RESUME

Dans le cadre de ma spcialit en audit et contrle de gestion, jai choisi de travailler sur un
projet en liaison directe avec les pratiques de performance au sein de lentreprise ; la survie
et la prosprit de toute organisation reposant, en partie, sur la mise en uvre dun
dispositif de management des risques efficace.
Le management des risques est lactivit qui consiste valuer le risque en entreprise puis
dvelopper les diverses stratgies destines le garder sous contrle. Ces stratgies vont du
transfert du risque lvitement en passant par la rduction des effets nfastes et
lacceptation de certaines consquences du risque. Cest un outil de pilotage oprationnel et
d'aide la dcision stratgique. Le management des risques est devenu une des fonctions
principales de la gestion d'une entreprise.
Les risques peuvent avoir du bon. Sans risques, il n'y a pas de rcompense. L'objectif de la
gestion des risques n'est pas d'liminer le risque, mais de le comprendre afin de pouvoir en
tirer des opportunits et minimiser les inconvnients.
Lobjectif de la mise en place dune cartographie des risques est didentifier les zones de risques et
mettre la disposition des oprationnels un rfrentiel de matrise des risques dont ils pourront
vrifier le respect et dapporter priodiquement des amnagements pour le faire voluer en fonction
de lvolution de lenvironnement tant interne quexterne de lentreprise.

Comme lOffice National de lElectricit et de lEau Potable- Branche Eau est un des grands
tablissements publics du pays et fait figure de monopole dans le secteur de la production et
la distribution de leau, il a t parmi les premiers tablissements sintresser a la mise
en uvre dun dispositif du management des risques et davoir adopter la culture de
gestion des risques dans lensemble des processus de loffice.
Ce mmoire relatera le concept de management des risques en deux parties, une thorique consacr
aux divers concepts qui y sont lis et une pratique ou jexposerais la dmarche de gestion des
risques.
Les mots cls : Risque, Management/Gestion des risques, cartographie des risques.

INTRODUCTION GENERALE
Propulse sur le devant de la scne dans un environnement marqu par sa complexit et son
incertitude, remonte ces dernires annes des proccupations des spcialistes des
questions dassurances celles de la Direction Gnrale de lentreprise, la thmatique des
risques et de leur gestion mrite que lon sy intresse.
Le management des risques constitue une dmarche d'analyse et d'identification
systmatique relativement rcente dans le monde conomique, elle sest installe dans le
quotidien des dirigeants depuis les annes 2000, c'est l'mergence de la gestion des risques
proprement dite, avec notamment le dveloppement de la notion de "cartographie des
risques". Il s'agit dsormais d'identifier les risques (rsiduels, cibles ou bruts), de les valuer,
de dfinir des mesures de contrle et de simuler diffrents scenarios d'incidents analyser.
Le management des risques est devenu une des fonctions principales de la gestion d'une
entreprise: le march des capitaux ne pardonne plus aucune faute grave, et le Risk
Management fait partie intgrale des nouvelles rglementations comme le Sarbanes-Oxley
Act. Il peut tre dfini comme la culture, les processus et les structures orients vers la
ralisation d'opportunits tout en grant les effets nfastes. Une explication de l'intrt
accru la gestion des risques est la possibilit d'appliquer les nouvelles ides et outils sur la
nouvelle ralit des risques. Elle devrait faire partie intgrante des bonnes pratiques en
affaires, tant au niveau stratgique qu'oprationnel.
Le cur du management des risques consiste valuer l'incertitude de l'avenir afin de faire
la meilleure dcision possible aujourd'hui. Ses avantages sont les meilleures dcisions ;
moins de surprises, amlioration de la planification et de la performance, efficacit et
amlioration des relations avec les parties prenantes.
Ltat des lieux tabli dans les prcdents travaux des chercheurs en la matire a permis de
mieux apprhender la situation dans les entreprises

et de faire merger une approche

cognitive et organisationnelle de la gestion des risques. Il met en vidence un intrt affich

des entreprises pour le risque contrastant avec une dmarche encore frileuse de leur
gestion. Il dcrit, une dmarche de gestion des risques en cinq tapes : dfinition dune

Stratgie de dfinition des risques majeurs, identification des risques, mise en cartes,
identification des dispositifs de contrle, analyse des rsultats.
Pour bien comprendre la mise en uvre du systme management des risques nous allons
prsenter le cas de lOffice National de lElectricit et de lEau Potable- Branche Eau
(ONEE), qui est compt parmi les premiers tablissements intgrant une

dmarche

management des risques et parmi les entreprises publiques prcurseur dans le choix et
ladoption dune culture de gestion et maitrise des risques.
LONEE-Branche Eau comme entit conomique volue dans un environnement
caractris par une multitude de risques, de ce fait il est devenu impratif pour cette
organisation de mettre en place un systme management des risques qui permet d'assurer
qu'elle connat, comprend et

agit

face

continuellement.

des

risques semblerait tre un sujet mergent, une

La

gestion

aux

risques

auxquels

elle

s'expose

proccupation rcente de toutes les organisations. LONEE-BRANCHE EAU a pour mission1 de

:
-

Prenniser, scuriser et renforcer lapprovisionnement en eau potable en milieu urbain ;

Gnraliser laccs a leau potable en milieu rural ;

Prendre en charge lassainissement liquide.

Compte tenu de ce dfi, et pour contribuer lamlioration de ses systmes de gestion et de

maitrise des risques et veiller lamlioration de ses dispositifs du contrle interne, lONEEBranche Eau est appel organiser son systme de management des risques. Pour
cela, la dite entreprise serait tenue galement daccompagner lvolution structurante que
connait actuellement le domaine du management des risques.
Le prsent dispositif de management des risques a t le rsultat dune troite
collaboration entre la direction daudit et organisation de lONEE-BRANCHE EAU soucieuse
de limportance de la maitrise des risques dune part, et les cabinets daudit KPMG et
SINEQUA dautre part, ayant pour mission ltude du renforcement du systme de contrle
interne de lONEE-BRANCHE EAU et la mise en place des premires tapes dune stratgie
globale de management des risques. Ce systme embryonnaire se limite au dploiement de
la cartographie des risques vu quil est pris en charge par les auditeurs internes qui, ayant
1

Interview du directeur gnral de lONEP accord a lEconomiste dition N 1001

en parallle dautres fonctions en charge, Ne peuvent assurer une organisation (suivi,

reporting, et amnagement de la structure) de ce dispositif. Ceci explique le choix de la
prsente recherche et justifie la proposition de la direction pour le prsent thme de
recherche dont lobjectif est dtudier lorganisation du dispositif actuel du managent des
risques compte tenu de son rattachement la direction de laudit et dorganisation.

La principale question qui aura la priorit dorienter ce travail est : comment lONEEBranche Eau peut grer les risques de manire efficace ?

Ce travail se limitera au cycle achats, vu limpossibilit de traiter lensemble des processus en

trois mois de stage

Pour ce faire, Le prsent travail va tenter de rpondre aux questions de recherche

suivantes:
-

Cest quoi le management des risques ?

Quelle est la place du management des risques par rapport aux outils traditionnels ?

Quel est la dmarche adquate de mise en uvre du management des risques de

Manire gnrale et celle du cycle achats en particulier?

-

Quels sont les moyens de suivi et de reporting de ce systme?

Quels sont les rattachements possibles pour une entit de management des risques ?

Du ct apport personnel du projet, il sagit surtout de :

-

Valider les acquis thoriques par la pratique et la mise en situation ;

Raliser un projet professionnel individuel;

Comprendre le dispositif management des risques exploits par lOffice ;

Se charger de la production dune cartographie des risques cycle stock ;

Proposes des moyens de suivi et de reporting pour ce systme ;

Apprendre structurer les ides, rechercher les moyens dexprimer les penses et

reformuler les ides ;

-

Et enfin sacquitter de la mthodologie universitaire pour approcher un thme de rapport

de fin dtudes, sa rdaction et sa soutenance avec brillance devant le jury.

Mthodologie de travail :

La premire tape tait la production dun planning de travail respecter prsentant ainsi les
diffrentes tches raliser tout au long de la priode de stage.
La deuxime tape tait le lancement du projet par une recherche thorique plus ou moins
approfondie afin dapprofondir nos connaissances en vue dune matrise du projet.

La dmarche de recherche est scinde en deux grandes parties qui sont interdpendantes :

la premire partie portera sur linvestigation documentaire. il sera procd ainsi a une

revue de littrature puise des principales rfrences bibliographiques dans le domaine du

contrle interne, audit interne et management des risques tout en mettant le point sur les
rfrentiels de mesure sur lesquels sappuie le prsent travail.
-

La deuxime partie sera consacre a linvestigation du terrain .nous entamerons cette

partie par une brve prsentation de lorganisme accueillant (Office National de lElectricit et
de lEau Potable et de son cycle dachats), ensuite se fera une analyse du dispositif actuel de
management des risques (laboration de la cartographie des risques du cycle achats) pour
proposer des suggestions de suivi, de reporting, et dorganisation de ce systme.

