Vous êtes sur la page 1sur 92

GUIDE D’A L E S C A H I E R S D E L A R E C H E R C H E

Étude
du Processus
de Management
et de Cartographie
des Risques
Conception,
mise en place et évaluation

Groupe Professionnel
Industrie et Commerce

Institut de
l 'Audit Interne
L E S C A H I E R S D E L A R E C H E R C H E

GUIDE D’AUDIT

Étude
du Processus
de Management
et de Cartographie
des Risques

Conception,
mise en place et évaluation

Groupe Professionnel
Industrie et Commerce

Institut de
l 'Audit Interne
É T U D E D U P R O C E S S U S D E M A N A G EÉM
TEUN
DET D
E TU DPER OCCAERSTSOUGS R D
AEP HM
I EA NDAEGS E R
MI ES N
QTU EEST D E C A R T O G R A P H I E D E S R I S Q U E S

2 GUIDE D'AUDIT
REMERCIEMENTS

L’IFACI tient tout particulièrement à remercier les participants du groupe Industrie et


Commerce qui ont conçu et rédigé ce cahier :
Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ;
Frédéric Bel, Chef du Département Qualité/Audit Interne, Primagaz ;
Florence Bergeret, Responsable de la Recherche, IFACI ;
Pierre de Magnitot, Audit Manager, Giat Industrie ;
Rick Floore, Internal Audit Manager, Sodexho Alliance ;
Alain Hocquet, Risk Manager, France Telecom ;
Christian Lesné, Consultant, IFACI ;
Rosa Mendes, Auditrice Interne, Michelin ;
Marzio Panelli, Auditeur Interne, Michelin ;
Thomas Puissant, Audit Implementation Manager, Rhodia ;
Catherine Veillet-Michelet, Directrice de l’Audit Interne, Bayard Presse ;
Christian Zerbi, Responsable de l’Audit Interne, Metro Cash and Carry France.
Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total,
pour sa relecture avisée, ainsi qu’à Emmanuel Du Moulin, Directeur de l’Audit Interne
de Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric
Robert, Auditeur Interne de Renault, pour leur participation aux échanges ayant conduit
à l’élaboration de ce cahier.

Louis Vaurs
Délégué Général

IFACI – Paris – Décembre 2003


ISBN : 2-915051-02-X
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de
ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représen-
tation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal.

GUIDE D'AUDIT 3
É T U D E D U P R O C E S S U S D E M A N A G EÉM
TEUN
DET D
E TU DPER OCCAERSTSOUGS R D
AEP HM
I EA NDAEGS E R
MI ES N
QTU EEST D E C A R T O G R A P H I E D E S R I S Q U E S

4 GUIDE D'AUDIT
SOMMAIRE

Résumé ....................... ..................................................................................................................................................................................... 7

Introduction ...... ..................................................................................................................................................................................... 9

1. Le processus de management des risques (PMR) ............................................... 10

1.1. Les objectifs du PMR ..................................................................................................................................................................... 10


1.2. Les grandes phases du PMR .................................................................................................................................................. 11

2. Les acteurs du PMR ...................................................................................................................................................... 12

3. Le rôle de l’audit interne dans le PMR ................................................................................... 18

3.1. En présence d’un PMR ................................................................................................................................................................ 18


3.2. En l’abscence d’un PMR ............................................................................................................................................................. 22

4. La cartographie des risques, élément clé du PMR ............................................ 24

4.1. Définition et objectifs d’une cartographie ................................................................................................................. 24


4.2. Exemples de risques majeurs en environnement industriel et commercial ............................ 25
4.3. Exemple : Approche Bottom-up ............................................................................................................................................ 27
4.4. Exemple : Approche Top-down .............................................................................................................................................. 32
4.5. Une démarche d’auto-évaluation ...................................................................................................................................... 37
4.6. La communication de la cartographie des risques ........................................................................................... 40

Conclusion – Gérer les risques liés à la mise en place d’un PMR .......
41

GUIDE D'AUDIT 5
É T U D E D U P R O C E S S U S D E M A N A G EÉM
TEUN
DET D
E TU DPER OCCAERSTSOUGS R D
AEP HM
I EA NDAEGS E R
MI ES N
QTU EEST D E C A R T O G R A P H I E D E S R I S Q U E S

Annexes :

Annexe 1 – Exemples de processus de management des risques ....................................................................... 44


1.1. Grand groupe multi-filiales et multi-établissements ........................................................................ 44
1.2. Groupe de presse de taille moyenne ..................................................................................................................... 45

Annexe 2 – Exemple de Business Process Model et de questionnaire de description


de processus ............................................................................................................................................................................ 49
2.1. Business Process Model ................................................................................................................................................... 49
2.2. Questionnaire de description de processus................................................................................................... 50
Annexe 3 – Exemples de guide d’audit du processus achat.................................................................................... 53
3.1. En milieu industriel.............................................................................................................................................................. 53
3.2. En milieu commercial ......................................................................................................................................................... 61
Annexe 4 – Risque industriel : la directive Seveso ......................................................................................................... 83
Annexe 5 – Glossaire .................................................................................................................................................................................... 85
Annexe 6 – Bibliographie ......................................................................................................................................................................... 86

6 GUIDE D'AUDIT GUIDE D'AUDIT


6
RÉSUMÉ

Selon la dernière enquête de l’IFACI menée en France, près des deux tiers des entreprises
ayant répondu ont mis en place un processus de management des risques, mais les pra-
tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans
d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois
dispa- rate, il nous a semblé nécessaire d’écrire un guide aidant à la réflexion puis à
l’élaboration d’un processus de management des risques adapté à un environnement
industriel et commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une
dizaine d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière
d’un document normatif. À partir des exemples donnés, il appartient à chaque lecteur de
mener sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes
spécifiques au processus de management des risques.

La première partie met en lumière les objectifs et la démarche d’un processus de manage-
ment des risques :

• Les risques de l’entreprise sont identifiés ;

• La direction générale (1) et les opérationnels déterminent le niveau de risques


acceptable ;

• Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques
;

• Un suivi permanent est effectué, en particulier pour réévaluer périodiquement les


risques et l’efficacité des contrôles internes ;

• Le Conseil (2) et la direction générale sont informés périodiquement des résultats et


enseignements du processus de management des risques.

Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la
deuxième partie : le Conseil, la direction générale, les comités spécialisés du Conseil,
l’audit interne, le risk management, le management et les opérationnels, le contrôleur de
gestion et, en tant que prestataires externes, les commissaires aux comptes.

Parmi ces acteurs, l’audit interne se distingue par son rôle fondamental dans le processus
de management des risques. En effet, dans le cadre de leurs activités courantes, on attend
des auditeurs internes qu’ils identifient et évaluent les risques significatifs. La vision d’en-
semble qu’ils ont de l’entreprise et de ses processus les y aide nécessairement.

Ce rôle est approfondi dans la troisième partie à l’aide de questions clés liées aux
éléments du processus les plus importants. En l’absence d’un processus de management
des risques, quelques orientations sont données pour l'initier (prendre conscience des
risques et de l’importance du contrôle interne, promouvoir la démarche, aider l’entreprise
à identifier et évaluer les risques et faire évoluer le processus).

(1) Par direction générale, on entend également comité exécutif, directoire, comité de direction, …
(2) Par Conseil, on entend conseil d’administration, conseil de surveillance, …
GUIDE D'AUDIT 7
La construction de la cartographie des risques, abordée dans la quatrième partie, est une
étape clé du processus. En fonction de la culture et de l’environnement de l’entreprise,
deux approches peuvent être adoptées pour élaborer une cartographie des risques :

– l’approche bottom up, ou remontée des risques opérationnels vers les risques
majeurs,

– l’approche top-down, à partir des risques majeurs identifiés pour les différentes
parties prenantes.

Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dans
un grand groupe, il peut y avoir plusieurs cartographies des risques, indépendantes les
unes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe qui
a des activités ou des implantations géographiques très différentes n’établira pas une
cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération-
nelles sont proches ou semblables, il est certain que des risques de même nature seront
identifiés et alors agrégés au niveau de la direction générale, avec l’enrichissement
apporté par la vision plus large de celle-ci.

La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d’établir la cartographie des risques
majeurs en se basant, certes sur les informations qui lui remontent des opérationnels, via
les reporting traditionnels, mais également sur des informations en provenance de
l’environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soient
ensuite déclinés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils don-
nent lieu à des reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk
manager ou de l’auditeur interne, doit s’assurer de l’harmonisation de ces cartographies.
Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et
les plans d’actions dans l’entreprise.

88 GUIDE D'AUDIT
É T U D E D U P R O C E S S U S D E M A N A G EÉM
TEUN
DET D
E TU DPER OCCAERSTSOUGS R D
AEP HM
I EA NDAEGS E R
MI ES N
QTU EEST D E C A R T O G R A P H I E D E S R I S Q U E S

INTRODUCTION

• Selon l’enquête sur l’audit interne menée par l’IFACI en novembre 2002, en partenariat
avec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis en
place un processus de management des risques. Il convient d’être prudent dans
l’acception donnée à « Processus de management des risques » ; en effet, les échanges
au sein du groupe de recherche de l’IFACI ont révélé des pratiques très diverses allant
de processus peu ou non formalisés à des processus déjà très aboutis.

Face à une littérature traitant abondamment de ce thème, mais parfois de façon dispa-
rate, il nous a paru nécessaire d’écrire un guide aidant à la réflexion puis à la construc-
tion d’un processus de management des risques, adapté à un environnement industriel
et commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine
d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de
mener sa propre réflexion autour des thèmes suivants :

• la notion de « processus de management des risques » : processus élaboré et main-


tenu par le Conseil, la direction ou les opérationnels, déployé dans toute
l’entreprise et destiné à identifier des évènements potentiels susceptibles d’affecter
la vie de l’entreprise, à gérer ses risques et à fournir une assurance raisonnable que
ses objectifs seront atteints ;
• le rôle des divers acteurs qui y sont impliqués, notamment celui de l’audit interne,
acteur majeur du processus de management des risques, dont les missions varient
en fonction de l’existence ou de l’absence d’un processus de management des
risques ;

• l’initiation de la démarche en :
– identifiant les risques majeurs en environnement industriel et commercial ;
– proposant deux approches différentes d’élaboration d’une cartographie
des risques, composante essentielle d’un processus de management des
risques. Ces deux approches ne prétendent pas offrir une méthode
exhaus- tive et infaillible d’identification des risques mais des pistes
d’orientation pour construire sa propre cartographie.

9 GUIDE D'AUDIT GUIDE D'AUDIT


9
1. LE PROCESSUS DE MANAGEMENT DES RISQUES (PMR)

1.1. Les objectifs du PMR

Les principaux objectifs d’un processus de management des risques sont les suivants (3) :

• identification et hiérarchisation rapide des risques découlant des stratégies, des activi-
tés de l’organisation et de l’environnement externe ;

• détermination par la direction générale et les opérationnels d’un niveau de risques


acceptable pour l’organisation, en tenant compte des risques liés à la mise en œuvre des
plans stratégiques de l’organisation et de leurs conséquences potentielles ;

• définition et mise en œuvre de mesures d’atténuation et de maîtrise des risques


(mise en place d’un contrôle interne adapté, transfert, financement,…) afin de réduire ou de
gérer les risques, compte tenu des seuils jugés acceptables par la direction générale et le
Conseil. Il s’agit ici de répondre de manière appropriée à tous les risques
susceptibles d’empêcher la réalisation des objectifs de l’entreprise. Ceci inclut la
sauvegarde du patrimoine de tout risque d’utilisation inappropriée, de perte et de
fraude et implique de s’assurer que les dettes/pertes sont identifiées et prises en
compte.

• suivi permanent des activités afin :

– de réévaluer périodiquement les risques et l’efficacité des contrôles pour


permettre de les gérer et pour veiller à l’émergence de risques nouveaux ;

– d’assurer une cohérence globale de la méthode de gestion des risques


d’une activité à l’autre (ou d’une entité à l’autre) ;

• information périodique du Conseil et de la direction générale sur les résultats


des processus de management des risques. Dans le cadre d’un bon gouvernement
d'entreprise, le Conseil et la direction générale doivent en effet assurer une
vigilance (et rendre compte vis-à-vis des parties prenantes) à l’égard des risques,
des straté- gies liées aux risques, et des contrôles ;

• maintien d’un niveau de qualité des reportings interne et externe. Ceci implique
des enregistrements appropriés et des processus générant, en temps utile, une
infor- mation pertinente et fiable.

Le processus de management des risques peut également avoir pour objectif, complémen-
taire, d’alimenter le plan d’audit interne.

De manière générale, le processus de management des risques offre l’avantage de


promouvoir ou renforcer une culture de risques au sein de l’entreprise et de partager les
meilleures pratiques en apportant des outils et des méthodes aux managers pour les aider
à identifier, évaluer et traiter leurs risques.

(3) Les phrases en italique sont issues de la Modalité Pratique d’Application 2110-1 des Normes Professionnelles
de l’Audit Interne de l'IIA/IFACI.
1.2. Les grandes phases du PMR

• Identifier et évaluer les risques, notamment en veillant à l’émergence de risques


nouveaux. Il s’agit de connaître ses risques, d’en mesurer l’impact et la probabilité,
et de les hiérarchiser au travers de cartographies.

• Traiter les risques : il s’agit d’obtenir des propriétaires de risques qu’ils évaluent
les différentes options de traitement des risques, qu’ils sélectionnent la meilleure
combinaison (supprimer, accepter, transférer, couvrir/financer) et qu’ils
conduisent les plans d’actions adéquats, notamment la mise en place de plans de
gestion de crise.

• Suivre l’évolution des risques : les propriétaires des risques sont responsables du
suivi de l’évolution des risques au cours du temps. Ils doivent fournir les informa-
tions de reporting correspondantes et adapter les mesures nécessaires.

• Garantir la maîtrise des risques : des revues indépendantes et objectives de la per-


tinence et de l’efficacité des traitements sont assurées par l’audit interne, le risk
management, l’audit externe ou les équipes qualité pour donner à la direction
générale une image consolidée des risques majeurs de l’ensemble de l’entreprise et
de leur maîtrise.

Au-delà de ces considérations générales, il convient d’adapter le processus de manage-


ment des risques à l’entreprise : en fonction de sa taille, structure, culture, activité,… Une
variété de situations peut alors être rencontrée. (4)

(4) En annexe 1, sont présentés deux exemples de processus de management des risques : le premier est déployé dans
un grand groupe multi-filiales et multi-établissements et le second dans un groupe de presse de taille moyenne.
2. LES ACTEURS DU PMR

Les acteurs du processus étant nombreux, il est indispensable que leurs activités et actions
dans le processus de management des risques soient coordonnées. Le tableau ci-après
reprend ce que peuvent être leurs principales responsabilités qui sont ensuite
développées plus largement. Ces rôles se positionnent dans le contexte français. Ils
peuvent différer dans d’autres pays, en fonction de la réglementation applicable
(notamment les rôles de la direction générale, du Conseil ou des comités qui en émanent).

Légende du schéma ci-après :


: se coordonne avec
: donne des orientations

Comités
spécialisés du Conseil Conseil

Commissaires
aux comptes

Direction générale

Audit
Interne Management
et opérationnels

Risk
Contrôle
management
de gestion
Acteurs Responsabilités dans le processus
de management des risques

Conseil • veille à ce que un/des processus de management des risques


approprié(s), suffisant(s) et efficace(s) soit/soient en place ;

• est informé périodiquement des résultats du PMR ;


• s’assure que le PMR fait l’objet d’évaluations régulières ;
• veille à ce que les actions nécessaires aient été menées rapidement
afin de pallier toute défaillance ou faiblesse importantes.

Direction • fait partager à toute l’entreprise la vision d’une gestion du risque


générale rigoureuse et efficace, donne l’impulsion, crée les conditions de mise
en œuvre du PMR au sein de l’entreprise ;

• est responsable de la conception, de la mise en place et du pilotage du


PMR ;

• définit les orientations stratégiques qui généreront, éventuellement,


des risques majeurs à prendre en compte ;

• détermine le niveau de risques majeurs acceptable ;


• fixe, au sein de l’entreprise, les responsabilités liées aux risques. Il
lui appartient de définir officiellement les rôles précis de
chacun des acteurs du processus de management des risques (qui en
tireront leur légitimité) et de s’assurer que chaque acteur
comprenne les responsabilités qui lui incombent. Ceci est parti-
culièrement vrai pour l’audit interne dont le rôle, tel qu’il sera
abordé ci-après dans la partie trois, est protéiforme et, de ce fait,
doit être précisé dans la charte d’audit interne. La direction générale
doit, à ce titre, débloquer les ressources humaines et financières
nécessaires à la mise en œuvre, au suivi et à l’évalua- tion du PMR ;

• fournit à tous les acteurs intervenant dans le PMR les informations


qu’elle serait la seule à connaître sur les risques de l’entreprise ;

• suit et apprécie les résultats du PMR et de ses évaluations réali- sées


par l’audit interne, éventuellement en s’assurant que des plans de
continuité des opérations sont mis en place afin de main- tenir la
continuité d’exploitation et de réduire les pertes en cas
d’interruption critique de l’activité ;

• prend en compte ces résultats dans les décisions et orientations


stratégiques ;

• présente au Conseil les résultats du PMR.


Acteurs Responsabilités dans le processus
de management des risques
Comités • examinent les risques et engagements hors bilan significatifs,
spécialisés entendent le responsable de l’audit interne, sont destinataires de
du Conseil son programme de travail et de ses rapports d’audit interne ;

(comité d’audit/ • vérifient que les processus et procédures en matière financière sont
comité des mis en œuvre et sont efficaces ;
comptes, comité • dirigent et coordonnent la prévention et la maîtrise des risques liés
des risques, aux opérations de l’entreprise.
comité des
rémunérations, Chacun de ces comités peut être chargé de traiter un domaine parti-
comité culier du PMR, mais c’est principalement le comité d’audit qui doit
stratégique,…) jouer un rôle moteur ainsi que le préconise le Rapport Bouton (cf.
encadré ci-après). L’existence et le rôle des divers comités est très
variable d’une entreprise à l’autre (cf exemple d’un groupe de spécia-
lités chimiques ci-après).

Auditeur interne L’auditeur joue un rôle majeur dans le PMR. En effet, il identifie et
(Rôle développé évalue les risques significatifs dans le cadre de ses activités courantes.
en partie III)
En présence d’un PMR :
• l'évalue et contribue à son amélioration (mission prioritaire) ;
• rend compte de cette évaluation à la direction générale et au comité
d’audit ;
• aide à identifier et évaluer les risques ;
• peut apporter un soutien actif et continu au PMR, en participant par
exemple à des comités de surveillance et de suivi des risques ;
• peut apporter la méthodologie.

En l’absence d’un PMR :


• fait la promotion de la démarche : attire l’attention de la direction
générale sur la nécessité de mettre en place un PMR et formule des
suggestions sur ce point ;
• initie la démarche, à la demande de la direction générale ;
• gère et coordonne le processus.
Ce rôle varie de manière significative d’une entreprise à l’autre et
selon qu’il existe, ou non, un processus de management des risques.
Il est largement développé dans la partie III du présent cahier de la
recherche.
Acteurs Responsabilités dans le processus
de management des risques

Il convient de souligner que, quel que soit ce rôle :

• il doit être défini par la direction générale et le Conseil ;

• il doit être clairement précisé dans la Charte de l’audit interne et


dans celle du comité d’audit ;

• l’audit interne ne devient pas, de ce fait, responsable des risques,


cette responsabilité incombant à la direction générale et aux direc-
tions opérationnelles.

Risk manager • explique le PMR aux opérationnels ;


• aide la direction générale à définir la stratégie du management des
risques ;
• réalise éventuellement des analyses économiques d’opportunité en
prenant en compte les coûts potentiels liés aux risques ;
• identifie, en concertation avec les directeurs opérationnels et l’audit
interne, les risques majeurs de l’entreprise et anticipe les nouveaux
risques émergents ;
• évalue les risques ;
• assiste la direction générale et les directeurs opérationnels dans la
formulation d’une réponse aux risques :
– prendre le risque,
– traiter le risque,
– transférer le risque,
– supprimer le risque ;
• coordonne, en liaison avec les managers opérationnels :
– le programme d’assurance de l’entreprise (en relation avec les
courtiers et assureurs) ;
– les systèmes de financement du risque (en lien avec les
financiers) ;
– les dispositifs de crise et les plans de secours, en étroite
collaboration avec les responsables sécurité physique et
systèmes d’information.
Acteurs Responsabilités dans le processus
de management des risques

Directions Chaque manager est propriétaire de ses propres risques ; il :


opérationnelles et • choisit le traitement à appliquer au risque, en collaboration avec le
fonctionnelles risk-manager ;
• détermine le niveau de risque acceptable dans son domaine confor-
mément à la politique de l’entreprise (pour les risques majeurs, ce rôle
est dévolu à la direction générale) ;
• peut être, sous délégation de la direction générale, responsable de
l’acceptation des risques résiduels ;
• est responsable du déploiement dans son activité/entité/service de la
cartographie des risques ;
• est responsable de l’identification, l’évaluation, l’atténuation, le
suivi des risques au jour le jour de son activité/entité/service ;
• rend compte à la direction générale des nouveaux risques identifiés
ou des faiblesses/lacunes du PMR.

Contrôleur de • a une vision transversale de l’entreprise et aide ainsi au déploie-


gestion ment de la cartographie ;
• contribue à la lisibilité des objectifs à tous les niveaux hiérarchiques et
sur tous les processus de l’entreprise ;
• assure le lien entre la stratégie définie par la direction générale ou par
la direction de la stratégie, et l’activité opérationnelle, en élabo- rant
les plans à court et moyen terme et les budgets. Cette connexion est,
bien entendu, fondamentale pour la déclinaison des risques
stratégiques en risques opérationnels ;
• suit les coûts et valeurs, ce qui permet de prévenir d’éventuelles
pertes ou destructions de valeur ou, a contrario, d’identifier des
couples risques/opportunités intéressants pour l’entreprise ;
• aide au suivi des actions engagées pour prévenir ou réduire les
risques, en fournissant, notamment, des indicateurs chiffrés.
Acteurs Responsabilités dans le processus
de management des risques
Commissaire aux • peut apporter des modèles de cartographie, des méthodologies ou des
comptes/auditeur outils d’analyse des risques ;
externe • dans le cadre de sa mission légale de certification des comptes, pro-
cède à une identification et une évaluation des risques sur lesquelles il
fonde son plan d’intervention, à l’instar des auditeurs internes. Les
risques (et les processus) auxquels il s’intéresse sont plus parti-
culièrement ceux qui sont susceptibles d’avoir une incidence sur les
comptes de l’entreprise. Cependant, l’obligation qui lui est faite de se
prononcer sur la continuité d’exploitation de l’entreprise l’amène
également à se pencher sur l’ensemble des risques, même ceux qui ne
trouveront pas une traduction comptable immédiate.

Comités spécialisés du Conseil :


Le Rapport Bouton « Pour un meilleur gouvernement des entreprise cotées » paru en sep-
tembre 2002 précise le rôle attendu du comité d’audit en matière de contrôle des risques :

Rôle du comité d’audit/comité des comptes – Extrait du Rapport Bouton


« Le comité des comptes a généralement une compétence couvrant à la fois les comptes,
les risques et le suivi de l’audit interne mais, dans certaines sociétés, peuvent co-
exister un comité spécialisé chargé des comptes et un comité d’audit plus spéciale- ment
orienté sur le contrôle des risques ». En outre, ce Rapport recommande que
« S’agissant de l’audit interne et du contrôle des risques, les comités devraient exami- ner
les risques et engagements hors bilan significatifs, entendre le responsable de l’au- dit
interne, donner leur avis sur l’organisation de son service et être informés de son
programme de travail. Ils devraient être destinataires des rapports d’audit interne ou
d’une synthèse périodique de ces rapports ».

Les rôles confiés aux comités spécialisés du Conseil sont variables d’une entreprise à l’au-
tre. Voici, ci-après, l’exemple d’un groupe de spécialités chimiques fortement interna-
tionalisé :

– Le comité des comptes examine les comptes bien sûr, mais surtout « il vérifie que les
processus et procédures en matière financière sont mis en œuvre et efficaces ». Le
comité est donc « spécialisé » de par sa mission sur le traitement des risques finan- ciers
(reporting, financement, change, taux etc.).
– Le comité des risques dirige et coordonne la prévention et la maîtrise des risques liés
aux opérations de l’entreprise, reposant sur une analyse spécifique au secteur
d’activité et/ou au « métier » exercé par l’entreprise.

Les deux ensembles ne travaillent pas isolément l’un de l’autre, certains de leurs mem-
bres étant communs. De plus, le Directeur de l’Audit interne est le Secrétaire des deux
comités, ce qui assure une appropriation rapide par le service d’audit des sujets perti-
nents traités lors des comités.
3. LE RÔLE DE L’AUDIT INTERNE DANS LE PMR

3.1. En présence d’un PMR


L’évaluation du PMR est un des objectifs prioritaires de l’audit interne. Il peut prendre des
formes très diversifiées d’une entreprise à l’autre et doit être adapté à la culture, au style de
management, à la taille, la structure et aux objectifs de l’entreprise. Il peut englo- ber
plusieurs niveaux de cartographies des risques.

Quelle que soit la forme du PMR et « qui que ce soit qui définisse la nomenclatu re et la liste
des risques, l’audit interne doit aller vérifier, chaque fois qu’il y a un risque significa- tif que
ce risque est couvert sur la totalité du périmètre de l’entreprise et sur la totalité de son
extension géographique » (extrait d'une interview de M. Peyrelevade, Président du comité
d’audit de Suez).

L’audit interne doit s’assurer que les objectifs du PMR tels que définis dans la Partie I sont
couverts :

OBJECTIFS DU PMR POINTS D’AUDIT


1. Risques identifiés, hié- Intervenants
rarchisés et détermination 1.1 Existe-t-il un/des responsable(s) du PMR ?
d’un niveau de risques
1.2 A-t-il/ont-ils un positionnement hiérarchique en rapport
acceptable par le manage-
avec sa/leur mission ?
ment
1.3 La fonction est-elle clairement définie ?
1.4 Permet-elle de couvrir toute l'entreprise ?
1.5 Le Management fait-il partie intégrante de l'élaboration du
PMR ?

Identification
1.6 A-t-on l'assurance raisonnable que le PMR a permis d'iden-
tifier tous les risques majeurs en s'assurant notamment que :
– les objectifs (objectifs liés aux opérations, objectifs liés aux
informations financières et objectifs de conformité – classifica-
tion COSO) et les buts de l'entreprise seront atteints ?
– tous les domaines de l'entreprise sont intégrés dans le PMR ?
1.7 L'identification des risques a-t-elle été faite par le manage-
ment de l'entreprise ? A-t-il évoqué ses sujets de préoccupation ?
1.8 Existe-t-il une démarche d'auto-évaluation des risques par
les managers ?
1.9 Les préoccupations du Conseil ou du comité d'audit ont-
elles été intégrées dans l'analyse ?
1.10 A-t-on fait appel à des prestataires externes (assureurs,
conseils …) pour une approche globale du PMR ?
OBJECTIFS DU PMR POINTS D’AUDIT
1. Risques identifiés, hié- 1.11 Existe-t-il :
rarchisés et détermination – une documentation appropriée sur les risques,
d’un niveau de risques
– une formalisation de la cartographie des risques,
acceptable par le manage-
ment (suite) – une synthèse des éléments constitutifs de la cartographie ?
1.12 Cette cartographie s'appuie-t-elle sur une hiérarchisation
des risques ?
1.13 L'entreprise a-t-elle une culture de risque étendue à tous
ses métiers ?

Évaluation des risques


1.14 Y a-t-il une valorisation des impacts éventuels des risques ?
1.15 Une probabilité d’occurrence est-elle définie (pour cer- tains
risques majeurs, graves, déterminer une probabilité d’oc-
currence n’est pas pertinent) ?
1.16 A-t-on et exploite-t-on des indicateurs de mesure des
risques (incidents, défaillances, accidents …) ?
1.17 Mesure-t-on le niveau de maîtrise/de contrôle des risques ?
1.18 Les risques sont-ils évalués en fonction des trois critères
ci-dessus (impact, probabilité d’occurrence, niveau de maîtrise/ de
contrôle) ?

Validation du PMR
1.19 Le PMR fait-il l'objet d'une procédure de validation ?
1.20 La direction générale est-elle impliquée dans la procédure
de validation (directement ou par délégation) ?
1.21 Les risques identifiés ont-ils tous un propriétaire ?

Niveau d’acceptabilité
1.22 Des seuils de niveau d’acceptabilité des risques ont-ils été
définis par le management ?

2. Mesures de traitement Rattachement


des risques
2.1 Pour chacun des risques identifiés, a-t-on mis en place l’une
des mesures de traitement suivantes :
– acceptation,
– réduction,
– élimination,
– assurance/transfert ?
Risques résiduels
2.2 Ces données sont-elles transmises à la direction générale ?
OBJECTIFS DU PMR POINTS D’AUDIT
2. Mesures de traitement 2.3 Existe-t-il un plan d'action sur les risques qui nécessitent
des risques (suite) d'être réduits ?
2.4 Si oui, la responsabilité de mise en œuvre de ce plan est-elle
définie ?
2.5 La mise en œuvre de ce plan est-elle suivie ?

3. Suivi permanent des Périodicité de mise à jour


activités : réévaluer pério-
3.1 La périodicité de mise à jour du PMR est-elle définie ?
diquement les risques et le
contrôle interne 3.2 Est-elle respectée ?

Contrôle
3.3 Le responsable du PMR a-t-il procédé à un inventaire des
différentes évaluations réalisées (par l’audit interne, les
commissaires aux comptes, les risk managers,…) ?
3.4 La périodicité de contrôle du PMR (par l'audit interne ou
d’autres fonctions) est-elle définie et adaptée ?
3.5 Cette périodicité prévoit-elle la prise en compte de change-
ments importants survenus en interne ou en externe à l’entre-
prise ?

4. Communication à la Élaboration
direction générale, au
4.1 La direction générale est-elle impliquée dans l’élaboration
comité d'audit et au
du
Conseil des résultats du
PMR ?
PMR et de son évaluation
4.2 Le comité d'audit et/ou le Conseil donne-t-il son avis sur le
PMR ?

Reporting
4.3 Le PMR et les résultats de son évaluation font-ils l'objet
d'une présentation en Comité de Direction/ à la direction
générale ?
4.4 S’il y a plusieurs PMR dans l’entreprise, sont-ils consolidés ?
Cette consolidation est-elle pertinente (non pertinente dans le
cas d’activités ou de zones géographiques très diversifiées) ?
4.5 Le PMR et les résultats de son évaluation sont-ils diffusés :
– à la direction générale,
– au comité d'audit,
– à la direction de l'audit ?
4.6 La liste des risques forts acceptés est-elle :
–– approuvée
communiquée par au
la direction générale ?
comité d'audit/Conseil ?
OBJECTIFS DU PMR POINTS D’AUDIT
5. Plan d'audit 5.1 Le plan d'audit est-il élaboré en s'appuyant notamment sur
les risques identifiés dans le cadre du PMR ?

5.2 Les risques significatifs, identifiés lors des missions d'audit,


sont-ils communiqués au Responsable du PMR ?

Afin de répondre à ces questions, l’audit interne peut rechercher et examiner des docu-
ments de référence et des informations d’ordre général sur les méthodes de management
des risques afin d’apprécier si le processus mis en œuvre par l’entreprise est approprié et
s’inspire des meilleures pratiques du secteur. Voici ce que préconise la Modalité Pratique
d’Application 2110-1 des Normes Professionnelles de l’Audit Interne.

Extrait : L’auditeur interne peut recourir aux procédures décrites ci-après :


• Rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évolution
récente et les tendances, ainsi que toute autre source d’information appropriée, afin de détermi-
ner les risques susceptibles d’affecter l’organisation et les procédures de contrôle utilisées pour
gérer, suivre et réévaluer ces risques.
• Examiner les procédures de la société ainsi que les procès-verbaux des délibérations du Conseil et
du comité d’audit afin de déterminer les stratégies de l’organisation, son approche du mana-
gement des risques, son attirance pour le risque et son acceptation des risques.
• Examiner les rapports d’évaluation des risques précédemment établis par le management, les
auditeurs internes ou externes et, le cas échéant, par tout autre intervenant.
• Organiser des entretiens avec les responsables opérationnels et leurs managers afin de détermi-
ner les objectifs de chaque branche d’activité, les risques correspondants, et les mesures de suivi,
de contrôle et d’atténuation des risques prises par le management.
• Recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du processus de suivi,
de communication et d’atténuation des risques, et des activités de contrôle correspondantes.
• Déterminer si les informations ou rapports relatifs au suivi des risques sont adressés au niveau
hiérarchique approprié.
• Vérifier si les rapports concernant les résultats du management des risques sont diffusés selon des
modalités et dans des délais appropriés.
• S’assurer du caractère exhaustif de l’analyse des risques effectuée par le management et des
mesures prises pour résoudre les points soulevés dans le cadre du processus de management des
risques, et proposer des améliorations.
• Apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management, au moyen
d’observations et de tests sur les procédures de suivi et de contrôle testant l’exactitude des
informations utilisées dans le cadre des opérations de suivi, et par d’autres techniques appropriées.
• Examiner les signes de faiblesse éventuels du dispositif de management des risques et, le cas
échéant, les analyser avec le management, le comité d’audit et le Conseil. S’il estime que le
management a accepté un niveau de risques non compatible avec la stratégie et les procédures de
l’entreprise en matière de management des risques, ou jugé inacceptable pour l’organisation,
l’auditeur doit se référer à la Norme 2600 relative à l’acceptation des risques par le manage- ment,
et à toute orientation complémentaire.
3.2. En l’absence d’un PMR (5)

Les missions de l’audit interne peuvent être diverses :


• Faire prendre conscience des risques et de l’importance du contrôle interne
• Promouvoir la démarche du PMR
En l’absence d’un Processus de Management des Risques, l’analyse du risque de chaque
mission d’audit conduit à augmenter la sensibilisation aux risques de l’entreprise. Cela
permet de constituer petit à petit le matériau nécessaire à une première cartographie,
certes sommaire et quelque peu incomplète. L’audit interne la constitue avec l’expérience
acquise au fil des missions et est le garde-fou de la méthode.

L’audit interne doit convaincre la direction générale de constituer un véritable processus


de management des risques. Parfois, la direction générale demandera à l’audit interne
d’initier cette démarche et de l’aider à identifier et évaluer les risques. L’audit interne,
par la mise à jour de risques non formalisés par la direction générale par exemple, ne
pourra que plus facilement la convaincre de la nécessité de s’approprier cette démarche.

L’existence d’un PMR apporte une certaine assurance quant à la capacité de l’entreprise à
répondre rapidement et de manière appropriée aux risques émergents, plus particulière-
ment dans un environnement fluctuant et imprévisible.

La production ponctuelle d’une cartographie des risques ne permet pas d’assurer une
réactivité optimale face à de nouveaux risques. Il est donc nécessaire de prévoir des méca-
nismes permettant de l’adapter en permanence en fonction des évolutions de l’entreprise
et de l’environnement.

• Aider l’entreprise à identifier, évaluer les risques


Si un processus de management des risques n’existe pas dans l’entreprise, une des
premières contributions de l’audit interne à la création d’un tel processus peut être
d’aider cette dernière à identifier et évaluer ses risques.

L’audit interne peut organiser complètement cette identification et cette évaluation au


travers d’entretiens avec les principaux managers de l’entreprise, ces derniers étant les
plus à même de connaître les risques qui touchent leurs opérations et de les mesurer. Ces
managers seront choisis de telle sorte que tous les processus de l’entreprise soient cou-
verts : recherche et développement, industrialisation, vente, … et donc qu’aucun risque
majeur ne soit écarté.

Les entretiens seront menés par les auditeurs internes à l’aide de questionnaires adaptés
aux processus étudiés et en fonction de la connaissance des processus et des risques qu'ils
ont acquise au travers des missions d’audit interne. Il sera également demandé aux mana-
gers de donner une mesure du risque identifié en quantifiant :
– l’impact (6) du risque (ou matérialité),
– la probabilité d’occurrence,
– Niveau de maîtrise/de contrôle (6)

(5) Se reporter au Cahier de la Recherche « Management des risques », issu d’une prise de position de l’IIA UK –
cf. bibliographie en annexe 6.
(6) cf. glossaire (Annexe 5).

2 GUIDE D'AUDIT GUIDE D'AUDIT


2
Ainsi qu’il l’a été souligné précédemment, la probabilité d’occurrence peut ne pas être
un critère de mesure pertinent dans les cas de risques majeurs (tels que l’explosion
d’une usine, un accident grave de personne,…). On ne peut établir de statistiques de
survenance pour ces risques qui, heureusement, restent excessivement rares. On ne peut
alors retenir pour mesurer le risque que les critères d’impact et de niveau de maîtrise/de
contrôle.

La multiplication des critères donne le caractère critique du risque et tous les risques iden-
tifiés pourront alors être classés par degré d’importance pour une mise en évidence des
risques majeurs.

Les risques ainsi identifiés, classés et mesurés sont alors communiqués dans l’entreprise
aux niveaux appropriés à même de mettre en place les mesures pour les couvrir. En
aucun cas, l’audit interne ne doit s’impliquer dans cette gestion des risques : ce n’est
pas à l’audit interne de décider du mode de traitement du risque. Il doit cependant tenir
compte de la cartographie des risques ainsi constituée pour bâtir son plan d’audit.

• Gérer et coordonner le processus afin de le faire évoluer et vivre


L’audit interne peut se voir confier la responsabilité de gérer le processus global et de
coor- donner les actions des divers acteurs du processus. À ce titre, il peut être appelé à
partici- per aux comités des risques, aux activités de suivi, etc. Il n’en devient pas pour
autant le propriétaire du processus.

Cette situation, bien que prévue dans les Normes, ne saurait être que provisoire. On
per- çoit bien, pour un audit interne qui remplit ces rôles, les dangers d’altération de son
indé- pendance. Les Normes Professionnelles de l’Audit Interne apportent un garde-fou
en pré- cisant que :

– Ce rôle, qui dépasse sa mission traditionnelle d’assurance (évaluation du processus et


propositions de recommandations), doit être clairement inscrit dans la charte d’audit
inter- ne et expressément confié par la direction générale et/ou le comité d’audit.

– Ce rôle ne rend pas pour autant l’audit interne responsable du Management des
Risques. Cette responsabilité demeure assumée par le management. « Pour éviter de se
voir attri- buer la responsabilité des risques, les auditeurs internes doivent obtenir du
management la confirmation que ce dernier veille à l’identification, à l’atténuation et
au suivi des risques et qu’il en assume la responsabilité » (Extrait de la Modalité
Pratique d’Application 2100-4 des Normes Professionnelles de l’Audit Interne).
4. LA CARTOGRAPHIE DES RISQUES, ÉLÉMENT CLÉ DU PMR

La cartographie des risques est un outil clé du PMR qui permet de répondre aux trois
premières phases du PMR (cf partie 1.2.), à savoir :
– identifier et évaluer les risques ;
– traiter les risques ;
– suivre leur évolution.

Après avoir proposé une définition de la cartographie des risques, de ses principaux
objec- tifs et une liste indicative de risques majeurs en milieu industriel et comme rcial,
cette par- tie est consacrée à deux approches différentes d’élaboration d’une cartographie :
une approche bottom-up et une approche top-down par partie prenante. Ces deux
approches ne prétendent pas offrir une méthode d’identification des risques exhaustive et
infaillible mais un certain nombre de pistes pour construire sa propre cartographie.

Il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs car-
tographies des risques, indépendantes les unes des autres et qui, de ce fait, ne sont pas
obligatoirement consolidables. Un groupe qui a des activités ou des implantations géo-
graphiques très différentes n’établira pas une cartographie mais plusieurs. En revanche,
dans le cas où les activités et entités opérationnelles sont proches ou semblables, il est cer-
tain que des risques de même nature seront identifiés et alors agrégés au niveau de la
direction générale, avec l’enrichissement apporté par la vision plus large de celle-ci.

La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d’établir la cartographie des risques majeurs
en se basant, certes sur les informations qui lui remontent des opérationnels, via les repor-
ting traditionnels, mais également sur des informations en provenance de l’environne-
ment extérieur. Bien entendu, il est essentiel que ces risques majeurs soient ensuite décli-
nés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils donnent lieu à des
reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk manager ou de
l’auditeur interne, doit s’assurer de la cohérence de ces cartographies. Ceci est une
condi- tion préalable à une bonne cohérence entre la stratégie, les objectifs et les plans
d’actions dans l’entreprise.

4.1. Définition et objectifs d’une cartographie

• Définition d’une cartographie des risques : Positionnement des risques majeurs selon
différents axes, tels que l’impact potentiel, la probabilité de survenance ou le niveau
actuel de maîtrise des risques.

• Objectifs d’une cartographie des risques :

L’établissement d’une cartographie des risques peut être motivé par deux natures de fac-
teurs :

– des facteurs internes :

• mettre en place un contrôle interne ou un processus de maîtrise des risques adéquat ;


• aider le management dans l’élaboration de son plan stratégique et sa prise de décisions ;
il s’agit alors d’un outil de pilotage interne ;
• apporter les informations sur la maîtrise des risques au comité d’audit ; l’examen des
risques significatifs et de leur couverture par le comité d’audit est en effet l’une des
recommandations du Rapport Bouton ;
• orienter le plan d’audit interne en mettant en lumière les processus/activités où se
concentrent les risques majeurs ;
• ajuster les programmes d’assurances fondés sur les risques majeurs identifiés dans la
cartographie des risques (risk management) ;
• améliorer ou développer une culture de management des risques dans une entreprise
grâce à l’établissement, notamment, d’outils d’auto-évaluation ;
• prévenir la destruction de valeur ou accroître la valeur en utilisant le couple
risques/opportunités.

– des facteurs externes :

• respecter les lois ou les bonnes pratiques en matière de gouvernement d’entreprise


(Sarbanes-Oxley Act, Combined Code anglais et Rapport Bouton par exemple) ;
• répondre à l’attente des marchés et fournir des informations aux actionnaires (dans le
rapport annuel, document de référence en France) ;
• s’adapter à un environnement de plus en plus concurrentiel, nécessitant une bonne
maîtrise de ses risques/opportunités. Cet objectif relève plus généralement du proces-
sus de management des risques, la cartographie des risques étant un des moyens de
l’atteindre ;
• veiller à la bonne image de l’entreprise.

4.2. Exemples de risques majeurs en environnement industriel et commercial

Ces quelques exemples n’incluent pas, volontairement, les risques financiers pour lesquels
une documentation importante existe déjà. Il ne s’agit pas, bien entendu, d’une liste
exhaustive.
✔ Le risque de perte d'image
• Défaut de conception d’un produit menant au décès d’un utilisateur ou à un acci-
dent ;
• Empoisonnement par la vente de produits alimentaires contaminés ou impropres
à la consommation ;
• Mauvaise gestion des rappels de produits et de la communication l’entourant ;
• Atteinte à l’environnement.
✔ Le risque de rupture des approvisionnements
• Dysfonctionnement de la chaîne d’approvisionnement entraînant un arrêt de pro-
duction, des retards de livraisons et ruptures en rayon ;

2 GUIDE D'AUDIT GUIDE D'AUDIT


2
• Liquidation ou difficultés d’un fournisseur qui est la seule source d’approvision-
nement d’une matière première ou de prestation de services pour l’entreprise
dans un marché très concentré.
✔ Les risques liés au Système d'information
• Dysfonctionnement majeur du système d'information (panne…) ;
• Perte de fiabilité du système d'information (non d'exhaustivité, perte d'intégrité
des données…) ;
• Inexistence ou défaillance de plans de reprise d’activité pour les applications
informatiques majeures (gestion des commandes provenant des clients, factura-
tion…) ;
• Mauvaise protection des informations.
✔ Le risque de positionnement
• Usure sur le long terme liée à un positionnement (offre produit, politique de
prix…) incohérent ou peu lisible par le client ;
• Portefeuille de produits qui ne répond pas à la demande des clients (par exemple,
du fait d’une mauvaise évaluation des besoins des clients, d’une mise sur le mar-
ché du produit trop prolongée, d’efforts de recherche insuffisants, …) ;
• Monoproduit.
✔ Le risque d'expansion
• Ouverture de surfaces de ventes dans des zones à potentiel insuffisant ou dans
des pays à risques.
✔ Le risque légal
• Risque fiscal et interventions de la DGCCRF (Direction Générale de la
Concurrence, de la Consommation et de la Répression des Fraudes) ;
• Évolution de la législation concernant la distribution.
✔ Le risque social
• Perte de la culture d'entreprise et/ou de l'expérience en raison d'un taux de turn-
over élevé ;
• Conflits sociaux entraînant des perturbations durables de l'activité (fermeture des
surfaces de vente…) ;
• Personnel insuffisamment formé ;
• Difficultés de recrutement.
✔ Le risque sécuritaire
• Accident grave (incendie, destruction du site…) sur la surface de vente lors de la
présence de clients ;
• Manque de protection de la santé ou de la sécurité des employés et des riverains
(utilisation de produits chimiques dangereux pour la santé ou hautement explo-
sifs…).
✔ Le risque concurrentiel
• Politique commerciale agressive de la concurrence ;
• Perte d’informations confidentielles (notamment tout ce qui touche au secret
industriel).
✔ Risque d’arrêt de la production
• Destruction totale ou partielle d’une usine (explosion, incendie…) conduisant à
un arrêt de production (risque aggravé si la production est mono-source).
✔ Risque organisationnel
• Echec de projets importants pour l’entreprise (par exemple, réorganisation des
systèmes d’information, croissance externe) ;
• Mauvaise gestion des compétences du personnel conduisant à une perte d’exper-
tise dans un domaine clé pour l’entreprise.
✔ Risque de fraude
• Organisation par certains employés de systèmes de « pots de vin », corruption,
ententes, vols de produits.

4.3. Exemple : Approche bottom-up


Comment identifier des risques majeurs ? ou comment passer des « risques opération-
nels identifiés » (inhérents aux modèles) aux « risques majeurs ». Ce travail doit être fait
régulièrement afin d’assurer une actualisation de la cartographie et la prise en compte des
nouveaux risques.

Cette approche se décline en sept étapes :


• Modélisation des processus de l’entreprise ;
• Identification des risques inhérents ;
• (Auto-) évaluation des risques résiduels et identification des risques majeurs ;
• Identification des risques liés à la stratégie ;
• Mixage des risques majeurs / risques stratégiques
;
• Gestion du portefeuille des risques et opportunités ;
• Pilotage et communication.
Étape Acteurs Moyens/Outils Description et objectifs
re
1 : Modélisation BRM (7) Interviews En annexes 2.1 et 2.2 figurent
des processus RAI (8) Missions d’audit un exemple de Business
de l’entreprise Process Model et de
(business process questionnaire de description
model) d’un processus pouvant
servir à l’élaborer.
2e : Identification BRM Interviews Identifier les risques par
des risques RAI Missions d’audit processus, notamment les :
inhérents Opérationnels – risques liés aux actifs
(corporels ou incorporels),
– risques « environnementaux »
(liés aux contraintes externes),
– risques de non-conformité
des opérations
aux référentiels internes
de l’entreprise.
3e : (Auto-) BRM et RAI Ateliers de – Dresser une 1re carte des
évaluation (rôle de 7 à 10 personnes risques résiduels (risques
des risques coordonnateur) qui réunissent restant après l’évaluation
résiduels Managers les opérationnels de l’efficacité des contrôles
et identification financiers (Recherche internes sur les risques
des risques et opérationnels et Développement, inhérents). En évaluer
majeurs Supply Chain, l’impact probable sur les
Industriels, activités de l’entreprise et
Commerciaux, sur ses états financiers ;
Contrôle Qualité, – Analyser/apprécier/
Marketing,…), les assembler ces risques
fonctions support résiduels (corrélation,
(Finance, RH,…), analyses causes/effets,
la fonction « analyses multi-factorielles,
Systèmes simulation de scenarii
d'Information » « catastrophes » …) ;
lorsque des
– Sélectionner les 10 à 20
activités/
risques résiduels majeurs
processus sont
(ceci implique d'avoir fait
fortement
valider par la direction
impactées par
générale de l'entreprise
la technologie
la définition et la
informatique.
qualification d'un risque
majeur : la probabilité
d'occurrence (lorsqu’elle

(7) BRM : Business Risk Manager.


(8) RAI : Responsable de l’audit interne.
Étape Acteurs Moyens/Outils Description et objectifs
e
3 : (Auto-) peut être définie), le niveau
évaluation de maîtrise, l’impact
des risques qualitatif (éthique, image) /
résiduels quantitatif / économique.
et identification Cette étape d’identification
des risques des « risques majeurs » doit
majeurs toujours être faite en tenant
(suite) compte systématiquement :
– du business model de
l'entreprise,
– des contraintes de
performances internes et
externes de l'Entreprise,
– des référentiels standards
connus sur les grands risques
du secteur d’activité concerné.
Le résultat de cette
cartographie sera présenté à la
direction générale, pour vali-
dation, sous forme d'un porte-
feuille des risques majeurs
encourus par l'entreprise.

– Dresser une 2e carte de


4e : Identification BRM
risques : les risques
des risques Direction de la stratégiques, en fonction
liés à la stratégie stratégie et du des business plans à
développement moyen et long terme ;
Directeurs – Documenter ces risques
Opérationnels liés à l'exercice du
processus stratégique de
l'entreprise et les actions
d’atténuation qui
s’ensuivent : élaboration,
développement, mise en
œuvre, réajustement des
options stratégiques...
– Lister également les
opportunités liées à
l'exercice du processus
stratégique.
– Faire valider cette carte par
le responsable « Stratégie
et Développement » de
l'entreprise et par le
responsable de la Division
opérationnelle concernée.

2 GUIDE D'AUDIT GUIDE D'AUDIT


2
Étape Acteurs Moyens/Outils Description et objectifs
e
5 : Mixage BRM RAI Petits groupes de L'assemblage et le croisement
risques majeurs / Direction travail coordonnés des deux cartes (risques
risques générale par le BRM majeurs et risques
stratégiques Direction stratégiques) doit conduire à :
de la stratégie – une cartographie unique
et du de risques et opportunités
développement majeurs de l'entreprise,
Managers hiérarchisés (en fonction de
des fonctions leur impact sur l’activité,
supports les états financiers et la
(Finance, RH, réalisation de la stratégie
Systèmes de l’entreprise) ;
d’Information,
Juridique) – une hiérarchisation des
processus cruciaux.
Cette cartographie peut être
présentée sous diverses
formes (graphiques, matrices,
par business, par processus,
par région...).

BRM
6e : Gestion Managers Cette gestion se fait en
du portefeuille opérationnels fonction d’une politique et
des risques de stratégies de traitement
et opportunités des risques et opportunités
pré-définies. Les actions
possibles à l’égard des
risques sont :
– accepter : l’accepter en
fonction des seuils de
tolérance fixés, prendre
des mesures de back-up,…
– traiter : le réduire par des
mesures de prévention ou
de protection, la prévention
pouvant passer par la
formation des acteurs
concernés dans l’entreprise
et la définition de leurs
responsabilités, et la
protection par la mise en
place de contrôles internes
adaptés,
Étape Acteurs Moyens/Outils Description et objectifs
6e : Gestion – transférer : par des
du portefeuille couvertures financières ou
des risques d’assurance, ou par le
et opportunités transfert à un sous-traitant
(suite) externe par exemple,
– Supprimer : en arrêtant
l’activité, en changeant
les objectifs.
Les actions possibles à
l’égard des opportunités sont :
– développer,
– saisir,
– adapter la stratégie.

7e : Pilotage BRM Il s’agit de contrôler


et communication Direction et de mesurer l’efficacité
générale des actions de traitement
Ressources et de maîtrise des risques :
Humaines – préparer un premier
tableau de bord de suivi de
gestion en lien avec le
tableau de bord de pilotage
de l'entreprise. Ce tableau
de bord permettra de suivre
l’apparition des risques ou
le non accomplissement des
opportunités identifiées ;
– actionner les plans de
gestion de crise si le risque
se concrétise ;
– mémoriser et capitaliser sur
l’expérience vécue.
L’approche culturelle et
l’apprentissage des hommes
et de l’entreprise sont des
facteurs clés de réussite.
4.4. Exemple : Approche top-down
Cette approche se décline également en sept étapes :

1re étape : Déterminer les risques majeurs par partie prenante


Chaque entreprise doit répondre aux attentes de ses parties prenantes, internes ou externes.
Il s’agit d’une personne ou d’un groupe de personnes ayant un intérêt dans le
fonctionnement, la continuité ou le succès de l’entreprise. Sont identifiées dans l’exemple ci-
après 6 parties prenantes : les actionnaires, les fournisseurs, les salariés, les clients, les
partenaires industriels et la société civile. Il s’agit maintenant d’identifier par partie prenante
les risques les plus importants.

Partie prenante Risques majeurs

Pour l’actionnaire Retour sur investissement insatisfaisant


Protection du patrimoine
Mauvaise réputation de l’entreprise
Pertes durables

Pour le fournisseur Entreprise insolvable, paiements tardifs


et/ou irréguliers
Interfaces difficiles, lourdes
Relations commerciales de courte durée et à perte

Entreprise non rentable


Pour les employés
Manque de croissance
Mauvaise réputation
Emploi incertain
Accidents du travail, incidents, grèves
Perte de savoir-faire
Absence de développement personnel

Interruption des livraisons


Pour les clients Litiges
Relations commerciales non-profitables
Produits et services non-innovants
Mauvaise qualité des produits et des services

Interruption des activités


Pour les partenaires (joint-ventures) Mauvaise réputation de l’entreprise
Pertes durables

Pollution, litiges, non respect de la


Pour la société civile réglementation et de la loi
Manque de croissance
Perte de l’emploi

3 GUIDE D'AUDIT GUIDE D'AUDIT


3
2e étape : Pondérer les risques majeurs pour ne conserver que les plus importants
Par exemple :
• Mauvaise image ;
• Non respect des lois et réglementations ;
• Investissements non rentables ;
• Perte de compétitivité ;
• Non fiabilité des livraisons.
Les risques doivent être pondérés par rapport aux objectifs de l’entreprise : par exemple
l’impact sur le profit, l’impact sur les hommes, le cours de l’action en bourse, la réputation de
l’entreprise, et d’autres critères qui sont jugés pertinents pour l’entreprise.

3e étape : Rattachement des processus clés de l’entreprise aux risques opérationnels et aux
risques majeurs
Par exemple :

Processus Risque opérationnel Risque majeur


Production Pollution Mauvaise réputation
Retard de maintenance Non-fiabilité des livraisons
Coûts de production trop élevés Perte de compétitivité
Production non-flexible Perte de compétitivité
Planning trop réactif Perte de compétitivité
Sous-utilisation des machines Investissements non rentables

Les buts de cette approche sont de :


• Fournir un cadre de réflexion pour les dirigeants et les auditeurs internes. C’est un
moyen de communication avec les dirigeants. Ce cadre est relativement de haut niveau
donc stable dans le temps ;
• Garantir une vision des risques qui est en ligne avec la perception du top management et
du comité d’audit ;
• Assurer l’exhaustivité des risques pertinents pour l’entreprise (il peut arriver qu’il y ait
des risques opérationnels pertinents mais qu’il n’existe pas de risques majeurs associés.
Dans ce cas, il faut réfléchir sur l’exhaustivité des risques majeurs).

4e étape : Hiérarchiser les risques


Il s’agit de déterminer la probabilité d’occurrence et l’impact des risques sur le profit, la
réputation, les hommes, le cours de l’action, la possibilité de croissance pour l’entreprise,
… Ceci est fait au travers de l’établissement d’une cartographie des risques.

5e étape : Établir une cartographie des risques


L’établissement d’une cartographie n’est pas une science exacte : impressions, expériences,
faits, évènements récents, « le goût du jour », analyse et chiffrage, tout ceci a un impact sur
l’établissement de la cartographie d’une entreprise. Le directeur d’audit est bien placé pour
prendre l’initiative et, en dialoguant avec les dirigeants, les auditeurs internes, les
risk managers, les contrôleurs de gestion, les auditeurs externes, il devra arriver à classi-
fier les risques majeurs en fonction de leur impact, de leur probabilité d’occurrence si elle
est pertinente ou de leur niveau de maîtrise.
Ce qui augmente la crédibilité de cette cartographie, c’est un chiffrage et une quantifica- tion
des risques. Pour cela, une étude plus poussée est nécessaire, mais cette étude sera un bon
investissement car un reporting sur la qualité du management des risques peut être basé sur
cette quantification. Par exemple, il est possible de mesurer combien l’entreprise a perdu en
raison de livraisons tardives et incomplètes. Le renforcement des dispositifs de contrôle
interne permettra une maîtrise de ces pertes.

• Exemple : utilisation préalable d’un outil de qualification des risques : la matrice


d’évaluation des risques
Cet outil peut être utilisé pour caractériser ou identifier les risques, notamment émergents,
lors des interviews avec les propriétaires des risques. La matrice a pour but de
« formaliser » et de tenter de quantifier la perception des risques par l’interviewé, et
d’alimenter dans un deuxième temps la cartographie des risques. Dans l’exemple donné ci-
dessous ont été retenus pour critères de mesure l’impact et la probabilité d’occurrence.

Matrice d’évaluation des risques


Intervieweur :
PROCESSUS : Gestion de crise (exemple) Interviewé :

N° RISQUES MAJEURS COMMENTAIRES Impact Probabilité RISQUE INHÉRENT CONTRÔLE RISQUE RÉSIDUEL
Faible Modéré Élevé Faible Modéré Élevé Faible Modéré Élevé Non Efficace Efficace Faible Modéré Élevé
1 Mauvaise gestion Cellule de crise
d’une crise ✗ ✗ ✗ ✗ ✗
2 Mauvais fonctionne- Exercices de crise
ment et disponiblilité ✗ ✗ ✗ ✗ ✗
de la cellule de crise
3 Délais de réaction ✗ ✗ ✗ ✗ ✗
4 Anticipation des crises ✗ ✗ ✗ ✗ ✗
5 Mauvaise commu- Plan de
✗ ✗ ✗ ✗ ✗
nication de crise communication
7 Incidence interne Absence de plan de ✗ ✗ ✗ ✗ ✗
(SI) continuité informatique
8
9
10
11 Couleur finale
du processus

Comment utiliser cette matrice ?


✔ L’intervieweur (il peut s’agir du risk manager ou l’auditeur interne) doit préparer
cette matrice en essayant d’identifier quelques risques (les majeurs si possible) qui
concernent l’interviewé. Les risques sont identifiés par processus, il y aura donc autant
de matrices que de processus. Même si la colonne des « risques majeurs » est
incomplète ou imparfaite, elle a pour but de lancer la discussion.
✔ Évaluation de l’impact et de la probabilité d’occurrence du risque : le propriétaire du
risque estime le niveau d’impact et de probabilité sur l’un des trois niveaux (fai- ble,
modéré, élevé). Les niveaux peuvent être quantifiés avec des données chiffrées (impact
sur le chiffre d’affaires, perte des actifs, baisse du cours de l’action, baisse de la
réputation, incidence humaine, etc).
✔ Détermination du risque inhérent (9). Par convention, c'est systématiquement le
plus mauvais des résultats qui est retenu : si l’impact est jugé élevé alors que la
probabilité est faible, le risque inhérent sera considéré comme élevé.
✔ Efficacité du contrôle interne : le propriétaire estime l’efficacité (ou non) des
contrôles internes existants (s’il y a lieu) pour chacun des risques identifiés.
✔ Le risque résiduel est le risque inhérent atténué éventuellement par le contrôle
interne si celui-ci est efficace. Par convention, le risque inhérent sera réduit d'un ou
plusieurs niveaux (chaque niveau étant matérialisé par une couleur) si le contrôle
interne a été jugé efficace.
✔ Finalement, la somme des évaluations pour chaque ligne détermine la couleur,
c’est- à-dire le niveau du risque global pour le processus analysé. Cette fois-ci,
l’inter- vieweur et le propriétaire du risque doivent évaluer ensemble la couleur
finale au regard de tous les risques précédemment étudiés.

Remarques :
✔ Cet outil n’est pas scientifique et fait largement appel au jugement et à la perception
du risque par le propriétaire. Il s’agit d’éléments « déclaratifs » : même si une tenta-
tive de quantification est réalisée, il n’y a pas nécessairement de fondements objec-
tifs à ces estimations. Toutes ces estimations doivent être ensuite reprises pour
confirmer ou non les niveaux annoncés. Un travail important reste donc à faire,
celui de la validation des risques.
✔ Le risk manager, l’auditeur interne ou la personne qui consolidera au final toutes les
évaluations doit impérativement prendre du recul pour hiérarchiser tous les risques
au regard des objectifs de l’entreprise. Il doit mettre en présence les différents
acteurs opérationnels afin de confronter leur point de vue et parvenir à un consen-
sus. En effet, le niveau de contrôle, pour un même risque, ne sera pas
nécessairement apprécié de la même manière par deux acteurs concernés par ce
risque et interrogés.
✔ Par expérience, ce travail est bien perçu par les propriétaires des risques, à
condition de communiquer régulièrement l’avancement des travaux, y compris
lorsque leurs entretiens sont terminés. La communication régulière et pertinente
est un facteur clef de succès dans la construction d’une cartographie des risques
dans une appro- che « participative ».

• Construction de la cartographie
La cartographie ci-après est un exemple ; d’autres critères de mesure et d’autres échelles
peuvent être utilisés.

(9) cf glossaire (Annexe 5).


Fréquence
Se produit
Perte de
plusieurs compétitivité Mauvaise
fois par Élevée réputation
an par
pays/zone

S’est produit
Mauvaise
plusieurs Informations
Moyenne qualité des – non fiables
fois par an produits
dans
l’entreprise
Non
fiabilité des
livraisons
S’est produit
dans Parfois
l’entreprise

Litiges

S’est produit
dans Faible
l’industrie

Impact
Très faible Faible Moyen Elevé
Hommes Dommage Dommage Dommage Fatalité
minime mineur majeur
Résultat net < EUR 500 000 < EUR 1 M EUR 1 M< < 5 M > EUR 5 M
Actifs < EUR 1 M < EUR 10 M EUR 10 M< < 20 M > EUR 20 M
Cours d’action 1-3 % < 10 % 10 % > 10 %
Réputation Site Locale/ Nationale Internationale
Régionale

6e étape : Valider les risques


Pour garantir la pertinence de cette cartographie, une validation par les dirigeants est
nécessaire. Pour cela, il y a plusieurs méthodes à utiliser. Les deux méthodes les plus
courantes étant :
• Une validation pendant les entretiens avec les dirigeants ;
• Une auto-évaluation par les dirigeants.
La première approche aboutira à un approfondissement des risques déjà identifiés (quan-
tification de l’impact et probabilités d’occurrence plus fiables, moins subjectifs). Les
entretiens permettent ainsi de dialoguer sur les risques, la qualité des contrôles internes, les
conséquences probables etc., tout cela pour renforcer la prise de conscience des risques et
contrôles internes. La deuxième approche permet le plus souvent de détecter des risques
supplémentaires. Le but principal est de présenter la cartographie à la direction générale et
au comité d’audit pour validation.
Dans le cas où plusieurs cartographies des risques sont établies à différents niveaux
opérationnels, chaque cartographie est reportée au niveau hiérarchique ou fonctionnel
immédiatement supérieur pour validation et intégration de certains éléments dans la
cartographie élaborée au niveau qui valide. Cette démarche de validation par paliers se
termine au niveau de la direction générale.
Une mise à jour devra être présentée autant de fois que nécessaire, par exemple tous les
6 ou 12 mois. Ce rythme est plus élevé dans une entreprise opérant dans un environne-
ment dynamique et changeant.

7e étape : Alimenter le plan d’audit


Le plan d’audit doit être établi en prenant comme base la cartographie des risques.
L’objectif est de déterminer la fréquence des audits. On part du principe que chaque
activité (ou filiale) de l’entreprise doit être auditée par exemple au minimum tous les cinq
ans (cette fréquence est déterminée par la direction générale ou le comite d’audit).
Ensuite, le schéma suivant peut être établi :
Exposition Impact Qualité
Processus Impact
aux risques sur autres du contrôle Total
(ou filiales) sur le profit
majeurs critères… interne

Haute = 3 Haute = 3 Haute = 3 Haute = 1 Produit


Moyenne = 2 Moyenne = 2 Moyenne = 2 Moyenne = 2 des 4
Basse = 1 Basse = 1 Basse = 1 Basse = 3 notes

Vente 3 3 3 3 81
Production 2 1 2 1 4
RH 2 1 2 3 12
Finance 3 2 3 1 18
Informatique 3 1 2 1 6
Etc.

Ce schéma permet de déterminer la fréquence des audits sur les processus (ou les filiales)
: un score de 24 et plus : chaque année, entre 12 et 24 : tous les deux ans, entre 8 et 12 : tous
les trois ans, un score de 4 ou 6 : tous les 4 ans et les scores plus bas : tous les 5 ans. Un
plan d’audit sur 5 ans peut être établi avec les résultats de cette analyse. La fréquence des
audits est aussi déterminante pour la taille de l’équipe d’audit interne.

4.5. Une démarche d’auto-évaluation (10)


Cette partie n’a pas pour mission de décrire la méthodologie d’une approche d’auto-
évaluation mais de considérer dans quelle mesure une telle démarche fait partie d’un
processus de management des risques, parce qu’elle permet, notamment, d’identifier et
d’évaluer les risques. Pour une méthode complète d’auto-évaluation des contrôles, nous
renvoyons à l’ouvrage « Guide de self-audit ». (11)

(10) cf. glossaire (Annexe 5).


(11) Ecrit par Olivier Lemant et Pierre Schick aux Editions Organisation.

3 GUIDE D'AUDIT GUIDE D'AUDIT


3
• La finalité et l’intérêt de cette démarche
L’auto-évaluation a pour finalité l’appropriation des meilleures pratiques de maîtrise
des risques par l’ensemble des acteurs de l’entreprise. Elle constitue également une
étape importante vers une gouvernance efficace de l’entreprise.

L’auto-évaluation présente des intérêts divers selon les acteurs de l’entreprise :

– pour la direction générale / le management : contribuer à donner une assurance sur


l’efficacité et le caractère adéquat des processus de management des risques et de
contrôle ;

– pour les opérationnels : mieux identifier les risques liés à l’atteinte de leurs objectifs et
mieux piloter leur activité ;

– pour les auditeurs internes : alléger ou orienter le plan d’audit en s’appuyant sur les
résultats de l’auto-évaluation (après avoir évalué la qualité de la démarche d’auto-
évaluation) et identifier des risques et éléments exceptionnels mis en évidence par celle-
ci ; améliorer leur connaissance des processus de l’entreprise ;

– pour l’entreprise dans son ensemble : instaurer un environnement de contrôle et une


culture des risques ; apporter une assurance que les risques liés à la réalisation des
objec- tifs et les contrôles associés font l’objet d’un suivi et d’une amélioration continue.

• Les facteurs clés de succès


Les facteurs clés de succès sont les suivants :

– la culture des risques et du contrôle interne doit exister dans l’entreprise ;

– les opérationnels/utilisateurs adhèrent à la démarche et se l’approprient, ce qui


implique de prendre en compte leurs attentes au moment de la conception de la
démarche et de faire des efforts d’information et de communication particuliers ; les
ateliers sont conduits par un animateur compétent ;

– le nombre de questions figurant dans les questionnaires d’auto-évaluation est limité


aux risques et points de contrôle essentiels ;

– le répondant au questionnaire est l’opérationnel lui-même (et non sa hiérarchie) car


c’est la personne la mieux placée pour identifier et suivre le niveau de contrôle de ses
risques.

Toutefois, avant de se lancer dans une démarche aussi ambitieuse qui nécessite un
véritable changement des mentalités concernant l’approche même de l’activité de
contrôle, il est important de respecter un certain nombre d’étapes.

• La méthode et les outils


✔ Définition d’un modèle de risques

– S’appuyer sur la cartographie des risques (ou le modèle de risques ou encore le référen-
tiel de contrôle interne) si elle existe ;
– Sinon, procéder à une définition des processus clés, puis des risques susceptibles
d’affecter l’activité et identifier les points de contrôle les plus importants.

La démarche est entièrement centrée sur l’évaluation des risques, l’analyse de leur
maîtrise, et sur la recherche d’actions correctrices, l’objectif étant de jouer un rôle décisif,
préventif de la « destruction de valeur ».

✔ Organisation d’ateliers

Des « ateliers » organisés regroupent des experts métier de chaque activité concernée et
différents niveaux hiérarchiques au sein des activités afin d’entamer des réflexions concer-
nant les points de contrôle clefs à respecter si l’on veut conserver une maîtrise raisonnable
des activités. Les dispositifs de contrôle interne seront sélectionnés en fonction d’un
certain nombre de critères tels que : le coût, le temps nécessaire afin d’effectuer le
contrôle, sa complexité, la fréquence de vérification souhaitable. Ces travaux en ateliers
peuvent même aller jusqu’à la formulation des questions.

La finalité sera de dégager pour l’ensemble des activités un « cœur de contrôles »,


soigneusement défini.

✔ Établissement de questionnaires d’auto-évaluation

Les questionnaires doivent aborder les risques et points de contrôle essentiels et il est
important de ne conserver qu’un nombre raisonnable de questions.

Pour faciliter l'exploitation des questionnaires et la consolidation des risques, il est recom-
mandé de retenir une démarche commune dans leur élaboration quel que soit le proces-
sus. Il est par exemple possible d'organiser chaque questionnaire en 5 chapitres à partir de
la classification retenue par la COSO : l'environnement de contrôle, l'identification et
l’évaluation des risques, les dispositifs de contrôle interne, l'information et la communica-
tion et, enfin, le pilotage du contrôle interne.

Les questions doivent être rédigées de telle sorte qu'une réponse négative soit la traduc-
tion d'une faiblesse.

✔ Développement d’un outil support

Un tel système ne peut fonctionner à grande échelle que s’il existe un outil informatique
en mesure d’agréger les informations au niveau central, d’en effectuer le traitement ainsi
que de proposer des améliorations concernant les dysfonctionnements constatés. Le
support utilisé peut être l’intranet de l’entreprise. Il offre le maximum de convivialité et
permet de garantir le maximum d’efficacité dans le système de reporting.

✔ Communiquer et former les utilisateurs

En parallèle, un travail de communication important sur le projet devra être réalisé,


chaque acteur devant comprendre l’importance de ses vérifications dans la chaîne de
maîtrise des activités. Le portage stratégique doit être effectué au plus haut niveau de la
hiérarchie, idéalement par la direction générale. La communication devra mettre l’accent
sur l’aspect « gagnant/ gagnant » du système, la remontée d’information permettant le
pilotage des activités au plus haut niveau et donnant – après traitement – des indicateurs
de résultat.
• Impact sur l’approche d’audit
Une fois testée la qualité des informations entrées dans le système d’auto-évaluation,
l’audit interne peut s’appuyer sur ses résultats. Ceux-ci auront nécessairement un impact
sur le choix de ses missions et sur ses propres conclusions.

En outre, la mise en place d’une démarche d’auto-évaluation amène l’audit interne à des
activités de formation, de facilitation et d’animation ce qui lui procure un regain de
visibilité auprès des opérationnels.

4.6. La communication de la cartographie des risques

Chaque niveau dans l’entreprise a besoin d’une information adaptée à ses responsabilités
en matière de processus de management des risques (cf Partie II). Dans tous les cas, la
communication des résultats de la cartographie des risques doit être exacte, objective,
claire, concise, constructive, complète et émise en temps utile.

Cette communication peut provenir de l’audit interne qui restitue le résultat de ses
évaluations et également des directions opérationnelles, qui rendent compte de la bonne
mise en œuvre (ou non) des contrôles internes permettant de sécuriser les opérations et
qui, éventuellement, font remonter les nouveaux risques susceptibles d’apparaître. Un
tableau de bord comportant les indicateurs pertinents, sélectionnés par les directeurs
opérationnels et répondant aux attentes de la direction générale, est l’outil le plus efficace.

Des informations et réactions sur des risques existants ou potentiels peuvent également
émaner de partenaires externes (fournisseurs, clients, actionnaires, partenaires,
législateur,…). Ces informations peuvent être précieuses et révélatrices de déficiences de
l’entreprise dans la maîtrise de ses activités.

Vers l’extérieur et en vue d’une plus grande transparence, l’entreprise peut reporter
régulièrement vers les parties prenantes ses politiques de management de risques et les
résultats atteints. De plus en plus, les parties prenantes cherchent à connaître la perfor-
mance de l’entreprise dans des domaines autres que financiers, tels que l’environnement,
la sécurité, les ressources humaines,… etc.

Le reporting vers l’extérieur peut préciser :


• le processus utilisé pour identifier les risques ;
• la manière dont ces risques sont traités ;
• les responsabilités du management en matière de gestion de risques ;
• le système de pilotage et de revue de ces risques.

40 GUIDE D'AUDIT GUIDE D'AUDIT


4
CONCLUSION

Gérer les risques liés à la mise en place d’un PMR


L’élaboration et la mise en place d’une cartographie des risques ne sont pas des missions
aisées. Nous avons insisté sur l’importance d’un environnement de contrôle et de maîtrise
des risques fort pour favoriser le succès de la démarche. Voici quelques risques inhérents
à cette démarche qu’il convient, bien évidemment, de connaître, d’évaluer et de gérer !

• Absence de soutien de la direction générale ;


• Non visibilité de la valeur ajoutée apportée par la cartographie à l’échelle de l’en-
treprise ;

• Manque de coopération des managers fonctionnels (y compris des domaines finan-


cier et contrôle de gestion) et opérationnels ;

• Manque d’information ou fausse information ;


• Auto-censure par crainte de « représailles » ;
• Expérience insuffisante des acteurs en charge de la démarche ;
• Absence de méthode efficace ;
• Cartographie non exhaustive (oubli de risques majeurs, non actualisation de la car-
tographie,…) ;

• Sujets traités trop volumineux ou trop détaillés ;


• Alimentation du système par des personnes trop éloignées des opérations.
É T U D E D U P R O C E S S U S D E M A N A G EÉM
TEUN
DET D
E TU DPER OCCAERSTSOUGS R D
AEP HM
I EA NDAEGS E R
MI ES N
QTU EEST D E C A R T O G R A P H I E D E S R I S Q U E S

ANNEXES

Annexe 1 : Exemples de processus de management des risques ............................................................... 44

• 1.1. Grand groupe multi-filiales et multi-établissements .................................................. 44


• 1.2. Groupe de presse de taille moyenne ............................................................................................ 45

Annexe 2 : Exemple de Business Process Models et de questionnaire de description de


processus ......................................................................................................................................................................... 49

• 2.1. Business Process Models ......................................................................................................................... 49

• 2.2. Questionnaire de description de processus ......................................................................... 50

Annexe 3 : Exemples de guide d’audit du processus achat ........................................................................... 53

• 3.1. En milieu industriel ..................................................................................................................................... 53

• 3.2. En milieu commercial ................................................................................................................................ 61

Annexe 4 : Risque industriel : la directive Seveso .................................................................................................... 83

Annexe 5 : Glossaire .................................................................................................................................................................................. 85

Annexe 6 : Bibliographie ...................................................................................................................................................................... 86

4 GUIDE D'AUDIT GUIDE D'AUDIT


4
ANNEXE 1
EXEMPLES DE PROCESSUS DE MANAGEMENT DES RISQUES

1.1. Grand groupe multi-filiales et multi-établissements

À la fin de l’année 2002, le processus de management des risques est en émergence dans
le Groupe avec des situations contrastées selon les domaines d’activité ou les filiales :

• Le déploiement d’un processus complet est acté et lancé dans deux filiales avec un comité
des risques institué pour piloter le processus et notamment le traitement des risques.

• Des pratiques locales de traitement du risque existent dans certains secteurs du Groupe,
fondées sur les savoir-faire développés par les métiers, notamment :
– Les risques de change, de taux et de marché dans le domaine de la trésorerie et du
financement ;
– Les risques assurables et la sinistralité dans le secteur des assurances ;
– Les risques liés à la permanence du service dans le domaine des réseaux ;
– Les risques de défaillances et de malveillances dans le domaine des systèmes d’infor-
mation ;
– La sécurité des personnes dans le domaine des ressources humaines ;
– Le réseau des contrôleurs de gestion ;
– Les démarches qualité et de certification.

La démarche de cartographie des risques initialisée par la Direction de l’Audit en 2000, à


la demande du comité d’audit, a constitué une première fédération de ces analyses de
risques locales.

Cependant, l’élaboration de la cartographie repose sur du déclaratif d’auditeurs internes,


d’experts et de managers. La cartographie réalisée a servi essentiellement à orienter l’au-
dit sur les risques majeurs du groupe.

Le processus de management des risques a donc évolué de la façon suivante :

Situation antérieure :

• Une fonction de risk management située au sein de la Direction de l’Audit, dont les mis-
sions sont de :

– Réaliser une cartographie des risques ;

– Contribuer à la programmation de l’audit ;

L’audit interne fonctionne selon les normes applicables à une entreprise sans processus
explicite de risk management.
• Des fonctions de risk management situées à divers niveaux, couvrant divers périmètres
et répondant à des schémas d’animation divers :

– Hygiène et sécurité ;
– Plans de crises techniques ;
– Risque incendie ;
– Trésorerie.
• Des processus de risk management opérant dans plusieurs filiales avec plus ou moins
d’ancienneté et d’exhaustivité.

Situation présente ou en cours :

• Création d’un « Comité d’audit interne et des risques » ;


• Chantiers d’organisation en cours pour les grands propriétaires de risques transverses :
– Finance, Juridique, Immobilier, Achats, RH… ;
– Positionnement, leviers d’action, reporting.
• Focalisation sur le traitement des risques et non plus sur le seul reporting :
– Suivi renforcé de la mise en place des recommandations de l’audit ;
– Travail structuré avec les divisions opérationnelles.
• Apparition d’un reporting des risques institutionnels (Sarbanes-Oxley) :
– Sarbanes-Oxley se focalise sur certaines catégories de risques ;
– Répartition des rôles entre les diverses sources d’évaluation des risques en cours dans
le cadre du « disclosure comittee » ;

– L’audit reste la principale source d’assurance.


• L ’Audit Interne continuera à tenir à jour une cartographie des risques :
– Document servant de base à la programmation de l’audit ;
– Ayant vocation, à ce titre, à être approuvé par les instances dirigeantes.

1.2. Groupe de presse de taille moyenne

Comment a émergé une première matérialisation de la notion de risque ?

Dans une structure de la taille d’une grosse PME, dans le secteur de la communication, à
faible culture de procédures, l’Audit Interne a été créé en 1997. Les seuls risques suivis
auparavant l’étaient par le biais des assurances, directement à la direction juridique. Il n’y
a pas de PMR (Processus de Management des Risques), le mot n’est pas connu.
– Une appréciation par l’Audit des risques sur les « grandes » activités de l’entreprise :
Les missions successives menées par l’audit interne ont permis de préciser les risques sur
les points majeurs de fonctionnement de l’entreprise (achat de matière première, concep-
tion-réalisation, relation avec les principaux sous-traitants de la chaîne…).

– Une consolidation progressive :


Au fur et à mesure des missions, se sont enchaînés l’élaboration des process des métiers
de l’entreprise, l’identification des risques majeurs, le suivi de la mise en place des recom-
mandations, avec la couverture de ces risques.

La petite taille de l’équipe permet à tous d’être au courant de toutes les missions, de tout
ce qui est fait… Il y a peu de déperdition d’informations. Chacun se souvient des process
déjà étudiés et peut s’y référer.

Exemple : visualisation de processus (mission sur l’organisation d’une rédaction)

– L’occasion du Plan de Reprise d’activité


Une mission sur le Plan de Reprise d’Activité a permis d’approfondir les processus et de
vérifier leur exhaustivité. Elle a conduit à approfondir tout ce qui concerne les risques
sou- dains extérieurs (feu, eau, accès), mais aussi à identifier les points sensibles de
chaque pro- cessus et les mesures de couverture nécessaires.
Exemple : une fiche métier (rédacteur)
– Une cartographie des risques qui en découle :
Le rassemblement de toute l’information dont dispose l’audit, en particulier via le Plan de
Reprise d’Activité, croisée avec le résultat d’entretiens avec chacun des membres du
Comité de Direction a permis d’élaborer un document succinct mais reprenant les grands
process et visualisant les risques.

Exemple : risques sur le processus général d’élaboration d’une publication

Ces schémas illustrent un texte reprenant le descriptif des risques, de leurs impacts, de
leur couverture actuelle, de leur « propriétaire ». Ils sont complétés d’un avis sur la
possibilité ou non de les transformer en sujet d’audit.

Une synthèse permet de hiérarchiser les différents risques relevés pour l’ensemble du
groupe.

Il s’agit principalement des risques liés aux processus.


– Un choix de missions élargi :
Tous les risques repérés ne peuvent se traduire par une mission d’audit, en particulier les
sujets trop subjectifs (éthique) ou trop précis.

Mais cela permet de réfléchir à de nouveaux sujets d’audit sous un angle différent, d’ «
uti- lité » ou d’« efficacité » maximale pour l’entreprise. De nouvelles missions ont ainsi
été identifiées et ont été lancées.

La cartographie des risques ainsi décrite est avant tout un outil de l’Audit Interne, pour
communiquer avec la Direction Générale, base de présentation et discussion.
ANNEXE 2
EXEMPLE DE BUSINESS PROCESS MODEL
ET DE QUESTIONNAIRE DE DESCRIPTION DE PROCESSUS

2. 1 : Business Process Model

Afin de recueillir, d’identifier, de structurer et de mesurer les risques opérationnels et


fonc- tionnels, il faut partir d’une base relativement stable :
« Le modèle de Processus » de l’Entreprise

« EXECUTIVE » PROCESS - Strategy & Business Development Planning – General Organization –


Business Risk Management and Compliance – H.S.E. / Ethics – Communication / Public
Affairs

SUPPORT PROCESSES CORE PROCESSES SUPPORT PROCESSES


• Financial • Innovation/Design Product • Human Resources
Management
• Development / Scale-up • General
• Reporting and Taxes Administration
• Regulatory Affairs/Registrat.
• Treasury and Cash • Information
Management • Industrial Operations/Quality Solution and Systems
• Fixed Asset & • Supply Chain and Sourcing
Capital Investment • Marketing & Promotion
• Sales / Customer services

Project Management
2.2. : Questionnaire de description de processus

Questionnaire de description de processus

Entretien avec Mme / M. : date :

Comprendre l’Activité Understanding of the Activity

Définition du Processus :
Identifier les objectifs opérationnels : que produit-on (produit ou service) ?
Pour quel client ?

Quelle est la valeur ajoutée du processus ?

Process Definition :
Identify the operational objectives : what is produced (product or service) ?

Who is / are the customer/s targeted ?


What is the added value of the process ?

Quelles sont les grandes étapes de déroulement de l’activité (processus


majeurs) ?

What are the main stages of the development of the activity (major processes) ?
Describe them.

Quels en sont les acteurs ?


Who are the actors ?

5 GUIDE D'AUDIT GUIDE D'AUDIT


5
Comment commence chaque processus majeur : première tâche ?

Quelles sont les entrées (flux d’information, flux de matière, flux financier,
ressources…) ?

Qui va déclencher la réalisation des tâches qui composent le processus ?

How does each major process start : first task ?

What are the inputs (flow of information, flow of material, cash flow, resources,…) ?

Who is going to launch the carrying out of the tasks which make up the process ?

Comment finit chaque processus majeur : dernière tâche ?

Quelles sont les sorties (flux d’information, flux de matière, produit semi-
fini ou fini, service … ) ?

How does each main process end : last task ?

What are the outputs (flow of information, flow of material, finished good or semi-
finished product, service … )

Quels sont les liens avec d’autres processus de l’entreprise ?

What are the links with other processes of the company ?

Quels sont les facteurs clefs de bon déroulement de cette activité (notam- ment
en termes de ressources humaines / compétences et de système d’in-
formation) ?

What are the key factors insuring the good development of this activity (and spe-
cially when we talk about human resources / skills and system of information) ?
Quels sont les principaux indicateurs de performance ?

What are the key performance indicators ?

Comprendre l’environnement Understanding of the Environment

Quels sont les objectifs stratégiques poursuivis : cible à atteindre, stratégies


pour y parvenir, facteurs clefs de succès d’atteinte de ces objectifs ?

What are the strategic objectives sought : target to be reached, strategies to succeed,
key success factors to reach these objectives ?

Quelles sont les contraintes externes (marché, concurrence) et les obligations


réglementaires ?

What are the external constraints (market, competition) and the regulatory obliga-
tions ?

Quelles sont les attentes des différentes parties prenantes : externes (client,
fournisseur, groupe…) et internes (Conseil d’Administration, Direction
Générale, Salariés) ?

What are the expectations of the bodies involved : outside the company (customer,
supplier, lobby…) and inside the company (Board, Management Committee,
Employees) ?

Entretien avec Mme / M. : date :


ANNEXE 3
EXEMPLES DE GUIDE D’AUDIT

DU PROCESSUS ACHAT

3.1. En milieu industriel

– Voir tableaux pages suivantes –


54 Entity
Process Plan & buy prod. items, execute & admin. buying operations

General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Define sourcing strategy 01 – Undefined, unapproved, outda- Unreliable information Meetings organized to explain Strategy
ted and/or strategy not applied sourcing strategy to buyers
Unreliable information Indicator on the amount of Monitoring
purchases for TMM, for each SBU
and for each segment
Unreliable information Responsibility defined for writing, Organization É
approving and disseminating the T
U
sourcing strategy D
E
02 – Sourcing strategy not in line Unreliable information Procedure for validating sourcing Procedures D
strategy with TMM global strategy U
with TMM global strategy P
R
Unreliable information Validation of sourcing strategy by Supervision O
Excom C
E
Find potential suppliers 01 – Absence or no respect of selec- Competitive disadvantage / public Responsibility defined for selecting Organizatio S
S
tion criteria or customer dissatisfaction vendors U
S
Competitive disadvantage / public Procedure for formalizing vendor n D
or customer dissatisfaction selection E
M
Competitive disadvantage / public Procedure for determining and dis- Procedures A
N
or customer dissatisfaction seminating selection criteria A
G
Competitive disadvantage / public Supervision on respect of vendor Procedures E
M
or customer dissatisfaction selection criteria E
N
02 – Missed reliable and cost effecti- Competitive disadvantage / public Responsibility definded for Supervision T
ve vendors or customer dissatisfaction negotiating and bidding E
T
Competitive disadvantage / public Procedure for negotiating and Organizatio D
E
or customer dissatisfaction committing TMM for certain C
segments A
G Competitive disadvantage / public n R
UI or customer dissatisfaction Supervision on negotiation and T
D O
E committment Procedures G
D' R
A A
U P
D Supervision H
IT IE
D
G Entity É
UI T
D Process Plan & buy prod. items, execute & admin. buying operations U
E D
D' E
A D
U General Overview U
D P
IT R
Business O
Sub-process Operational Risk Major Risk Internal Control C
Control E
S
Find potential suppliers 03 – Experts (internal / external) not Competitive disadvantage / public List of experts defined and Strategy S
U
(continued) involved in vendor selection or customer dissatisfaction disseminated S
D
Competitive disadvantage / public Procedure to implicate experts at an Procedure E
M
or customer dissatisfaction early stage A
N
04 – Sourcing department not invol- Excessive costs Objective of % of material covered s A
ved in selection for major vendors by sourcing department G
E
Excessive costs Indicator on % of material covered Objectives M
E
by sourcing department N
T
Excessive costs Procedure for involving sourcing Monitoring E
department in vendor selection at an T
D
early stage Procedures E
C
05 – Insufficiently trained buyers Excessive costs Objective of training days per buyer A
R
Excessive costs Training lan for buyers T
O
Excessive costs Indicator of training days per buyer Objectives G
R
06 – Too many / too few vendors Excessive costs Objective of number of agreed ven- Strategy A
P
dors per segment Monitoring H
IE
Excessive costs Existence of an on-line vendor list Objectives D

Excessive costs Indicator on number of agreed


vendors per segment Strategy
Excessive costs Responsibility defined for maintai- Monitoring
ning and updating vendor list
Excessive costs Procedure for updating agreed Organizatio
vendor list
Excessive costs Procedure to maintaining and n
updating vendor list
Excessive costs Procedure of dual vendor policy Procedures
(leader-challenger) for critical
segments Procedures
55

Procedures
56 Entity
Process Plan & buy prod. items, execute & admin. buying operations

General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Find potential suppliers 07 – Unjustified or unapproved Excessive costs Responsibility defined for Make or Organization
(continued) Make or Buy decision Buy decisions
Excessive costs Procedure for Make or Buy decision Procedures
Excessive costs Supervision on Make or Buy deci- Supervision
sions
08 – Non-existent or insufficient Excessive costs Procedure for implicating end-users Procedures É
T
implication of end-users, particularly in vendor pre-selection and selection U
in formalizing their need in details D
E
Excessive costs Procedure to define specifications at Supervision D
U
the beginning of the sourcing project P
R
Excessive costs Supervision on clear description of Supervision O
C
needs E
S
Plan, execute and administrate 01 – Undefined / unapproved Unreliable information Responsibility defined for Organizatio S
purchasing operations sourcing planning formalizing the sourcing planning U
S
Unreliable information Procedure for establishing and n D
E
approving sourcing plan M
A
02 – Contract terms and conditions Non compliance with regulations Existence of standardized sourcing Procedures N
contract A
not well defined / contrary to TMM G
interest / in conflictwith law Strategy E
M
Non compliance with regulations Responsibility defined within the E
N
legal department for validating T
sourcing contracts Organization E
T
Non compliance with regulations Procedure for validating sourcing D
E
contract by legal department C
A
G Non compliance with regulations Supervision on deviation from pre- Procedures R
UI defined sourcing contract terms and T
D O
E conditions Supervision G
D' R
A 03 – Fraud, bribery Loss of assets Objective for rotation of buyers for A
U P
D
high value segments H
IT IE
Objectives D
G Entity É
UI T
D Process Plan & buy prod. items, execute & admin. buying operations U
E D
D' E
A D
U General Overview U
D P
IT R
Business O
Sub-process Operational Risk Major Risk Internal Control C
Control E
S
Plan, execute and administrate 03 – Fraud, bribery Loss of assets Secured access to vendor database Strategy S
U
purchasing operations (continued) S
(continued) D
Loss of assets Standards of business conducts Strategy E
M
Loss of assets Pre-numbered purchase requests Strategy A
N
and purchase orders A
G
Loss of assets Indicator on rotation of buyers for Monitoring E
high value segments M
E
Loss of assets Responsibility separated for placing Organizatio N
T
a PO, for receiving goods, for E
registering and for paying T
n D
Procedure for acceptance of gifts, E
Loss of assets C
entertainment or favors from vendors A
R
04 – Unauthorized purchase Excessive costs List of authorized people to commit Procedures T
O
TMM by placing a purchase order G
and/or by concluding an Strategy R
A
Excessive costs agreement - P
H
Automated system for placing PO to IE

Excessive costs vendor Organization


D

Responsibility defined for


reconciling PO, purchase request Organization
Excessive costs and purchasing plan
Responsibility defined for approving
Excessive costs a purchase request and a PO Organization
Procedure for placing PO and for
concluding an agreement with a vendor Procedures
Excessive costs Supervision on delegation of
authorities
05 – Unchallenged purchasing cost Excessive costs Objective of reduction of purchasing Supervision
57 cost (target) per segment
Objectives
58 Entity
Process Plan & buy prod. items, execute & admin. buying operations

General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Plan, execute and administrate 05 – Unchallenged purchasing cost Excessive costs Indicator on reduction of purchasing Monitoring
purchasing operations (continued) cost – periodic measurement /
(continued) reporting
Excessive costs Responsibility separated for defining Organizatio
needs, initiating a tendering process,
negotiating and preparing the
É
06 – