Académique Documents
Professionnel Documents
Culture Documents
Dans le cadre de ma spcialit en audit et contrle de gestion, jai choisi de travailler sur un
projet en liaison directe avec les pratiques de performance au sein de lentreprise ; la survie
et la prosprit de toute organisation reposant, en partie, sur la mise en uvre dun
dispositif de management des risques efficace.
Le management des risques est lactivit qui consiste valuer le risque en entreprise puis
dvelopper les diverses stratgies destines le garder sous contrle. Ces stratgies vont du
transfert du risque lvitement en passant par la rduction des effets nfastes et
lacceptation de certaines consquences du risque. Cest un outil de pilotage oprationnel et
d'aide la dcision stratgique. Le management des risques est devenu une des fonctions
principales de la gestion d'une entreprise.
Les risques peuvent avoir du bon. Sans risques, il n'y a pas de rcompense. L'objectif de la
gestion des risques n'est pas d'liminer le risque, mais de le comprendre afin de pouvoir en
tirer des opportunits et minimiser les inconvnients.
Lobjectif de la mise en place dune cartographie des risques est didentifier les zones de risques et
mettre la disposition des oprationnels un rfrentiel de matrise des risques dont ils pourront
vrifier le respect et dapporter priodiquement des amnagements pour le faire voluer en fonction
de lvolution de lenvironnement tant interne quexterne de lentreprise.
Comme lOffice National de lElectricit et de lEau Potable- Branche Eau est un des grands
tablissements publics du pays et fait figure de monopole dans le secteur de la production et
la distribution de leau, il a t parmi les premiers tablissements sintresser a la mise
en uvre dun dispositif du management des risques et davoir adopter la culture de
gestion des risques dans lensemble des processus de loffice.
Ce mmoire relatera le concept de management des risques en deux parties, une thorique consacr
aux divers concepts qui y sont lis et une pratique ou jexposerais la dmarche de gestion des
risques.
Les mots cls : Risque, Management/Gestion des risques, cartographie des risques.
INTRODUCTION GENERALE
Propulse sur le devant de la scne dans un environnement marqu par sa complexit et son
incertitude, remonte ces dernires annes des proccupations des spcialistes des
questions dassurances celles de la Direction Gnrale de lentreprise, la thmatique des
risques et de leur gestion mrite que lon sy intresse.
Le management des risques constitue une dmarche d'analyse et d'identification
systmatique relativement rcente dans le monde conomique, elle sest installe dans le
quotidien des dirigeants depuis les annes 2000, c'est l'mergence de la gestion des risques
proprement dite, avec notamment le dveloppement de la notion de "cartographie des
risques". Il s'agit dsormais d'identifier les risques (rsiduels, cibles ou bruts), de les valuer,
de dfinir des mesures de contrle et de simuler diffrents scenarios d'incidents analyser.
Le management des risques est devenu une des fonctions principales de la gestion d'une
entreprise: le march des capitaux ne pardonne plus aucune faute grave, et le Risk
Management fait partie intgrale des nouvelles rglementations comme le Sarbanes-Oxley
Act. Il peut tre dfini comme la culture, les processus et les structures orients vers la
ralisation d'opportunits tout en grant les effets nfastes. Une explication de l'intrt
accru la gestion des risques est la possibilit d'appliquer les nouvelles ides et outils sur la
nouvelle ralit des risques. Elle devrait faire partie intgrante des bonnes pratiques en
affaires, tant au niveau stratgique qu'oprationnel.
Le cur du management des risques consiste valuer l'incertitude de l'avenir afin de faire
la meilleure dcision possible aujourd'hui. Ses avantages sont les meilleures dcisions ;
moins de surprises, amlioration de la planification et de la performance, efficacit et
amlioration des relations avec les parties prenantes.
Ltat des lieux tabli dans les prcdents travaux des chercheurs en la matire a permis de
mieux apprhender la situation dans les entreprises
Stratgie de dfinition des risques majeurs, identification des risques, mise en cartes,
identification des dispositifs de contrle, analyse des rsultats.
Pour bien comprendre la mise en uvre du systme management des risques nous allons
prsenter le cas de lOffice National de lElectricit et de lEau Potable- Branche Eau
(ONEE), qui est compt parmi les premiers tablissements intgrant une
dmarche
management des risques et parmi les entreprises publiques prcurseur dans le choix et
ladoption dune culture de gestion et maitrise des risques.
LONEE-Branche Eau comme entit conomique volue dans un environnement
caractris par une multitude de risques, de ce fait il est devenu impratif pour cette
organisation de mettre en place un systme management des risques qui permet d'assurer
qu'elle connat, comprend et
agit
face
continuellement.
des
La
gestion
aux
risques
auxquels
elle
s'expose
La principale question qui aura la priorit dorienter ce travail est : comment lONEEBranche Eau peut grer les risques de manire efficace ?