Le travail se focalisera sur les achats comme tant un processus critique .Pour cela des outils
adquats seront utiliss savoir la carte didentit du processus, le logigramme, des grilles
danalyse, la cartographie des risques et plans dactions.

Premire partie : Management des risques, un outil idoine pour un audit bas
sur les risques
Chapitre 1 : la matrise des risques une proccupation du contrle et audit internes

Ce premier chapitre abordera dans sa premire section une introduction au contrle

interne. Ainsi, se fera un listing de diffrentes dfinitions apportes au CI par
diffrentes organisations dans le but de permettre au lecteur de bien se situer par
rapport la notion.
Ensuite, une approche du contrle interne selon le Committee of Sponsoring
Organizations (COSO) prendra place, pour initier le lecteur par rapport a ce
rfrentiel et laider a mieux se situer vis--vis du rfrentiel COSO 2 qui sera
aborde au niveau de la deuxime section en tant que dmarche de management de
risque.
Enfin, lattention se focalisera sur les limites du contrle interne qui reprsentent un
point de dpart pour lauditeur interne, et des sources de risques et de critiques du
dispositif de contrle interne.
La deuxime section penchera vers laudit interne puisquil est dans le cas de lONEP
lintervenant en matire de gestion des risques. Il sagira de rapprocher le lecteur de
laudit interne a travers le cadre et les modalits de fonctionnement dans un premier
temps et puis mettre en perspective la relation entre laudit interne et le contrle
interne par le biais des procdures qui constituent un champ commun entre les deux
notions.

Section 1 : Contrle interne

Lapport du contrle interne est dune grande utilit pour les dirigeants,

il est

considr comme un instrument de cration de valeur qui fournit une aide prcieuse
quant la prise de dcision, ralisation des objectifs et amlioration de la
performance de lentreprise.
Un contrle interne bien mis en place, efficace et efficient soriente vers latteinte et
la ralisation des objectifs primordiales de lentreprise.
1. Dfinitions du contrle interne :
Les dfinitions du contrle interne sont multiples, il est dfini de faon large, il ne se
limite pas des contrles rglementaires (contrle de type vrification) et nest pas
restreint au seul Reporting financier. Le terme contrler doit tre pris dans
la signification de Maitriser .
Le contrle interne plusieurs dfinitions qui ont t, le plus souvent, dtermines
par des organisations comptables professionnelles internationales. De ce fait, ces
organisations ont tent danalyser le contenu du contrle interne.
Ordre des Experts Comptables Franais :
Le contrle interne est lensemble des scurits contribuant la matrise de
lentreprise. Il a pour but, dun ct, dassurer la protection, la sauvegarde du
patrimoine et la qualit de linformation, de lautre, lapplication des instructions de la
direction et de favoriser lamlioration des performances. Il se manifeste par
lorganisation,

les mthodes et

les procdures de chacune des activits de

lentreprise pour maintenir la prennit de celle- ci. 2

INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES:
Le contrle interne comprend lensemble des systmes de contrle, financiers et
autres, mis en place par la direction, afin de pouvoir diriger les affaires dune socit
de faon ordonne, de sauvegarder des biens et dassurer, autant que possible, la
2

Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica, p63.

sincrit et la Fiabilit des informations enregistres. Font partie du systme de

contrle interne les Activits de vrification, de pointage et daudit interne.
AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS:
Le contrle interne est form de plans dorganisation te de toutes les
mthodes et procdures adoptes lintrieur dune entreprise pour protger ses
actifs, contrler lexactitude des informations fournies par la comptabilit, accrotre le
rendement et assurer lapplication des instructions de la direction.
Le rfrentiel COSO: (Committee of sponsoring organization)
Le COSO regroupe aux USA les associations et instituts dans les domaines de la
comptabilit et de laudit interne, qui ont sponsoriss les travaux de cette
commission, et qui sur la base de ses recommandation ont rdig

le COSO

FRAMEWORK ou rfrentiel COSO, publi en1992. Il dfinit le contrle interne

comme

un

processus,

mis en

uvre

par

le conseil dadministration, le

management et les autre membres du personnel, conu pour donner une assurance
raisonnable quant a la ralisation dobjectifs dans les catgories suivantes :
-

Efficacit et efficience des oprations ;

La fiabilit de linformation ;

La conformit aux lois et aux rgles en vigueurs COSO.

De manire gnrale, le contrle interne est un ensemble de dispositif choisis par

lencadrement et mis en uvre par les responsables de tout niveau, pour maitriser le
fonctionnement de leurs activits. On peut dire, donc, que le contrle interne est un
ensemble de procdures de contrle sexerant au sein de lentreprise afin de rgir la
bonne application des rglementations.
En effet, le contrle interne permet une prise de dcision pertinente en se basant sur
des informations fidles la ralit et contrles. De mme, ce dispositif permet aux
responsables de lentreprise de matriser les activits en vue datteindre leurs
objectifs.
De ce fait, le contrle interne est mis en uvre par lensemble du personnel de
lentreprise et exerc tous les niveaux dcisionnels. Son objectif est de rduire le

risque un niveau acceptable par les dirigeants avec les moyens dont lentreprise
dispose.
2. Contexte rglementaire du contrle interne :
De nouvelles lois et rglementations ont t instaures (Loi de Scurit Financire,
Sarbanes Oxley Act,) vue les scandales financiers et les faillites, imposant aux
entreprises diffrentes exigences. Le contrle interne nest ni indispensable ni
obligatoire (sauf pour les entreprises soumises aux lois de scurit financire, telles
que la loi de scurit financire LSF ou la loi Sarbanes Oxley). En 2002, en
raction aux scandales financiers Enron et Worldcom, le parlement des Etats-Unis
lgifre une loi qui sappelle SarbanesOxley. Cette loi exige des socits faisant
appel lpargne publique valuer leur contrle interne et en publier les rsultats.
De ce fait, le SOX (the Sarbanes-Oxley Act) a choisi que ces socit cot en bourse
adoptent le COSO comme rfrentiel suite au besoin dun cadre conceptuel. En
2003, la promulgation de la loi sur la scurit financire a aussi particip sa
diffusion.
La loi Sarbanes Oxley Act (aux Etats-Unis) 30 juillet 20023:
-

Lobjectif est de restaurer la confiance des investisseurs et de renforcer

la Gouvernance dentreprise.
-

Larticle 404 de cette loi exige que la Direction Gnrale engage sa

responsabilit sur ltablissement dune structure de contrle interne comptable et

financier et quelle value, annuellement, son efficacit au regard dun modle de
contrle interne reconnu.
-

La Securities and Exchange Commission (SEC) et le Public Company

Accounting Oversight Board (PCAOB) ont fortement recommand aux entreprises

amricaines (ou trangres cotes New York) dadopter le COSO comme
rfrentiel.
Cette loi vise :
3

Loi de 2002 sur la rforme de la comptabilit des socits cotes et la protection des investisseurs. Le texte
est couramment appel loi Sarbanes-Oxley, du nom de ses promoteurs le snateur Paul Sarbanes et le dput
Mike Oxley.

 Augmenter la responsabilit des dirigeants dentreprise

Mieux protger les investisseurs pour rtablir la confiance dans le march
Amliorer laccs et la fiabilit de linformation en imposant aux entreprises de
fournir

la

Securities

and

Exchanges

Commission

des

informations

complmentaires
Renforcer le rle et lindpendance des Comits dAudit
Restreindre la sphre de comptences des auditeurs externes et prvoir une
rotation de ces vrificateurs externes.
La loi Sarbanes Oxley a t accompagne par la transposition de la 8me directive
europenne qui a impos le principe de suivi de lefficacit des procdures de
contrle interne .
Cette volution du cadre rglementaire europen tend, de faon significative, le
dploiement du contrle interne dans les entreprises franaises.
La fonction de contrle interne doit donc dfinir son primtre dactions et ses
responsabilits

en

accord

recommandations appuyes

avec
et

des

un

cadre

lois

rglementaire
venir.

