssus

de

gest

ion

des r

isque

s, in

clua

nt le

s con

trôl

es e

t les

pro

cédu

res ;

év

alue

r et r

evoi

r l'é

labo

ratio

n de

rapp

orts

sur l

es ri

sque

s clé

s et e

xam

iner

leur

ges

tion.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

part

icip

er à

l'id

entifi

catio

n et

à l'

éval

uatio

n de

s prin

cipa

ux ri

sque

s ;

cons

eille

r la

dire

ctio

n co

ncer

nant

le tr

aite

men

t des

risq

ues i

dent

ifiés

;

cont

ribue

r à la

coo

rdin

atio

n de

la g

estio

n de

s risq

ues ;

co

ntrib

uer à

la m

ise e

n œ

uvre

et a

u m

aint

ien

du c

adre

et d

e la

pol

itiqu

e de

ges

tion

des r

isque

s, en

app

uiau

Con

seil,

via

le c

omité

d'a

udit.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

dé

finir

l'app

éten

ce p

our l

e ris

que

;

met

tre

en p

lace

les p

roce

ssus

de

gest

ion

des r

isque

s ;

pren

dre

des d

écisi

ons d

ans l

e ca

dre

de l'

assu

ranc

e de

s risq

ues o

u de

leur

trai

tem

ent ;

as

sum

er d

es re

spon

sabi

lités

en

mat

ière

de

gest

ion

de c

es ri

sque

s.




32

Anne

xe 7

- Sy

stèm

e de

man

agem

ent i

ntég

ré

MIS

SIO

N E

TO

BJEC

TIFS

Inté

grer

au

sein

d’u

n se

ul s

ystè

me

de g

estio

n le

s ex

igen

ces

com

mun

es a

ux n

orm

es d

e qu

alité

telle

s qu

el’E

FQM

, l’IS

O 9

001

:200

8, l’I

SO 1

4001

:200

4 et

l’OH

SAS

1800

1 :2

007

et v

iser l

’am

élio

ratio

n co

ntin

ue d

e la

qua

lité,

de l'

envi

ronn

emen

t, de

la q

ualit

é de

vie

au

trav

ail.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

ét

ude

et c

oord

inat

ion

des

activ

ités

d'in

nova

tion

et d

e dé

velo

ppem

ent a

fin d

e ré

pond

re a

ux a

tten

tes

des

clie

nts i

nter

nes o

u ex

tern

es, d

es c

olla

bora

teur

s et d

'aut

res p

artie

s pre

nant

es ;

re

nfor

cem

ent d

e la

cul

ture

d'a

mél

iora

tion

cont

inue

des

pro

duits

et d

e la

ges

tion

des p

roce

ssus

de

l'ent

re-

prise

, et s

uper

visio

n du

niv

eau

de p

erfo

rman

ce p

our a

ssur

er la

rent

abili

té d

u ca

pita

l inv

esti

;

suiv

i de

la c

onfo

rmité

à la

régl

emen

tatio

n, a

ux lo

is et

aut

res

acco

rds

sur l

'env

ironn

emen

t, la

pré

vent

ion

des r

isque

s pro

fess

ionn

els,

etc.

, et s

uivi

de

l'am

élio

ratio

n de

s ind

icat

eurs

fina

ncie

rs e

t ext

ra-fi

nanc

iers

(lea

-de

rshi

p, re

spon

sabi

lité

soci

ale

et e

nviro

nnem

enta

le, s

écur

ité).

Pres

tatio

ns :

pl

ans d

'aud

it en

mat

ière

de

qual

ité, d

’envi

ronn

emen

t et d

e pr

éven

tion

des r

isque

s pro

fess

ionn

els ;

ra

ppor

ts p

rése

ntan

t les

con

clus

ions

des

aud

its ;

ét

at d

es n

on-c

onfo

rmité

s et r

ecom

man

datio

ns p

ropo

sées

.

INST

AN

CES

ET O

UTI

LS

co

mité

s pou

r la

qual

ité, l

'env

ironn

emen

t et l

a pr

éven

tion

des r

isque

s pro

fess

ionn

els ;

ou

tils i

nfor

mat

ique

s pou

r la

gest

ion

docu

men

taire

des

rapp

orts

d'a

udit

et le

suiv

i des

non

con

form

ités ;

po

litiq

ues,

man

uels

de g

estio

n et

pro

cédu

res d

u sy

stèm

e de

con

trôl

e in

tégr

é ;

pl

ans d

'aud

it sp

écifi

ques

en

mat

ière

de

qual

ité, d

'env

ironn

emen

t et d

e pr

éven

tion

des r

isque

s pro

fess

ion-

nels.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

légi

slatio

n gé

néra

le o

u se

ctor

ielle

rela

tive

à l'e

nviro

nnem

ent,

la p

réve

ntio

n de

s ris

ques

pro

fess

ionn

els,

laqu

alité

et l

a no

rmal

isatio

n ;

di

spos

ition

s rec

omm

andé

es : N

orm

es IS

O, m

odèl

e de

l'EFQ

M, n

orm

e O

HSA

S 18

001

:200

7 su

r la

prév

entio

nde

s risq

ues p

rofe

ssio

nnel

s.