Quelle est la place du management des risques par rapport aux outils traditionnels ?
Quels sont les rattachements possibles pour une entit de management des risques ?
Apprendre structurer les ides, rechercher les moyens dexprimer les penses et
Mthodologie de travail :
La premire tape tait la production dun planning de travail respecter prsentant ainsi les
diffrentes tches raliser tout au long de la priode de stage.
La deuxime tape tait le lancement du projet par une recherche thorique plus ou moins
approfondie afin dapprofondir nos connaissances en vue dune matrise du projet.
La dmarche de recherche est scinde en deux grandes parties qui sont interdpendantes :
la premire partie portera sur linvestigation documentaire. il sera procd ainsi a une
partie par une brve prsentation de lorganisme accueillant (Office National de lElectricit et
de lEau Potable et de son cycle dachats), ensuite se fera une analyse du dispositif actuel de
management des risques (laboration de la cartographie des risques du cycle achats) pour
proposer des suggestions de suivi, de reporting, et dorganisation de ce systme.
Le travail se focalisera sur les achats comme tant un processus critique .Pour cela des outils
adquats seront utiliss savoir la carte didentit du processus, le logigramme, des grilles
danalyse, la cartographie des risques et plans dactions.
Premire partie : Management des risques, un outil idoine pour un audit bas
sur les risques
Chapitre 1 : la matrise des risques une proccupation du contrle et audit internes
il est
considr comme un instrument de cration de valeur qui fournit une aide prcieuse
quant la prise de dcision, ralisation des objectifs et amlioration de la
performance de lentreprise.
Un contrle interne bien mis en place, efficace et efficient soriente vers latteinte et
la ralisation des objectifs primordiales de lentreprise.
1. Dfinitions du contrle interne :
Les dfinitions du contrle interne sont multiples, il est dfini de faon large, il ne se
limite pas des contrles rglementaires (contrle de type vrification) et nest pas
restreint au seul Reporting financier. Le terme contrler doit tre pris dans
la signification de Maitriser .
Le contrle interne plusieurs dfinitions qui ont t, le plus souvent, dtermines
par des organisations comptables professionnelles internationales. De ce fait, ces
organisations ont tent danalyser le contenu du contrle interne.
Ordre des Experts Comptables Franais :
Le contrle interne est lensemble des scurits contribuant la matrise de
lentreprise. Il a pour but, dun ct, dassurer la protection, la sauvegarde du
patrimoine et la qualit de linformation, de lautre, lapplication des instructions de la
direction et de favoriser lamlioration des performances. Il se manifeste par
lorganisation,
les mthodes et
Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica, p63.
le COSO
un
processus,
mis en
uvre
par
le conseil dadministration, le
management et les autre membres du personnel, conu pour donner une assurance
raisonnable quant a la ralisation dobjectifs dans les catgories suivantes :
-
La fiabilit de linformation ;
risque un niveau acceptable par les dirigeants avec les moyens dont lentreprise
dispose.
2. Contexte rglementaire du contrle interne :
De nouvelles lois et rglementations ont t instaures (Loi de Scurit Financire,
Sarbanes Oxley Act,) vue les scandales financiers et les faillites, imposant aux
entreprises diffrentes exigences. Le contrle interne nest ni indispensable ni
obligatoire (sauf pour les entreprises soumises aux lois de scurit financire, telles
que la loi de scurit financire LSF ou la loi Sarbanes Oxley). En 2002, en
raction aux scandales financiers Enron et Worldcom, le parlement des Etats-Unis
lgifre une loi qui sappelle SarbanesOxley. Cette loi exige des socits faisant
appel lpargne publique valuer leur contrle interne et en publier les rsultats.
De ce fait, le SOX (the Sarbanes-Oxley Act) a choisi que ces socit cot en bourse
adoptent le COSO comme rfrentiel suite au besoin dun cadre conceptuel. En
2003, la promulgation de la loi sur la scurit financire a aussi particip sa
diffusion.
La loi Sarbanes Oxley Act (aux Etats-Unis) 30 juillet 20023:
-
la Gouvernance dentreprise.
-
Loi de 2002 sur la rforme de la comptabilit des socits cotes et la protection des investisseurs. Le texte
est couramment appel loi Sarbanes-Oxley, du nom de ses promoteurs le snateur Paul Sarbanes et le dput
Mike Oxley.
la
Securities
and
Exchanges
Commission
des
informations
complmentaires
Renforcer le rle et lindpendance des Comits dAudit
Restreindre la sphre de comptences des auditeurs externes et prvoir une
rotation de ces vrificateurs externes.