La

mouvant,

des

responsabilit

des

dirigeants dentreprise est directement engage par lensemble de ces textes

3. Le rfrentiel COSO 1 :
Le rfrentiel international COSO est un groupe de rflexion ou une commission, qui
a vu le jour aux Etats- unis suite une srie de faillites anormales dans les annes
80. Les travaux de cette commission ont abouti au 1er instrument de contrle interne
: le COSO, constituant un rfrentiel mthodologique danalyse du CI.
Le rfrentiel COSO a donn naissance un cube dont les 3 faces visibles
reprsentent les 3 objectifs, les 5 composants et les activits de l'entreprise.
Dans cette approche en cube , chaque activit contribue la ralisation
des 3 objectifs. Pour chacune delle, et pour chacun de ces 3 objectifs, il sagit
danalyser les 5 composantes du contrle interne.
(Annexe 1, pyramide du COSO1)

La combinaison des trois objectifs, des cinq composants et des diffrentes activits
de l'entreprise, vue comme trois axes d'analyse distincts, donne la base des
valuations raliser: Evaluer dans toute entit et pour toute activit la faon dont
chacun des 5 composants du contrle interne participe chacun des 3 objectifs .
Les trois objectifs4 :
Le COSO dfinit le contrle interne comme un processus mis en uvre par les
dirigeants tous les niveaux de lentreprise et destin fournir une assurance
raisonnable quant la ralisation des trois objectifs suivants :
- La ralisation et l'optimisation des oprations : concernant les objectifs
oprationnels dune entit
- La fiabilit des informations financires : concernant la fiabilit de la prparation
des tats financiers publis, y compris les tats financiers intermdiaires et
synthtiques, et les donnes non directement financires qui y concourent.
- La conformit aux lois et rglements en vigueur : concerne le respect des lois
et rglementations auxquelles est soumise lentit.
Les cinq composants :
Les cinq composants ont pour objectif lamlioration du systme du contrle interne
de lorganisation et ils sont interconnects. Il sagit de :
1. l'environnement de contrle ;
2. l'valuation des risques ;
3. les activits de contrle ;
4. l'information et la communication, qu'il s'agit d'optimiser ;
5. le pilotage.
Lenvironnement de contrle constitue le fondement de lensemble du systme de
contrle interne. Il constitue la discipline et la structure aussi bien que le milieu qui
influence la qualit globale du contrle interne. En retour, il influe largement la
4

Coopers, Lybrand, 2002. La nouvelle pratique du Contrle Interne. Paris, dition d'organisation, pp 51-52-53-54

manire dont la stratgie et les objectifs sont dtermins et dont les activits de
contrle sont structures.
Une fois que des objectifs clairs ont t fixs et quun environnement de contrle
efficace a t cr, il est ncessaire de procder une valuation des risques
auxquels lorganisation est confronte pour raliser sa mission et atteindre ses
objectifs, afin de dfinir une rponse adapte ces risques.
La principale stratgie pour minimiser les risques rside dans la mise en place
dactivits de contrle interne. Ces activits de contrle peuvent tre orientes
vers la prvention et/ou la dtection. Les mesures correctives constituent un
complment ncessaire des activits de contrle interne en vue de la ralisation des
objectifs. Le cot des activits de contrle et des mesures correctives doit avoir une
contrepartie et crer de la valeur. Autrement dit, leur cot ne doit pas dpasser le
bnfice qui en dcoule (rapport cot/efficacit).
Une information et une communication efficaces sont cruciales pour quune
organisation puisse mener et contrler ses oprations. Les responsables de
lorganisation doivent avoir accs, en temps opportun, une communication
pertinente, exhaustive et fiable concernant les vnements internes aussi bien
quexternes. De manire gnrale, lorganisation a besoin dinformation tous les
niveaux afin datteindre ses objectifs.
Enfin, puisque le contrle interne est un processus dynamique qui doit tre adapt
constamment pour tenir compte des risques et des changements auxquels une
organisation est confronte, il est indispensable que le systme de contrle interne
fasse lobjet dun suivi et dun pilotage pour garantir que le contrle interne reste en
phase avec des objectifs, un environnement, des moyens et des risques susceptibles
davoir volu.
Ces composantes dfinissent une mthode de rfrence pour la conception dun
systme de contrle interne dans une administration publique et fournissent une
base dvaluation possible du contrle interne. Ces composantes sappliquent tous
les aspects du fonctionnement dune organisation.
Les prsentes lignes directrices fournissent un cadre gnral. Lors de leur mise en
uvre, le management est responsable de llaboration de politiques, procdures et

pratiques dtailles et adaptes aux activits de lorganisation et doit sassurer

quelles font partie intgrante de ces dernires.
4. Les limites du contrle interne :
Il faut toujours garder lesprit que tout SCI nest pas une panace : il ne permet pas
daspirer avoir limin tous les risques affrents une organisation, car aussi bien
conu et appliqu soit-il, ne peut fournir au plus quune assurance raisonnable la
direction quant la ralisation des objectifs de loffice. En effet, tant donn quelle
est essentiellement base sur le facteur humain, toute structure de contrle interne
peut tre affecte par une erreur de conception, de jugement ou dinterprtation, par
lquivoque, la nonchalance, la fatigue ou encore la distraction.

Les facteurs

suivants peuvent avoir une influence ngative sur lefficacit du contrle interne5.

Lerreur de jugement

Le risque derreur humaine lors de la prise de dcisions ayant un impact sur

les processus de loffice peut limiter lefficacit des contrles. Les personnes
responsables sont souvent appeles prendre des dcisions dans un temps limit,
en se basant sur les informations disponibles mais incompltes et en faisant face
la pression lie la conduite des activits.

Les dysfonctionnements

Mme les SCI bien conus peuvent faire lobjet de dysfonctionnements, par exemple
lorsque les collaborateurs interprtent les instructions de manire errone, cdent
la routine et ne sont plus attentifs aux erreurs. Une enqute sur des anomalies
diverses peut ne pas tre poursuivie assez loin ou une personne remplissant des
fonctions en remplacement dune autre (maladie, vacances) peut ne pas sacquitter
convenablement de sa tche. Le CDF constate galement souvent que des
changements dans les systmes sont introduits avant que le personnel nait reu la
formation ncessaire pour ragir correctement.

Rapport sur le Sminaire IIA-FANAF : LAudit et le Contrle de Gestion dans les compagnies dassurance

Les contrles outrepasss ou contourns par le management

Un SCI ne peut pas tre plus efficace que les personnes responsables de son
fonctionnement. Mme au sein dun office efficacement contrl, un responsable
peut tre en mesure de contourner le SCI. Ceci signifie quun responsable peut
droger de faon illgitime aux normes et procdures prescrites, par exemple pour
en tirer un profit personnel ou afin de dissimuler la non-conformit de lactivit de son
office certaines obligations lgales.

La collusion et le recours des faux

La sparation des fonctions constitue souvent un instrument privilgi des SCI. La

pratique montre cependant que ce type de contrle a ses limites: deux ou plusieurs
individus agissant collectivement pour accomplir et dissimuler une action
peuvent fausser les informations financires ou de gestion dune manire qui ne
puisse tre prvenue par la sparation des fonctions. Un employ charg deffectuer
des contrles peut rduire ceux-ci nant en agissant en collusion avec
dautres membres du personnel ou des tiers externes loffice.
Lexprience

montre

que

la

falsification

des

signatures

ncessaires

au

paiement de Factures de tiers constitue galement un dfi auquel doit faire face un
bon SCI.

Le rapport cots/bnfices

Les ressources tant toujours limites, les offices doivent comparer les cots et les
avantages relatifs des contrles avant de les mettre en place. Lorsquon cherche
apprcier lopportunit dun nouveau contrle, il est ncessaire dtudier non
seulement le risque dune dfaillance et limpact possible sur loffice, mais galement
les cots quentranerait la mise en place de ce contrle. Une dcision quant la
mise en place dun contrle restera toujours partiellement base sur des critres
subjectifs. Toute la difficult de lanalyse du rapport cots/bnfices consiste dfinir
le risque rsiduel tolrable.
Section 2 : Audit interne
Face de nombreuses mutations, changements, montes et fortes acclrations du
rythme dvolution de lenvironnement dans lequel le monde de lorganisation

progresse, laudit interne, autant que fonction dune grande importance, ne pouvait
que sefforcer suivre ses volutions, essayer de rester jour avec les
proccupations de son temps, doffrir une scurit aux organisations et daider
amliorer leurs performance.
Dans cette section on verra ce que cest que laudit interne, son objectif, sa mission
et sa relation avec les autres entits de lorganisation ainsi que le contrle interne.
1. Dfinition et objectif de laudit interne :
LAudit Interne est une activit indpendante et objective qui donne une
organisation une assurance sur le degr de matrise de ses oprations, lui apporte
ses conseils pour les amliorer, et contribue crer de la valeur ajoute.
Il aide cette organisation atteindre ses objectifs en valuant, par une
approche systmatique et mthodique, ses processus de management des risques,
de contrle, et de Gouvernement dentreprise, et en faisant des propositions pour
leur efficacit6.
Quant ses objectifs :

Laudit interne est une fonction d'valuation indpendante qui examine et

value les structures et les activits de l'office en vue de lui permettre
d'amliorer son efficacit et son efficience.