Inst

ruct

ions

inte

rnes

:

polit

ique

s et m

anue

ls de

pro

cédu

res i

nter

nes r

elat

ifs à

la fo

nctio

n ;

pl

ans s

trat

égiq

ues e

t ann

uels

de la

fonc

tion

;

polit

ique

s de

l'ent

repr

ise e

n m

atiè

re d

e qu

alité

, d’en

viro

nnem

ent e

t de

prév

entio

n de

s risq

ues p

rofe

ssio

n-ne

ls ;

sy

stèm

e de

man

agem

ent i

ntég

ré d

e l'e

ntre

prise

.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

form

uler

une

opi

nion

sur l

’éten

due

et l'

adéq

uatio

n de

s pla

ns d

'aud

its sp

écia

lisés

;

exam

iner

la c

ompl

émen

tarit

é av

ec le

s pl

ans

d'au

dits

spé

cial

isés,

en s

'ass

uran

t que

les

non

conf

orm

ités

font

l'ob

jet d

'un

suiv

i ;

éval

uer l

es c

ompé

tenc

es p

rofe

ssio

nnel

les

des

audi

teur

s de

la q

ualit

é, d

e l’e

nviro

nnem

ent e

t de

la p

ré-

vent

ion

des r

isque

s pro

fess

ionn

els.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

réal

iser d

es a

udits

en

colla

bora

tion

avec

les a

udite

urs d

e la

qua

lité,

de

l’env

ironn

emen

t et d

e la

pré

vent

ion

des r

isque

s pro

fess

ionn

els ;

or

gani

ser d

es ré

unio

ns ré

guliè

res d

e co

ordi

natio

n et

de

prom

otio

n de

s act

ivité

s, en

vue

d’in

stau

rer d

eslie

ns e

t une

col

labo

ratio

n.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

dé

finir

et a

ppro

uver

les

polit

ique

s re

lativ

es à

la q

ualit

é, l'

envi

ronn

emen

t, et

la p

réve

ntio

n de

s ris

ques

prof

essio

nnel

s ;

conc

evoi

r et m

ettr

e en

œuv

re u

n sy

stèm

e de

man

agem

ent i

ntég

ré.




34

Anne

xe 8

- Re

spon

sabi

lité

soci

ale

et ré

puta

tion

d'en

trep

rise

MIS

SIO

N E

TO

BJEC

TIFS

Gér

er le

s ac

tions

de

l'ent

repr

ise v

isant

la tr

ansp

aren

ce d

e l'i

nfor

mat

ion

et le

s re

latio

ns a

vec

les

part

ies

pre-

nant

es d

ans d

es d

omai

nes c

omm

e le

gou

vern

emen

t d'e

ntre

prise

, l'ét

hiqu

e de

s affa

ires,

les d

roits

de

l'hom

me,

les i

mpa

cts s

ocia

ux d

es a

ctiv

ités d

e l’e

ntre

prise

et l

'env

ironn

emen

t.

RESP

ON

SABI

LITE

S ET

PRI

NCI

PALE

SPR

ESTA

TIO

NS

Resp

onsa

bilit

és :

su

ivi d

u po

sitio

nnem

ent d

e l'o

rgan

isatio

n da

ns la

soc

iété

, de

l’imag

e de

mar

que

de l’

entr

epris

e et

de

sapr

oprié

té in

telle

ctue

lle, é

labo

ratio

n de

rapp

orts

d'a

ctiv

ité e

t col

labo

ratio

n à

la ré

alisa

tion

du ra

ppor

t ann

uel;

ét

ude,

dia

gnos

tic e

t pro

posit

ion

de p

oliti

ques

et d

'act

ions

de

mise

en

conf

orm

ité a

vec

les

stan

dard

s de

réfé

renc

e, e

t ada

ptat

ion

des

activ

ités

de l'

entr

epris

e au

x ex

igen

ces

défin

ies

selo

n ce

rtai

ns in

dica

teur

s de

déve

lopp

emen

t dur

able

;

coor

dina

tion

des p

lans

d'a

ctio

n po

ur la

réal

isatio

n de

s obj

ectif

s.

Pres

tatio

ns :

ra

ppor

t ann

uel d

e re

spon

sabi

lité

soci

ale

élab

oré

par l

'équ

ipe

dirig

eant

e ;

in

tégr

atio

n de

s rap

port

s de

déve

lopp

emen

t dur

able

dan

s la

com

mun

icat

ion

d'en

trep

rise

;

rapp

orts

d’é

valu

atio

n su

r les

filia

les,

les p

rest

atai

res e

t les

sous

-tra

itant

s.

