Cartographie Des Risques Okokok

L E S C A H I E R S D E L A R E C H E R C H E
GUIDE D’AUDIT
Cartographie
des risques
Groupe Professionnel
Assurance
CARTOGRAPHIE DES RISQUES
IFACI – Paris – juillet 2006
ISBN : 2-915051-16-X
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou

de ses ayants droits, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette
représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanc-
tionnée par les articles 425 et suivants du Code Pénal.
REMERCIEMENTS DE L’IFACI
L’IFACI tient tout particulièrement à remercier les participants du groupe Assurance qui ont
conçu et rédigé ce cahier :
Marc BARBIER GROUPAMA PARIS VAL DE LOIRE

Philippe BERAUD SCOR
Florence BERGERET IFACI
Marie-Caroline BRASIER FEDERATION CONTINENTALE
Eric BURLOT LA MONDIALE
Franck COISNON OTC CONSEIL
Patrick DUPUIS AZUR GMF
Jean-Marc DEVAUD GAN PREVOYANCE
Nicolas FAQUET AXA
Jacques FASSEL SCOR
Anne FUSS MONDIAL ASSISTANCE
Florence FRADIN IFACI
Dominique GALINIE MACIF
Valérie GHESQUIERE FEDERATION CONTINENTALE
Jean-Marc GUITEAU MMA
Patrick KREPPER MONDIAL ASSISTANCE
Sylvie LEROY GAN PREVOYANCE
Pierre LEVEILLER MMA
Dominique MACE MONDIAL ASSISTANCE
Didier MERCKLING GROUPAMA SA
Pascal MILLARD MACIF
Philippe MOULAY MACIF
Jean-Paul NICOLAÏ OTC CONSEIL
Patrick SAINT MAXENT LA MONDIALE
Philippe SALAUN CNP
Nelly SALUS OTC CONSEIL
Alain SINEAU MMA
Marc TOURTELIER GROUPAMA PARIS VAL DE LOIRE
Serge VALERINO MMA
Christophe de VAUBLANC SWISS LIFE
Louis VAURS, Délégué Général
GUIDE D’AUDIT 3
4 GUIDE D’AUDIT
REMERCIEMENTS DU PRÉSIDENT
DU GROUPE PROFESSIONNEL ASSURANCE DE L’IFACI
La publication de « la cartographie des risques » par le Groupe Professionnel Assurance

de l’IFACI constitue une double source de satisfaction. Il s’agit d’abord d’une démarche
collégiale, engagée fin 2003, par le « Club d’Audit des Assureurs » sous la forme d’un
groupe de travail qui a su, sous l’impulsion de Jean-Marc GUITEAU, Déontologue Groupe
et Responsable du contrôle interne des MMA, fédérer les apports d’une dizaine de contri-
buteurs. Le document de synthèse qui a été produit, au terme de 2 années d’échanges,
forme ensuite un outil, marqué par une connaissance intime des métiers de l’assurance,
qui se révélera extrêmement précieux pour tous ceux qui, dans le cadre de la Loi de
Sécurité Financière, des dispositions Sarbanes-Oxley ou du COSO 2, se préoccupent du
renforcement de leur contrôle interne et de leur maîtrise des risques.
Je tiens à remercier Jean-Marc GUITEAU et l’ensemble des participants aux différentes ses-
sions du groupe de travail pour leur persévérance et la très grande qualité du travail
réalisé. Il nous appartient désormais, dans un environnement d’audit et de contrôle
interne qui ne manque pas de sujets d’actualité, notamment sur le plan réglementaire, de
relever le défi d’une future contribution qui ne pourrait être que tout aussi remarquable.
Jean-Yves PELISSON
Président du Groupe Professionnel Assurance de l’IFACI,
Directeur de l'Audit Général Groupe AGF
GUIDE D’AUDIT 5
6 GUIDE D’AUDIT
TABLE DES MATIÈRES
INTRODUCTION ................................................................................................... 9
PRÉAMBULE ...................................................................................................... 11
I. LA DÉMARCHE .............................................................................................. 13
1.1 Conditions préalables ..................................................................................................... 13
1.1.1 Volonté forte des dirigeants .................................................................................... 13
1.1.2 Passage obligé par la cartographie des processus ............................................... 13
1.1.3 Utilisation de deux approches complémentaires : Top Down et Bottom Up . 14
1.1.4 Positionnement des opérationnels au cœur du dispositif ................................. 17
1.1.5 Communication à tous les niveaux ....................................................................... 18
1.1.6 Actualisation régulière ............................................................................................. 18
1.2 Etapes de la construction d’une cartographie des risques ....................................... 19
1.2.1 Définir les objectifs ................................................................................................... 19
1.2.2 Répertorier les processus ........................................................................................ 19
1.2.3 Identifier les risques ................................................................................................. 19
1.2.4 Evaluer les risques ................................................................................................... 20
1.2.5 Eviter les écueils ....................................................................................................... 20
II. LA NOTION DE RISQUE ................................................................................. 21
2.1 Définition du risque ........................................................................................................ 21
2.2 Typologie des risques ..................................................................................................... 21
2.3 Mesure du risque ............................................................................................................ 22
2.4 Niveau de granularité .................................................................................................... 23
2.5. Evaluation des risques .................................................................................................. 24
2.6 Quelques exemples ......................................................................................................... 27
2.6.1 Exemples d’évaluation des risques ....................................................................... 27
2.6.2 Exemple du processus de souscription de contrat automobile ........................ 27
III. LES MENACES IGNORÉES ............................................................................ 30
3.1 Risques ignorés ................................................................................................................ 30
3.2 Méthodologies possibles pour identifier les risques « ignorés » ............................. 31
3.2.1 Exemples de facteurs d’alerte ................................................................................. 31
3.2.2 Priorisation du traitement des menaces ignorées ............................................... 32
CONCLUSION .................................................................................................... 33
ANNEXES .......................................................................................................... 35
ANNEXE 1 : Glossaire ............................................................................................................. 37
ANNEXE 2 : Evaluation des risques majeurs ...................................................................... 39
ANNEXE 3 : Exemple de restitution de la démarche de cartographie associée au
processus de gestion immobilière .................................................................. 55
ANNEXE 4 : Typologie des risques ....................................................................................... 60
ANNEXE 5 : Détail des macro processus d’une entreprise d’assurance ......................... 79
ANNEXE 6 : Démarche de cartographie : processus de souscription d’un contrat
d’assurance automobile ................................................................................... 81
ANNEXE 7 : Tableau des menaces ........................................................................................ 87
GUIDE D’AUDIT 7
8 GUIDE D’AUDIT
INTRODUCTION
Le groupe de travail a fonctionné de façon pragmatique et collégiale. Pragmatique dans la

mesure où chacun y a participé sur une base volontaire afin d’y apporter sa propre expé-
rience et s’enrichir de celle des autres participants. Collégiale car il s’agissait de définir de
façon consensuelle la position du groupe de travail.
L’objectif du groupe de travail, ou sa lettre de mission, était de mettre à disposition des

professionnels de l’assurance une méthodologie et une boîte à outils permettant le démar-
rage et la conduite d’un projet de cartographie des risques dans les meilleures conditions
de réussite possibles.
Dans ce contexte, la démarche mise en œuvre a consisté à identifier dans un premier temps
les éléments constitutifs d’une cartographie des risques. Ainsi, ont été dissociés les « maté-
riaux de base » que sont les processus, les risques définis selon le COSO 21 comme, la
« possibilité qu’un évènement se produise et ait une incidence défavorable sur la réalisa-
tion des objectifs », les éléments de maîtrise de ces risques et la mesure de leur efficacité.
Ensuite, la solidité et la pertinence de cette réflexion préalable ont été confrontées à la

réalité du terrain au travers de tests de cartographies menés par certaines des entreprises
participantes. Ce sont ces éléments que nous allons détailler dans le présent document.
Ce cahier de la recherche ne propose ni solution miracle, ni démarche exacte, et d’ailleurs

certaines des sociétés participantes au groupe de travail ne l’ont pas appliquée strictement.
En effet, toute démarche de cartographie doit tenir compte du contexte dans lequel elle est
mise en œuvre, et notamment :
• du dispositif de contrôle interne préexistant et de l’organisation dans lesquels la démar-
che est mise en œuvre ;
• de la maturité de l’entreprise en matière de gestion des risques et de l’impact de
« Solvabilité II »2 sur son organisation et sa gestion de risques ;
• des risques que l’on souhaite effectivement appréhender et piloter au moyen d’une car-
tographie ; s’agit-il principalement des risques les plus graves ou au contraire de
l’ensemble des risques identifiés ?
Enfin, ce cahier traite de l’identification, de la mesure et du pilotage des risques découlant

de la mise en œuvre opérationnelle du métier d’assureur et non des risques acceptés et
garantis dans le cadre de ce même métier.
1
Ouvrage traduit en français par l’IFACI et PwC en 2005 sous le titre « Le Management des risques de
l’entreprise » - copyright en français IFACI.
2
Tout comme « Bâle II » pour le secteur bancaire, la directive européenne « Solvabilité II » prévue en juillet 2007
a pour objectif principal de faire en sorte que les exigences imposées aux entreprises d’assurance reflètent mieux
les risques auxquels celles-ci sont réellement confrontées.
GUIDE D’AUDIT 9
10 GUIDE D’AUDIT
PRÉAMBULE
Contexte :
Depuis une vingtaine d'années, des dispositifs plus ou moins complets ont vu le jour au
plan international. Les affaires ENRON, WORLDCOM, VIVENDI, pour ne citer que les
plus symptomatiques, ont provoqué une nouvelle prise de conscience. Les différents codes
ou lois promulgués, que ce soit le TURNBULL GUIDANCE en Angleterre, le SARBANES-
OXLEY ACT aux Etats-Unis, ou la Loi de Sécurité Financière plus proche de nous répon-
dent à l’objectif principal de donner l’assurance aux administrateurs, aux actionnaires, aux
clients, aux partenaires, aux autorités de contrôle, que les activités sont maîtrisées grâce à
un contrôle interne efficient.
La loi de sécurité financière publiée en août 2003 et le décret du 3 janvier 2005 pour les
Sociétés d’Assurance mutuelles, imposent au Président du Conseil d’Administration ou
de Surveillance de rendre compte, dans un rapport, des procédures de contrôle interne
mises en place; ces procédures, pour leur partie relative à l’élaboration et au traitement de
l’information comptable et financière, devant faire l’objet en outre d’un rapport spécial des
commissaires aux comptes.
Même si les rapports portant sur les exercices 2003 et 2004 font état de descriptions du
dispositif de contrôle interne et des principaux risques sans appréciation de l’efficacité du
dispositif, on peut penser qu’il s’agit d’une première étape.
Cette loi et ce décret incitent à identifier les risques liés aux activités de la société, l’analyse
des risques constituant un des points majeurs de tout dispositif de contrôle interne.
Même si les fonctions de contrôle interne sont apparues plus récemment dans le domaine
de l'Assurance que dans le secteur bancaire, de nombreuses Sociétés d'Assurance n'ont
bien sûr pas attendu la promulgation de la LSF pour se préoccuper d'audit et de contrôle
internes, l'évaluation du risque étant, par nature, au cœur du métier d'Assureur.
On peut simplement observer que ce contexte, pour certaines Sociétés d'Assurance, est
venu conforter et légitimer les activités d'audit et de contrôle internes déjà en place et, que
pour d'autres , cela a été l'occasion de les organiser.
Mais au-delà du respect de la loi, le renforcement du contrôle interne est source de valeur
ajoutée et permet notamment de :
• favoriser la transparence et la fiabilité des informations financières ;
• optimiser l’efficacité de l’organisation et des processus ;
• garantir le respect des lois et règlements ;
• assurer la qualité de la gouvernance.
La dimension « risque » vient enrichir la vision des dirigeants en complément des axes
stratégiques et opérationnels et devient un élément de management à part entière.
GUIDE D’AUDIT 11
12 GUIDE D’AUDIT
I. LA DÉMARCHE
1.1 Conditions préalables
Cette partie aurait pu tout aussi bien s’intituler « Principes à respecter », ou les « Facteurs
clés de succès », ou plus encore « Nos convictions », dans la mesure où elle regroupe les
principales conditions à réunir pour réussir une cartographie des risques. Ces conditions
sont au nombre de six.
1.1.1 Volonté forte des dirigeants
Cette volonté doit se trouver à deux niveaux :
• Le Conseil d’Administration ou Conseil de Surveillance tout d’abord, dont le

Président, il faut le rappeler, se doit de produire le « Rapport du Président » sur les pro-
cédures de contrôle interne. Or l’identification et l’évaluation des risques est à la base
d’un bon dispositif de contrôle interne. Lorsqu’il existe, le Comité d’Audit est le lieu
privilégié où doit se manifester cette volonté.
• La Direction Générale, qui doit donner l’impulsion à l’ensemble du dossier, mais sur-
tout créer les conditions et mettre en place les moyens de réaliser cette cartographie des
risques, ce qui passe inévitablement par l’allocation de ressources dédiées. Plus large-
ment, le Comité de Direction doit être complètement partie prenante, ne serait-ce que
parce que chaque Directeur, qu’il soit opérationnel ou fonctionnel, doit initier cette
démarche dans sa propre Direction.
1.1.2 Passage obligé par la cartographie des processus
Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :
simple modélisation des process, migration d’un système d’information vers un autre,
harmonisation des process après fusion d’entreprises… Mais il en est au moins une qui la
rend indispensable : l’élaboration de la cartographie des risques.
D’une façon générale, nous retrouvons trois grandes catégories de processus :

• les processus métiers, ou processus opérationnels, ou processus de réalisation : vente,
souscription, production, sinistres… ;
• les processus managériaux ou de pilotage : stratégie, plans d’actions, budget… ;
• les processus supports : ressources humaines, finances, comptabilité, informatique,
logistique…
GUIDE D’AUDIT 13
1.1.3 Utilisation de deux approches complémentaires : Top Down et

Bottom Up
Dans le cadre d’une démarche de cartographie, il est possible de distinguer parmi les nom-
breuses méthodes possibles deux grandes approches. La première consiste à partir des
processus pour identifier les différents risques de l’entreprise, la seconde est basée sur un
recensement des risques par le Comité de Direction. Ces deux possibilités ne s’opposent
pas mais se complètent :
Métier Top down
Domaine
Processus
Opérations
Bottom up
Tâches élémentaires
Cette partie reprend les grandes séquences de chaque méthode, discute des avantages et
des inconvénients de chacune et indique les écueils à éviter.
1.1.3.1 L’approche Top Down
Première étape : l’analyse des risques
Dans cette démarche, le risque est appréhendé dans une vision globale de l’entreprise.
L’approche consiste à faire identifier les risques majeurs par les membres du Comité de
Direction. Ainsi, les dangers sont recensés au regard de la stratégie suivie par l’entreprise.
Une autre approche consiste à identifier les risques par parties prenantes (salariés, action-
naires, clients, etc.) afin de recenser les menaces qui pèsent sur l’entreprise. Cette dernière
approche a été testée par le Groupe de travail, mais elle ne s’est toutefois pas avérée opé-
rationnelle.
Deuxième étape : le rattachement des risques aux processus
Au cours de cette phase, il s’agit de remplir le double objectif de mise en cohérence des
risques identifiés avec les activités de l’entité et d’exhaustivité de la cartographie.
En effet, les risques mis en évidence au niveau de la démarche Top-Down doivent être rat-
tachés aux processus de l’activité.
Ce rapprochement a également pour effet bénéfique de s’assurer de la complétude de
l’analyse.
14 GUIDE D’AUDIT
Troisième étape : l’évaluation et la hiérarchisation des risques
Les risques d’une compagnie d’assurance sont analysés en approche « Top-Down » avec
la Direction générale, en s’appuyant sur une représentation graphique bidimensionnelle
(fréquence/impact) sous forme de matrice de criticité (cf. annexe 2). La finalité d’une telle
approche est de schématiser le profil de risques propre à la compagnie, et de déterminer
un ordre de priorité des risques majeurs pour leur traitement.
Les niveaux de criticité en impact (perte potentielle en unités de valeur) pourront cor-
respondre à des seuils fixés dans le cadre de la gestion des fonds propres (ceux de la
société mère et ceux de la filiale concernée) et dans le cadre de la réassurance (réassurance
des événements catastrophiques, réassurance par sinistre).
Les niveaux de criticité en fréquence (nombre de survenances possibles d’un risque en une
année), pourront être faibles (inférieurs à un seuil très bas pouvant correspondre à celui
recommandé par BALE II), moyens, élevés et certains (c’est à dire avec survenance certaine
plusieurs fois dans l’année).
La matrice de criticité pourra enfin être représentée sous trois versions : les risques bruts,
les risques résiduels acceptés et les risques résiduels réels.
Enfin une méthodologie peut être développée afin d’appuyer l’évaluation des risques
majeurs sur le niveau de qualité du contrôle interne et de la maîtrise des risques (voir
annexe 2).
1.1.3.2 L’approche Bottom Up
Première étape : l’identification des processus
Le recensement des processus de l’entreprise constitue le point de départ de cette démar-