Il assiste la hirarchie dans l'exercice effectif de ses responsabilits en

effectuant des missions et en fournissant des analyses, des valuations, des
recommandations, des avis et des informations relatifs aux activits ayant fait
l'objet d'un audit.

Il apporte aux entits de lOffice le fruit de ses observations avec

lambition daccrotre lefficacit de chacune delles et de lensemble.

Laudit interne na pas pour objectif la dtection des fraudes, mais si des
irrgularits sont constates dans le cadre dune mission daudit, il est tenu de
les signaler dans son rapport au Directeur Gnral.

Son champ daction :

Laudit interne est concern par tous les services et activits de loffice.

Charte de laudit interne de lOffice National de lEau Potable. Dfinition approuve le 21 mars 2000 par le
Conseil d'Administration de l'IFACI (Institut Franais de l'Audit et du Contrle Internes).

Il excute en particulier des audits oprationnels, de conformit et financiers. Il

peut faire, le cas chant, appel une expertise externe.

2. Mission et attributions de laudit interne7 :

A. LAudit Interne a pour mission de contribuer lamlioration des
systmes

de gestion et de matrise des risques et en particulier veiller

lamlioration des dispositifs de contrle interne.

B. Les Attributions de lAudit Interne sont les suivantes :

Identifier les risques susceptibles dentraver la bonne ralisation des activits

de lONEP

Tenant compte des objectifs suivants :

- Fiabilit et sincrit des informations ;
- Efficacit et efficience des oprations ;
- Sauvegarde du patrimoine ;
- Conformit des activits des diffrentes entits aux politiques, plans

et

procdures tracs par la Direction ;

- Respect des lois et rglements ;

Etablir un programme annuel daudit bas sur lanalyse de ces risques ;

Raliser ce programme ;

Raliser des missions ponctuelles daudit confies par la Direction Gnrale

Assurer le suivi des recommandations et plans daction ;

Evaluer les projets de procdures, notes de services et donner un avis sur le

respect des rgles de contrle interne ;

Assurer la coordination avec les autres intervenants internes et externes en

matire de contrle ;

Piloter les audits externaliss ;

Promouvoir au sein de lONEP une culture de contrle interne en

particulier la Composante thique.

Charte de laudit interne de lOffice National de lEau Potable.

3. Relation avec les autres entits de lorganisation :

LAudit Interne participe au dveloppement des systmes et procdures, il

value les projets de procdures, notes de services et donne son avis sur le
respect des rgles de contrle interne ;

LAudit Interne pilote les audits externaliss ; il en assure le suivi des

recommandations et plans daction ;

Il Assure la coordination avec les autres intervenants internes et externes en

matire de contrle ;

Il reoit systmatiquement une copie des rapports de lauditeur lgal.

4. Relation audit interne/ contrle interne :

L'audit interne, quelle utilit pour les procdures ?
Garant du contrle interne de l'entreprise l'audit interne vrifie la bonne application
des rgles et procdures de l'entreprise. Son existence conditionne donc en partie
l'attention et Le respect accords aux procdures dans la mesure o celles-ci sont
d'autant plus appliques qu'elles sont contrlables. En l'absence de contrle effectif,
les procdures risquent de devenir lettre morte.
L'Audit, plus que tout autre contrle fonctionnel ou hirarchique qui souffre de la
pesanteur du quotidien, est donc indispensable la bonne application des
procdures.
Les procdures quelle utilit pour l'auditeur ?
Les procdures formalises constituent la rfrence premire pour l'auditeur:
- Elles fournissent une piste utile pour ses travaux d'investigations et facilitent
sa tche
- Elles constituent une base objective, relativement incontestable, sans laquelle
Lauditeur pourrait tre souponnable de partialit.
L'absence de procdure rendrait le contrle dlicat, voire impossible.

L'Audit est aussi ncessaire aux procdures et vice-versa. L'audit permet

l'actualisation des procdures et sans les procdures il n'y aurait pas d'audit.
Mutuellement indispensable, ils sont insparables l'un de l'autre.

Conclusion
Les points abords dans cette premire partie, savoir dans le premier et le
deuxime chapitre, mont permis d'laborer une dfinition globale du Contrle Interne
et de connatre ses champs d'application. Le Contrle Interne est appliqu par
des Hommes sur des Hommes, ce qui rend cette mission plus ou moins dlicate.
Nanmoins, chaque systme a ses propres dfaillances et limites. On a pu le
constater travers les scandales financiers qu'ont connus les Etats-Unis dans les
annes 90.
Ces derniers ont pouss les spcialistes du domaine comptable et financier,
trouver une parade aux manuvres illicites et dvelopper un cadre de
rfrence

concernant

le Contrle Interne afin d'amener plus de srnit dans

l'conomie amricaine dont le COSO.

L'aide propose par les travaux d'Audit Interne et par le rfrentiel COSO constitue
un moyen efficace, et contribue grandement la bonne gestion et la matrise des
activits de l'entreprise.

Chapitre 2 : Le management des risques : rfrentiels et notions cls

A lheure actuelle les entreprises semblent sintresser beaucoup plus, dune
manire plus proche, la gestion des risques, aprs un long silence. Malgr que
cette inquitude parait rcente, en ralit la gestion des risques au sein des
entreprises est loin dtre une proccupation nouvelle, car ds les annes 1970-80,
le risque et sa maitrise taient dj une question cruciale.
Dans ce contexte, le concept de management des risques a pris une grande
importance, obligeant les entreprises investir ou rinvestir de manire forte le
champ du management des risques. Cration dune culture du risque, management
participatif, systme de catgorisation, mise en place de cellule de veille, les outils de
management ne manquent pas pour comprendre et grer les risques.
La premire section de ce chapitre aura pour tche dinitier le lecteur cette
discipline ncessaire la ralisation de ce travail. Ainsi, et dans un premier point,
seront prsents la dfinition du risque, management des risques, ses principaux
rfrentiels et la cartographie des risques. Le risque sera dfini selon la

nouvelle

norme ISO 31000 pour permettre au lecteur de garder une vision jour sur la notion
du risque. La cartographie des risques est aussi importante dcouvrir puisquelle
constitue le centre du travail pratique, son dploiement reprsente un point de dpart
lorganisation du systme de management de risque.
Ensuite, le lecteur sera invit dcouvrir, dans une deuxime section, les divers
articulations et relations entre le contrle interne, audit interne et le management des
risques qui reste le cur de ce travail.

Section 1 : Management des risques

1. Dfinition de la notion de risque et du Management des risques :
La notion de risque :
Durant de trs nombreuses annes, le concept de risque a t assimil celui de
danger. Sa matrise tait du ressort des techniciens qui comprenaient les
mcanismes

pouvant

entrainer

des

accidents.

Cette

approche

conduisait

implicitement lignorance totale ou partielle des effets positifs de lactivit source du

risque. Pour tenir compte de ces apports tout en prvenant les dommages potentiels,
la dfinition du terme risque sest ensuite dplace vers celle dvnement
probable ayant des consquences.
La norme ISO 31000 dfinit le risque comme leffet de lincertitude sur latteinte

des objectifs. Cette dfinition dplace de nouveau la question du risque en imposant

de spcifier les objectifs dune activit dont latteinte pourrait tre entrave par
loccurrence de circonstances incertaines8.
Selon lIFACI le

risque

est

un

ensemble

dalas

susceptibles

davoir des consquences ngatives sur une entit et dont le contrle interne
et laudit ont notamment pour mission dassurer autant que faire se peut la matrise
9.
Le risque svalue en fonction de :
-

La probabilit que le risque se ralise

Limpact que pourrait avoir ce risque sil se matrialisait.

Le risque est lensemble dvnements potentiels qui, sils se ralisent, pourront

affecter lentreprise. Il dtermine sils reprsentent une opportunit ou sils sont
susceptibles de nuire srieusement la capacit de lentit mettre en uvre avec
succs sa stratgie et atteindre ses objectifs. Les vnements ayant un impact
ngatif constituent des risques qui demandent une valuation du management et un
8

La norme iso 31000 en 10 questions Gilles MOTET- Fondation pour une Culture de Scurit Industrielle.

La dfinition de lIFACI

traitement. Le risque dit majeure est un risque valu comme lev, avec une
grande gravit. Ou un risque qui reprsente un caractre inacceptable pour
lentreprise en regard de la scurit des biens et des personnes ou de la survie des
organisations.
La gestion des risques sarticule en 4 axes :
- Lidentification des risques consiste dterminer les vnements de risques
potentiels, leurs risques et leurs consquences.
- Lvaluation des risques consiste apprcier limpact de lvnement de risque
- La gestion des risques consiste dfinir les mesures stratgiques et
oprationnelles pour viter, transfr et/ou rduire la survenance et limpact des
risques.
-

Le contrle et la surveillance des risques consistent sassurer de la cohrence

et de ladquation du niveau des risques en regard des objectifs fixs, danalyser les
risques afin dassurer lapplication des mesures dattnuation et de mitigation des
risques.
Donc pour principales rponses un risque, le management a plusieurs options :
Sagissant des risques significatifs, une organisation choisit gnralement les
rponses potentielles parmi diffrents options. Ce qui a t illustr dans le tableau cidessus, qui dmontre les diffrents modes de traitement qui consiste viter,
partager, rduire ou accepter un risque. Une fois les actions de traitement en place,
le management des risques peut choisir dexaminer individuellement chaque risque.
Un risque simagine, se prvoit, se cartographie, se quantifie, se gre. En
deux mots, cela se Manage 10
Le management des risques :
Le management des risques traite des risques et des opportunits ayant une
incidence sur la cration ou la prservation de la valeur. Il offre la possibilit
dapporter une rponse efficace aux risques et aux opportunits associes aux
10

www.lebas-conseil.fr, article Risk management : grer lingrable crit par Anne Sophie David. Le 8/06/2011

incertitudes auxquelles lorganisation fait face, renforant ainsi la capacit de cration

de valeur de lorganisation11.
Selon le COSO2 : Le management des risques est un processus mis en uvre
par le Conseil dadministration, la direction gnrale, le management et l'ensemble
des collaborateurs de lorganisation. Il est pris en compte dans llaboration de la
stratgie ainsi que dans toutes les activits de l'organisation. Il est conu pour
identifier les vnements potentiels susceptibles daffecter lorganisation et pour
grer les risques dans les limites de son apptence pour le risque. Il vise fournir
une assurance raisonnable quant l'atteinte des objectifs de l'organisation 12
Cette dfinition reflte certains concepts fondamentaux. Le dispositif de management
des risques:
-

Est un processus permanent qui irrigue toute lorganisation,

est mis en uvre par lensemble des collaborateurs, tous les niveaux de

lorganisation,
- est pris en compte dans llaboration de la stratgie est mis en uvre chaque
niveau et dans chaque unit de lorganisation et permet dobtenir une vision globale
de son exposition aux risques,
-

est destin identifier les vnements potentiels susceptibles daffecter

lorganisation, et grer les risques dans le cadre de lapptence pour le risque,

-

donne la direction et au Conseil dadministration une assurance raisonnable

(quant la Ralisation des objectifs de lorganisation),

-

est oriente vers latteinte dobjectifs appartenant une ou plusieurs

catgories indpendantes mais susceptibles de se recouper.

Cette dfinition, assez

ample et consciemment

large, englober les concepts

fondamentaux, la base desquels les organisations dfinissent leur dispositifs de

11

PHILIPPE CHRISTELLE Editions dOrganisation, 2005 Le management des risques de lentreprise Cadre de
Rfrence Techniques dapplication COSO II Report
12

COSO II Enterprise Risk Management Framework - 2002

management des risques. Elle permet de garder les objectifs fixs cerns et bien au
centre des proccupations dun organisme donn.
Le management des risques rpond la fois :

A des contraintes de nature externes. Il sagit de lensemble des contraintes

lies la rglementation.

A des enjeux stratgiques et internes. Il sagit ici pour le management des

risques de garantir, de certifier et de prsenter une assurance raisonnable
quant la ralisation des objectifs fixs. Les enjeux stratgiques et internes
peuvent se dcomposer selon 4 axes :

o Stratgiques : lis la stratgie de lorganisation, ils sont en lien avec la

mission de lentreprise.

Oprationnels : matriser les activits et piloter leur dveloppement

o Juridiques
lentreprise

(ou

de

conformit)

grer

les

responsabilits

dans

en sensibilisant le mangement sur les enjeux et les risques

associs leur fonction et en mettant en uvre un systme de dlgation

appropri
o Communication (ou de reporting) : tre en mesure de communiquer sur la
gestion des risques de lentreprise, pour rassurer les investisseurs.
2. Les pralables la mise en place du management des risques :

Appliquer la gestion des risques lensemble de lorganisation

La direction doit avoir une vue densemble du risque. En pratique, tous les
responsables, quel que
susceptibles

soit

daffecter

leur

leur

niveau,

devront

valuer

les

vnements

domaine dactivit et en informer les hauts

responsables. Cette valuation peut tre qualitative ou quantitative. La haute

direction devrait utiliser ces valuations couvrant tous les niveaux et domaines
dactivit de lentit pour aboutir une valuation du risque global au niveau de
lensemble de lorganisation.

Importance des ressources humaines

La gestion des risques des entits est mise en uvre et rendue efficace par la
direction et les autres membres du personnel. Elle nat des personnes qui composent
lorganisation, travers ce quelles font et de ce quelles disent. De mme, elle

affecte leurs actions. Chaque employ est une personne disposant de comptences
et de connaissances diffrentes. La gestion des risques des entits tend crer les
mcanismes qui permettront aux membres de lorganisation de comprendre le risque
dans le contexte de ses objectifs.
Les membres du personnel devraient connatre leurs responsabilits et les limites de
leur autorit. Il faudrait donc quexiste un lien clair et direct entre les tches dune
personne et la manire dont elle sen acquitte. Les hauts responsables sont
principalement chargs de la supervision. Mais ils doivent galement dfinir la
direction prendre, approuver les stratgies et certaines transactions et orientation,
et ils ont donc un rle vital jouer pour faire respecter la culture de lorganisation.
3. Les rfrentiels du management des risques :
En matire de gestion de risques, deux rfrentiels existent :
COSO II
FERMA
ISO 31000
-

Ils sont structurs selon des fondamentaux communs

Ils donnent un modle de processus de Gestion de risques

Les deux rfrentiels utiliss dans la gestion de risques sont : COSO2 et FERMA, le
travail pratique reposera sur la mthodologie et le processus proposs par ces
rfrentiels.
3.1.

Rfrentiel FERMA :

Dans de nombreux pays travers l'Europe et au-del, les associations nationales de

gestion des risques sont bien tablis. Leurs membres sont des professionnels des
risques et des assurances charges de la gestion des risques dans leur organisation,
que ce soit dans le secteur public ou priv. Depuis 1974, FERMA a t la premire
organisation pour la gestion des risques en Europe.

FERMA favorise la communication entre ses membres et aussi l'intrieur de

lIFRIMA (Fdration internationale des associations de gestion des risques et
d'assurance), et fournit les moyens de gestion des risques13.
Ses Objectifs stratgiques :
1. Coordonner, promouvoir et soutenir le dveloppement et l'utilisation de la gestion
des risques.
Action stratgiques :
- Dfinir et promouvoir des pratiques professionnelles et les normes
- Organiser les confrences, des sminaires, et des forums
- Maintenir une communication double sens avec les associations nationales
sur le dveloppement et l'application de gestion des risques
-

Mettre en place des enqutes et des repres pour identifier et partager les

pratiques Actuelles
-

Faciliter

le

dveloppement

de

nouvelles

associations

dans

les

pays

europens.
2. Etre un acteur important dans le processus dcisionnel au niveau europen
sur les questions de financement des risques de gestion et d'assurance.
Actions stratgiques :
- Suivre les nouvelles rglementations et normes
- Dtecter les problmes prcoces qui peuvent avoir un impact sur notre profession
- Proposer et

coordonner les positions avec les associations membres sur les

questions pertinentes.
- Emettre des documents d'orientation
- Maintenir la reprsentation des intrts auprs des institutions europennes
13

Cadre de rfrence de la gestion des risques AIRMIC, ALARM, IRM: 2002, translation copyright FERMA:
2003.

- Etablir des alliances techniques et coalitions ad hoc avec d'autres intervenants.