La loi Sarbanes Oxley a t accompagne par la transposition de la 8me directive
europenne qui a impos le principe de suivi de lefficacit des procdures de
contrle interne .
Cette volution du cadre rglementaire europen tend, de faon significative, le
dploiement du contrle interne dans les entreprises franaises.
La fonction de contrle interne doit donc dfinir son primtre dactions et ses
responsabilits
en
accord
recommandations appuyes
avec
et
des
un
cadre
lois
rglementaire
venir.
La
mouvant,
des
responsabilit
des
La combinaison des trois objectifs, des cinq composants et des diffrentes activits
de l'entreprise, vue comme trois axes d'analyse distincts, donne la base des
valuations raliser: Evaluer dans toute entit et pour toute activit la faon dont
chacun des 5 composants du contrle interne participe chacun des 3 objectifs .
Les trois objectifs4 :
Le COSO dfinit le contrle interne comme un processus mis en uvre par les
dirigeants tous les niveaux de lentreprise et destin fournir une assurance
raisonnable quant la ralisation des trois objectifs suivants :
- La ralisation et l'optimisation des oprations : concernant les objectifs
oprationnels dune entit
- La fiabilit des informations financires : concernant la fiabilit de la prparation
des tats financiers publis, y compris les tats financiers intermdiaires et
synthtiques, et les donnes non directement financires qui y concourent.
- La conformit aux lois et rglements en vigueur : concerne le respect des lois
et rglementations auxquelles est soumise lentit.
Les cinq composants :
Les cinq composants ont pour objectif lamlioration du systme du contrle interne
de lorganisation et ils sont interconnects. Il sagit de :
1. l'environnement de contrle ;
2. l'valuation des risques ;
3. les activits de contrle ;
4. l'information et la communication, qu'il s'agit d'optimiser ;
5. le pilotage.
Lenvironnement de contrle constitue le fondement de lensemble du systme de
contrle interne. Il constitue la discipline et la structure aussi bien que le milieu qui
influence la qualit globale du contrle interne. En retour, il influe largement la
4
Coopers, Lybrand, 2002. La nouvelle pratique du Contrle Interne. Paris, dition d'organisation, pp 51-52-53-54
manire dont la stratgie et les objectifs sont dtermins et dont les activits de
contrle sont structures.
Une fois que des objectifs clairs ont t fixs et quun environnement de contrle
efficace a t cr, il est ncessaire de procder une valuation des risques
auxquels lorganisation est confronte pour raliser sa mission et atteindre ses
objectifs, afin de dfinir une rponse adapte ces risques.
La principale stratgie pour minimiser les risques rside dans la mise en place
dactivits de contrle interne. Ces activits de contrle peuvent tre orientes
vers la prvention et/ou la dtection. Les mesures correctives constituent un
complment ncessaire des activits de contrle interne en vue de la ralisation des
objectifs. Le cot des activits de contrle et des mesures correctives doit avoir une
contrepartie et crer de la valeur. Autrement dit, leur cot ne doit pas dpasser le
bnfice qui en dcoule (rapport cot/efficacit).
Une information et une communication efficaces sont cruciales pour quune
organisation puisse mener et contrler ses oprations. Les responsables de
lorganisation doivent avoir accs, en temps opportun, une communication
pertinente, exhaustive et fiable concernant les vnements internes aussi bien
quexternes. De manire gnrale, lorganisation a besoin dinformation tous les
niveaux afin datteindre ses objectifs.
Enfin, puisque le contrle interne est un processus dynamique qui doit tre adapt
constamment pour tenir compte des risques et des changements auxquels une
organisation est confronte, il est indispensable que le systme de contrle interne
fasse lobjet dun suivi et dun pilotage pour garantir que le contrle interne reste en
phase avec des objectifs, un environnement, des moyens et des risques susceptibles
davoir volu.
Ces composantes dfinissent une mthode de rfrence pour la conception dun
systme de contrle interne dans une administration publique et fournissent une
base dvaluation possible du contrle interne. Ces composantes sappliquent tous
les aspects du fonctionnement dune organisation.
Les prsentes lignes directrices fournissent un cadre gnral. Lors de leur mise en
uvre, le management est responsable de llaboration de politiques, procdures et
Les facteurs
suivants peuvent avoir une influence ngative sur lefficacit du contrle interne5.
Lerreur de jugement
Les dysfonctionnements
Mme les SCI bien conus peuvent faire lobjet de dysfonctionnements, par exemple
lorsque les collaborateurs interprtent les instructions de manire errone, cdent
la routine et ne sont plus attentifs aux erreurs. Une enqute sur des anomalies
diverses peut ne pas tre poursuivie assez loin ou une personne remplissant des
fonctions en remplacement dune autre (maladie, vacances) peut ne pas sacquitter
convenablement de sa tche. Le CDF constate galement souvent que des
changements dans les systmes sont introduits avant que le personnel nait reu la
formation ncessaire pour ragir correctement.
Rapport sur le Sminaire IIA-FANAF : LAudit et le Contrle de Gestion dans les compagnies dassurance
Un SCI ne peut pas tre plus efficace que les personnes responsables de son
fonctionnement. Mme au sein dun office efficacement contrl, un responsable
peut tre en mesure de contourner le SCI. Ceci signifie quun responsable peut
droger de faon illgitime aux normes et procdures prescrites, par exemple pour
en tirer un profit personnel ou afin de dissimuler la non-conformit de lactivit de son
office certaines obligations lgales.
montre
que
la
falsification
des
signatures
ncessaires
au
paiement de Factures de tiers constitue galement un dfi auquel doit faire face un
bon SCI.
Le rapport cots/bnfices
Les ressources tant toujours limites, les offices doivent comparer les cots et les
avantages relatifs des contrles avant de les mettre en place. Lorsquon cherche
apprcier lopportunit dun nouveau contrle, il est ncessaire dtudier non
seulement le risque dune dfaillance et limpact possible sur loffice, mais galement
les cots quentranerait la mise en place de ce contrle. Une dcision quant la
mise en place dun contrle restera toujours partiellement base sur des critres
subjectifs. Toute la difficult de lanalyse du rapport cots/bnfices consiste dfinir
le risque rsiduel tolrable.
Section 2 : Audit interne
Face de nombreuses mutations, changements, montes et fortes acclrations du
rythme dvolution de lenvironnement dans lequel le monde de lorganisation
progresse, laudit interne, autant que fonction dune grande importance, ne pouvait
que sefforcer suivre ses volutions, essayer de rester jour avec les
proccupations de son temps, doffrir une scurit aux organisations et daider
amliorer leurs performance.
Dans cette section on verra ce que cest que laudit interne, son objectif, sa mission
et sa relation avec les autres entits de lorganisation ainsi que le contrle interne.
1. Dfinition et objectif de laudit interne :
LAudit Interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations, lui apporte
ses conseils pour les amliorer, et contribue crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management des risques,
de contrle, et de Gouvernement dentreprise, et en faisant des propositions pour
leur efficacit6.
Quant ses objectifs :
Laudit interne na pas pour objectif la dtection des fraudes, mais si des
irrgularits sont constates dans le cadre dune mission daudit, il est tenu de
les signaler dans son rapport au Directeur Gnral.
Laudit interne est concern par tous les services et activits de loffice.
Charte de laudit interne de lOffice National de lEau Potable. Dfinition approuve le 21 mars 2000 par le
Conseil d'Administration de l'IFACI (Institut Franais de l'Audit et du Contrle Internes).
et
Raliser ce programme ;
Conclusion
Les points abords dans cette premire partie, savoir dans le premier et le
deuxime chapitre, mont permis d'laborer une dfinition globale du Contrle Interne
et de connatre ses champs d'application. Le Contrle Interne est appliqu par
des Hommes sur des Hommes, ce qui rend cette mission plus ou moins dlicate.
Nanmoins, chaque systme a ses propres dfaillances et limites. On a pu le
constater travers les scandales financiers qu'ont connus les Etats-Unis dans les
annes 90.
Ces derniers ont pouss les spcialistes du domaine comptable et financier,
trouver une parade aux manuvres illicites et dvelopper un cadre de
rfrence
concernant
nouvelle
norme ISO 31000 pour permettre au lecteur de garder une vision jour sur la notion
du risque. La cartographie des risques est aussi importante dcouvrir puisquelle
constitue le centre du travail pratique, son dploiement reprsente un point de dpart
lorganisation du systme de management de risque.
Ensuite, le lecteur sera invit dcouvrir, dans une deuxime section, les divers
articulations et relations entre le contrle interne, audit interne et le management des
risques qui reste le cur de ce travail.
pouvant
entrainer
des
accidents.
Cette
approche
conduisait
risque
est
un
ensemble
dalas
susceptibles
davoir des consquences ngatives sur une entit et dont le contrle interne
et laudit ont notamment pour mission dassurer autant que faire se peut la matrise
9.
Le risque svalue en fonction de :
-
La norme iso 31000 en 10 questions Gilles MOTET- Fondation pour une Culture de Scurit Industrielle.
La dfinition de lIFACI
traitement. Le risque dit majeure est un risque valu comme lev, avec une
grande gravit. Ou un risque qui reprsente un caractre inacceptable pour
lentreprise en regard de la scurit des biens et des personnes ou de la survie des
organisations.
La gestion des risques sarticule en 4 axes :
- Lidentification des risques consiste dterminer les vnements de risques
potentiels, leurs risques et leurs consquences.
- Lvaluation des risques consiste apprcier limpact de lvnement de risque
- La gestion des risques consiste dfinir les mesures stratgiques et
oprationnelles pour viter, transfr et/ou rduire la survenance et limpact des
risques.
-
et de ladquation du niveau des risques en regard des objectifs fixs, danalyser les
risques afin dassurer lapplication des mesures dattnuation et de mitigation des
risques.
Donc pour principales rponses un risque, le management a plusieurs options :
Sagissant des risques significatifs, une organisation choisit gnralement les
rponses potentielles parmi diffrents options. Ce qui a t illustr dans le tableau cidessus, qui dmontre les diffrents modes de traitement qui consiste viter,
partager, rduire ou accepter un risque. Une fois les actions de traitement en place,
le management des risques peut choisir dexaminer individuellement chaque risque.
Un risque simagine, se prvoit, se cartographie, se quantifie, se gre. En
deux mots, cela se Manage 10
Le management des risques :
Le management des risques traite des risques et des opportunits ayant une
incidence sur la cration ou la prservation de la valeur. Il offre la possibilit
dapporter une rponse efficace aux risques et aux opportunits associes aux
10
www.lebas-conseil.fr, article Risk management : grer lingrable crit par Anne Sophie David. Le 8/06/2011
lorganisation,
- est pris en compte dans llaboration de la stratgie est mis en uvre chaque
niveau et dans chaque unit de lorganisation et permet dobtenir une vision globale
de son exposition aux risques,
-
ample et consciemment
11
PHILIPPE CHRISTELLE Editions dOrganisation, 2005 Le management des risques de lentreprise Cadre de
Rfrence Techniques dapplication COSO II Report
12
management des risques. Elle permet de garder les objectifs fixs cerns et bien au
centre des proccupations dun organisme donn.
Le management des risques rpond la fois :
o Juridiques
lentreprise
(ou
de
conformit)
grer
les
responsabilits
dans
La direction doit avoir une vue densemble du risque. En pratique, tous les
responsables, quel que
susceptibles
soit
daffecter
leur
leur
niveau,
devront
valuer
les
vnements
La gestion des risques des entits est mise en uvre et rendue efficace par la
direction et les autres membres du personnel. Elle nat des personnes qui composent
lorganisation, travers ce quelles font et de ce quelles disent. De mme, elle
affecte leurs actions. Chaque employ est une personne disposant de comptences
et de connaissances diffrentes. La gestion des risques des entits tend crer les
mcanismes qui permettront aux membres de lorganisation de comprendre le risque
dans le contexte de ses objectifs.
Les membres du personnel devraient connatre leurs responsabilits et les limites de
leur autorit. Il faudrait donc quexiste un lien clair et direct entre les tches dune
personne et la manire dont elle sen acquitte. Les hauts responsables sont
principalement chargs de la supervision. Mais ils doivent galement dfinir la
direction prendre, approuver les stratgies et certaines transactions et orientation,
et ils ont donc un rle vital jouer pour faire respecter la culture de lorganisation.
3. Les rfrentiels du management des risques :
En matire de gestion de risques, deux rfrentiels existent :
COSO II
FERMA
ISO 31000
-
Les deux rfrentiels utiliss dans la gestion de risques sont : COSO2 et FERMA, le
travail pratique reposera sur la mthodologie et le processus proposs par ces
rfrentiels.
3.1.
Rfrentiel FERMA :
Mettre en place des enqutes et des repres pour identifier et partager les
pratiques Actuelles
-
Faciliter
le
dveloppement
de
nouvelles
associations
dans
les
pays
europens.
2. Etre un acteur important dans le processus dcisionnel au niveau europen
sur les questions de financement des risques de gestion et d'assurance.
Actions stratgiques :
- Suivre les nouvelles rglementations et normes
- Dtecter les problmes prcoces qui peuvent avoir un impact sur notre profession
- Proposer et
questions pertinentes.
- Emettre des documents d'orientation
- Maintenir la reprsentation des intrts auprs des institutions europennes
13
Cadre de rfrence de la gestion des risques AIRMIC, ALARM, IRM: 2002, translation copyright FERMA:
2003.
rfrentiel
(gestion
donn
une
dfinition
au
management
des
risques
des risques) comme suit : La gestion des risques est un processus par
lequel les organisations traitent les risques qui sattachent leurs activits et
recherchent ainsi des bnfices durables dans le cadre de ces activits .
1. Apprciation du risque :
Lapprciation du risque est dfinie comme le processus gnral danalyse du risque
et dvaluation du risque.
2. Analyse du risque :
- Identification des risques : Lidentification des risques requiert une approche
mthodique pour garantir que chaque activit significative de lorganisation a
t identifie et que Chaque risque qui en dcoule a bien reu une dfinition. Toute
volatilit associe ces activits sera identifie et classe dans une catgorie.
Les activits et les dcisions de lorganisation peuvent tre classes dans un ventail
de Catgories, dont par exemple:
Stratgique : concerne les objectifs stratgiques long terme de lorganisation
Oprationnelle : concerne les questions quotidiennes auxquelles lorganisation est
confronte alors quelle poursuit ses objectifs stratgiques,
financire : concerne la gestion et la matrise efficace des finances de
lorganisation, et les effets de facteurs externes comme la disponibilit du crdit ou
encore les fluctuations des taux de change, des taux dintrts ou encore dautres
rfrences de march,
- Description des Risques : La description des risques consiste prsenter
les
conue avec soin pour sassurer que les risques sont bien identifis, dcrits et
apprcis exhaustivement et avec prcision. Ce qui permettra de dterminer les
risques clefs qui doivent tre analyss plus en dtail.
- Estimation du risque : Lvaluation du risque peut tre quantitative, semiquantitative ou Qualitative en termes de probabilit doccurrence et de consquences
possibles.
Les mesures les plus adaptes pour les consquences et les probabilits peuvent
varier dune organisation une autre.
3. Evaluation du risque :
Aprs avoir analys les risques, il est ncessaire de comparer les risques estims
aux critres de risque que lorganisation a tablis. Lvaluation du risque aide
dcider de limportance de chaque risque spcifique pour lorganisation, et
dterminer sil convient daccepter ce risque en l'tat ou bien de le traiter.
4. Traitement du risque :
Le processus de traitement du risque consiste slectionner et mettre en place des
mesures propres modifier le risque. Le traitement du risque a pour principales
composantes la matrise et l'attnuation du risque, mais il ne sy limite pas et stend
entre autres lvitement, au transfert et son financement du risque, et cetera.
5. Compte-rendu et Communication relatifs au risque :
Le compte-rendu officiel doit traiter :
Des mthodes de matrise et en particulier de lattribution des responsabilits pour
la Gestion du risque
Des processus utiliss pour lidentification des risques, et de la manire dont le
systme de gestion des risques les prend en compte
Des principaux systmes de matrise en place pour grer les risques significatifs
De la surveillance et de lexamen des systmes en place
Il convient de rendre compte de toute dfaillance significative mises jour par le
systme, ou dans le systme lui-mme, ainsi que des mesures prises pour faire face
ces dfaillances.
6. Surveillance et Revue du processus de gestion du risque
Une gestion des risques efficace requiert une structure de compte-rendu et de revue
pour assurer que les risques sont efficacement identifis et valus et que les
dispositifs de matrise et les rponses appropries sont en place. Il convient dauditer
rgulirement la conformit la politique et aux normes, et de passer rgulirement
les performances en revue pour identifier les opportunits damlioration. Il faut
garder lesprit que les organisations sont dynamiques et oprent dans des
environnements dynamiques.
Le processus de surveillance doit fournir lassurance que les dispositifs de
matrise appropris sont en place pour les activits de lorganisation et que les
procdures sont comprises et suivies. Les changements dans lorganisation et
lenvironnement dans lequel elle opre doivent tre identifis et les systmes
modifis en consquence.
3.2 Le rfrentiel COSO 2 :
Le rfrentiel COSO 2 reprend la mme ossature que COSO 1 en y ajoutant
quelques retouches au niveau des composantes du systme de management des
risques en le dtaillant un petit peu plus quauparavant et en voquant un autre
objectif savoir lobjectif stratgique14.
Apport nouveau du COSO2 : Les modifications ont t portes sur laxe
stratgique de lorganisation ; nouvel objectif stratgique :
-
lorganisation
Pour ses actionnaires)
-
Il existe une relation directe entre les objectifs que cherche atteindre une
organisation et les lments du dispositif de management des risques qui
14
reprsentent ce qui est ncessaire leur ralisation. La relation est illustre par une
matrice en trois dimensions.
La gestion des risques des entits est constitue de huit composantes
interdpendantes.
Celles-ci rsultent de la faon dont lorganisation est gre et sont intgres au
processus de Management. Il sagit des composantes suivantes :
Celle reprsentation illustre la faon dapprhender le management des risques dans
sa globalit ou bien par catgorie dobjectifs, par lments, par unit ou en les
combinant.
Chaque lment est transverse au cube et sapplique aux quatre catgories
dobjectifs. De mme les huit lments sont tous pertinents et important au regard
des objectifs relatifs lefficacit et lefficience des activits. Le dispositif de
management des risques est utile lorganisation, prise dans son ensemble, ainsi
qu chacune de ses entits. Cette relation est illustre par la troisime dimension,
qui reprsente les filiales, les divisions et les autres units de lorganisation.
Les huit composantes :
1. Environnement interne
Englobe la culture et lesprit de lorganisation ; il structure la faon dont les risques
sont apprhends et pris en compte par lensemble des collaborateurs de lentit, et
plus particulirement la conception du management des risques et son apptence
pour le risque, lintgrit et les valeurs thiques, et lenvironnement dans lequel
lorganisation opre.
Les facteurs de lenvironnement interne englobent la philosophie de gestion des
risques de lentit,
dterminent comment cette entit considre le risque dans toutes ses activits,
depuis la dfinition de la stratgie jusquaux activits oprationnelles journalires
2. Fixation des objectifs :
Toute entit est confronte des risques divers dorigine externe et interne et la
fixation dobjectifs constitue une condition pralable pour identifier efficacement les
Lvaluation des risques a pour but didentifier quels lments sont assez importants
et Significatifs pour concentrer sur eux lattention de la direction.
Les risques sont analyss, tant en fonction de leur probabilit doccurrence que de
leur impact, cette analyse servant de base pour dterminer la faon dont ils doivent
tre grs. Les risques inhrents et les risques rsiduels sont valus.
5. Traitement des risques :
Le management dfinit les solutions permettant de faire face aux risques
vitement, acceptation, rduction ou partage. Pour ce faire le management labore
un ensemble de mesures permettant de mettre en adquation le niveau des
risques avec le seuil de tolrance et lapptence pour le risque de lorganisation.
Les rponses apporter aux risques peuvent se rpartir dans les
catgories suivantes :
-
de cette manire. Des mesures sont prises pour rduire la probabilit ou limpact du
risque, voire les deux.
-
les activits donnant lieu au risque. Les entits du secteur public seront rarement en
mesure dviter de fournir un lment de leur programme de base, mais elles
pourront nanmoins envisager lvitement comme une mthode utile lorsquelles
auront dterminer si un nouveau mode de prestations de services est appropri ou
sil convient de poursuivre un projet spcifique.
-
na
6. Activit de contrle :
Les activits de contrle correspondent lensemble des politiques et des
procdures mises en place pour assurer que les mesures prises par la direction pour
matriser les risques sont ralises. Les activits de contrle sont prsentes travers
toute lorganisation, tous les niveaux et dans toutes les fonctions.
Les activits de contrle sont gnralement mise en place pour assurer la
ralisation correcte des mesures prises pour faire face au risque, mais il arrive qu
lgard de certains objectifs, les activits de contrle elles-mmes constituent la
rponse au risque.
-
Les contrles directifs visent sassurer quun rsultat particulier sera atteint.
- Les contrles des fins de dtection sont destins mettre en vidence si des
rsultats non voulus sont apparus "aprs coup".
-
Les contrles correctifs ont pour but de corriger les rsultats non
sacquitter de leurs responsabilits, mais elle doit galement tre envisage dans un
sens plus large, o elle diffuse la culture dentreprise, rpond aux attentes, couvre les
responsabilits des individus et des groupes et assure dautres tches importantes.
8. Pilotage :
Le processus de management des risques est pilot dans sa globalit et modifi en
fonction des besoins. Le pilotage seffectue au travers des activits permanentes de
management ou par le biais dvaluation indpendantes ou encore par une
combinaison de ces deux modalits.
Le management des risques nest en aucun cas un processus qui pourrait tre
qualifi de squentiel, dans lequel un lment affecte uniquement le suivant. Cest
un processus dynamique, multidirectionnel et itratif, par lequel nimporte quel
lment a une influence et un impact immdiat et direct sur les autres.
Pour appliquer les composantes de la gestion des risques des entits, une entit
devrait Prendre en compte lensemble du champ de ses activits tous
les niveaux de Lorganisation. La direction devrait galement tudier les nouveaux
projets et initiatives en appliquant le modle de gestion des risques des entits.
3.3.
ISO 31000 fournit des principes, un cadre et des lignes directrices pour grer toute
forme de risque d'une manire systmatique, transparente, et crdible dans
quelque domaine et quelque contexte que ce soit. Elle a t labore par Kevin W.
Knight, AM, prsident du groupe de travail ISO.
LISO 31000 ne vient pas se rajouter aux rfrentiels existants, elle les complte,
dans le cadre dune dmarche de management intgr et rationnel. Cette norme
nest dailleurs pas Certifiable . Il sagit dun outil complmentaire permettant de
dvelopper le principe de lapproche risque et de lintgrer dans les pratiques
managriales dentreprises.
Le management des risques ne concerne pas uniquement les grands groupes, il
concerne aussi les TPE et PME. Pour ces dernires la prise en compte des risques
15
leurs causes,
leurs impacts,
adapts,
-
Dcrire
le
plus
prcisment
possible
les
risques
majeurs
auxquels
oprationnelle,
-
16
Fonction achat-contrle interne et gestion des risques- MAXIMA dition p.144 /145
Accompagner
entit,
chaque
dcideur
(au
niveau
groupe,
par
mtier,
par
significatives et majeures.
Pour laborer une cartographie, il faudra combiner entre deux approches :
Identification Bottom-up : l'identification est effectue de manire relativement
libre et ouverte par les personnes les plus proches de l'activit. Il s'agit donc
d'effectuer une remonte des risques du terrain vers les personnes en charge de
l'laboration de la cartographie. Ce type d'identification se fait gnralement par
l'intermdiaire d'interviews. Il est souvent souhaitable d'utiliser une grille dtermine
l'avance pour Sassurer que tous les types de risques possibles ont bien t
voqus au cours de l'interview.
Identification Top-down : l'identification des risques est dans ce cas
effectue de manire plus ferme c'est dire au moyen d'un questionnaire de type
QCM par opposition une identification ouverte par interviews. Le sujet cibl peut
permettre ici l'laboration de questionnaires relativement exhaustifs par les
personnes en charge de l'laboration de la cartographie. Ce processus permet ainsi
de descendre chercher l'information au lieu que l'information monte vers les
personnes charges de l'tablissement de la cartographie.
Section 2 : Position du contrle interne
systmes de plus en plus aptes contrer les dfaillances qui ne cessent de surgir de
partout et de nulle part.
Ainsi soit-il, la proposition du nouveau rfrentiel ntait autre que la rponse aux
limites du premier rfrentiel
17
Olivier Poupart-Lafarge Membre du Collge de lAMF Les dispositifs de gestion des risques et de contrle
interne, Cadre de rfrence, mis en ligne le 14 juin 2010
Pour COSO 1, une gestion des risques efficace consiste lutter contre les risques
les plus dangereux quant la ralisation des objectifs de lorganisation. Ce dispositif
montre comment un systme de contrle interne peut jouer un rle significatif dans la
rduction des risques grce la mise en place d'un cycle dynamique reliant les
personnes tous les niveaux de l'institution pour les intgrer au processus de
gestion
des
risques.
Il
rpertorie
les
principaux
activits qui mritent dtre audites parce quelles sont considres comme
essentielles pour lentreprise.
Lune des principales missions du Conseil (ou son quivalent), consiste sassurer
que les processus de gestion du risque fonctionnent correctement et que les
principaux risques sont maintenus un niveau acceptable.
Il est probable que cette assurance proviendra de diffrentes sources. Parmi ces
sources, lassurance provenant de la direction est fondamentale, mais doit tre
complte par une assurance objective, manant principalement de laudit interne.
Les autres sources sont laudit externe et les examens par des experts
indpendants. Laudit interne apporte normalement des assurances dans trois
domaines :
Les
processus
de
gestion
du
risque,
la
fois
concernant
leur
Des travaux de recherche ont montr que les membres du conseil et les auditeurs
internes saccordent dire que les deux activits daudit interne les plus porteuses
de valeur ajoute pour les organisations sont les suivantes : apporter lassurance
objective que les principaux risques sont bien grs et apporter lassurance que le
cadre de la gestion des risques et du contrle interne fonctionne correctement.
Management des risques et audit interne, en prcisant leurs rle de manire exacte,
participeront ensemble assurer et scuriser lentreprise face aux multiples risques.
Conclusion
Au terme de ce chapitre, je peux dire que lorsque le dispositif de management des
risques savre tre efficacement gr pour chacune des quatre catgories
dobjectifs, le conseil dadministration et la direction de lorganisation peuvent
considrer quils ont une assurance raisonnable de disposer dune vision claire sur la
faon dont les objectifs stratgiques et oprationnels de lentreprise sont en passe d