che.
Un niveau de détail approprié doit être choisi en fonction des objectifs de la cartographie.
Ce niveau doit être suffisamment fin pour identifier de façon pertinente les risques signi-
ficatifs mais ne doit pas conduire à lister l’ensemble des sous processus de l’entreprise.
Ce choix permet ensuite de déterminer le niveau hiérarchique d’interlocuteur à rencontrer
afin de collecter les informations.
Une fois le contexte de cette démarche rappelé aux personnes interrogées, l’entretien peut
se dérouler de deux manières distinctes. Il peut être basé sur un questionnaire ou se dérou-
ler de façon ouverte, permettant ainsi une plus grande liberté dans l’expression de la
vision des processus et des risques de la part des opérationnels.
Les informations recueillies au cours de cette étape sont ensuite classées afin d’établir une
nomenclature des processus majeurs.
Ils sont à la base de l’établissement de la cartographie des risques et peuvent être classés
en 3 grandes familles. Les processus relatifs à la production quotidienne (processus
métiers), ceux relatifs aux activités permettant le bon fonctionnement de l’entreprise (pro-
cessus supports) et ceux concernant les activités de management (processus managériaux).
GUIDE D’AUDIT 15
Deuxième étape : l’identification des risques
Une première identification des risques est réalisée au cours des entretiens avec les opéra-
tionnels. Comme pour le recensement des processus, la description des risques peut se
faire soit sur la base d’un questionnaire soit de manière ouverte, facilitant ainsi l’identifi-
cation de risques.
Cette première identification est construite conjointement par le management de l’activité
opérationnelle et les équipes en charge de la cartographie.
Le recensement des risques étant réalisé à partir de différentes activités prises isolément,
il apparaît important d’identifier également les risques liés aux interrelations entre ces acti-
vités.
Ce n’est qu’une fois cette étape franchie que ces risques pourront être classés. Plusieurs
possibilités sont alors offertes. L’entreprise peut faire le choix d’une typologie spécifique à
l’entreprise, en fonction du domaine d’activité et des objectifs définis pour la démarche.
Troisième étape : l’évaluation et la hiérarchisation des risques
Avant de se lancer dans cette étape, il convient de définir un certain nombre de principes
structurants tels que les méthodes d’évaluation des risques. Elles sont différentes selon
qu’il s’agit de répondre à une question de stratégie ou d’analyse de type rentabilité/risque.
Les risques sont évaluables quantitativement par les informations recueillies dans le cadre
de l’analyse des processus. Ce sont soit des données déjà existantes : statistiques et
tableaux de bord, bases incidents, comptes techniques, … ; soit des données constituées
pendant la démarche d’identification des risques : comptage d’opérations et d’anomalies,
mise en place de statistiques d’observation, etc. De même que pour la démarche « bottom-
up », il est préférable que ce travail soit réalisé avant tout par les opérationnels concernés.
En résumé, l’évaluation pourra être soit qualitative et être établie sur la base de rapports
de l’audit interne ou d’avis d’experts, soit semi-quantitative et basée sur un système de
notation du couple fréquence/impact, soit quantitative quand un chiffre de perte proba-
ble est associé à un risque
1.1.3.3 La construction de la cartographie
Cette phase est essentielle dans la démarche de cartographie dans la mesure où elle per-
met de s’assurer de la meilleure identification des risques de l’entreprise. En effet, l’iden-
tification des risques inhérents aux processus opérationnels de l’entreprise ne permet pas
de prendre en compte certains dangers dits stratégiques. Par exemple, le risque d’image
ou bien le risque légal (responsabilité des dirigeants) pourrait être omis sans la réalisation
de cette étape. Pour répondre à ce besoin, ces risques stratégiques doivent être étudiés et
rapprochés de la cartographie obtenue par l’analyse des processus.
Selon les participants du groupe de travail qui ont entrepris une démarche de cartographie
au sein de leur entreprise, la construction s’effectue en référence permanente avec la typo-
logie des risques afin de veiller à ne pas oublier certains risques. Ce rapprochement per-
met également l’élaboration de tableaux de cartographie, tableaux dont des exemples sont
joints en annexe 3.
16 GUIDE D’AUDIT
1.1.3.4 Avantages, inconvénients, écueils à éviter
La méthode Bottom-up présente des avantages à 3 niveaux.

• L’approche par les processus permet d’obtenir une bonne connaissance des activités de
l’entreprise et les résultats peuvent ensuite être utilisés à d’autres fins, dans le cadre
d’une réorganisation ou à l’occasion d’une démarche qualité.
• L’analyse dans le détail des activités permet un recensement exhaustif des risques.
• La consultation des opérationnels pour la réalisation de la cartographie permet d’obte-
nir une implication satisfaisante de leur part.
En revanche, c’est une démarche consommatrice de temps dans la mesure où elle requiert
la tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs, elle
peut s’avérer coûteuse en termes de compétences et de systèmes car la collecte des don-
nées nécessite souvent le recours à des outils adaptés.
Quant à l’approche Top-down, elle permet une mise en œuvre plus légère puisque les
entretiens nécessaires sont moins nombreux et ne nécessitent pas une analyse des proces-
sus. L’examen des risques stratégiques permet également de s’assurer de la prise en
compte plus immédiate des processus transversaux ou managériaux, ce qui peut être plus
en adéquation avec les attentes de la Direction générale.
Cependant, elle présente l’inconvénient d’être moins précise, tant dans l’identification des
risques que dans leur quantification. Par ailleurs, les opérationnels n’étant pas associés, ils
peuvent avoir du mal à s’approprier la démarche.
Le groupe de travail considère ces deux démarches comme complémentaires et c’est pour-
quoi il recommande, dans la mesure du possible, de les combiner en fonction des moyens
et des délais accordés.
En effet, ces deux approches, non seulement ne s’opposent pas, mais sont complémentai-
res. Elles peuvent être conduites soit de façon successive, soit de façon simultanée, la ques-
tion du choix pouvant se poser lors du démarrage d’un projet de cartographie.
L’approche Top Down facilite la fixation de priorités d’actions dans ce qui remonte de
l’approche Bottom Up, et cette dernière permet de valider et de compléter les éléments res-
sortis dans l’approche Top Down.
Ces deux méthodes ont ainsi naturellement vocation à alimenter et faire vivre la carto-
graphie.
Enfin, il convient de préciser que, quelles que soient la ou les méthodes utilisées, nous ne
pouvons jamais être certain de couvrir l'exhaustivité des risques.
1.1.4 Positionnement des opérationnels au cœur du dispositif
On entend ici par opérationnels, l’ensemble des collaborateurs qui agissent dans l’entre-
prise : les commerciaux (qu’ils soient salariés ou mandataires), les gestionnaires (tant en
production qu’en sinistres ou prestations), mais aussi tous les collaborateurs fonctionnels
GUIDE D’AUDIT 17
d'un Siège : comptables, chargés d’études, gestionnaires paie…. L’encadrement de proxi-

mité fait partie intégrante des opérationnels.
Chaque opérationnel, chaque manager de proximité est propriétaire de ses risques.
Ils doivent s’approprier la démarche et être les premiers consultés, quelles que soient les
méthodes mises en œuvre, que celles-ci reposent sur des questionnaires individuels, des
ateliers ou des interviews.
1.1.5 Communication à tous les niveaux
Si l’impulsion, en terme de communication, doit aussi être donnée par la Direction

Générale, il appartient à chaque Directeur, cadre supérieur, cadre de proximité de relayer
cette communication et ce, sur deux registres.
D’abord, par le canal classique hiérarchique, communication :

• entre la Direction Générale et les Directeurs ;
• entre le Directeur et son encadrement supérieur ;
• entre l’encadrement supérieur et l’encadrement de proximité ;
• entre l’encadrement de proximité et les opérationnels ;
en étant vigilant sur les risques de déperdition d’information entre les différents niveaux.
Mais la communication doit aussi fonctionner de façon transversale :

• entre les Directions opérationnelles ;
• entre les Directions fonctionnelles ;
• entre les Directions opérationnelles et les Directions fonctionnelles;
chacune des Directions étant presque toujours intégrée dans un macro-processus, tour à
tour client puis fournisseur des autres Directions.
1.1.6 Actualisation régulière
Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielle
dans la mise en œuvre du dispositif de contrôle interne.
Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant régulière-
ment. A défaut, et compte tenu de la rapidité de l’évolution de la vie de l’entreprise, cette
cartographie deviendrait rapidement inopérante et l’entreprise perdrait le bénéfice de
l’investissement réalisé au départ. Mais, là aussi, cela nécessite d’allouer un minimum de
ressources à la maintenance de cet outil.
Par ailleurs, cette actualisation sera facilitée s'il existe notamment :

• un Comité des Risques au niveau de l'entreprise ;
• un Responsable des Risques au sein de chaque entité opérationnelle.
Enfin, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les incer-
titudes croissantes liées à l'environnement, rendent indispensables cette actualisation.
18 GUIDE D’AUDIT
Ces six conditions présentées ci-dessus constituent une situation quasi-idéale, dont il faut
essayer de se rapprocher. Bien évidemment, le principe de réalité fait que certaines condi-
tions seront imparfaitement remplies, ce qui ne doit pas empêcher la production d’une car-
tographie des risques.
1.2 Etapes de la construction d’une cartographie des risques
Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la démarche d’élaboration
d’une cartographie des risques ne peut réussir que si les cinq étapes ci-dessous sont fran-
chies.
1.2.1 Définir les objectifs
Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne.
Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise,
en fonction de son organisation : par métier, par zone géographique, par segment de mar-
ché… ?
Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, de
marge technique, de qualité de service client, de produits financiers, de résultat d’exploi-
tation… ?
1.2.2 Répertorier les processus
Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte des
objectifs ?
Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, certes décom-
poser les macro-processus en sous-processus (ou processus spécialisés) mais aussi veiller
à ne pas descendre à un niveau trop fin (les tâches élémentaires par exemple), ce qui ren-
drait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveau
des processus supposés porteurs de risques significatifs.
1.2.3 Identifier les risques
Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus,
il est indispensable de procéder à l’identification des risques, au sens d’événements venant
perturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes appropriées
(cf. documents joints en annexe 2). Mais s’arrêter à la seule identification des risques serait
néanmoins insuffisant.
GUIDE D’AUDIT 19
1.2.4 Evaluer les risques
Ausitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard des
deux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), là
aussi en utilisant les approches méthodologiques les plus adaptées (cf. documents en
annexe 2), telles que la matrice de criticité.
Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque rési-
duel, résultant de la mise en œuvre des éléments de maîtrise.
1.2.5 Eviter les écueils
Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenir
compte dès le début de la mise en œuvre de la cartographie.
Le recensement des processus et des risques inhérents ne doit pas descendre, en matière
de granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivité
des risques peut conduire à un long travail d’identification ; certains de ces risques s’avé-
rant in fine non significatifs ou non pertinents.
L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre la
consolidation et l’exploitation des informations difficiles.
Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une identifica-
tion partielle des risques, l’opérationnel rencontré étant cantonné à un cadre délimité par
des questionnaires ou cartographies de référence.
De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’une
approche trop inquisitrice, installant de fait un climat moins propice aux échanges et à
l’expression spontanée des risques.
Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utilisées

avec les objectifs assignés à la démarche de cartographie. Une approche quantitative peut
en effet s’avérer inappropriée dans certains cas. En revanche, le recours à des méthodes
purement qualitatives ne permet pas toujours d’évaluer avec justesse l’importance des
mesures de contrôle à mettre en œuvre ; l’entreprise pouvant renoncer à des couvertures
jugées trop coûteuses sur la base de risques évalués grâce à une échelle de notation.
20 GUIDE D’AUDIT
II. LA NOTION DE RISQUE
2.1 Définition du risque
Un risque est communément défini comme « une menace qu’un événement ou une action se
produise dans le futur et entraîne des effets négatifs pour l’entreprise dans les objectifs qu’elle s’est
fixée ».
L’IFACI définit le risque (lexique « Les mots de l’Audit ») comme étant « un ensemble
d’aléas susceptible d’avoir des conséquences négatives sur une entité et dont le contrôle interne et
l’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise ».
Dans une approche plus internationale, la définition du Risque proposée dans le COSO 2
est la suivante : « Possibilité qu’un évènement se produise et ait une incidence défavorable sur la
réalisation des objectifs ».
Cette connotation négative du risque doit se transformer en « une opportunité que l’entre-
prise doit anticiper, comprendre et gérer dans le cadre de sa stratégie pour atteindre ses objectifs et
créer de la valeur ». Ceci repose également sur l’élaboration d’une cartographie des risques.
2.2 Typologie des risques
En préalable, il convient de préciser que la typologie des risques telle que l’a abordée le
groupe de travail ne porte pas sur les risques acceptés et garantis dans le cadre du métier
d’assureur mais sur ceux découlant de la mise en œuvre opérationnelle de ce métier.
Le risque est inhérent à l’activité de l’entreprise. Deux catégories majeures de risques sont
alors rencontrées :
• les risques endogènes, propres à l’activité de l’entreprise, qui sont liés à ses processus,
son organisation, son système d’information, son management, etc. ;
• les risques exogènes dont l’origine provient de l’environnement de l’entreprise : les
clients, les fournisseurs, les sociétaires ou actionnaires, les concurrents, les marchés
financiers, les catastrophes naturelles ; l’entreprise ayant peu de prise sur cette dernière
catégorie de risques.
Dans ces deux grandes catégories, les risques se déclinent en :

• risques avérés, c’est à dire qui se sont déjà concrétisés dans le passé ;
• risques potentiels, c’est à dire qui sont connus mais qui ne se sont pas encore concréti-
sés ;
• risques non identifiés ou risques ignorés (cf. partie III).
GUIDE D’AUDIT 21
Le groupe de travail a élaboré une « Nomenclature des risques d’une entreprise d’assuran-
ces » (présentée en annexe 4) permettant de lister et structurer les risques encourus par une
compagnie d’assurance et ainsi avoir un vocabulaire commun. Sans être exhaustive, cette
nomenclature descend à un niveau de détail suffisant pour être exploitable, c’est à dire
pour définir non seulement les risques au niveau de l’entreprise d’assurance, mais aussi au
niveau de chaque secteur opérationnel de l’entreprise.
Cette modélisation a conduit à définir trois niveaux de risques complémentaires, permet-

tant ainsi un degré de finesse satisfaisant :
• le niveau 1, qui concerne les grandes familles de risques (financiers, opérationnels…) ;
• le niveau 2, qui permet de mieux cerner dans quelle catégorie de risques on se situe au
sein d’une même famille (exemple pour les risques financiers : liquidité, marchés, cré-
dit…) ;
• le niveau 3, qui offre un degré de détail supplémentaire au sein de ces catégories (exem-
ple pour le risque financier de crédit : Règlement livraison, défaut émetteur….).
La démarche de modélisation des risques ainsi mise en œuvre a conduit à les désigner par
leur cause, c’est à dire l’origine première du phénomène dont il résulte :
Les risques de niveau 1 ont été déclinés en 6 familles1 :