Le

rfrentiel

(gestion

donn

une

dfinition

au

management

des

risques

des risques) comme suit : La gestion des risques est un processus par

lequel les organisations traitent les risques qui sattachent leurs activits et
recherchent ainsi des bnfices durables dans le cadre de ces activits .
1. Apprciation du risque :
Lapprciation du risque est dfinie comme le processus gnral danalyse du risque
et dvaluation du risque.
2. Analyse du risque :
- Identification des risques : Lidentification des risques requiert une approche
mthodique pour garantir que chaque activit significative de lorganisation a
t identifie et que Chaque risque qui en dcoule a bien reu une dfinition. Toute
volatilit associe ces activits sera identifie et classe dans une catgorie.
Les activits et les dcisions de lorganisation peuvent tre classes dans un ventail
de Catgories, dont par exemple:
Stratgique : concerne les objectifs stratgiques long terme de lorganisation
Oprationnelle : concerne les questions quotidiennes auxquelles lorganisation est
confronte alors quelle poursuit ses objectifs stratgiques,
financire : concerne la gestion et la matrise efficace des finances de
lorganisation, et les effets de facteurs externes comme la disponibilit du crdit ou
encore les fluctuations des taux de change, des taux dintrts ou encore dautres
rfrences de march,
- Description des Risques : La description des risques consiste prsenter
les

risques Identifis, dans un format structur. La structure de ce format sera

conue avec soin pour sassurer que les risques sont bien identifis, dcrits et
apprcis exhaustivement et avec prcision. Ce qui permettra de dterminer les
risques clefs qui doivent tre analyss plus en dtail.

- Estimation du risque : Lvaluation du risque peut tre quantitative, semiquantitative ou Qualitative en termes de probabilit doccurrence et de consquences
possibles.
Les mesures les plus adaptes pour les consquences et les probabilits peuvent
varier dune organisation une autre.
3. Evaluation du risque :
Aprs avoir analys les risques, il est ncessaire de comparer les risques estims
aux critres de risque que lorganisation a tablis. Lvaluation du risque aide
dcider de limportance de chaque risque spcifique pour lorganisation, et
dterminer sil convient daccepter ce risque en l'tat ou bien de le traiter.
4. Traitement du risque :
Le processus de traitement du risque consiste slectionner et mettre en place des
mesures propres modifier le risque. Le traitement du risque a pour principales
composantes la matrise et l'attnuation du risque, mais il ne sy limite pas et stend
entre autres lvitement, au transfert et son financement du risque, et cetera.
5. Compte-rendu et Communication relatifs au risque :
Le compte-rendu officiel doit traiter :
Des mthodes de matrise et en particulier de lattribution des responsabilits pour
la Gestion du risque
Des processus utiliss pour lidentification des risques, et de la manire dont le
systme de gestion des risques les prend en compte
Des principaux systmes de matrise en place pour grer les risques significatifs
De la surveillance et de lexamen des systmes en place
Il convient de rendre compte de toute dfaillance significative mises jour par le
systme, ou dans le systme lui-mme, ainsi que des mesures prises pour faire face
ces dfaillances.
6. Surveillance et Revue du processus de gestion du risque

Une gestion des risques efficace requiert une structure de compte-rendu et de revue
pour assurer que les risques sont efficacement identifis et valus et que les
dispositifs de matrise et les rponses appropries sont en place. Il convient dauditer
rgulirement la conformit la politique et aux normes, et de passer rgulirement
les performances en revue pour identifier les opportunits damlioration. Il faut
garder lesprit que les organisations sont dynamiques et oprent dans des
environnements dynamiques.
Le processus de surveillance doit fournir lassurance que les dispositifs de
matrise appropris sont en place pour les activits de lorganisation et que les
procdures sont comprises et suivies. Les changements dans lorganisation et
lenvironnement dans lequel elle opre doivent tre identifis et les systmes
modifis en consquence.
3.2 Le rfrentiel COSO 2 :
Le rfrentiel COSO 2 reprend la mme ossature que COSO 1 en y ajoutant
quelques retouches au niveau des composantes du systme de management des
risques en le dtaillant un petit peu plus quauparavant et en voquant un autre
objectif savoir lobjectif stratgique14.
Apport nouveau du COSO2 : Les modifications ont t portes sur laxe
stratgique de lorganisation ; nouvel objectif stratgique :
-

Objectif High- level qui soutient et concourt la mission la vision de lorganisation

Reflte les choix du management (recherche de la cration de valeur par

lorganisation
Pour ses actionnaires)
-

Les autres objectifs sont dpendant des objectifs stratgiques.

Il existe une relation directe entre les objectifs que cherche atteindre une
organisation et les lments du dispositif de management des risques qui

14

Le management de risques de lentreprise (cadre de rfrence-techniques dapplications coso2 report

(EYROLLES dition)

reprsentent ce qui est ncessaire leur ralisation. La relation est illustre par une
matrice en trois dimensions.
La gestion des risques des entits est constitue de huit composantes
interdpendantes.
Celles-ci rsultent de la faon dont lorganisation est gre et sont intgres au
processus de Management. Il sagit des composantes suivantes :
Celle reprsentation illustre la faon dapprhender le management des risques dans
sa globalit ou bien par catgorie dobjectifs, par lments, par unit ou en les
combinant.
Chaque lment est transverse au cube et sapplique aux quatre catgories
dobjectifs. De mme les huit lments sont tous pertinents et important au regard
des objectifs relatifs lefficacit et lefficience des activits. Le dispositif de
management des risques est utile lorganisation, prise dans son ensemble, ainsi
qu chacune de ses entits. Cette relation est illustre par la troisime dimension,
qui reprsente les filiales, les divisions et les autres units de lorganisation.
Les huit composantes :
1. Environnement interne
Englobe la culture et lesprit de lorganisation ; il structure la faon dont les risques
sont apprhends et pris en compte par lensemble des collaborateurs de lentit, et
plus particulirement la conception du management des risques et son apptence
pour le risque, lintgrit et les valeurs thiques, et lenvironnement dans lequel
lorganisation opre.
Les facteurs de lenvironnement interne englobent la philosophie de gestion des
risques de lentit,

elle est constitue par lensemble dattitudes partages qui

dterminent comment cette entit considre le risque dans toutes ses activits,
depuis la dfinition de la stratgie jusquaux activits oprationnelles journalires
2. Fixation des objectifs :
Toute entit est confronte des risques divers dorigine externe et interne et la
fixation dobjectifs constitue une condition pralable pour identifier efficacement les

vnements susceptibles den affecter la ralisation, en valuer les risques et ragir

par rapport ces risques.
Les objectifs doivent tre pralablement dfinis pour que le management des risques
puisse identifier les vnements potentiels susceptibles den affecter la ralisation.
Le management des risques permet de sassurer que la direction a mis en place un
processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission
de lentit ainsi quavec son apptence pour le risque.
La gestion des risques des entits fournit une assurance raisonnable quant la
ralisation des objectifs oprationnels, de rapportage et de conformit dune
organisation.
3. Identification des vnements :
Les vnements sont des incidents ou des faits dorigine interne ou externe qui
affectent la mise en uvre de la stratgie ou la ralisation des objectifs. Ils peuvent
avoir un impact positif, ngatif, ou les deux la fois.
Les vnements internes et externes susceptible daffecter latteinte des objectifs
dune organisation doivent tre identifis en faisant la distinction entre risques et
opportunits. Les opportunits sont prises en comptes lors de llaboration de la
stratgie ou au cours du processus de fixation des objectifs.
Les facteurs externes englobent, notamment, ceux dcoulant de changements
survenus dans lenvironnement politique, social et technologique et les problmes
conomiques affectant lorganisation mme ou ses fournisseurs. Les facteurs
internes rsultent de choix oprs par la direction quant son mode de
fonctionnement. Ceux-ci peuvent inclure linfrastructure de lentit, le nombre de
sites sur lesquels lactivit est dploye, les capacits et les comptences du
personnel ainsi que le fonctionnement des systmes dinformation professionnelle.
4. Evaluation des risques :
En valuant les risques, une entit parvient comprendre dans quelle mesure des
vnements potentiels ont une incidence sur la ralisation des objectifs. Lvaluation
doit porter la fois sur les risques inhrents et sur les risques rsiduels.

Lvaluation des risques a pour but didentifier quels lments sont assez importants
et Significatifs pour concentrer sur eux lattention de la direction.
Les risques sont analyss, tant en fonction de leur probabilit doccurrence que de
leur impact, cette analyse servant de base pour dterminer la faon dont ils doivent
tre grs. Les risques inhrents et les risques rsiduels sont valus.
5. Traitement des risques :
Le management dfinit les solutions permettant de faire face aux risques
vitement, acceptation, rduction ou partage. Pour ce faire le management labore
un ensemble de mesures permettant de mettre en adquation le niveau des
risques avec le seuil de tolrance et lapptence pour le risque de lorganisation.
Les rponses apporter aux risques peuvent se rpartir dans les
catgories suivantes :
-

Partage/Transfert du risque Cette rponse consiste rduire la probabilit ou

limpact du risque en transfrant ou encore en partageant une part de ce risque, par

exemple en souscrivant une assurance conventionnelle ou en payant un tiers pour
quil le traite dune autre manire.
-

Rduction/Traitement du risque Limmense majorit des risques se rsoudra

de cette manire. Des mesures sont prises pour rduire la probabilit ou limpact du
risque, voire les deux.
-

Evitement/Fin de lactivit Ce type de rponse consiste supprimer

les activits donnant lieu au risque. Les entits du secteur public seront rarement en
mesure dviter de fournir un lment de leur programme de base, mais elles
pourront nanmoins envisager lvitement comme une mthode utile lorsquelles
auront dterminer si un nouveau mode de prestations de services est appropri ou
sil convient de poursuivre un projet spcifique.
-

Acceptation/Tolrance Aucune mesure nest prise pour rduire la

probabilit ou Limpact du risque. Cette rponse suppose quaucune mthode

rentable

na

t identifie pour rduire limpact et la probabilit un niveau

acceptable ou que le risque inhrent se situe dj au niveau des risques tolrables.

