Présentation à la réunion de l’ATAF Paris, le 27 septembre 2011 Audit interne Air France Dispositif de gestion des risques de l’entreprise Présentation à la réunion de l’ATAF Paris, le 27 septembre 2011

Sommaire Responsabilités dévolues au Comité d’Audit 3 Cadre de référence de l’AMF sur la gestion des risques et le contrôle interne 6 Contrôle interne en entreprise 8 Notions de contrôle interne Modèle COSO 9 Principes de gestion des risques en entreprise 14 Dispositif de gestion des risques Air France 21 Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Responsabilités dévolues au Comité d’Audit /1 Synthèse du rapport de L’AMF sur le comité d’audit – 14 juin 2010 Le cadre réglementaire applicable Pose le principe de la mise en place obligatoire d’un comité spécialisé (« comité d’audit ») dans certaines sociétés et structures (art. 41) ; Fixe les missions du comité spécialisé, en le chargeant d’assurer le suivi : du processus d’élaboration de l’information financière ; de l’efficacité des systèmes de contrôle interne et de gestion des risques ; du contrôle légal des comptes annuels et le cas échéant consolidés par les CAC ; de l’indépendance des CAC ; Précise entre autres que le comité spécialisé : ne peut comprendre que des membres du conseil, selon une composition déterminée par le conseil, à qui il rend compte régulièrement de l’exercice de ses missions. Textes européens préparatoires (recommandation Commission du 15 février 2005) Directive européenne 2006/43/CE du 17 mai 2006 (relative au contrôle légal des comptes annuels et consolidés) transposée Ordonnance du 8 décembre 2008 Article 14 de l’Ordonnance transposé Articles L823-19 et L 823-20 du Code de Commerce Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Responsabilités dévolues au Comité d’Audit /2 Synthèse du rapport de L’AMF sur le comité d’audit – 14 juin 2010 Le comité d’audit doit : s’assurer de l’existence de processus structurés, veiller à l’existence et au déploiement des systèmes capables de détecter d’éventuels dysfonctionnements et s’assurer que les faiblesses identifiées donnent lieu à des actions correctrices, suivre l’identification des risques, leur analyse et leur évolution dans le temps, apprécier l’importance des éventuels dysfonctionnements qui lui sont communiqués et en informer le conseil. L’AMF recommande vivement la désignation d’un président du comité. Le programme de travail annuel du comité doit être adapté à la taille, aux caractéristiques mais aussi à l’actualité de la société. Le comité s’appuie sur les informations synthétiques reçues : notes relatives aux changements de méthode comptable, aux transactions significatives, notes de synthèse sur les procédures de contrôle interne et synthèse des travaux des CAC et de l’audit interne, résultats des travaux de la direction sur l’analyse des risques. L’AMF précise que les membres du comité doivent être à la fois prudents et diligents. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Responsabilités dévolues au Comité d’Audit /3 Synthèse du rapport de L’AMF sur le comité d’audit – 14 juin 2010 L’AMF précise sa lecture des termes « agissent sous la responsabilité exclusive et collective des membres [du conseil] » telle qu’elle figure à l’article L.823-19 du Code de Commerce. Selon l’AMF, Les termes de « responsabilité exclusive » impliquent l’absence de responsabilité propre des membres du comité d’audit : ces derniers ne sauraient être responsables de leurs actes qu’en leur qualité de membres du conseil d’administration et non en leur qualité de membres du comité; Les termes de « responsabilité collective » indiquent que les agissements des membres du comité d’audit relèvent par principe de la collectivité des administrateurs (et non d’une responsabilité collective, notion inconnue du droit français); les administrateurs conservent la faculté de s’exonérer de leur responsabilité en démontrant qu’ils se sont comportés en administrateurs prudents et diligents. L’AMF a saisi la chancellerie pour confirmer son analyse. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