• risques financiers : risques de gestion de bilan ou financière ;
• risques d’assurance : risques spécifiques aux activités d’assurance ;
• risques opérationnels : risques provenant directement de la mise en place et de la mise
en œuvre des moyens et procédures de fonctionnement ;
• risques comptables : risques relatifs au domaine comptable ;
• risque de pilotage : risques relatifs au management d’entreprise ;
• risques externes : risques générés par l’environnement de l’entreprise.
Chacune de ces 6 familles a ensuite été déclinée en risques de niveau 2, au nombre de 31,
lesquels ont été à leur tour déclinés en risques de niveau 3, au nombre de 164.
Ainsi, selon le niveau auquel l’entreprise souhaite descendre, elle peut travailler sur un
nombre plus ou moins grand de risques, permettant alors un degré de finesse variable
dans la vision des risques encourus.
2.3 Mesure du risque
Les composantes du risque sont explicitement définies tant par la définition ISO du risque
que dans le glossaire des Normes professionnelles de l’audit interne, voire dans le cadre
de COSO 2 : « la possibilité que se produise un événement qui aura un impact sur la réalisation
des objectifs. Il se mesure en termes de conséquences et de probabilité. »
1
Ce découpage est certes différent de celui proposé dans Solvabilité II, mais il semble aux membres du groupe de
travail qu’il est plus proche des préoccupations des opérationnels.
22 GUIDE D’AUDIT
a En terme de conséquences :
• Quelle est la conséquence si le risque se concrétise ? Il est toutefois possible qu’elle soit
selon les situations favorable ou défavorable. Il semble de bon sens d’évacuer de la
démarche le fait que la survenance d’un risque soit source de gain et d’opportunité
pour l’entreprise.
Les différentes conséquences se déclinent en grandes catégories, à savoir :
• perte financière (baisse des revenus ou hausse des coûts), directe ou indirecte, immé-
diate ou à terme ;
• responsabilité civile et/ou pénale ;
• sanctions légales et/ou professionnelles ;
• dégradation de l’image.
Plutôt que de conséquences, nous parlerons d’impact.
a En terme de probabilité :
• Quelle est la probabilité de survenance du risque ? C’est la possibilité plus ou moins
forte de subir les conséquences de l’événement considéré, à tout moment ou dans le
temps, on parlera alors de fréquence de survenance.
Seule la combinaison de ces deux composantes permet d’estimer raisonnablement le

niveau de risque.
Enfin, il faut préciser à quel niveau de risque on se situe, risque brut ou risque résiduel,
dans la mesure où il convient de tenir compte de l’existence d’éléments visant justement à
réduire les conséquences de sa survenance :
• le risque brut mesure le risque sans aucun élément de maîtrise : absence de procédu-
res, absence de contrôle interne, absence de système informatique,…
• le risque résiduel ou le risque net mesure le risque après mise en place des éléments de
maîtrise : contrôle interne, couverture financière, transfert du risque…
La liste des risques identifiés et évalués se représente ensuite sous forme d’une « carto-
graphie des risques » suivant un axe « fréquence » et un axe « impact potentiel ».
2.4 Niveau de granularité
On entend par granularité le niveau de détail sur lequel peut se construire une cartogra-
phie. La définition de la granularité est essentielle car plus le niveau de détail est fin, et
plus le travail correspondant d’identification des risques est important. Elle impacte donc
l’élaboration de la cartographie et sa maintenance ultérieure. Choisir le bon niveau de gra-
nularité est également important afin de calibrer la démarche aux moyens disponibles et
au planning souhaité.
Ainsi, cinq niveaux complémentaires de granularité, du plus large au plus particulier, ont
été identifiés :
• le métier : IARD, Vie, Assistance, Réassurance… ;
• le domaine : pour le métier IARD : Habitat, Auto, transport aérien… ;
• le processus : pour les particuliers : processus souscription, processus sinistres, proces-
sus prestations… ;
GUIDE D’AUDIT 23
• l’opération : pour le processus prestations : enregistrement, règlement du sinistre… ;

• la tâche élémentaire : pour l’opération règlement du sinistre : envoi du chèque.
Ces niveaux sont indépendants de la nature – managériale, métiers, supports – des modes
opératoires (cf. annexe 2).
Le groupe de travail s’est accordé pour désigner le niveau médian « processus » comme le
niveau pertinent d’une cartographie. En effet, celui-ci constitue d’une part le meilleur com-
promis entre le temps passé à l’élaboration de la cartographie et le degré de pertinence de
la vision des risques. D’autre part, c’est le niveau d’équilibre permettant de faire conver-
ger et de relier les éléments obtenus à partir de chacune des deux principales méthodes (Top
Down et Bottom Up).
2.5 Evaluation des risques
La question se pose donc de savoir comment apprécier le risque : par niveaux de fréquence
(très probable, probable, peu probable ou très peu probable) ou selon une appréciation
financière des impacts (quel est le coût estimé de la survenance d’un risque ?). L’évaluation
d’un risque consiste à apporter des informations justifiables sur la fréquence et les impacts
du risque.
L’appréciation doit être qualitative avant d’être quantitative. Cependant, cette apprécia-
tion est insuffisante en général et doit être complétée par une évaluation de l’impact et de
la fréquence de survenance (sa probabilité). En effet, le risque brut peut être résumé selon
l’équation suivante :
Risque brut = impact prévisible x fréquence d’occurrence
Le risque brut est rarement celui effectivement supporté par l’organisation, car il suppo-
serait une attitude complètement passive de cette dernière. Il s’agit en effet de son impact
avant intervention des éléments de protection, éléments qui conduisent à maîtriser totale-
ment ou partiellement le risque pour le contenir dans des zones acceptables en terme de
conséquences. Ces éléments de maîtrise transforment donc le risque brut en un risque rési-
duel.
Il s’avère, de façon couramment admise, que l’appréciation des risques bruts et résiduels
est du ressort des opérationnels, qui en appréhendent plus aisément les impacts. Toutefois,
cette estimation doit faire l’objet d’une confrontation avec la ou les personnes en charge de
la cartographie afin de « valider » les hypothèses retenues en terme d’impact et de fré-
quence. Le cas échéant en cas de divergence de vue, il peut être utile de faire trancher la
question par un comité ad-hoc.
En effet, nous pouvons être confrontés au fait que certains opérationnels ont tendance à
minorer les impacts potentiels d’un risque dont ils ont la responsabilité. De plus, il est pos-
sible que les opérationnels ne pensent pas aux risques majeurs à fréquence très faible. En
tout état de cause, l’entité en charge de l’élaboration de la cartographie des risques doit
veiller à la cohérence d’ensemble, notamment pour permettre une consolidation des
risques pertinente.
24 GUIDE D’AUDIT
Apprécier les éléments de fréquence constitue également une difficulté pour l’élaboration
de la cartographie. Pour y parvenir, il convient de recenser toutes les sources possibles
d’information (discussions avec les opérationnels, les contrôleurs internes, les auditeurs
internes et les commissaires aux comptes, lecture des rapports d’audit existants, docu-
ments du secteur, bases internes d’incidents, etc.).
L’idée est de nourrir l’argumentation pour confirmer l’appréciation réalisée. Ceci sert
ensuite de base de discussion avec l’opérationnel afin de recueillir son avis sur cette fré-
quence. Dans le cas contraire, il convient de procéder à un arbitrage en vue de s’accorder
sur une fréquence potentielle.
Cette démarche itérative permet alors d’associer une fréquence à chaque couple proces-
sus / risque.
Le groupe de travail recommande l’utilisation d’une échelle de fréquence de 1 à 4, du

moins fréquent au plus fréquent, et de deux niveaux d’appréciation de cette fréquence : en
temps (l’événement se produit tous les jours, toutes les semaines, tous les mois, tous les tri-
mestres, tous les 1, 5, 7, 20 ou 100 ans) et/ou en volume (l’événement se produit dans 1%
des cas, 10 % des cas, 0,1% des cas, etc.).
Le tableau suivant croise ces différents éléments :
Niveau 1 2 3 4
Très peu probable Peu probable Probable Très probable
En temps > 3 ans 1 - 3 ans 6 mois - 1 an < 6 mois
En volume < 1% 1-5% 5 - 10 % >= 10 %
L’échelle de temps peut être adaptée bien sûr selon la stratégie de l’entreprise et la nature
des risques qu’elle encourt.
Par convention, il est préférable de retenir que plus le risque est grand, plus le chiffre doit
l’être. De plus l’échelle proposée est une échelle paire, ceci afin de « prendre parti » et de
catégoriser le risque, ce qui évite les risques « moyens » ne permettant pas une analyse per-
tinente.
Ces évaluations se font en deux phases :

• risque pris en compte en supposant l’entreprise passive : risque brut ;
• risque pris en compte avec les mesures déjà en place : risque résiduel.
GUIDE D’AUDIT 25
Le tableau ci après illustre la démarche d’évaluation selon les possibilités de mesure effec-
tive du risque.
Façon :
Qualitative Semi-quantitative Quantitative
Estimation de :
Moyenne attendue
la fréquence poten- du nb de survenance
tielle de la surve- dans l’horizon de
Nul/faible/moyen/
nance du risque (f) temps choisi
fort
(Bâle II : f = N x p) *
ou
échelle numérique à
nombre pair de
l’impact potentiel, en Montant sur échelle
niveaux
termes de coût finan- de valeur continue
cier (« severity ») (ex. : millions d’€)
A définir au cas par

l’impact potentiel en Description des Echelle de gravité
cas si possible (sanc-
termes d’image, de effets, notamment : selon critères objec-
tion pécuniaire : cf.
mise en cause des mise en cause possi- tifs, avec un nombre
impact financier
dirigeants, … ble des dirigeants pair de niveaux
supra)
* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements générateurs

du risque.
- p : probabilité que le risque survienne lors d’un événement.
- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pas esti-
mables, et/ou il est plus simple de faire une estimation directe de la fréquence annuelle.
Enfin, la responsabilité de l’évaluation des risques doit être clairement arrêtée. Bien que
les opérationnels soient les seuls propriétaires du risque, la responsabilité de l’évaluation
peut toutefois être partagée. A cette fin, la démarche peut s’appuyer sur des expertises
externes ou des techniques utilisées au sein des départements de Risk Management,
d’audit ou de Contrôle internes.
26 GUIDE D’AUDIT
2.6 Quelques exemples
2.6.1 Exemples d’évaluation des risques
Exemple 1 : Risque de marché extrême (gestion actif passif) :
Inadéquation actif / passif, risque de liquidité, risque de crédit (=>

Conséquences
risque systémique).
Perte de valeur à l’actif, conditions de réalisation d’actif fondamentale-

Effets directs ment modifiées, intervention forcée sur la réallocation de l’actif ou du
passif à un moment inopportun.
Primes non collectées car entreprises défaillantes (conséquences sur le
chiffres d’affaires, donc le compte de résultats, pas sur le bilan), risque
Effets indirects
sur la demande car il entraîne des conséquences commerciales sur l’acti-
vité.
Probabilité fréquence 5/10 ans. Mais par définition, difficile à « programmer » !
Exemple 2 : Risque sur la demande (Risque Marketing) :
Majoration de la demande, avec des impacts sur la qualité de la presta-

Conséquences tion voire de la solvabilité ; Minoration de la demande, et ses consé-
quences en matière d’économies d’échelle,
allongement du temps pour atteindre le point d’équilibre financier, voire

Effets directs non atteinte de ce point d’équilibre, insatisfaction des clients et perte
d’opportunité (offre couplée par exemple), perte potentielle d’activité,
réalisation d’études Marketing supplémentaires, arrêt de la commercia-

Coûts liés lisation du produit, embauche éventuelle de ressources humaines pour
étoffer les moyens. Ce risque est cependant quantifiable en coût.
fréquence faible et par ailleurs difficile à estimer car elle implique direc-
Probabilité
tement la compétence des collaborateurs !
2.6.2 Exemple du processus de souscription de contrat automobile
Le groupe de travail s’est penché sur l’analyse de ce processus afin de confirmer la validité
des outils méthodologiques définis. Ce processus offre un double avantage, celui d’être
partagé par le plus grand nombre d’entreprises représentées au sein du groupe de travail
et d’être facilement appréhendable par les non spécialistes, ces derniers ayant pour la plu-
part des voitures à assurer à titre personnel.
GUIDE D’AUDIT 27
La démarche du groupe s’est réalisée en deux temps, le premier consistant à valider les
niveaux de granularité, puis la typologie des risques.
Le groupe a ainsi retenu une structuration du processus comme suit, selon la nomencla-
ture suivante :
- Processus : Niveau 3,
- Opération : Niveau 4,
- Tâche élémentaire : Niveau 5.
Le processus « Souscription automobile » peut alors être découpé en éléments suivants (le
chiffre entre parenthèse correspondant au niveau de granularité) :
1. Vente Contrat Auto (3)

- Collecte d’informations (4)
Relevé d’informations (5)
- Emission Devis (4)
2. Souscription (3)
- Acceptation (4)
- Enregistrement (4)
- Emission de police (4)
3. Encaissement de la prime (3)

- Emission de quittance (4)
- Enregistrement (4)
- Encaissement (4)
Remise du chèque (5),
Virement (5).
28 GUIDE D’AUDIT
La pertinence de la typologie a été appréciée au travers du processus de développement

d’une offre produit en assurance automobile. Le numéro indiqué entre parenthèse est le
risque correspondant de la typologie de risques jointe en annexe 4.
Processus Opérations Risques associés
Mauvaise définition du produit

Marketing Contenu de l’offre, Garanties
(20201)
Positionnement de l’offre par rap-

Mauvaise analyse du marché
port à la concurrence et aux atten-
(20101),
tes du marché
Mauvaise tarification (20202),

Tarification
concurrence (60201)
Aspects relatifs à la marque, aux

Image (60403)
noms commerciaux (propriété)
Offre non conforme à la réglemen- Non respect de la réglementation

Juridique
tation (20801, 60101)
Organisation & Cahier des charges, spécifications Non respect des procédures
Gestion détaillées (30202),
Risques de modèle, de données, de

Paramétrages systèmes d’informa-
traitements et de délais (30101 à
tion
30104)
Formation des collaborateurs et

Formation inadaptée (30207)
réseaux commerciaux
Retours d’expérience, traitement Inadéquation des processus

des anomalies (30402)
Non conformité aux règles de dis-

Distribution Canaux de distribution
tribution (30301 à 30304)
Commissionnement inadapté
Rémunération
(30306)
Publicité Erreur de communication (20102)
GUIDE D’AUDIT 29
III. LES MENACES IGNORÉES
3.1 Risques ignorés
Les assureurs sont des gestionnaires des risques, c’est leur spécialité, leur métier. Pourtant
dans certaines circonstances des risques réputés identifiés, connus et maîtrisés peuvent
prendre des proportions imprévues lorsqu’ils se combinent ou lorsque qu’un évènement
frappe simultanément plusieurs organes de la société tels que :
• les fonctions de management ;
• le financier : actif / passif (réserves), Cash-Flow, réassurance ... ;
• les fonctions opérationnelles de souscription et de gestion de sinistres ;
• les fonctions support telles que l’informatique et les ressources humaines.
Il suffit alors que des facteurs aggravants extérieurs interviennent pour que ces évène-
ments deviennent de véritables menaces pour les sociétés les plus solides. Ces facteurs
aggravants extérieurs peuvent provenir des médias, de l’intervention des pouvoirs poli-
tiques ou juridiques, des régulateurs, du pouvoir législatif…
A ces menaces sur des risques identifiés s’ajoutent celles sur les risques dits « ignorés »
c'est à dire soit totalement inconnus, soit connus seulement par des experts ou des per-
sonnes averties mais qui ne sont pas pris en compte par les compagnies d’assurance, faute
d'information, de sensibilisation ou de prise de conscience, voire d'« impasse stratégique ».
Définition des « Risques ignorés » par Jean-Yves COMBY, Responsable Pollution à la

Direction technique de SCOR :
« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne sont pas
encore perçus ni gérés par les professionnels du risque. Ils se situent à la jonction de la
technique et de l'homme dans toutes ses dimensions: santé, culture, mode de vie, droit, éco-
nomie, politique... et peuvent conduire à des sinistres catastrophiques pour le secteur de
l'assurance.
Il ne s’agit donc pas de risques de développement, risques que l’état de la Science ne per-
met pas de détecter au moment de la souscription et dont l’assureur peut tenter de se pro-
téger par des exclusions mais de risques latents non pris en compte par le souscripteur.
(SCOR sept. 2002) ».
Si cette définition s’applique plus volontiers à des risques assurés, la problématique est
identique pour les risques opérationnels.
Le groupe de travail a ainsi recensé six types de menaces, dont le détail est joint en annexe
8:
• évènements Naturels : Tsunami par exemple ;
• nouveaux Produits / Nouvelles technologies : OGM, virus informatiques… ;
• santé : manipulations génétiques, aléa thérapeutique … ;
• sociétés / Politique : terrorisme, guerre… ;
30 GUIDE D’AUDIT
• économie / Finance : modifications structurelles des grands équilibres financiers mon-

diaux… ;
• comportements managériaux : conflit social, fraude…
Les risques identifiés dans chaque type de menace sont mis en correspondance avec les
risques identifiés dans la nomenclature des risques.
3.2 Méthodologies possibles pour identifier les risques

« ignorés »
Il est possible d’identifier ce type de risques, en mettant en œuvre certains dispositifs, à

savoir :
• veille sur les grands sinistres de marché ;
• veille sur les évolutions sociologiques, réglementaires et techniques ;
• cartographie pour chaque menace des organes potentiellement touchés et des facteurs
aggravants extérieurs ;
• intelligence économique et analyse des faillites et difficultés rencontrées par la concur-
rence.
3.2.1 Exemples de facteurs d’alerte
Le tableau intitulé « Menaces ignorées, exemples de facteurs d’alerte » joint en annexe 8

présente l’exposition des macro-processus d’une entreprise à chaque type de menace, en
tenant compte de l’impact éventuel de facteurs aggravants, d’origine extérieure.
Cette analyse est de nature qualitative. En effet, il n’existe pas d’éléments probants pour
obtenir une évaluation quantitative des risques ignorés. En outre, ces risques sont suppo-
sés avoir des impacts extrêmes, susceptibles de faire disparaître l’entreprise.
Les données recueillies par l’analyse aboutissent à une représentation graphique sous
forme de radar, représentant les 6 axes (un par type de menace), du profil d’exposition de
l’entreprise à ces risques.
A titre d’illustration, pour les risques d’événements naturels et liés aux nouvelles techno-
logies :
GUIDE D’AUDIT 31
Cela permet de mesurer l’exposition aux risques ignorés en fonction du domaine

concerné : la sensibilité de l’entreprise à de tels risques dépend de la robustesse des macro-
processus mis en cause dans chaque domaine. Cette sensibilité peut donc être évaluée de
façon qualitative en fonction de la résistance dont ces macro-processus ont fait preuve lors
d’événements antérieurement survenus. Ceci conduit naturellement à la mise en place de
mesures d’amélioration des macro-processus et de renforcement du contrôle interne asso-
cié.
Plus généralement, des scénarios de risques peuvent être modélisés afin de tester la résis-
tance de l’entreprise, avec l’objectif d’accroître la flexibilité et la réactivité du système de
gestion des risques et du dispositif de contrôle interne.
3.2.2 Priorisation du traitement des menaces ignorées
La mesure de l’exposition aux risques d’un domaine donné pourrait être représentée par
l’aire de la surface étoilée, ce qui permettrait de définir des priorités de traitement des
risques relatifs aux menaces ignorées.
En outre, plus la surface étoilée est allongée vers le haut, plus l’impact des facteurs aggra-
vants d’origine extérieure est important, et plus il sera difficile à l’entreprise de faire face
aux risques relevant de ce domaine. Il convient alors en toute première priorité de limiter
l’exposition à de tels risques notamment par des mesures de veille préventive.
Cette méthode, présentée ici succinctement dans ses grands principes, nécessite un appro-
fondissement méthodologique et une adaptation spécifique à chaque entreprise.
32 GUIDE D’AUDIT
CONCLUSION
Dans un monde de plus en plus complexe et imprévisible, les Dirigeants des sociétés
d’Assurance ont bien compris que la gestion des risques garantissait des informations éco-
nomiques, stratégiques, structurelles ou encore opérationnelles, plus fiables et de
meilleure qualité.
Même si les responsables des organisations ont une vision et une approche globale des
risques inhérents à leurs activités, construire une cartographie des risques ne peut que leur
apporter de nouveaux éléments d’observation destinés à mieux maîtriser et orienter leurs
objectifs.
C’est pour cette raison que les Dirigeants doivent être convaincus de l’intérêt d’une carto-
graphie des risques, encourager et participer activement à sa mise en place.
Les applications d’une cartographie des risques sont nombreuses et conduisent les utilisa-
teurs à privilégier tel ou tel aspect des résultats obtenus afin de redéfinir leurs priorités.
Du Conseil d’Administration à la Direction Générale, en passant par les responsables opé-
rationnels, les gestionnaires de risques, les contrôleurs internes et les auditeurs internes,
chacun pourra utiliser la cartographie comme support à des actions propres à leur organi-
sation.
Toute cartographie des risques ne doit pas être une fin en soi mais un point de départ à
l’action.
Simple dans son principe mais complexe à élaborer, une cartographie doit, tout d’abord,
recevoir l’approbation et l’adhésion de tous les participants afin que les résultats reflètent
la réalité de l’organisation et de ses risques.
Pendant et après sa réalisation, les opérationnels doivent s’approprier la cartographie en
prenant conscience des risques importants et essentiels, entreprendre une démarche
volontariste d’analyse de ces risques pour, enfin, définir un plan d’actions destiné à
réduire l’exposition aux risques identifiés.
Le succès d’une cartographie des risques réside dans son utilisation future, dans la capa-
cité des utilisateurs à la faire vivre dans le temps.
C’est dans ce sens que le référentiel commun qui vous a été présenté a été construit.
GUIDE D’AUDIT 33
34 GUIDE D’AUDIT
ANNEXES
A N N E X E S
Annexe 1 : Glossaire
Annexe 2 : Evaluation des risques majeurs
Annexe 3 : Exemple de restitution de la démarche de cartographie associée au

processus de gestion immobilière
Annexe 4 : Typologie des risques
Annexe 5 : Détail des macro processus d’une entreprise d’assurance
Annexe 6 : Exemple de cartographie : processus de souscription d’un contrat

d’assurance automobile
Annexe 7 : Tableau des menaces
GUIDE D’AUDIT 35
A N N E X E S
36 GUIDE D’AUDIT
ANNEXE 1 : GLOSSAIRE
RISQUE
« Le risque est la possibilité qu’un évènement se produise et ait une incidence défa-
vorable sur la réalisation des objectifs ».
(COSO 2)
Le risque est la possibilité que se produise un événement ou une action ayant des
effets négatifs sur la réalisation des objectifs de l'Entreprise.
***
RISQUE BRUT (ou RISQUE INHÉRENT)

Risque existant en l'absence de mise en œuvre par le management de tout élément de
maîtrise.
A N N E X E S
RISQUE RÉSIDUEL (ou RISQUE NET)
Risque existant encore, après que le management ait mis en place des mesures pour
le maîtriser : description de procédures, dispositifs de contrôle interne, assurances…
***
RISQUE ENDOGÈNE (ou risque INTERNE)

Risque propre à l'activité de l'Entreprise.
RISQUE EXOGÈNE (ou risque EXTERNE)

Risque dont l'origine se situe dans l'environnement de l'Entreprise : les fournisseurs,
les clients, les concurrents…
***
RISQUE AVÉRÉ
Risque qui s'est déjà réalisé dans le passé, dans l'Entreprise (ou dans une autre
Entreprise similaire).
RISQUE POTENTIEL
Risque identifié, et donc connu, mais qui ne s'est pas encore produit dans l'Entreprise.
***
RISQUES IGNORÉS
« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne
sont pas encore perçus ni gérés par les professionnels du risque. Ils se situent à la
jonction de la technique et de l'homme dans toutes ses dimensions : santé, culture,
mode de vie, droit, économie, politique… et peuvent conduire à des sinistres catas-
trophiques pour le secteur de l'assurance.
GUIDE D’AUDIT 37
Il ne s'agit donc pas de risques de développement, risques que l'état de la Science ne

permet pas de détecter au moment de la souscription et dont l'assureur peut tenter
de se protéger par des exclusions mais de risques latents non pris en compte par le
souscripteur ».
(Jean-Yves COMBY – SCOR – septembre 2002)
***
PROPRIÉTAIRE DE RISQUE
Personne chargée de s'assurer que les risques liés aux activités dont elle est respon-
sable sont correctement traités. En général l’opérationnel.
***
COMITÉ DES RISQUES

Instance interne à l'Entreprise, chargée de piloter la politique et le management des
risques.
A N N E X E S
***
38 GUIDE D’AUDIT
ANNEXE 2 : EVALUATION DES RISQUES MAJEURS
I. Introduction
1.1 Rappel de la démarche de gestion des risques
Etape 1 Définir les objectifs

Résultats visés par les activités de l’entreprise selon la stratégie
A N N E X E S
Etape 2 Répertorier les processus
Ensembles organisés de traitements permettant l’atteinte des objectifs
Etape 3 Identifier les risques Nomenclature

Événements perturbant l’atteinte des objectifs IFACI
Etape 4 Evaluer les risques Objet de la

Brut/résiduel, fréquence/impact présentation
Etape 5 Définir des réponses en évaluant Coût/Efficacité

Efficacité : risque résiduel obtenu par rapport au risque brut
GUIDE D’AUDIT 39
1.2 Définition : qu’est-ce qu’évaluer un risque ?

Apporter des informations justifiables sur la fréquence et les impacts du risque :
Façon :
Qualitative Semi-quantitative Quantitative
Estimation de :
Moyenne attendue
la fréquence poten- du nb de survenance
tielle de la surve- dans l’horizon de
Nul/faible/moyen/
nance du risque (f) temps choisi
fort
(Bâle II : f = N x p) *
ou
échelle numérique à
nombre pair de
l’impact potentiel, en Montant sur échelle
niveaux
termes de coût finan- de valeur continue
A N N E X E S
cier (« severity ») (ex. : millions d’€)
A définir au cas par

l’impact potentiel en Description des Echelle de gravité
cas si possible (sanc-
termes d’image, de effets, notamment : selon critères objec-
tion pécuniaire : cf.
mise en cause des mise en cause possi- tifs, avec un nombre
impact financier
dirigeants, … ble des dirigeants pair de niveaux
supra)
* - N : espérance, pendant l’horizon de temps (1 an), du nombre d’événements généra-

teurs du risque.
- p : probabilité que le risque survienne lors d’un événement.
- Dans de nombreux cas, une de ces deux caractéristiques, notamment p, ne sont pas
estimables, et/ou il est plus simple de faire une estimation directe de la fréquence
annuelle.
Ces évaluations se font en deux phases :

• risque pris en compte en supposant l’entreprise passive : risque brut ;
• risque pris en compte avec les mesures déjà en place : risque résiduel.
40 GUIDE D’AUDIT
1.3 Organisation de la démarche d’évaluation
Qui évalue les risques ?

1/ Ceux qui les identifient : acteurs de l’entreprise jouant un rôle dans la gestion des
risques
2/ Auditeurs internes et externes, experts
Pour quoi faire ?

1/ Pour adapter la stratégie, valider/redéfinir les objectifs
2/ Pour les gérer => adapter les processus et l’organisation
Comment ?
1/ Qualitatif : description des effets
De pair souvent avec l’identification des risques
Attention : les risques de gravité maximale (paralysie d’un centre de gestion,
panne informatique générale, …) doivent être traités en 1ère priorité sans néces-
A N N E X E S
siter d’évaluation supplémentaire.
2/ Semi-quantitatif : impact/fréquence, par des méthodes d’auto-évaluation
et/ou de représentation des risques dans des échelles de valeurs discrètes.
Exemple : matrice de criticité : approche manageriale pour une présentation
synthétique du profil de risques et la priorisation de leur traitement.
3/ Quantitatif : impact/fréquence, par des méthodes techniques
II. Evaluations qualitatives
En général ces évaluations sont intégrées dans le reporting :

• état des activités et écarts par rapport aux objectifs qualitatifs,
• rapports de management (entretiens d’évaluation),
• rapports d’audit (évaluations qualitatives et évaluations quantitatives),
• …
Elles peuvent être faites pour des risques difficiles à appréhender ou à quantifier :
• risques stratégiques audités par un cabinet,
• risques informatiques inventoriés dans le cadre d’une enquête MEHARI,
• risques RH analysés par un sondage du personnel,
• …
GUIDE D’AUDIT 41
III. Evaluations semi-quantitatives : la matrice de criticité

3.1 Principe général
• 2 types de matrice : risques bruts / risques résiduels
• Forme :
Extrême PRIORITÉ 2 PRIORITÉ 1
IMPACT
Critique
POTENTIEL *
PRIORITÉ 3
ZONE DE
A N N E X E S
Moyen
SURVEILLANCE
(RISQUES
RÉSIDUELS)
-> PRIORISATION DE
Faible LA GESTION DES RISQUES
<--------------------------- Faible ------------------------> < Moyenne > < Elevée > < Certaine >
FRÉQUENCE POTENTIELLE *
* échelles logarithmiques
3.2 Priorisation des risques et échelles de la matrice
a Sur la base de la stratégie du Groupe et de l’entité en matière de conservation du

risque, fixation de :
• la perte financière maximale acceptable
50 M€, 100 M€, 250 M€, … ?
• définie en fonction :
- des fonds propres,
- du volume d’activité,
- du savoir-faire dans la maîtrise des risques,
- de la réglementation.
Cette perte financière maximale acceptable est le niveau « critique » de l’impact

potentiel dans la matrice (niveau servant d’étalon pour les risques résiduels, alors
que les risques bruts pourront largement le dépasser).
42 GUIDE D’AUDIT
a L’échelle de l’impact potentiel découle de la valeur de la perte financière maximale

acceptable, fixée pour la priorisation.
La fréquence potentielle est exprimée en probabilité de survenance d’un risque en 1

an :
[< faible >< moyenne >< élevée >< certaine >]
O% 0,1% 5% 50% 100% plusieurs fois dans l’année
La perte financière maximale acceptable doit ne pouvoir survenir qu’avec une très
faible probabilité (proposée ici à 0,1%), correspondant au seuil de tolérance. Par
exemple une chute de météorite, un tremblement de terre dans une zone sans activité
sismique, etc., ne nécessitent pas de mesure de gestion spécifique.
Au-delà de cette fréquence, le risque maximum résiduel doit baisser (traitement des
risques de priorité 3).
3.3 Alimentation de la matrice de criticité
A N N E X E S
Pour chaque risque identifié :
a la fréquence potentielle d’un risque est évaluable sur la base :
• du nombre de réalisations d’une procédure et du nombre d’incidents observés
(ex. : nombre annuel de règlements par chèque et d’incidents)
• de statistiques internes (exemple : fréquence des sinistres auto corporels)
• de l’exposition de l’objet du risque à un phénomène (exemple : situation d’un bâti-
ment dans une zone inondable, selon les cartes MRN)
• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)
• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-
view)
a l’impact financier potentiel d’un risque est évaluable sur la base :
• de montants comptabilisés (exemple : prestations payées par chèque)
• de statistiques internes (exemple : moyenne des sinistres auto corporels)
• de montants prédéfinis (garanties prévues par une police MRH)
• d’une expertise (valeur d’un bâtiment, maximum d’une perte d’exploitation, …)
• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)
• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-
view)
3.4 Méthode pour une compagnie d’assurance
a Préliminaires
• Nous prenons l’exemple d’une compagnie IARD, en faisant une analyse des
risques considérés comme majeurs, hors risques financiers. Les évaluations pré-
sentées ne sont pas propres à une compagnie particulière.
• Nous préconisons que cette méthode soit mise en œuvre avec des remises à jour
régulières par un même service de l’entreprise (service de gestion des risques,
audit interne, …).
GUIDE D’AUDIT 43
• Cette méthode doit permettre une représentation commune des risques d’une
entreprise d’assurance quelle que soit la nature de ces risques. Notamment, les
seuils utilisés dans la gestion « cœur de métier » de l’assureur sont intégrés dans
les échelles utilisées, permettant un étalonnage homogène et cohérent des niveaux
de risque (rétentions des risques par événement ou par sinistre individuel prises
en compte dans les programmes de réassurance).
a Echelles :
• Intensité potentielle (montant en Mios €)

4 : extrêmes et illimités (dans le cas d'une filiale, cela mettrait en danger la situa-
tion financière de la maison-mère). Un seuil peut être défini, en fonction des
fonds propres et de la solvabilité du groupe concerné.
3 : entre un seuil critique (montant monétaire ou sinistre d'image susceptible
d'entraîner la faillite de l'entreprise) jusqu'aux abords du niveau 4. Ce seuil est
propre à chaque entreprise d‘assurance.
2 : entre seuil moyen et seuil critique. Le seuil moyen correspond à la rétention
A N N E X E S
maximale prise en compte dans les programmes de réassurance par événe-

ment, c'est à dire un seuil supportable mais qui ne doit se réaliser que rarement
soit une fois tous les 10, 20 ans voire plus, ceci en liaison avec la borne supé-
rieure du niveau 2 de la fréquence (ici, cette borne, égale à 5%, correspond à
des événements de coût égal au seuil moyen survenant environ tous les 20
ans).
1 : inférieur au seuil moyen. A un niveau intermédiaire entre le seuil moyen et le
négligeable, se situe le maximum de rétention fixé par la compagnie pour la
conservation au net de réassurance des sinistres individuels.
• Fréquence potentielle (nombre de survenances du risque par an)

4 : se réalisant une fois ou plus chaque année.
3 : pouvant se réaliser 1 fois dans une année avec une probabilité élevée, entraî-
nant une fréquence > 5 %.
2 : pouvant se réaliser 1 fois dans une année de façon rare (entre le seuil de tolé-
rance ci-dessous et 5%).
1 : en-deçà d'un seuil de tolérance.
a Base d'identification des risques : risques majeurs sélectionnés dans la nomen-

clature IFACI
a Matrice n°1 : représentation des risques bruts, évalués selon une démarche Top-
Down
a Matrice n° 2 : passage du brut au résiduel souhaité (cible)