6. Activit de contrle :
Les activits de contrle correspondent lensemble des politiques et des
procdures mises en place pour assurer que les mesures prises par la direction pour
matriser les risques sont ralises. Les activits de contrle sont prsentes travers
toute lorganisation, tous les niveaux et dans toutes les fonctions.
Les activits de contrle sont gnralement mise en place pour assurer la
ralisation correcte des mesures prises pour faire face au risque, mais il arrive qu
lgard de certains objectifs, les activits de contrle elles-mmes constituent la
rponse au risque.
-

Les contrles prventifs ont pour but de limiter la possibilit de dveloppement

dun Risque et la ralisation dun rsultat non voulu.

-

Les contrles directifs visent sassurer quun rsultat particulier sera atteint.

- Les contrles des fins de dtection sont destins mettre en vidence si des
rsultats non voulus sont apparus "aprs coup".
-

Les contrles correctifs ont pour but de corriger les rsultats non

voulus qui sont apparus.

7. Information et communication :
Les informations utiles sont identifies, collectes, et communiques sous un format
et dans des dlais permettant aux collaborateurs dexercer leurs responsabilits. La
communication doit circuler verticalement et transversalement au sein de
lorganisation.
Information : La gestion des risques des entits ne prvoit spcifiquement quune
entit Doit runir un ensemble dinformations plus large que ce qui serait ncessaire
pour raliser les objectifs de contrle interne. Les donnes historiques permettent de
situer les ralisations effectives par rapport aux objectifs, aux plans et aux attentes et
peuvent donner un avertissement prcoce au sujet dvnements potentiels qui
requirent lattention de la direction.
Communication : La communication est inhrente aux systmes dinformation. Elle
a non Seulement pour but de permettre aux membres du personnel concerns de

sacquitter de leurs responsabilits, mais elle doit galement tre envisage dans un
sens plus large, o elle diffuse la culture dentreprise, rpond aux attentes, couvre les
responsabilits des individus et des groupes et assure dautres tches importantes.
8. Pilotage :
Le processus de management des risques est pilot dans sa globalit et modifi en
fonction des besoins. Le pilotage seffectue au travers des activits permanentes de
management ou par le biais dvaluation indpendantes ou encore par une
combinaison de ces deux modalits.
Le management des risques nest en aucun cas un processus qui pourrait tre
qualifi de squentiel, dans lequel un lment affecte uniquement le suivant. Cest
un processus dynamique, multidirectionnel et itratif, par lequel nimporte quel
lment a une influence et un impact immdiat et direct sur les autres.
Pour appliquer les composantes de la gestion des risques des entits, une entit
devrait Prendre en compte lensemble du champ de ses activits tous
les niveaux de Lorganisation. La direction devrait galement tudier les nouveaux
projets et initiatives en appliquant le modle de gestion des risques des entits.
3.3.

Rfrentiel ISO 31OOO :

ISO 31000 fournit des principes, un cadre et des lignes directrices pour grer toute
forme de risque d'une manire systmatique, transparente, et crdible dans
quelque domaine et quelque contexte que ce soit. Elle a t labore par Kevin W.
Knight, AM, prsident du groupe de travail ISO.
LISO 31000 ne vient pas se rajouter aux rfrentiels existants, elle les complte,
dans le cadre dune dmarche de management intgr et rationnel. Cette norme
nest dailleurs pas Certifiable . Il sagit dun outil complmentaire permettant de
dvelopper le principe de lapproche risque et de lintgrer dans les pratiques
managriales dentreprises.
Le management des risques ne concerne pas uniquement les grands groupes, il
concerne aussi les TPE et PME. Pour ces dernires la prise en compte des risques

(financiers, sociaux, technologiques, commerciaux, etc.) Est plus que jamais

vital ces temps ultra- concurrentiels15.
La norme recommande aux organisations et entreprises dlaborer et de mettre en
uvre un cadre de management du risque, qui sera intgr leur systme de
management gnral et constamment amlior.
La mise en uvre dISO 31000 permet, par exemple, une entreprise :

D'augmenter la probabilit que les objectifs seront atteints

D'encourager un management proactif

De prendre conscience de la ncessit d'identifier et de traiter le risque

travers toute l'entreprise

D'amliorer l'identification des opportunits et des menaces

De se conformer aux obligations lgales et rglementaires, ainsi qu'aux

normes internationales

D'amliorer les moyens de matrise

D'allouer et d'utiliser efficacement les ressources pour le traitement du risque

D'amliorer l'efficacit et l'efficience oprationnelles,

De renforcer les performances en matire de sant et de scurit, ainsi que

de protection environnementale

D'amliorer la prvention des pertes et le management des incidents

De minimiser les pertes

En parallle, l'ISO publie le Guide ISO 73:2009, Management du risque

Vocabulaire, qui complte ISO 31000 en fournissant un ensemble de termes et
dfinitions dans le domaine. Ils

peuvent tre appliqus par tout public, toute

entreprise publique ou prive, toute collectivit, toute association, tout groupe ou

individu. (Annexe 2)
Processus de gestion des risques voir Annexe N 2

15

Source : site : http://qualiblog.fr

4. La cartographie des risques16 :

La cartographie des risques est une composante essentielle du processus de gestion
des risques. Il sagit dune dmarche complexe, visant relier chaque niveau
oprationnel et dcisionnel, pour chaque entit et pour chaque processus cl :
-

une srie de risques identifis,

leurs causes,

leurs impacts,

les leviers dactions possibles,

les retours dexprience sur les sinistres antrieurs.

Pour faire de la cartographie des risques un outil de pilotage, il est ncessaire

danalyser chaque risque suivant les deux dimensions que sont le risque brut
(il permet danalyser lexposition absolue de lentit au risque en labsence de tout
lment de maitrise) et le risque net (il consiste quant lui analyser lexposition
actuelle de lentit, en tenant compte de lensemble des lments de maitrise
mis en place au regard de ce risque).
La cartographie des risques doit permettre de :
-

Recenser les risques de la manire la plus exhaustive possible et les classifier,

Identifier les risques critiques pour la mise en place de dispositifs de maitrise

adapts,
-

Dcrire

le

plus

prcisment

possible

les

risques

majeurs

auxquels

lorganisation est Confronte,

-

Intgrer lanalyse approfondie des processus et capitaliser lexpertise

oprationnelle,
-

16

Adapter les actions de rduction des risques les plus efficaces,

Fonction achat-contrle interne et gestion des risques- MAXIMA dition p.144 /145

- Initier une dmarche de quantification des besoins de financement aprs actions

de rduction des risques,
-

Accompagner

entit,

chaque

dcideur

(au

niveau

groupe,

par

mtier,

par

par tablissement) dans lvaluation et la rduction de ses vulnrabilits

significatives et majeures.
Pour laborer une cartographie, il faudra combiner entre deux approches :
Identification Bottom-up : l'identification est effectue de manire relativement
libre et ouverte par les personnes les plus proches de l'activit. Il s'agit donc
d'effectuer une remonte des risques du terrain vers les personnes en charge de
l'laboration de la cartographie. Ce type d'identification se fait gnralement par
l'intermdiaire d'interviews. Il est souvent souhaitable d'utiliser une grille dtermine
l'avance pour Sassurer que tous les types de risques possibles ont bien t
voqus au cours de l'interview.
Identification Top-down : l'identification des risques est dans ce cas
effectue de manire plus ferme c'est dire au moyen d'un questionnaire de type
QCM par opposition une identification ouverte par interviews. Le sujet cibl peut
permettre ici l'laboration de questionnaires relativement exhaustifs par les
personnes en charge de l'laboration de la cartographie. Ce processus permet ainsi
de descendre chercher l'information au lieu que l'information monte vers les
personnes charges de l'tablissement de la cartographie.
Section 2 : Position du contrle interne

et de laudit interne par rapport au

management des risques

Le passage du contrle interne se faisait sentir sur plusieurs niveaux tout en
essayant de garder une aire discrte quant au changement, dailleurs ce passage
sest fait sur deux niveaux le premier tant lvolution du contrle interne vers
lapproche contrle interne par la gestion des risques (COSO 1), le deuxime tant la
migration de ce dernier vers le management des risques (COSO 2).
En effet cette mtamorphose de la notion du contrle interne a permis de suivre la
cadence des mutations des organisations tout en essayant de mettre en place des

systmes de plus en plus aptes contrer les dfaillances qui ne cessent de surgir de
partout et de nulle part.
Ainsi soit-il, la proposition du nouveau rfrentiel ntait autre que la rponse aux
limites du premier rfrentiel

qui dailleurs na pas pu faire face la monte

spectaculaire des activits qua connu le XXIme sicle,

1. Articulation entre le management des risques et le contrle interne17 :
La gestion des risques des entits peut tre considre comme une volution
naturelle du modle de contrle interne. La plupart des organisations tendront
appliquer entirement le Modle de contrle interne avant de mettre en uvre les
concepts inhrents la gestion des
Risques des entits, dont le contrle interne fait intgralement partie.
Les dispositifs de gestion des risques et de contrle interne participent
de manire complmentaire la matrise des activits de la socit :
- Le dispositif de gestion des risques vise identifier et analyser les principaux
risques de la socit. Les risques, dpassant les limites acceptables fixes par la
socit, sont traits et le cas chant, font lobjet de plans daction. Ces derniers
peuvent prvoir la mise en place de contrles, un transfert des consquences
financires (mcanisme dassurance ou quivalent) ou une adaptation de
lorganisation. Les contrles mettre en place relvent du dispositif de contrle
interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposes
les activits de la socit ;
- De son ct, le dispositif de contrle interne sappuie sur le dispositif de gestion des
Risques pour identifier les principaux risques matriser ;
- En outre, le dispositif de gestion des risques doit lui-mme intgrer des contrles,
relevant du dispositif de contrle interne, destins scuriser son bon
fonctionnement.

17

Olivier Poupart-Lafarge Membre du Collge de lAMF Les dispositifs de gestion des risques et de contrle
interne, Cadre de rfrence, mis en ligne le 14 juin 2010

Pour COSO 1, une gestion des risques efficace consiste lutter contre les risques
les plus dangereux quant la ralisation des objectifs de lorganisation. Ce dispositif
montre comment un systme de contrle interne peut jouer un rle significatif dans la
rduction des risques grce la mise en place d'un cycle dynamique reliant les
personnes tous les niveaux de l'institution pour les intgrer au processus de
gestion

des

risques.

Il

rpertorie

les

principaux

risques auxquels sont

confrontes les directions dun organigramme

COSO 2 quant lui stipule que le contrle interne nest autre quun lment parmi
dautres ncessaires la mise en place dun systme de management des risques.
Aux yeux de ce dernier il ne constitue quune liste exhaustive des lments de
matrise existants et dont lobjectif du management des risques est de soit renforcer
lexistant via les rponses aux risques proposes par les parties du dbat lors des
entretiens, soit dallger le systme de contrle en liminant quelques lments de
matrise jugs inutiles selon le rapport cot/bnfice.
L'articulation et l'quilibre conjugu des deux dispositifs sont conditionns par
l'environnement de contrle, qui constitue leur fondement commun, notamment: la
culture du risque et du contrle propres la socit, le style de management, et les
valeurs thiques de la socit.
2. Lien entre le management des risques et laudit interne :
Actuellement, lenjeu de lauditeur interne consiste en la mise en uvre des normes,
de mthodes et de recommandations prcises et rigoureuses. Par contre, laudit
interne et le management des risques ont un enjeu commun : la scurisation du
processus de dcision du manager pour quil atteigne ses objectifs stratgiques.
Lauditeur interne doit sassurer quun management des risques existe dans
lentreprise et ceci tous les niveaux hirarchiques et dans le cas contraire, il peut
participer sa mise en place sans pour autant aller au-del de lvaluation qui est
son rle.
Ainsi le premier niveau de proccupation de laudit interne doit tre lanalyse des
risques lis aux processus en valuant grce des audits la qualit et lefficacit de
ces processus. Le dispositif dvaluation des risques permet alors lidentification des

activits qui mritent dtre audites parce quelles sont considres comme
essentielles pour lentreprise.
Lune des principales missions du Conseil (ou son quivalent), consiste sassurer
que les processus de gestion du risque fonctionnent correctement et que les
principaux risques sont maintenus un niveau acceptable.
Il est probable que cette assurance proviendra de diffrentes sources. Parmi ces
sources, lassurance provenant de la direction est fondamentale, mais doit tre
complte par une assurance objective, manant principalement de laudit interne.
Les autres sources sont laudit externe et les examens par des experts
indpendants. Laudit interne apporte normalement des assurances dans trois
domaines :

Les

processus

de

gestion

du

risque,

la

fois

concernant

leur

conception et leur fonctionnement.

La gestion des risques classs dans la catgorie majeurs , y compris

lefficacit des contrles et autres mesures de matrise des risques.

La fiabilit et la qualit de lvaluation et de la communication des risques et

de ltat Des contrles.

Des travaux de recherche ont montr que les membres du conseil et les auditeurs
internes saccordent dire que les deux activits daudit interne les plus porteuses
de valeur ajoute pour les organisations sont les suivantes : apporter lassurance
objective que les principaux risques sont bien grs et apporter lassurance que le
cadre de la gestion des risques et du contrle interne fonctionne correctement.
Management des risques et audit interne, en prcisant leurs rle de manire exacte,
participeront ensemble assurer et scuriser lentreprise face aux multiples risques.
Conclusion
Au terme de ce chapitre, je peux dire que lorsque le dispositif de management des
risques savre tre efficacement gr pour chacune des quatre catgories
dobjectifs, le conseil dadministration et la direction de lorganisation peuvent
considrer quils ont une assurance raisonnable de disposer dune vision claire sur la
faon dont les objectifs stratgiques et oprationnels de lentreprise sont en passe d

tre atteints, de la fiabilit du reporting et du respect des lois et rglements

applicables.
Si le dispositif de management des risques offre des avantages importants, il
comporte nanmoins certaines limites. Ces limites rsultent :
- dune erreur de jugement dans la prise de dcision ;
- de la prise en compte du rapport cots / bnfices dans le choix du traitement des
risques, et de la mise en place des contrles,
- de faiblesses potentielles dans le dispositif, susceptibles de survenir en
raison de dfaillances humaines (erreurs),
- de contrles susceptibles dtre djous par collusion entre deux ou plusieurs
individus,
- de la possibilit qua le management de passer outre les dcisions prises en
matire de Gestion des risques.
Le management des risques nest pas un processus squentiel dans lequel un
lment affecte uniquement le suivant. Cest un processus multidirectionnel et itratif
par lequel nimporte quel lment une influence immdiate et directe sur les autres.
CONCLUSION DE LA PREMIERE PARTIE
Aprs avoir achev la premire partie du rapport, qui ne relate que le ct
conceptuel , le premier chapitre a permis de prsenter les lments relatives au
management des risques savoir le contrle interne et laudit interne, qui tout deux
permettent lorganisation de faire face aux risques dune manire plus efficace. Le
deuxime chapitre cest focaliser sur le traitement du concept management des
risques en prsentant les lments cls qui y sont lis, en sappuyant sur des
rfrentiels internationaux significatifs, notamment le rfrentiel COSO II, et en
mettant le point sur la relation qui existe entre le contrle interne, laudit interne et le
management des risques.
Il sest avr que L'audit interne doit valuer les processus, de management des
risques et de contrle, et contribuer leur amlioration. La gestion des risques des
entits peut tre considre comme une volution naturelle du modle de contrle

interne. La plupart des organisations tendront appliquer entirement le modle de

contrle interne avant de mettre en uvre les concepts inhrents la gestion des
risques des entits, dont le contrle interne fait intgralement partie.
On peut dduire que le management des risques cre de la valeur (utile aux objectifs
de lorganisation), est intgre aux processus organisationnels (utile aux activits) et
aux processus de prise de dcision (utile aux dcisions). Il est laffaire de tous les
acteurs de la socit, et vise tre globale et doit couvrir lensemble des activits,
processus et actifs de la socit. Lobjectif de la mise en place dune cartographie
des risques est didentifier les zones de risques et mettre la disposition des
oprationnels un rfrentiel de matrise des risques dont ils pourront vrifier le
respect et dapporter priodiquement des amnagements pour le faire voluer.
Cest dans cette vision que la deuxime partie sera consacre un cas pratique du
dploiement du systme management des risques au sein de lOffice National
de lEau Potable (ONEP), spcifiquement au niveau du cycle stock de loffice.