INST

AN

CES

ET O

UTI

LS

co

mité

de

déve

lopp

emen

t dur

able

;

outil

s d'é

labo

ratio

n de

s rap

port

s de

resp

onsa

bilit

é so

cial

e (n

orm

es A

A100

0 et

ISAE

300

0), e

t out

ils d

e co

m-

pila

tion

et d

e co

nsol

idat

ion

de l'

info

rmat

ion

au se

in d

e l'o

rgan

isatio

n ;

ca

rtog

raph

ie d

es ri

sque

s de

répu

tatio

n ;

po

litiq

ues

de re

ssou

rces

hum

aine

s in

tégr

ant l

'éga

lité,

la c

onci

liatio

n de

la v

ie p

rofe

ssio

nnel

le e

t de

la v

iepr

ivée

, etc

., et p

oliti

que

gest

ion

de l’i

mag

e de

mar

que

et d

e la

répu

tatio

n de

l’ent

repr

ise ;

pl

an a

nnue

l de

resp

onsa

bilit

é so

cial

e ;

au

dit e

xter

ne d

u ra

ppor

t de

resp

onsa

bilit

é so

cial

e d’

entr

epris

e et

rapp

orts

ext

erne

s sur

le d

ével

oppe

men

tdu

rabl

e.




DIR

ECTI

VES

EXTE

RNES

ET

INST

RUC

TIO

NS

INTE

RNES

Dire

ctiv

es e

xter

nes

:

disp

ositi

ons

reco

mm

andé

es

: N

atio

ns

Uni

es,

The

Inte

rnat

iona

l In

tegr

ated

Rep

ortin

g Fr

amew

ork

(ww

w.th

eiirc

.org

), PN

UE.

Inst

ruct

ions

inte

rnes

:

obje

ctifs

et p

rinci

pes d

'act

ions

de

la fo

nctio

n ;

m

anue

l de

proc

édur

es in

tern

es d

e la

fonc

tion

;

plan

s str

atég

ique

s et p

lan

dire

cteu

r con

cern

ant l

a re

spon

sabi

lité

soci

ale

et la

répu

tatio

n d'

entr

epris

e.

RÔLE

DE

L'AU

DIT

INTE

RNE

Activ

ités

prop

res

à l'a

udit

inte

rne

en li

en d

irect

ave

c ce

tte

fonc

tion

:

donn

er u

ne a

ssur

ance

con

cern

ant l

es p

roce

ssus

de

gest

ion

de la

resp

onsa

bilit

é so

cial

e et

l'im

age

dem

arqu

e ;

év

alue

r les

pro

cess

us d

e ge

stio

n de

s risq

ues d

e ré

puta

tion

et le

s im

pact

s de

cett

e ac

tivité

sur l

a so

ciét

é;

év

alue

r l’él

abor

atio

n de

s ra

ppor

ts a

nnue

ls et

la fi

abili

té e

t l'in

tégr

ité d

e l'i

nfor

mat

ion

cont

enue

dan

s le

docu

men

t de

réfé

renc

e.

Activ

ités

de l'

audi

t int

erne

impl

iqua

nt u

ne c

olla

bora

tion

limité

e av

ec c

ette

fonc

tion

:

part

icip

er à

l'év

alua

tion

du d

egré

de

conf

orm

ité a

ux st

anda

rds d

e ré

fére

nce

;

cons

eille

r la

dire

ctio

n co

ncer

nant

l’éla

bora

tion

du tr

aite

men

t des

risq

ues d

e ré

puta

tion

;

révi

ser l

es d

ispos

itifs

d’a

lert

e ;

co

ntrib

uer a

u m

aint

ien

du c

adre

et

de la

str

atég

ie d

e ge

stio

n du

risq

ue d

e ré

puta

tion,

en

appu

i au

Cons

eil.

Activ

ités

que

l'aud

it in

tern

e de

vrai

t s’a

bste

nir d

e ré

alis

er :

pr

endr

e de

s déc

ision

s con

cern

ant l

'éla

bora

tion

du ra

ppor

t glo

bal d

estin

é au

x tie

rs ;

as

sum

er d

es re

spon

sabi

lités

en

mat

ière

de

gest

ion

de c

es ri

sque

s.

http://www.theiirc.org

Instituto de Auditores Internos de EspañaSanta Cruz de Marcenado, 3328015 MadridTel. : 91 593 23 45Fax : 91 593 29 32www.auditoresinternos.es

IFACI98 bis, boulevard Haussmann

75008 ParisTél. : 01 40 08 48 00Fax : 01 40 08 48 20

www.ifaci.com

Mise en page 1 - Chapters Site...intitulé Relations de l'audit interne avec les autres fonctions...

Documents

Transcript of Mise en page 1 - Chapters Site...intitulé Relations de l'audit interne avec les autres fonctions...