COSO1 et « Turnbull Guidance » 2 Cadre réglementaire applicable Cadre de référence de l’AMF sur les dispositifs de gestion des risques et de contrôle interne /1 Principes généraux de gestion des risques et du contrôle interne Contrôle Interne COSO1 et « Turnbull Guidance » 2 Gestion des risques COSO II 3et ISO 31000 Cadre réglementaire applicable Directive européenne 2006/46/CE du 14 juin 2006 (relative aux comptes annuels et consolidés) 1 COSO (Committee of Sponsoring Organizations of the Treadway Commission) a publié en 1992 un cadre de contrôle interne intitulé “Internal control- Integrated Framework” 2 Guide développé par l’ICAEW (l’Institut des Experts Comptables d’Angleterre et du Pays de Galle) et publiée en 1999. Il a fait l’objet d’une mise à jour par le « Financial Reporting Council » en 2005. transposée Loi du 3 juillet 2008 Extension du rapport du Président sur les procédures de contrôle interne aux procédures de gestion des risques mises en place par la sociétés faisant appel public à l’épargne. transposée 3 COSO II a publié un cadre de référence pour le management des risques intitulé « Entreprise Risk Management – Integrated Framework » Articles L225-37 et L225-68 du Code de Commerce Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Cadre de référence de l’AMF sur les dispositifs de gestion des risques et de contrôle interne /2 Principes généraux de gestion des risques et du contrôle interne Le Cadre de référence définit les principes généraux de gestion des risques en donnant notamment une définition de la gestion des risques et des objectifs de la gestion des risques. Les composantes du dispositif de gestion des risques comprennent : un cadre organisationnel comprenant une organisation, une politique de gestion des risques et un système d’information, un processus de gestion des risques comprenant 3 étapes ; identification des risques, analyse des risques et traitement du risque, un pilotage en continu du dispositif de gestion des risques. L’articulation entre gestion des risques et contrôle interne est clairement établie en précisant que le dispositif de gestion des risques doit intégrer des contrôles relevant du dispositif de contrôle interne, destinés à sécuriser son bon fonctionnement. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Contrôle interne en entreprise Le Contrôle Interne est un dispositif permettant à l'entreprise d'atteindre ses objectifs en réduisant la probabilité d’occurrence des risques ou en réduisant leur impact. Principes de Contrôle interne Un objectif est un but ou une cible qui doit être atteint, défini de manière compatible et cohérente au sein de l’entreprise. Les risques sont tous les événements qui peuvent empêcher l'entreprise d'atteindre ses objectifs. Une activité de contrôle est une action qui permet en minimisant les risques d’atteindre les objectifs. Le contrôle interne est défini comme un ensemble d'activités de contrôle : mis en œuvre par la Direction Générale, le Management et le personnel du Groupe, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs : Réalisation et optimisation de la conduite des opérations, Fiabilité de l'information comptable et financière, Respect des lois et des réglementations en vigueur. Le contrôle interne permet d’obtenir une « assurance raisonnable » - et non une certitude - que les risques seront maîtrisés et que les objectifs fixés seront atteints. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Notions de contrôle interne Modèle COSO /1 Contrôle interne – Cadre intégré La Commission Treadway a été formée en 1985 La Commission Treadway publie un rapport en 1987, elle réclame une étude visant à l’élaboration d’un cadre commun pour le contrôle interne Un rapport intitulé Internal Control - Integrated Framework est publié en septembre 1992 Ce rapport est amendé par avenant en 1994 En juin 2003, la SEC suggère que le COSO constitue la norme d’application du Sarbanes-Oxley Act Committee of Sponsoring Organizations of the Treadway Commission RESUME du MESSAGE à TRANSMETTRE Historique de la constitution du groupe de travail : la commission Treadway n'a pas regroupé seulement des spécialistes du contrôle interne : des entreprises y ont participé : IBM, Shell. Réflexion menée bien avant 1985, sur la maîtrise des risques dans une entreprise. Recherche d'un dispositif pour maîtriser les risques. SOA : Août 2002 Le COSO est un langage commun. POINT d’ APPROCHE PEDAGOGIQUE Le COSO 2 : il ne parle pas de contrôle interne , il n'est pas la version 2 du COSO 1. Ne parler du COSO 2 uniquement si une question est posée par un participant Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework). La gestion des risques de l’entreprise est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation, exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à identifier les événements potentiels pouvant affecter l’organisation, maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite » (cf. ci-dessous) de l’organisation, fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.   Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers de (iii) et la complète sur le concept de gestion des risques. COSO 2 est basé sur une vision orientée risques de l’entreprise. Le COSO est une norme internationale en matière de Contrôle Interne Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Notions de contrôle interne Modèle COSO /2 Environnement de contrôle Évaluation des risques Informations financières Conformité Opérations Activités de contrôle Information et Communication Pilotage / Monitoring Objectifs Le modèle COSO est le référentiel de contrôle interne et comporte 3 dimensions : Les objectifs, Les composants, L'organisation. Composants RESUME du MESSAGE à TRANSMETTRE Modélisation en cube (trois dimensions) : définir de façon graphique le contrôle interne Organisation Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Notions de contrôle interne Modèle COSO /3 Session 2 : Notions de contrôle interne Modèle COSO (3/5) Notions de contrôle interne Modèle COSO /3 Objectifs Conformité aux lois et réglementations en vigueur Concerne le respect des lois et réglementations auxquelles est soumise l’entreprise (y compris les lois et les règlements sur les aspects financiers) Efficacité de la conduite des opérations Concerne les objectifs opérationnels de base de l’entreprise, y compris les objectifs de performance et de rentabilité et la sauvegarde des ressources. Fiabilité de l'information comptable et financière Concerne la préparation d’états financiers publiés fiables, y compris les états financiers intermédiaires et abrégés et les données financières sélectionnées dans ces états telles qu’ annoncées publiquement. Informations financières Conformité Opérations Mettre en parralèle avec la présentation de la définition du contrôle interne en trois objectifs. Chaque élément de l’entreprise répond au moins à un des trois objectifs. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Notions de contrôle interne Modèle COSO /4 Le modèle COSO se compose de 5 composants qui nécessitent d'être en place et intégrés pour assurer la bonne réalisation de chacun des objectifs. Environnement de contrôle Évaluation des risques Information et Communication Pilotage / Monitoring Composants Activités de contrôle RESUME du MESSAGE à TRANSMETTRE Rassurer et proposer d’illustrer chaque dimension et chaque étage par un exemple. Exemple : Accès physique aux bâtiments de la société Environnement de contrôle : Il y a un gardien compétent à l'entrée. Il a des objectifs clairement assignés. Il est régulièrement formé. Evaluation des risques : Après consultation avec les personnes en charge de la sécurité, la Direction a estimé que les risques encourus sont les suivants : Vol du matériel ou Vol d'information de la société. Activité de contrôle : Demander aux visiteurs leur carte d'identité, comparer le nom avec la liste des visiteurs du jour et cocher le nom sur la liste. Information et communication : Une liste à jour des visiteurs attendus est communiquée chaque matin au gardien. Pilotage / Monitoring : Contrôle périodique pour s'assurer que la procédure de contrôle des accès est correctement appliquée : le responsable de la sécurité vérifie que la liste est cochée une fois par mois, par exemple. Le contrôle interne repose sur l’ensemble de ces domaines et un contrôle interne efficace se doit de répondre à l’ensemble de ces composants, pour l’ensemble de l’organisation. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Notions de contrôle interne Modèle COSO /5 La troisième dimension de la matrice COSO correspond aux niveaux d'organisation : Le Groupe, Les filiales, Les différents sites, Les différents métiers, …tout autre niveau significatif de l'organisation. Organisation Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /1 Définitions "Le management des risques est un processus mis en œuvre par le Conseil d’Administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation." (Traduction du COSO 2 Report ) Evénement : tout fait pouvant influer sur la mise en œuvre de la stratégie ou la réalisation d'un objectif. Risque : tout événement qui empêche d'atteindre les objectifs stratégiques et opérationnels. Opportunité : tout événement pouvant avoir un effet positif sur les objectifs stratégiques et opérationnels. Appétence pour le risque : niveau de risque qu'une organisation est prête à accepter ou auquel elle peut s'exposer à quelque moment que ce soit. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /2 Pourquoi un management des risques ? En sus de la recherche de la conformité avec la réglementation, Réduire la variabilité non maîtrisée des résultats Aligner et intégrer les vues différentes sur les risques et leur gestion Construire la confiance des investisseurs et des parties prenantes Renforcer la gouvernance du groupe Répondre avec succès aux changements de l’environnement Aligner la stratégie avec la culture de l’entreprise Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /3 De COSO 1 à COSO 2 (ERM) Passage du référentiel de contrôle interne COSO 1 au référentiel COSO2 (2004) qui prend mieux en compte la gestion des risques. COSO 2 intègre une catégorie supplémentaire d'objectifs : les objectifs stratégiques COSO 2 décrit le rôle des gestionnaires de risques et implique plus fortement le conseil d'administration sur la problématique des risques. COSO 1 “Internal Control – Integrated Framework” COSO 2 “Enterprise Risk Management – Integrated Framework” Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /4 COSO 2 (ou COSO ERM) étend le cadre de référence COSO 1 au management des risques de l’entreprise. Objectifs Objectifs stratégiques Objectifs opérationnels Objectifs de reporting Objectifs de conformité Eléments du dispositif Environnement interne Fixation des objectifs Identification des événements Evaluation des risques Traitement des risques Activités de contrôle Information et communication Pilotage COSO 2 étend l’évolution initialisée par COSO 1 en renforçant les liens entre le contrôle interne, les risques et l’atteinte des objectifs. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /5 Analyse des risques opérationnels. Analyse des forces et faiblesses du dispositif de contrôle interne en relation avec les risques métier évalués. Le champ d'analyse porte sur l'ensemble de l'entreprise sous tous ses aspects. L'analyse des risques opérationnels (processus) comprend 4 étapes : Inventaire des objectifs. Identification des événements menaces et opportunités internes et externes. Evaluation des risques. Traitement des risques. Les objectifs sont normalement connus des responsables. Objectifs permanents. Objectifs détaillés dans le plan d'action annuel. Les objectifs opérationnels découlent des objectifs stratégiques. Les objectifs sont alignés sur l'appétence de l'entité pour le risque. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /6 Identification des événements : menaces et opportunités internes et externes Détermination de l'aspect positif (opportunité) ou négatif (risque). Les événements sont liés aux objectifs. Prendre en compte les relations en chaîne. Examiner les menaces de fraude interne ou externe (focus particulier). Evaluation des risques. Déterminer dans quelle mesure les événements inventoriés peuvent se produire (probabilité) et mesurer l'impact vraisemblable. Réponse aux risques. 4 réponses possibles : Eviter Partager Réduire Accepter Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Principes de gestion des risques en entreprise /7 Analyse des risques résiduels Résultat attendu (profil de risque + actions) 1: Risques Bruts 2: Risques Résiduels 3: Risques Contrôlés Probabilité Probabilité Probabilité Presque certain 6 7 6 7 8 Presque certain 4 3 8 4 3 Presque certain 7 5 Probablement 5 Probablement Commandes en Place Probablement Actions Complémentaires 3 6 3 Modéré Modéré 5 7 4 8 Modéré 6 5 4 8 Peu probablement Peu probablement Peu probablement 5 8 Rare Rare Rare Insignifiant Modéré Catastrophique Insignifiant Modéré Catastrophique Insignifiant Modéré Mineur Majeur(Principal) Mineur Majeur(Principal) Mineur Majeur(Principal) Impact Impact Impact Catastrophique X = Les numéros se réfèrent aux risques mesurés. Les directives de priorisation sont utilisées pour noter les risques identifiés aboutissant à un profil de risque. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Dispositif de gestion des risques Air France – KLM /1 Système d’identification et de surveillance des risques mis en place en juin 2006. Elaboré à partir du modèle appliqué par KLM depuis 2002. Double cartographie des risques stratégiques et des risques opérationnels établie avec l’ensemble des entités concernées. Actualisation régulière. Le Risk Management Committee pilote les risques de marché (carburant, change et taux). Chaque entité du groupe actualise tous les trois mois, les risques opérationnels majeurs de son périmètre, y compris les risques de marché, en décrivant le risque lui-même, sa probabilité d’occurrence et son impact financier potentiel. Les propriétaires de risque (Directeurs généraux adjoints), ont la responsabilité de la permanence de l’efficacité des actions réalisées et des dispositifs mis en œuvre pour maîtriser ces risques (les contrôles). 3 à 4 fois par an l’audit interne présente au Comité exécutif et au Comité d’audit la synthèse des risques opérationnels qui demandent le plus d’attention (feuille de risque). Les risques stratégiques (qui peuvent impacter fortement l’entreprise à moyen ou long terme) et les contrôles attachés (plans d’actions) sont présentés et débattus une fois par an dans la continuité de la réunion du Conseil d’administration consacrée à la stratégie. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Dispositif de gestion des risques Air France – KLM /2 Objectifs du management des risques du Groupe : Impliquer les responsables à tous les niveaux dans l'identification et la maîtrise des risques. Informer le Comité Exécutif et le Conseil d’Administration sur les risques qu’ils pourraient encore ignorer. Donner aux responsables, à tous les niveaux de la Compagnie, une meilleure compréhension des risques encourus dans l'activité qu'ils gèrent. Fournir une approche proactive afin d'appliquer les lois et règlements sur le management des risques (LSF, AMF). Formaliser l’inventaire et le pilotage des risques. Risques opérationnels. Rôle des directions propriétaires de risques : Mettre en œuvre le processus d'évaluation et de maîtrise des risques. Chaque trimestre, rendre compte de la situation des risques opérationnels (directement liés aux processus en propriété ou copropriété). Processus ascendant ("bottom-up"). Risques stratégiques : Les risques stratégiques sont évalués annuellement (plus fréquemment si nécessaire) dans un processus descendant ("top-down"). Evolution en cours : intégration au processus GSF. Le processus de management des risques est conforme aux dispositions réglementaires internationales, parmi lesquelles la 8ème Directive européenne. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Dispositif de gestion des risques Air France – KLM /3 Rôle de l'audit interne Air France Faciliter la mise en œuvre du dispositif de gestion des risques : Assister, sur leur demande, les responsables, dans la mise en œuvre du processus d'évaluation des risques. Fournir les modèles de document nécessaires à l'enregistrement des risques. Diffuser les principes de travail. Assurer le support du processus afin d'établir l'état des risques opérationnels du Groupe Air France et des risques opérationnels et stratégiques du groupe Air France-KLM. Préparer le reporting trimestriel sur les risques opérationnels : Consolider les feuilles de risques opérationnels Air France pour établir un projet de feuille de risques opérationnels globale compagnie. Combiner les feuilles niveau compagnie Air France et KLM pour établir la feuille des risques opérationnels Groupe, validée par le Comité Exécutif Groupe (GEC). Préparer le reporting annuel sur les risques stratégiques : A partir des feuilles de risques stratégiques des métiers, établir le projet de feuille de risques stratégiques groupe. Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Dispositif de gestion des risques Air France – KLM /4 L’audit interne réalise ce travail, plutôt que de le confier à une équipe spécialisée. Inconvénient : double rôle d’auditeur et de facilitateur. Assistance des directions pour faciliter l’inventaire initial des risques (KLM 2002 / Air France 2006); Simplicité des documents, clarté des instructions, des conseils pour évaluer et les risques et les présenter sur une feuille standardisée. Les opérationnels sont incités à faire un travail exhaustif et suffisamment précis. Combiner la bonne connaissance de leur activité par les opérationnels (stratégie et processus) avec l’expertise de l’Audit. Avantage pour l’Audit : l’évaluation des risques et l’organisation d’un système de gestion des risques permet de préparer efficacement le plan de d’audit (annuel). To establish and fully inform the EXCOM and the Supervisory Board about the consolidation and impact of the group risks that should be in the focus of their attention (management usually is already aware of 80-90% of these risks). Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Dispositif de gestion des risques Air France – KLM /5 Approche coordonnée pour évaluer tous les risques qui peuvent entraver la réalisation des objectifs opérationnels et stratégiques de la compagnie (du groupe) et déterminer les moyens mis en œuvre (à mettre en œuvre) pour les surmonter. Réalisation aisée des feuilles de risque et du reporting. Assurer la continuité du processus. Les Comités d’Audit comptent sur la communication régulière des feuilles de risque. Incorporé dans le processus courant de gouvernance. Le dispositif de gestion des risques est un élément positif de la gouvernance (cf. document de référence, indices de cotation durable). Approche à haut niveau permettant néanmoins un dialogue fructueux entre les parties prenantes au niveau de chaque activité. To establish and fully inform the EXCOM and the Supervisory Board about the consolidation and impact of the group risks that should be in the focus of their attention (management usually is already aware of 80-90% of these risks). Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Dispositif de gestion des risques Air France – KLM /6 Risques stratégiques. Long terme (horizon supérieur à 2 ans). Fréquence annuelle. Depuis 2010, la feuille stratégique est intégrée dans le processus de planification stratégique (General Strategic Framework – GSF) Air France-KLM. La feuille contient les 10 risques stratégiques majeurs. Processus descendant. Risques opérationnels. Court terme (horizon 12 / 18 mois). Fréquence trimestrielle. La feuille contient les 10 / 15 risques opérationnels majeurs. Processus ascendant. Les Comités Exécutifs sont les propriétaires des feuilles de risque. To establish and fully inform the EXCOM and the Supervisory Board about the consolidation and impact of the group risks that should be in the focus of their attention (management usually is already aware of 80-90% of these risks). Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Gestion des risques Air France – Profil de risque Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Gestion des risques Air France-KLM – Profil de risque Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Gestion des risques Air France-KLM – Feuille de risques Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Gestion des risques Air France-KLM Modélisation des processus Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Gestion des risques Air France-KLM Modélisation des processus Modélisation des processus (Business process model – BPM). Décrire de façon simple et synthétique les processus du groupe et leurs objectifs. Définir les processus principaux et leurs risques. Faciliter la réalisation de la cartographie des risques. Repérer les risques majeurs. Définir les contrôles principaux. Organiser la fourniture de l’assurance raisonnable sur l’efficacité réelle des contrôles. Communiquer aux Comités d’Audit une vue globale des risques et des contrôles. To establish and fully inform the EXCOM and the Supervisory Board about the consolidation and impact of the group risks that should be in the focus of their attention (management usually is already aware of 80-90% of these risks). Séminaire ATAF risques et contrôle interne. Paris 27/09/2011

Gestion des risques Air France-KLM Risques et plan d’audit Elaboration d’un plan d’audit annuel. Etabli sur la base de la cartographie des risques. Fournir aux sponsors une assurance raisonnable sur la maîtrise des risques (efficacité réelle des contrôles mesurée objectivement). L’audit évalue de façon indépendante des dispositifs de maîtrise des risques définis et mis en œuvre par les opérationnels. Processus ascendant et descendant. Intégrer les préoccupations de la direction générale (des Comités d’Audit) et des directions opérationnelles. Approche systématique. Considérer l’ensemble des risques. Evaluer l’ensemble des dispositifs de contrôle principaux tous les 3 ou 4 ans. Tenir compte des évolutions. Inclure les risques et contrôles de niveau moindre. Le plan d’audit est validé par la Direction Générale (GEC) et les Comités d’Audit. Les modifications pouvant intervenir au cours de l’année de réalisation sont communiquées et expliquées au GEC et aux Comités d’Audit. To establish and fully inform the EXCOM and the Supervisory Board about the consolidation and impact of the group risks that should be in the focus of their attention (management usually is already aware of 80-90% of these risks). Séminaire ATAF risques et contrôle interne. Paris 27/09/2011