L'effet optimal des mesures de gestion des risques et de contrôle interne sur la
réduction des risques est évalué séparément sur l'intensité et sur la fréquence.
Ceci sur la base :
- d'une évaluation, risque par risque, de l'impact optimal du système de gestion
des risques et du dispositif de contrôle interne sur la réduction de l'intensité
44 GUIDE D’AUDIT
d'une part (effet de protection) et sur la fréquence d'autre part (effet de préven-
tion). On évalue ainsi la performance de la gestion du risque, sur une échelle de
1 (moindre performance) à 4 (performance maximale).
- pour chaque risque, en fonction de son intensité potentielle brute [ou de sa fré-
quence potentielle brute] et de la performance optimale de sa gestion, d'un pas-
sage du risque brut au risque résiduel selon la table suivante :
Performance /
4 3 2 1
risque brut
4 1 2 3 4
3 1 1 2 3
2 1 1 1 2
A N N E X E S
1 1 1 1 1
a Matrice n° 3 : passage du brut au résiduel atteint (se situant quelque part entre
le résiduel souhaité et le brut)
L'effet optimal des mesures de gestion des risques et de contrôle interne pris en
compte précédemment est, en réalité, plus ou moins atténué, en fonction de la qua-
lité du dispositif de contrôle interne. L'hypothèse faite de façon uniforme est celle
d'un contrôle interne de qualité bonne mais pas optimale (note 2 sur une échelle
de 0 à 3), pour tous les risques considérés.
La performance réelle de la gestion de chaque risque est alors évaluée en utilisant
la table suivante :
Qualité du CI /
4 3 2 1
performance cible
4 1 2 3 4
3 1 1 2 3
2 1 1 1 2
1 1 1 1 1
Puis, le risque résiduel est évalué en croisant le risque brut avec la performance
réelle.
GUIDE D’AUDIT 45
a Les résultats sont présentés dans trois matrices distinctes :

• MATRICE N°1 : MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS
(Hypothèse : aucune réaction de l'entreprise)
• MATRICE N°2 : MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSI-

BLES ET SOUHAITES
(Hypothèse : bon système de gestion des risques et contrôle interne optimal)
• MATRICE N°3 : MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELS

ATTEINTS
(Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)
Remarque :
Cette présentation comporte beaucoup d'hypothèses. La mise en œuvre de cette
méthode doit s'accompagner d'une adaptation au cas spécifique d'une entreprise
donnée, et d'évaluations consistantes sur :
A N N E X E S
- les risques bruts ;

- les impacts attendus du système de gestion des risques sur leur réduction
(risques résiduels cibles) ;
- la qualité des procédures de contrôle interne en place.
46 GUIDE D’AUDIT
GUIDE D’AUDIT
MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS
(Hypothèse : aucune réaction de l'entreprise)
I
4 * cat nat* sinistre technologique * cumul de sinistres* judiciaires
n
t
e extrême / illimité
n
s * tarification* non-conformité des souscriptions* normes de
i calcul des PM* suffisance des PSAP* réglementation du
* déviation de la sinistralité* fréquence des
travail* diffusion de l'information* non-conformité des
t 3 * cumul de souscription sinistres de pointe* malveillance de tiers*
opérations de distribution aux réglementations en vigueur*
concurrence* cycles tarifaires
é IT* juridiques* protection des données sur les personnes*
pilotage interne* communication externe
p seuil critique
o
t
* hygiène* non-respect de la confidentialité*
e * défaillance d'un courtier* immeubles détournement fonds de clients* blanchiment*
2 * comptabilité générale* Fiscal
n d'exploitation interfaces inter-services* fournisseurs de
services
t
i seuil moyen
e
l
l * conservation des documents
1
e
négligeable
1 2 3 4
< seuil de tolérance seuil de tolérance - 5 % 5 % - 100 % > 100 %
Fréquence potentielle
47
A N N E X E S
A N N E X E S
48
MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSIBLES
(Hypothèse : bon système de gestion des risques et contrôle interne optimal)
4 Atteinte des fonds propres de la

I maison mère
n
t extrême / illimité
e
n
s 3 Limite de solvabilité de l'entreprise
i
t seuil critique
é
Limite de rétention par coût individuel ou
p 2 * judiciaires sinistre après réassurance
o
Décroissance du seuil
t d'intensité supportable
seuil moyen
e corrélativement avec
n * cumul de souscription* déviation de la l'augmentation de la
t sinistralité* normes de calcul des PM* fréquence
suffisance des PSAP* réglementation du travail*
i diffusion de l'information* hygiène* non-respect
* tarification* non-conformité des souscriptions*
e de la confidentialité* détournement fonds de
fréquence des sinistres de pointe* sinistre
clients* blanchiment* non-conformité des
l 1 technologique* juridiques* malveillance de tiers* * cumul de sinistres* cat nat* cycles tarifaires
opérations de distribution aux réglementations
pilotage interne* communication externe*
l en vigueur* défaillance d'un courtier* interfaces
concurrence
inter-services* IT* immeubles d'exploitation*
e conservation des documents* protection des
données sur les personnes* fournisseurs de
services* comptabilité générale* Fiscal
négligeable
1 2 3 4
GUIDE D’AUDIT
GUIDE D’AUDIT
MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELS ATTEINTS
(Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)
I
n 4
t
e
extrême / illimité
n
s
i
t 3 * judiciaires
seuil critique
p
o
* tarification* non-conformité des souscriptions*
t fréquence des sinistres de pointe* cat nat*
* déviation de la sinistralité* protection des
e 2 sinistre technologique* juridiques* malveillance * cumul de sinistres
données sur les personnes
de tiers* pilotage interne* communication
n externe* concurrence* cycles tarifaires
t
i seuil moyen
e * normes de calcul des PM* suffisance des

PSAP* réglementation du travail* diffusion de
l l'information* hygiène* non-respect de la
* cumul de souscription* immeubles
l confidentialité* détournement fonds de clients*
1 d'exploitation* conservation des documents*
blanchiment* non-conformité des opérations de
e comptabilité générale* Fiscal
distribution aux réglementations en vigueur*
interfaces inter-services* IT* fournisseurs de
services
négligeable
1 2 3 4
49
A N N E X E S
IV. Evaluations quantitatives

4.1 Généralités
En général ces évaluations font partie des procédures de gestion du risque :

• estimation de biens et de pertes d’exploitation pour les couvrir en assurance
• engagements d’assurance à couvrir en réassurance
• risques liés à une répartition des actifs non conformes aux objectifs de gestion
financière
• risques liés à la non-atteinte des objectifs d’activité quantifiables (indicateurs de
performance)
• …
Elles peuvent être nécessaires pour des risques quantifiables pas encore gérés ou pas
mesurés assez précisément pour une gestion efficace. L’estimation doit en général
être confiée à un expert :
A N N E X E S
• exposition tempête estimée par un courtier en réassurance avec un logiciel de

simulation
• risques financiers de nature juridique ou fiscale évalués par des spécialistes
• …
Les méthodes peuvent être inventoriées dans 3 grands domaines distincts :

• domaine financier
• domaine assuranciel
• domaine général
Une méthode appliquée dans un domaine donné peut se voir appliquée dans un
autre domaine en fonction de sa pertinence par rapport au contexte. Par exemple, la
« value at risk » peut avoir des applications dans le domaine général (adaptation aux
risques opérationnels).
50 GUIDE D’AUDIT
4.2 Domaine financier
Objet type
Nom de la Profil de
évalué ou Description
méthode l’évaluateur
exemple
Value at risk Quantile au seuil
(VaR) et d’aversion du risque de la Analyste
Risques de taux
méthodes distribution supposée du financier
dérivées risque
Cash flow at risk, Besoins de

Earnings at risk trésorerie
Besoins en fonds
Pourcentage de données
Risk based propres
comptables indicatrices de Comptable
Capital (réglementation
A N N E X E S
l’importance du risque
US)
Valorisation des biens
Bien, fonds de matériels et immatériels
Expertise
commerce, aux prix de marché en Expert spécialisé
financière
entreprise tenant compte des
engagements ou passifs
Analyste
Résultats
Modélisation comptable, financier, expert
Simulation prévisionnels
technique et financière comptable,
Actif net
actuaire
Analyste
Processus de notation
Analyse Vie et santé des financier,
incluant l’analyse des
financière entreprises économiste
bilans
(agences)
Cette liste n’est pas exhaustive et nécessite d’être complétée.
GUIDE D’AUDIT 51
4.3 Domaine assuranciel
Objet type
Nom de la Profil de
exemple
Contrats Souscripteur,
Inventaire des
Mesure des d’assurance, responsable
engagements d’un
engagements traités de réassurance de
portefeuille
réassurance protection
Simulation d’un risque

(tempêtes, …) sur un por- Responsable réas-
Simulation de Portefeuille tefeuille d'assurances dom- surance de pro-
portefeuille IARD dommage mages de répartition tection, courtier
géographique connue pour en réassurance
évaluer l'exposition totale
A N N E X E S
Evaluations actuarielles
Simulation du
des impacts d’un risque
compte de Portefeuille vie Actuaire
sur l'embedded value d'un
résultat vie
portefeuille d'assurance vie
Evaluations actuarielles ou
Simulation du statistiques des impacts
Portefeuille non- Actuaire ou
compte de d’un risque sur un
vie statisticien
résultat non-vie portefeuille d'assurance
non-vie
52 GUIDE D’AUDIT
4.4 Domaine général
Objet type
Nom de la Profil de
exemple
Marketing, expert
Comparaison avec des
Benchmarking Ratio S/P dans le domaine
compagnies concurrentes
concerné
Rapprochement
Evaluation
Poste comptable risques/comptes et Comptable
comptable
mesures de sensibilité
Exploitation de séries
Phénomène
statistiques pour la
A N N E X E S
récurrent :
modélisation d'un risque,
attaque de virus,
sa simulation et
dégât des eaux,
Méthodes l'évaluation de son impact
panne
d’analyse (exemple : utilisation d'une Statisticien
d’électricité,
statistique base incidents
temps de
informatiques avec
réalisation d’une
impacts subis pour
procédure
l'évaluation du coût
donnée, etc.
maximum possible)
Simulation d'un accident

Simulation Accident pour en évaluer les Scientifique
impacts potentiels
(Ex.) relevé des

Ex. exposition de
caractéristiques physiques
bâtiments à des
Visite de risque d’un ensemble de Expert, auditeur
risques de
bâtiments,des accidents
sinistres
survenus
Evaluation d’un Expertise des dommages Expert sinistres

Expertise sinistre
sinistre subis par l’assuré, ... ou inspecteur
GUIDE D’AUDIT 53
A N N E X E S
54 GUIDE D’AUDIT
A N N E X E S
ANNEXE 3 : EXEMPLE DE RESTITUTION DE LA DÉMARCHE
DE CARTOGRAPHIE ASSOCIÉE AU PROCESSUS
DE GESTION IMMOBILIÈRE
GUIDE D’AUDIT 55
CARTOGRAPHIE
OBJECTIFS :
Proposer et mettre en œuvre des opérations d'achat et de vente Identification des risques et des
d'immeubles dans le cadre de la politique globale de gestion des actifs
du Groupe.
Ref
N° Processus clés risque Risques associés
IFACI
1 Investissement et Désinvestissement
11 Politique de gestion immobilière 1 Risques financiers

Définition de la politique et détention d'actifs immobiliers 112 Risques relatifs aux fonds propres Risque d'allocation
122 Risques d'adéquation actif passif Non diversification
134 Risques de liquidité Non diversification
144 Risques de marché Risques immobiliers et fonciers
16 Risques d'évaluation des actifs
8 Risques générés par l'environnement externe
81 Risques légaux, réglementaires et fiscaux
891 Autres risques systémiques et exogènes Risque de catastrophe naturelle
Autres risques techniques (ex: amiante)
A N N E X E S
12 Recherche de biens immobiliers (investissement) 3 Risques opérationnels

Recherche d'acquéreurs (désinvestissement) 315 Risques de production Délais
322 Risques humains Non respect des procédures
324 Perte de capital humain
331 Risques d'organisation Inadéquation de l'organisation
Sélection d'intermédiaires 3 Risques opérationnels

314 Risques de production Risque de collusion
391 Risques prestataires et fournisseurs Risques fournisseurs de service
4 Risques para opérationnels
41 Risque d'image Image véhiculée par l'intermédiaire
442 Risques légaux et fiscaux Mauvaise application lois et règlements
465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires
852 Risques Prestataires Risques fournisseurs
13 Analyse des dossiers 1 Risques financiers

16 Risque d'évaluation des actifs
3 Risques opérationnels
311 Risques de production Risque de modèle
312 Risque de données
321 Risques humains Risque d'erreur
14 Décision d'investissement ou de désinvestissement 1 Risques financiers

145 Risques de marchés Non diversification
6 Risques de pilotage
61 Risques sur la mise en œuvre de la stratégie
15 Acquisitions / Cessions 1 Risques financiers

Mise en œuvre de la décision 131 Risques de liquidité Risque de trésorerie
132 Risque de financement
313 Risques de production Risque de traitement
315 Risque de délai
376 Risques logistiques Conservation des documents
45 Risque de fraude
Sélection des intervenants (notaires, bureaux d'étude, géomètres) 3 Risques opérationnels
56 GUIDE D’AUDIT
DES RISQUES
éléments de maîtrise existants
Macro-Processus : GESTION FINANCIERE

Responsable :
Direction ou Service : Immobilier
Gravité Eléments de maîtrise Evaluation par le responsable
4 Politique définie en Comité de direction opérationnel et présentée au conseil d'administration Satisfaisant

4 Comité actif passif
3 Gestion prévisionnelle trésorerie, gestion actif/passif
3 Part de l'immobilier dans les actifs définie en Comité financier / Benchmarcking IPD.
3 Expertises annuelles des biens immobiliers
3 Veille, compétence collaborateurs, formation, expertise interne et externe.

3 Assurance des biens détenus
A N N E X E S
1 Expérience collaborateurs, prestataires externes Satisfaisant
2 Formation collaborateurs, existence de procédures Manque de procédures
3 Management des collaborateurs, dossiers formalisés
1 Processus identifiés, délégations de pouvoir.
4 Sélection des intermédiaires / Volume d'activité Acceptable

3 Appels d'offres, Contrat de prestations
3 Contrat de prestations, sélection des intermédiaires Acceptable

2 Veille, compétence collaborateurs, formation, expertise interne et externe. Contrôles à renforcer
2 Règles de bonne conduite
2 Savoir faire interne
Satisfaisant
3
1 Compétence collaborateurs
2 Compétence collaborateurs, diversité des sources d'informations
2 Existence de procédures, visites in situ, analyse contradictoire des dossiers.
3 Management des collaborateurs, GPEC
Satisfaisant
3 Comité de pilotage immobilier
2 Comité de pilotage immobilier / Détermination d'objectifs annuels
Satisfaisant
2 Existence de procédures, gestion des incidents.

1 Expérience collaborateurs, procédures.
2 Existence de procédures, gestion des incidents.
3 Gestion de la documentation et des actes de ventes

3 Expertise des immeubles, supervision des opérations
4
2 Surveillance des prestations
3 Contrat de prestations
2 Savoir faire interne, assurance.
GUIDE D’AUDIT 57
CARTOGRAPHIE
OBJECTIFS :
Identification des risques et des
Gérer les actifs immobiliers du Groupe, qu'ils soient détenus à des
fins de placement ou d'exploitation, selon un objectif de valorisation
et de rentabilité.
Ref risque
N° Processus clés Risques associés
IFACI
2 Gestion immobilière
21 Relations avec les locataires

Entrée et gestion interne de la relation 1 Risques financiers
152 Risques de crédit
313 Risques de production Risque de traitement
314 Risque de collusion
322 Risques humains Non respect des procédures
331 Risques d'organisation Inadéquation de l'organisation
41 Risque d'image
461 Risques relatifs à la déontologie Risque loi informatique et libertés
87 Risques économiques
Délégation de la gestion 3 Risques opérationnels

A N N E X E S

22 Quittancement / Recouvrement 3 Risques opérationnels

(activité déléguée sauf locaux d'exploitation) 312 Risques de production Risque de données
313 Risque de traitement
332 Risques d'organisation Inadéquation des processus
382 Risques informatiques Perennité de l'outil
383 Risque de données
384 Risque d'administration
387 Risque de plan de continuité
41 Risque d'image
45 Risques de fraude
461 Risques relatifs à la déontologie Risque de blanchiment
23 Entretien / Travaux 3 Risques opérationnels

312 Risques de production Risque de données
391 Risques prestataires et fournisseurs Fournisseurs de services
393 Maintenance
394 Surcoût
41 Risque d'image
432 Risques de sécurité du personnel Risques d'accident
45 Risques de fraude
61 Risques sur mise en œuvre de la stratégie
62 Risques de planification

82 Risques judiciaires
24 Locaux d'exploitation 1 Risques financiers

134 Risques de liquidité Non diversification
144 Risques de marché Risques immobiliers et fonciers
16 Risques d'évaluation des actifs
Locaux commerciaux 3 Risques opérationnels
Politique d'implantation 371 Risques logistiques Immeubles d'exploitation
Quittancement/recouvrement (voir ci dessus) 391 Risques prestataires et fournisseurs Risques fournisseurs de service
Mise en place et maintenance signalétique 4 Risques para opérationnels
41 Risque d'image
Locaux de bureaux 431 Risques de sécurité du personnel Risque d'hygiène
Recherche et prospection 432 Risque d'accident
Locaux en propriété 442 Risques légaux et fiscaux Mauvaise application lois et règlements
Locaux loués 465 Risques relatifs à la déontologie Déontologie vis à vis des intermédiaires
61 Risques sur mise en œuvre de la stratégie
883 Risques politiques Attentats et terrorisme
891 Autres risques systémiques et exogènes Catastrophe naturelle
58 GUIDE D’AUDIT
DES RISQUES
éléments de maîtrise existants
Macro-Processus : GESTION FINANCIERE

Responsable :
Direction ou Service : Immobilier
Gravité Eléments de maîtrise Evaluation par le responsable

Satisfaisant
3 Etudes de solvabilité pour baux commerciaux
2 Contrôle des saisies informatiques sauf sur nouveaux baux

4 Locations aux salariés encadrées
2 Formation collaborateurs, existence de procédures
2 Délégation de l'activité en externe
1 Système d'information adapté (Estia)
3 Critères de sélection clairs et objectifs

2 Contrats de location validés juridiquement
3
3 Diversification du patrimoine (géographie, Bureaux/habitation/commercial)
4 Audits réguliers des gérants

3 Audits réguliers des gérants
3 Contrats de prestations, sélection des intermédiaires
A N N E X E S
3 Contrats de prestation validés juridiquement
2 Profondeur du marché
Satisfaisant
2 Contrôle des documents fournis Back up prestataires à regarder
3
4
2 Ordonnancement des traitements
1 Système informatique intégré (liens baux, quittancement)
2 Offres concurrentes, délégation de l'activité
2 Contrôle de la saisie des baux
2 Dispositif de contrôle interne, formation des collaborateurs, gestion des incidents
3 Sauvegardes quotidiennes
3 Service de recouvrement dédié

3 Recouvrement assuré par un juriste
4 Encaissements centralisés à la trésorerie, rapprochements Quittancement/encaissement
4 Pas d'encaissement des loyers en espèces
2 Veille juridique
Satisfaisant
2 Expertise collaborateurs, informations sur coût des travaux
4 Procédure d'appels d'offres
2 Paiements en fin de travaux
2 Sollicitation d'architectes…
2 Expertise externe, possibilité de délégation
3
4 Contrats de maintenace, sélection des fournisseurs
1 Appels d'offres
3 Politique d'entretien des immeubles, sélection des fournisseurs

4 Politique de prévention
3 Veille juridique
4 Revue des immeubles, contrôle des travaux et factures
3 Plan pluriannuel de travaux

2 Plan pluriannuel de travaux
2
4 Assurance RC
2
Satisfaisant
2 Locaux à usage d'exploitation
2
3 Expertise annuelle des biens immobiliers
2
3 Surveillance des prestations
3 Entretiens des immeubles, signalétique adaptée

4 Comité CHSCT
4 Prévention
4 Disponibilité de locaux commerciaux
2 Profondeur du marché.
1 gestion des accès, implantations réparties.
1 Assurance des biens détenus.
GUIDE D’AUDIT 59
A N N E X E S
ANNEXE 4 : TYPOLOGIE DES RISQUES
60 GUIDE D’AUDIT
Nomenclature des risques IFACI Assurance 2006
Famille de Nb risques
GUIDE D’AUDIT
Niveau 1 Risques niveau 1 Niveau 2 Risques niveau 2
risques niveau 3
R1 Financiers Risques de gestion de bilan ou financière

R101 Solvabilité 3
R102 Adéquation Actif/Passif 8
R103 Gestion d'actifs 17
R104 Endettement 2
R105 Engagements hors bilan 3
Sous-Total du nombre de risques en niveau 3 33
R2 Assurance Risques spécifiques aux activités d'assurance
R201 Marketing assurance 2
R202 Technique 3
R203 Souscription 8
R204 Sinistralité non-vie / Prestations vie 5
R205 Provisionnement 3
R206 Participations aux bénéfices 2
R207 Réassurance de protection 3
R208 Législatif et réglementaire 5
61
A N N E X E S
A N N E X E S
62
risques niveau 3
Risques provenant directement de la mise en place
R3 Opérationnels et de la mise en œuvre des moyens et procédures
de fonctionnement
R301 Production 4
R302 Humain 24
R303 Commercial 7
R304 Organisation 6
R305 Systèmes d'information 10
R306 Logistique hors SI 7
R307 Relations avec les tiers 9
R4 Comptables Risques relatifs au domaine comptable
R401 Opérations de comptabilisation 4
R402 Fiscalité 5
R403 Etats réglementaires 1

GUIDE D’AUDIT
GUIDE D’AUDIT
risques niveau 3
R5 Pilotage Risques relatifs au management d'entreprise
R501 Stratégie 2
R502 Contrôle de gestion 2
R503 Autres risques de pilotage interne 1
R504 Risques générés par la communication externe 1
R6 Externes Risques générés par l'environnement de l'entreprise
R601 Législatifs, réglementaires et judiciaires 2
R602 Secteur de l'assurance 4
R603 Prestataires, partenaires 2
R604 Déontologie, conformité, image 3
R605 Autres risques systémiques et exogènes 6
Total du nombre de risques en niveau 3 164
63
A N N E X E S
Typologie des risques 2006
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et
quasi-fonds propres inférieur au minimum
réglementaire
réglementaire
réglementaire
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
représentation
A N N E X E S
représentation
représentation
représentation
représentation
représentation
représentation
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
64 GUIDE D’AUDIT
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R10101 Risques de solvabilité réglementaire en social Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au
minimum réglementaire en social pour chaque entité
R10102 Risques de solvabilité réglementaire en Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au
consolidé minimum réglementaire dans les comptes consolidés (solvabilité ajustée)
R10103 Risques de solvabilité de marché Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au
montant estimé par les analystes ou les marchés financiers entraînant un seuil de
déclenchement de "triggers"
R10201 Risques de liquidité Correspond à une évolution du passif à court terme engendrant des insuffisance d'actifs
réalisables
R10202 Risques de limitation par catégorie d'actif ou Correspond à un manque de diversification, tant à l'actif qu'au passif, qui conduit à une
de passif exposition trop forte sur un risque particulier (type de risque assuré, risque de taux, risque
actions, …)
R10203 Risques de disparités de lignes de passifs Correspond à une structure de passif éclatée et difficile à mettre en adéquation avec des
actifs
A N N E X E S
R10204 Risques de couverture imparfaite Se matérialise par une inadaptation ou une insuffisance de la structure des actifs au
regard de celle des passifs
R10205 Risques de taux Risques d'inadéquation actif/passif provenant du comportement des marchés de taux
R10206 Risques actions Risques d'inadéquation actif/passif provenant du comportement des marchés d'actions
R10207 Risques de change Risques d'inadéquation actif/passif provenant du comportement des marchés de devises
R10208 Risques immobiliers Risques d'inadéquation actif/passif provenant du comportement des marchés immobiliers
R10301 Risques de trésorerie Résulte d'un manque de liquidités disponibles à court terme pour faire face aux
obligations de règlement
R10302 Risques de refinancement Est la conséquence d'une inadéquation ou d'un défaut de financement permettant
d'obtenir les liquidités suffisantes pour faire face aux obligations de règlement
R10304 Risques de non-diversification Correspond à un manque de diversification dans le placement des actifs qui conduit à
une exposition trop forte sur un risque particulier (actions, taux, crédit)
R10305 Risques de taux Conséquence d'une évolution des taux d'intérêt sur la valeur des actifs obligataires
R10306 Risques de change Est lié à la variation de valeur d'une devise par rapport à l'euro, et à l'impact de cette
variation sur la valeur des actifs en devises
R10307 Risques actions Conséquence d'une évolution des marchés actions, ou d'une trop forte dépendance vis à
vis de ce type d'actif
R10308 Risques immobiliers et fonciers Conséquence d'une évolution des marchés immobiliers et fonciers, ou d'une trop forte
dépendance vis à vis de ce type d'actif
R10309 Risques de règlement livraison Découle de la séparation des circuits de transfert des biens échangés lors d'une
opération sur titres ou devises, pouvant conduire à la livraison du premier bien sans
réception effective de l'autre, ou bien avec un dénouement tardif
R10310 Risques de contre-partie Découle du défaut de la contrepartie à une opération, au moment où elle doit remplir ses
obligations (absence de paiement à l'échéance, …)
R10311 Risques émetteur Lié au défaut de l'émetteur préalablement à la réalisation de ses obligations
(remboursement d'un emprunt à l'échéance, …)
R10312 Risques crédit Correspond à la variation de la qualité de crédit d'un émetteur conduisant à
l'augmentation de la prime de risque attendue par ses créanciers
R10313 Risques d'évaluation d'actifs Risques résultant de la surestimation d'un élément d'actif, pouvant entraîner notamment
une constatation de moins-value en cas de cession ou d'ouverture de capital, ou un
provisionnement suite à révision
R10314 Risques de gestion des participations en titres Risques résultant de carences dans le suivi et la gestion des participations :
cotés franchissement involontaire de seuil de détention, …
R10315 Risques de rentabilité insuffisante des Risques résultant d'un niveau de rentabilité annuelle insuffisant pour amortir les coûts
participations et filiales d'acquisition
R10316 Risques relatifs aux informations disponibles Risques de non-disponibilité des informations nécessaires à la gestion des actifs
sur le marché
R10317 Risques crédit réassureurs Risque de défaillance d'un réassureur réduisant ses capacités à remplir ses
engagements
GUIDE D’AUDIT 65
Niveau
2
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu
égard aux charges de remboursement ou aux taux
des emprunts en cours
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu
égard aux charges de remboursement ou aux taux
des emprunts en cours
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon
contractuelle à des tiers, et non représentées au
bilan
bilan
bilan
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche
marketing assurance
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche
marketing assurance
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits
nuisant à leur rentabilité (provenant ou non de la
réalisation de risques production ou marketing)
Risques spécifiques aux activités d'assurance Risques résultant de caractéristiques des produits
A N N E X E S
R2 Assurance R202 Technique

R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits
R2 Assurance Risques spécifiques aux activités d'assurance R203 Souscription Risques relatifs à la souscription de contrats
d'assurance, ou à l'acceptation de traités ou
facultatives de réassurance, hors sinistralité et
prestations
prestations
prestations
prestations
prestations
prestations
prestations
prestations
R2 Assurance Risques spécifiques aux activités d'assurance R204 Sinistralité non-vie / Risques résultant d'une déviation de la charge
Prestations vie sinistres ou prestations compromettant l'équilibre
attendu entre primes et charges techniques des
portefeuilles
portefeuilles
portefeuilles
portefeuilles
portefeuilles
66 GUIDE D’AUDIT
Niveau
3
R10401 Risques d'endettement inadéquat Niveau d'endettement du Groupe inexistant, l'empêchant d'optimiser ses ressources ou
sa rentabilité
R10402 Risques de surendettement Niveau d'endettement du Groupe trop élevé, pouvant entraîner une crise de liquidité ou
rendre impossible le financement de la croissance du Groupe
R10501 Risques d'engagements sur valorisation Risques que certains engagements reçus sur actifs soient surévalués ou ne puissent être
d'actifs recouvrés
R10502 Risques d'engagements sur valorisation de Risques que certains engagements donnés sur passifs soient insuffisamment estimés ou
passifs non recensés au bilan
R10503 Risques de caution ou assimilés Risques que les garanties, avals ou cautions ne soient pas suffisamment évalués ou
recensés dans les comptes
R20101 Risques de mauvaise analyse des marchés Risques provenant d'une mauvaise identification des besoins, d'une mauvaise
cibles segmentation clientèle, …, conduisant à l'élaboration de produits inadaptés
R20102 Risques d'erreur de communication marketing Décalage entre le contenu d'un message et sa compréhension, ou sa prise en compte,
par le destinaire de l'information, et risques de publicité trompeuse
R20201 Risques de définition produit (contrat Risques provenant d'une définition des conditions d'assurance ou de réassurance
d'assurance ou traité de réassurance en impropres à une viabilité économique (quelle que soit la tarification)
acceptation)
Risques issus de tarifs soit insuffisants par rapport au coût réel des garanties et frais de
A N N E X E S
R20202 Risques de tarification (assurance ou
réassurance acceptée) gestion, soit trop élevés et générateurs d'anti-sélection
R20203 Risques de non-rentabilité des produits Risques de non-rentabilité à moyen ou long terme
d'assurance ou des traités de réassurance
acceptés
R20301 Risques de non-conformité aux normes de Risques provenant du non-respect des règles et guides de souscription
souscription
R20302 Risques de qualité insuffisante de l'objet du Souscriptions de mauvaise qualité, quant aux risques soucrits, malgré leur conformité aux
risque règles
R20303 Risques de cumul de souscription Dépassement des engagements acceptables sur un même site, un même client, ou un
même risque d'assurance
R20304 Risques de cumul souscription/actif Effets cumulatifs dus à la dépendance ou la corrélation entre des risques de souscription
et des risques sur les actifs
R20305 Risques d'apérition Risques relatifs à la gestion des coassurances ou des coréassurances
R20306 Risques de coassurance non apéritrice ou de Risques de mauvaise gestion ou d'informations insuffisantes émanant de l'apériteur ou du
coréassurance suiveuse coréassureur leader
R20307 Risques de recouvrement des primes Risques de non-paiement ou de retard de règlement de sa prime par le contractant
R20308 Risques d'annulation, de résiliation, de Fréquence élevée de chute ou de réductions de contrats (arrêt du paiement des primes)
réduction
R20401 Risques de déviation de la sinistralité Evolution défavorable de la charge sinistre dans une ou plusieurs catégories d'assurance,
d'une façon plus ou moins rapide (augmentation de fréquence ou d'intensité)
R20402 Risques de fréquence des sinistres de pointe Survenance plus fréquente qu'attendu, de sinistres de montant élevé
R20403 Risques de cumul de sinistres Survenance d'un sinistre catastrophique, d'un cumul RC ou sériel, ou d'un cumul de
sinistres entre plusieurs branches
R20404 Risques de rachat (vie) Fréquence élevée de rachats de contrats "épargne"
R20405 Risques de longévité (rentes viagères) Durée de survie des rentiers supérieure à ce qui avait été pris en compte dans les tarifs
de rentes
GUIDE D’AUDIT 67
Niveau
2
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à
l'évolution de la charge sinistres et prestations en
cours ou à venir
cours ou à venir
cours ou à venir
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices
attribuées aux assurés vie
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices
attribuées aux assurés vie
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les
réassureurs
réassureurs
réassureurs
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire Risques résultant d'une mauvaise application du
A N N E X E S
assurances code des assurances dans le domaine technique et

produits
produits
produits
produits
produits
R3 Opérationnels Risques provenant directement de la mise en R301 Production Risques résultant de défauts dans la chaîne de
place et de la mise en œuvre des moyens et réalisation, de vente, ou de gestion d'un produit
procédures de fonctionnement commercial ou administratif
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
68 GUIDE D’AUDIT
Niveau
3
R20501 Risques relatifs aux montants de provisions de Risques résultant de provisions insuffisantes devant la charge sinistres à venir
primes (hors PM)
R20502 Risques relatifs aux montants de provisions Risques résultant de provisions mathématiques (vie et rentes auto) insuffisantes face aux
mathématiques (PM) prestations à régler
R20503 Risques relatifs aux montants de provisions Risques résultant de provisions pour sinistres insuffisantes devant la charge en sinistres
pour sinistres survenus
R20601 Risques relatifs à l'application des clauses de Risques résultant d'attributions de PB aux assurés non conformes aux clauses des
PB contrats
R20602 Risques relatifs au niveau de PB Risques résultant d'un niveau insuffisant des attributions de PB aux assurés (au vu de la
concurrence, des caractéristiques du produit, des attentes des assurés)
R20701 Risques d'inadéquation des couvertures de Programme de réassurance insuffisant pour protéger correctement un portefeuille,
réassurance compte tenu de la rétention supportable par l'entreprise
R20702 Risques de surcoût de la réassurance Traités de réassurance tarifés trop cher
R20703 Risques de litige avec les réassureurs Risques de contestation de garantie par un réassureur
R20801 Risques relatifs au non-respect d'obligations
A N N E X E S
réglementaires sur les produits

réglementaires sur les tarifs

réglementaires sur le calcul des provisions
techniques
réglementaires sur la participation aux
bénéfices
R20805 Risques relatifs au non-respect d'autres
obligations réglementaires dans le domaine
technique
R30101 Risques de modèle Non-adéquation (par rapport à la problématique, au contenu ou à la structure des
données, aux moyens disponibles) d’un modèle de référence pour la conception d'un
processus, d'une procédure, d'une organisation physique, fonctionnelle ou autre, d'une
action
R30102 Risques de données Données (comptables ou financières, statistiques ou techniques, de pilotage ou de
reporting, …) internes ou externes à la compagnie, utilisées dans un processus interne,
dont le caractère erroné, incomplet, non homogène, ou de non-conformité d’unité, va à
l’encontre de l’objectif de leur usage
R30103 Risques de traitement Réalisation d’un traitement (informatique ou manuel) dans des conditions non conformes
à l’objectif auquel ce traitement a été conçu
R30104 Risques de délai Temps de réalisation d'un processus opérationnel ou fonctionnel non conforme à celui qui
était assigné au processus pour l’atteinte de son objectif
R30201 Risques d'erreur Risques d'erreurs humaines dans la réalisation des opérations, quelles qu'elles soient
R30202 Risques de non-respect des procédures Risques que des procédures soient dénaturées, contournées, mal appliquées,
inappliquées ou annulées
R30203 Risques de recrutement inadéquat Risques générés par des "erreurs d'embauche"
R30204 Risques d'instabilité de performance Risques de dégradation de la performance individuelle
R30205 Risques de perte de capital humain Risques de gestion prévisionnelle de l'emploi insuffisante, de perte d'"homme clé", de
débauchage de personnel
R30206 Risques relatifs aux coûts salariaux Risques d'un niveau de salaire globalement plus élevé que ce qu'il ne devrait être compte
tenu de l'état du marché du travail, conduisant à des surcoûts portant préjudice à la
compétitivité de l'entreprise
R30207 Risques d'inadéquation de la formation du Risques d'insuffisance du niveau de formation/qualification par rapport aux tâches à
personnel accomplir
R30208 Risques de mauvaise application de la

réglementation du travail
R30209 Risques de non-adéquation de la politique de Mauvaise prise en compte des besoins à court, moyen et long terme en compétences
gestion RH avec la stratégie compte tenu des axes de développement privilégiés par le plan stratégique
GUIDE D’AUDIT 69
Niveau
2
A N N E X E S
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
70 GUIDE D’AUDIT
Niveau
3
R30210 Risques relatifs à la diffusion de l'information et Risques de carences ou maladresses dans la diffusion des messages et des données en
des données en interne interne (hors logistique courrier interne)
R30211 Risques de rémunération inadaptée Risques générés par une rémunération des salariés non commerciaux inadéquate avec
(entraînant des réactions individuelles) les profils et postes occupés
R30212 Risques conventionnels ou contractuels Risques générés par les conditions de collaboration contractualisées
R30213 Risques sociaux Risques de conflits sociaux
R30214 Risques d'hygiène et de santé mentale Risques de maladie due à un défaut d'hygiène ou à des conditions d'emploi génératrices
de troubles physiques ou mentaux
R30215 Risques d'accident Risques d'accident subi par les dirigeants, commerciaux et salariés dans le cadre du
travail dans les bureaux ou durant les déplacements professionnels
R30216 Risques de détournement de fonds ou de Risques de détournement de fonds ou de biens matériels de la compagnie par
biens matériels de l'entreprise un membre du personnel, un mandataire, un courtier, …
A N N E X E S
R30217 Risques de non-respect de la confidentialité Risques de divulgation à des tiers d'informations stratégiques de la compagnie
par un membre du personnel
R30218 Risques de détournement de fonds de clients Risques de détournement de fonds appartenant à un client de la compagnie, par
un intermédiaire ou un membre du personnel
R30219 Risques de fraude à l'assurance, de collusion Fraude de la part d'un assuré ou bénéficaire; entente préjudiciable aux intérêts de la
compagnie entre :
- un tiers à la compagnie et un employé ou un intermédiaire ;
- un employé et un intermédiaire ;
- deux ou plusieurs intermédiaires ;
- deux ou plusieurs employés.
R30220 Risques de blanchiment Fait "d'apporter un concours à une option de placement, de dissimulation ou de
conversion du produit direct ou indirect d'un crime ou d'un délit" (cf. Code Pénal art 324-
1)
R30221 Risques relatifs aux règles de déontologie Non-respect par un membre du personnel des règles régissant la profession en matière
financière d'éthique
R30222 Risques relatifs au respect de la loi Défaut d'application de la loi informatique et libertés
informatique et libertés
R30223 Risques relatifs à la déontologie commerciale Non-respect de la déontologie des relations avec un réseau d'apporteurs
vis à vis des intermédiaires
R30224 Risques de corruption Risques de corruption active ou passive de membres du personnel, de

commerciaux mandataires, salariés ou indépendants (courtiers)
R30301 Risques de non-conformité des opérations de Non-respect de la déontologie en matière de conseil au client, actes commerciaux non
distribution aux réglementations en vigueur conformes au droit de la concurrence et de la consommation (vente liée, …) ou aux
règles de démarchage, …
R30302 Autres risques de mauvaise appréciation/prise Mauvaise appréciation et prise en compte des véritables besoins du client, de sa situation
en compte de la situation/des besoins d'un fiscale, familiale ou professionnelle avec un impact négatif sur le choix du contrat, le
client mode de règlement, etc..
R30303 Risques de réseau insuffisant Nombre insuffisant de vendeurs pour atteindre les objectifs de vente
R30304 Risques d'impréparation du réseau Risques d'insuffisance de préparation par la formation, l'information, et la non-
communication des objectifs
R30305 Risques de non-respect des limites de Abus ou non-respect de pouvoir de délégation de la part d'un délégataire commercial ou
délégation commerciale mandataire
R30306 Risques de commissionnement inadapté Risques générés par un système ou une grille de commissionnement des intermédiaires
non conforme avec les objectifs de vente ou de rentabilité
R30307 Risques de défaillance d'un courtier Risques générés par la faillite d'un courtier
GUIDE D’AUDIT 71
Niveau
2
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
R3 Opérationnels Risques provenant directement de la mise en R305 Systèmes d'information Risques résultant de défauts, défaillances ou
place et de la mise en œuvre des moyens et dysfonctionnements de l'outil informatique (matériels
A N N E X E S
procédures de fonctionnement et logiciels)

R3 Opérationnels Risques provenant directement de la mise en R306 Logistique hors SI Risques résultant de défauts dans un processus
place et de la mise en œuvre des moyens et support hors SI et RH
72 GUIDE D’AUDIT
Niveau
3
R30401 Risques d'inadéquation de l'organisation Risques d'inadéquation de l'organisation fonctionnelle aux activités, à la mise en
fonctionnelle œuvre de la stratégie, au profil des compétences disponibles, à la gestion des
relations avec les intermédiaires et avec les clients, …
R30402 Risques d'inadéquation de l'organisation des Risques d'inadéquation des processus et procédures aux objectifs stratégiques
processus et procédures ou aux risques
R30403 Risques d'interface inter-services Risques de dysfonctionnement des interfaces entre plusieurs fonctions, qu'elles
s'appuient sur des moyens humains, de connectique, informatiques ou autres moyens
logistiques
R30404 Risques de surcoût Organisation entraînant des coûts de fontionnement trop élevés
R30405 Risques de délégation de pouvoir Mauvaise attribution de pouvoir de délégation (défaut de compétence, incohérence avec
l'organisation, …)
R30406 Risques d'ordonnancement Mauvaise attribution de pouvoir d'ordonnancement (défaut de compétence, incohérence
avec l'organisation, …)
R30501 Risques de stabilité de l'outil informatique Correspond à un outil informatique qui ne garantit pas de façon certaine les objectifs
auxquels il est assigné
A N N E X E S
R30502 Risques de pérennité de l'outil informatique Correspond à un outil informatique pour lequel la durée de vie est incertaine
R30503 Risques de données informatiques Données informatiques erronées, non conformes aux attentes
R30504 Risques d'administration informatique Correspond à la défaillance des activités dévolues à la surveillance et aux contrôles d'un
réseau informatique, des données introduites dans un système, du parc informatique, du
bon déroulement des traitements
R30505 Risques de paramétrage informatique Correspond à une erreur dans le paramètrage des systèmes informatiques ou une non-
mise à jour des paramètres (règles de gestion ou données paramètres erronnées),
pouvant notamment être à l'origine de dysfonctionnements d'interfaces
R30506 Risques de réseau informatique Correspond à un réseau informatique non conforme aux objectifs qui lui sont assignés :
sécurisé, stable, sans perte de données, maintien du débit normalement attendu, …
R30507 Risques de plan de continuité informatique Non-continuité de l'exploitation par absence de procédures de secours en cas de
difficultés graves dans le fonctionnement des systèmes informatiques
R30508 Risques de recette Correspond à des tests, jeux d'essais incomplets qui peuvent induire des erreurs plus ou
moins graves en production
R30509 Risques de panne informatique Arrêt de fonctionnement du système soit en laison avec un risque précédent soit du fait
d'un événement extérieur
R30510 Risques de contrefaçons de logiciels Actes de piratage de logiciels informatiques
R30601 Risques générés par les immeubles Risques de sinistre (incendie, dommages à des tiers, …), risques relatifs à la continuité
d'exploitation (en propriété ou en location) des opérations, risques relatifs à la gestion des immeubles (hors sécurité du personnel)
R30602 Risques relatifs au matériel Risques relatifs à la gestion du matériel, hors immeubles et informatique
R30603 Risques d'accueil Risques relatifs à la qualité de l'accueil assumé par les hôtesses et les standardistes
R30604 Risques de transport Risques générés par les déplacements des commefciaux, du personnel et des dirigeants,
les transports d'objets et les déménagements
R30605 Risques de courrier Risques logistiques générés par la réception et la communication en interne du courrier
externe et du courrier interne
R30606 Risques relatifs à la conservation des Défaut de mode de classement ou de manipulation des documents (rangement, transfert,
documents archivage)
R30607 Risques de surcoût Risques de payer des produits ou des services plus cher que le marché
GUIDE D’AUDIT 73
Niveau
2
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
A N N E X E S
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de Risques de traitements comptables inexacts, non
comptabilisation justifiés ou non traçables
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales
R4 Comptables Risques relatifs au domaine comptable R403 Etats réglementaires Risques de la production d'états inexacts
R5 Pilotage R501 Stratégie Risques de choix stratégiques, de moyens associés

Risques relatifs au management d'entreprise ou de pilotage de la mise en œuvre inadéquats
R5 Pilotage R501 Stratégie Risques de choix stratégiques, de moyens associés

Risques relatifs au management d'entreprise ou de pilotage de la mise en œuvre inadéquats
R5 Pilotage R502 Contrôle de gestion Risques provenant d'une mauvaise interprétation ou

Risques relatifs au management d'entreprise utilisation des données utilisées par le contrôle de
gestion
R5 Pilotage R502 Contrôle de gestion Risques provenant d'une mauvaise interprétation ou
Risques relatifs au management d'entreprise utilisation des données utilisées par le contrôle de
gestion
R5 Pilotage R503 Autres risques de pilotage Risques provenant d'une mauvaise interprétation ou
interne utilisation des données utilisées par le pilotage du
Risques relatifs au management d'entreprise
contrôle interne, le pilotage des opérations
commerciales, …
R5 Pilotage R504 Risques générés par la Politique de communication sur l'identité de
communication externe l'entreprise inadéquate au marché, aux
Risques relatifs au management d'entreprise
intermédiaires, aux interlocuteurs financiers ou
institutionnels, …
R6 Externes Risques générés par l'environnement de R601 Législatifs, réglementaires et Risques liés à l'apparition de nouvelles lois ou
l'entreprise judiciaires réglements, et à leur application
R6 Externes Risques générés par l'environnement de R601 Législatifs, réglementaires et Risques liés à l'apparition de nouvelles lois ou
l'entreprise judiciaires réglements, et à leur application
74 GUIDE D’AUDIT
Niveau
3
R30701 Risques de notation Risques de mauvaise notation par une agence spécialisée
R30702 Risques juridiques et de mise en cause Risques de mise en cause judiciaire ou non, par une association de consommateurs, par
la presse, ou par un client important, de litige sur l'application d'un contrat
R30703 Risques de contractualisation insuffisante Risques d'absence de formalisation des rapports avec un tiers ou de contractualisation
insuffisante
R30704 Risques relatifs à la protection des données Risques de non-respect de la confidentialité des données personnelles, notamment
sur les personnes concernant les obligations de la loi Belorgey
R30705 Risques fournisseurs de services (y compris Risques de non-respect par un fournisseur de son contrat de prestation, risque de
délégataires de gestion externes) mauvaise qualité des services, risque de grève
R30706 Risques fournisseurs de matériels Risques de non-respect par un fournisseur de son contrat de prestation, risque de
mauvaise qualité des produits
R30707 Risques de maintenance Risques de défaillance dans le service de maintenance, de grève, de pérennité du
fournisseur et de non-respect de la confidentialité
A N N E X E S
R30708 Risques sur la gestion de situation de crise Messages ou annonces ne montrant pas une maîtrise des risques suffisante, en situation
de crise
R30709 Risques de malveillance Risques d'actes de malveillance de la part de tiers : vol, dégradations, attaques diverses
dont hacking et virus informatique, intrusions ou destruction de données informatiques,
diffusion de fausses nouvelles et dénigrement
R40101 Comptabilité générale entité sociale Risques liés à la présentation de données sociales comptables inexactes et ne reflétant
pas l'image fidèle de l'entreprise
R40102 Comptabilité générale de consolidation Risques liés à l'enregistrement de retraitements de consolidation inexacts et ne
permettant pas la constitution d'une image fidèle du Groupe
R40103 Risques de non-traçabilité Risques liés à la perte de traçabilité d'opérations comptables, entre les écritures d'origine
(comptabilisation technique ou divisionnaire) et la comptabilité générale
R40104 Justification des écritures Risques liés à la perte ou l'inexistence de pièces justificatives d'écritures comptables
R40201 Risques relatifs au résultat fiscal (IS)

R40202 Risques relatifs au régime de TVA et à la
facturation
R40203 Risques relatifs à la taxation des contrats
R40204 Risques relatifs aux procédures CFCI
R40205 Autres risques fiscaux
R40301 Etats réglementaires Risques liés à la présentation d'états réglementaires inexacts ou à la non-présentation
d'états réglementaires
R50101 Risques sur la mise en œuvre de la stratégie Décalage entre la stratégie définie et sa mise en œuvre, du fait d'erreurs d'appréciation
ou de non-adéquation des moyens
R50102 Risques relatifs au pilotage stratégique des Risques provenant de déficiences du pilotage
activités et des filiales
R50201 Risques de planification Prise en compte insuffisante ou erronée dans les procédures de planification et de suivi
des objectifs des services
R50202 Risques de non-contrôle budgétaire Risques d'absence de contrôle budgétaire efficient
R50301 Autres risques de pilotage interne Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par
le pilotage du contrôle interne, le pilotage des opérations commerciales, …
R50401 Risques de communication externe Politique de communication sur l'identité de l'entreprise inadéquate au marché, aux
intermédiaires, aux interlocuteurs financiers ou institutionnels, …
R60101 Risques législatifs et réglementaires Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application
R60102 Risques judiciaires Risques liés à l'évolution du droit et aux décisions des tribunaux
GUIDE D’AUDIT 75
Niveau
2
R6 Externes Risques générés par l'environnement de R602 Secteur de l'assurance Risques résultant du comportement des acteurs du
l'entreprise marché de l'assurance
l'entreprise marché
l'entreprise marché de l'assurance
l'entreprise marché
R6 Externes Risques générés par l'environnement de R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché
l'entreprise prestataire
R6 Externes Risques générés par l'environnement de R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché
l'entreprise prestataire
R6 Externes Risques générés par l'environnement de R604 Risques provenannt d'un manquement aux
l'entreprise Déontologie, conformité,
règles de bonne conduite, aux normes
image
professionnelles ou aux valeurs de la société
image
A N N E X E S

image
R6 Externes Risques générés par l'environnement de R605 Autres risques systémiques Autres risques provenant de l'environnement externe
l'entreprise et exogènes de l'entreprise
76 GUIDE D’AUDIT
Niveau
3
R60201 Risques de concurrence Risques résultant de l'exercice d'activités similaires par d'autres entreprises
R60202 Risques relatifs aux cycles tarifaires Risques résultant de la pression du marché à pratiquer des taux tarifaires bas
(cyclique en général)
R60203 Risques d'image du secteur de l'assurance Risques résultant de la mise en cause publique de pratiques particulières d'une
ou plusieurs compagnies (hors entente), ou d'erreurs de communication publique
R60204 Risques d'entente entre entreprises

Risques résultant d'ententes tarifaires entre plusieurs compagnies significatives
du marché, entraînant une intervention des autorités politiques
R60301 Risques réassureurs Risques d'évolution défavorable du marché de la réassurance
R60302 Risques fournisseurs Risques d'évolution défavorable d'un marché (disparition des fournisseurs, accroissement
des prix)
R60401 Risques déontologiques Risques découlant d'un manquement aux règles de bonne conduite,
R60402 Risques de non conformité Risques liés à l'absence de respect des lois, réglementations, normes professionnelles
A N N E X E S
R60403 Risques d'image Risques liés à une perception négative de l'entreprise
R60501 Risques économiques Risques d'inflation, de dépression, d'évolution de la demande
R60502 Risques politiques Risques de guerre civile, d'émeutes, de guerre étrangère, d'attentats et de terrorisme
R60503 Risques climatiques, de catastrophe naturelle Sinistres causés par les forces de la nature
R60504 Risques de pandémie Epidémie mortelle touchant tout le pays
R60505 Risques de sinistre technologique Sinistres dus à des substances, matières, ondes ou radiations issues de la technologie
humaine
R60506 Autres risques technologiques Risques d'obsolescence de l'outil de travail, d'espionnage par les nouvelles voies de la
communication, …
GUIDE D’AUDIT 77
A N N E X E S
78 GUIDE D’AUDIT
A N N E X E S
ANNEXE 5 : DÉTAIL DES MACRO PROCESSUS
D’UNE ENTREPRISE D’ASSURANCE
GUIDE D’AUDIT 79
Business model assurances
• Organisation générale • Relations sociales • Gestion

actionnaire
Porcessus généraux
• Stratégie • Affaires publiques • Audit interne
Processus
commer- • Marketing • Commercial
ciaux
A N N E X E S
Processus
Processus • Gestion de sinistres • Recouvrement primes • Réassurance
opération-
centraux coassurance
nels
Processus
technolo- • Technique produits
giques
• Gestion des risques • Déontologie
• Contrôle de gestion • Social et fiscal • Achats
Processus support
• Trésorerie • Gestion investissement • RH
• Comptabilité • IT • Services généraux

(sécurité)
80 GUIDE D’AUDIT
A N N E X E S
ANNEXE 6 : DÉMARCHE DE CARTOGRAPHIE :
PROCESSUS DE SOUSCRIPTION D’UN CONTRAT
D’ASSURANCE AUTOMOBILE
GUIDE D’AUDIT 81
I. Méthodologie de renforcement du contrôle interne

Aspects généraux
Cartographie des risques

(Top-Down/IFACI)
Elaboration de référentiels
Les outils Référentiel macro-processus
communautaires
Référentiel mesures de contrôles

A N N E X E S
Inventaire des processus/procédures, des

risques associés et des contrôles
Par entité :
Evaluation des risques (impact/fréquence)
Les
• Analyse “Bottom-Up”
méthodes Tests de l’efficacité des contrôles
• Jonction avec la cartographie
chap. II
‡ points d’amélioration du CI
Mise en œuvre des points d’amélioration du • Analyse des contrôles chap. III
contrôle interne
82 GUIDE D’AUDIT
GUIDE D’AUDIT
Etape 2 par entité (itérative) Etape 1 par entité
Sélection dans la cartographie des Inventaire des risques

risques Jonction
(analyse « terrain »)
(référentiel communautaire)
Bottom-Up
Top-Down
* Risques non identifiés

Interview des opérationnels
en Top-Down
Mise à jour concernés
* Risques non détectés

Liste procédures-risques
en Bottom-Up
associés/moyens de contrôle
des contrôles applicable par entité
Fin de l’inventaire Vérification
Etape 3 par entité

Référentiel mesures
Détail de la méthodologie d’analyse des risques et
Evaluation des risques de contrôle

après contrôle
83
A N N E X E S
II. Analyse des risques, exemple : processus de souscription

assurance auto
Sélection dans la cartographie des risques concernés par le
processus vente-souscription :
(selon terminologie de la cartographie, risques dénommés par
leur cause)
Niveau 1 Niveau 2 Niveau 3

RISQUES FINANCIERS •Aucun
RISQUES ASSURANCES •Risques de souscription ¸Non-conformité aux normes
¸Qualité insuffisante de l’objet du risque
¸Annulation de souscription
¸Cumul de souscription
¸Non-recouvrement des cotisations
RISQUES •Production ¸Non-respect des délais, traitements non conformes,…
A N N E X E S
OPERATIONNELS •Humain ¸Non-respect de procédures, détournement de fonds,

fraude à l’assurance, …
•Commercial ¸Mauvaise identification des besoins, non-respect de la
déontologie commerciale, …
•Logistique ¸Mauvais accueil, perte de documents, …
•Relations avec les tiers ¸Litige avec un tiers, …
RISQUES COMPTABLES •Aucun

RISQUES DE PILOTAGE •Aucun
RISQUES EXTERNES •Concurrence ¸Concurrence (pas de niveau 3 spécifique)
Résultats d’une analyse « Bottom-Up » dans une Agence :
ACTIVITE PROCEDURES RISQUES
VENDRE UN •Identifier le client ¸Client testant les zones de délégation tarifaire, VIP, …
CONTRAT •Découvrir ses besoins ¸Démarche non adaptée, identification erronée ou incomplète, …
•Proposer un contrat ¸Contrat/garanties choisis inappropriés, risques hors champ
d’acceptation, …
•Etablir un devis ¸Erreurs de tarification, sur l’objet du risque (choix véhicule
erroné), …
SOUSCRIRE •Contrôler les pièces ¸Erreur de relevé d’infos (ex. : non-prise en compte d’informations
UN CONTRAT particulières, pièce non valide, pièce falsifiée, …)
•Délivrer un contrat ¸Attestation hors champ d'application, délivrance à tort d'un
certificat d'assurance définitif, non-respect des consignes de
souscription, …
ENCAISSER •Proposer une formule de ¸Client non solvable, formule de paiement inadaptée
UNE paiement
COTISATION •Encaisser une cotisation ¸Détournement d'un acompte versé, moyen de paiement frauduleux,
…
84 GUIDE D’AUDIT
Jonction « Bottom-Up » avec « Top-Down » :
Chaque risque « Bottom-Up » doit être associé à un risque générique « Top-Down ».
Risques « Top-Down » non identifiés en « Bottom-Up » :
• Risques mineurs, non pris en compte dans l’analyse mais bien traités dans la réalité
(risques d’accueil, de transport, …)
• Risques de délai
=> analyse complémentaire et ajoût
• Risques gérés globalement (qualité des services et prestations) sans prise en compte
spécifique : risques de mise en cause par des tiers
A N N E X E S
• Risques non traités/non gérés au niveau de l’Agence : risques de concurrence, devant
être pris en compte dans la démarche marketing définie par le service Marketing de la
Compagnie
Risques « Bottom-Up » non identifiés par « Top-Down » :
• Mauvaise appréciation et prise en compte des véritables besoins du client

=> ajoût à la cartographie (en cours de constitution)
GUIDE D’AUDIT 85
A N N E X E S
86 GUIDE D’AUDIT
A N N E X E S
ANNEXE 7 : TABLEAU DES MENACES
GUIDE D’AUDIT 87
Exogènes
Exemple d'événements catastrophiques Facteurs aggravants
Catastrophe
nomenclature Type de Menaces E1 E2 E3 E4

R60403 Événements naturels 5 3 4 3
Tempêtes/Grêle/Neige oui Lothar 1999 110 6.4 Md€ 1 1 1 1
Inondations oui Europe Est 2002 38 3.1 Md$ 1 1 1
A N N E X E S
Tremblement de Terre Northridge 94 60 17.3 M$ 1 1

Tsunami Indonésie 2004 290 000 4 Md$ 1
Volcans Krakatoa 1883 40 000 1
Sécheresse / vague de froid oui Canicule France 2003 15 000 1 Md€ 1 1 1 1
Chutes de météorite
Nouveaux Produits / Nouvelles technologies 2 7 6 2

R60406 OGM oui cf. avis FFSA 1 1
R60405 Champs électromagnétiques oui Antenne UMTS 1 1
R60405 Produits chimiques Solvants 1 1 1
R60405 Produits pharmaceutiques Lipobay/Baycol 3.4 Md$ 1 1
R60405 Matériaux construction / Industriel oui Amiante 70 Md$ 1 1 1
R30709 Virus informatiques oui Y2K n/c 1 1 1
R60405 Nucléaire Tchernobyl 1996 n/c 1 1
Santé 2 6 6 0
R30702 Conséquences judiciaires des nouvelles maladies Sang contaminé 1 1
R60406 Aléa Thérapeutique oui Infection nosocomiale 1
R60404 Épidémie SRAS - Chine 1 1 1
R60401 Dérive des coûts médicaux 1 1
R30702 Tabac / Alcool / Drogue oui procès US anti-tabac 1 1
R60406 Biologie/Clonage 1 1
R60406 Manipulation génétique 1 1
Sociétés / Politique 3 6 5 2
R60402 Terrorisme / Attentats WTC 2001 3 025 21 Md$ 1 1
R60402 Grève/émeute/Mouvements populaires / Guerre 1 1
R60405 Accidents Technologiques ou aériens AZF 2001 30 1.5 Md€ 1
R60102 Histoire Esclavage/Holocauste 1 1 1
R30702 Harcèlement racisme sexisme oui 1 1 1
R60405 Pollution de l'environnement 1 1 1
R30601 Pollution des locaux oui Moisissures 1 1
Économie Finance 0 3 1 1
R10307 Chute de la Bourse 1929/1987/2000
R10306 Variations des taux de change oui 1
R10305 Fluctuation des taux d'intérêt oui
R60401 Chute de la Croissance - Déflation
R60101 Changements réglementaires sur les ratios 1
R60101 Changements sur les régimes des taxes 1
R30701 Perte d'agrèment / Dégradation agences de notation 1 1
R501 Comportements Managériaux 0 3 5 4

Rupture de contact avec l'entreprise 1 1
Volonté de croissance démesurée
Lancement d'un nouveau produit hors stratégie
Stratégie décalée par rapport au cycle 1
Harcèlement moral / Conflit social 1 1 1
Éthique Affaire Spitzer oct. 2004 1 1 1
Manipulation comptable / Fraude Enron 1 1 1
88 GUIDE D’AUDIT
Impacts sur des fonctions internes à l'entreprise

s Management Financier Opérationnel souscription/sinistres Support
Dommages RC Vie R. Spéciaux
4 M1 M2 M3 M4 F1 F2 F3 F4 O1 O2 O3 O4 S1 S2 S3 S4
3 0 2 0 0 2 4 3 3 7 0 2 3 4 0 3 0
1 1 1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1
A N N E X E S
1 1 1 1 1 1 1 1
1 1
1
1 1 1 1 1 1
1
2 0 1 1 1 0 2 1 1 2 7 4 1 2 0 0 1
1 1
1 1
1 1 1
1 1
1 1 1 1 1 1 1
1 1 1 1 1
1 1 1 1 1
0 0 1 0 0 0 0 1 0 0 7 7 1 0 1 1 0
1 1 1 1
1 1
1 1
1 1 1 1
1 1 1
1 1
1 1
2 1 7 3 1 2 0 4 4 4 5 2 3 2 2 0 1
1 1 1 1 1 1 1 1 1 1 1
1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1
1 1 1 1 1
1 1 1 1
1 1 1 1 1 1 1
1 3 3 1 7 3 3 1 0 1 2 6 0 0 7 5 0
1 1 1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1 1
1 1
1 1 1 1 1 1
1 1 1 1 1 1
1 1 1 1 1 1 1 1
4 2 5 3 4 2 3 3 0 1 6 4 1 0 4 5 1
1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1
1 1 1 1 1
1 1 1 1 1 3 1 1 3
GUIDE D’AUDIT 89
A N N E X E S
90
Événements naturels Sociétés / Politique Facteurs aggravants
Facteurs aggravants 20
15
15
10 10
Support 5 Management
0
0
Opérationnel assurance Financier

Opérationnel assurance Financier
Menaces ignorées
Nouveaux Produits / Nouvelles technologies Économie Finance

Facteurs aggravants
Facteurs aggravants 15
20
15 10
10
Exemple de facteurs d’alerte
0
0
Opérationnel assurance Financier Opérationnel assurance Financier
Santé Comportements Managériaux

Facteurs aggravants
Facteurs aggravants
15 15
10 10
Support 5 Management Support 5 Management
0 0
Opérationnel assurance Financier Opérationnel assurance Financier

GUIDE D’AUDIT
GUIDE D’AUDIT 91
Réalisation : Ebzone Communication (ebzone@ebzone.fr)
Impression : Compédit Beauregard S.A. - 61600 La Ferté-Macé
N° d’imprimeur : 4475

Cartographie Des Risques Okokok

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cartographie Des Risques Okokok

Transféré par

Droits d'auteur :

Formats disponibles

L E S C A H I E R S D E L A R E C H E R C H E

IFACI – Paris – juillet 2006

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou

Marc BARBIER GROUPAMA PARIS VAL DE LOIRE

Louis VAURS, Délégué Général

La publication de « la cartographie des risques » par le Groupe Professionnel Assurance

TABLE DES MATIÈRES

Le groupe de travail a fonctionné de façon pragmatique et collégiale. Pragmatique dans la

L’objectif du groupe de travail, ou sa lettre de mission, était de mettre à disposition des

Ensuite, la solidité et la pertinence de cette réflexion préalable ont été confrontées à la

Ce cahier de la recherche ne propose ni solution miracle, ni démarche exacte, et d’ailleurs

Enfin, ce cahier traite de l’identification, de la mesure et du pilotage des risques découlant

1.1 Conditions préalables

1.1.1 Volonté forte des dirigeants

Cette volonté doit se trouver à deux niveaux :

• Le Conseil d’Administration ou Conseil de Surveillance tout d’abord, dont le

1.1.2 Passage obligé par la cartographie des processus

D’une façon générale, nous retrouvons trois grandes catégories de processus :

1.1.3 Utilisation de deux approches complémentaires : Top Down et

Métier Top down

1.1.3.1 L’approche Top Down

Première étape : l’analyse des risques

Deuxième étape : le rattachement des risques aux processus

Troisième étape : l’évaluation et la hiérarchisation des risques

1.1.3.2 L’approche Bottom Up

Première étape : l’identification des processus

Le recensement des processus de l’entreprise constitue le point de départ de cette démar-

Deuxième étape : l’identification des risques

Troisième étape : l’évaluation et la hiérarchisation des risques

1.1.3.3 La construction de la cartographie

1.1.3.4 Avantages, inconvénients, écueils à éviter

La méthode Bottom-up présente des avantages à 3 niveaux.

1.1.4 Positionnement des opérationnels au cœur du dispositif

d'un Siège : comptables, chargés d’études, gestionnaires paie…. L’encadrement de proxi-

Chaque opérationnel, chaque manager de proximité est propriétaire de ses risques.

1.1.5 Communication à tous les niveaux

Si l’impulsion, en terme de communication, doit aussi être donnée par la Direction

D’abord, par le canal classique hiérarchique, communication :

Mais la communication doit aussi fonctionner de façon transversale :

1.1.6 Actualisation régulière

Par ailleurs, cette actualisation sera facilitée s'il existe notamment :

1.2 Etapes de la construction d’une cartographie des risques

1.2.1 Définir les objectifs

1.2.2 Répertorier les processus

1.2.3 Identifier les risques

1.2.4 Evaluer les risques

1.2.5 Eviter les écueils

Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utilisées

II. LA NOTION DE RISQUE

2.1 Définition du risque

2.2 Typologie des risques

Dans ces deux grandes catégories, les risques se déclinent en :

Cette modélisation a conduit à définir trois niveaux de risques complémentaires, permet-

Les risques de niveau 1 ont été déclinés en 6 familles1 :

2.3 Mesure du risque

Seule la combinaison de ces deux composantes permet d’estimer raisonnablement le

2.4 Niveau de granularité

• l’opération : pour le processus prestations : enregistrement, règlement du sinistre… ;

2.5 Evaluation des risques

Risque brut = impact prévisible x fréquence d’occurrence

Le groupe de travail recommande l’utilisation d’une échelle de fréquence de 1 à 4, du

Le tableau suivant croise ces différents éléments :

Ces évaluations se font en deux phases :

A définir au cas par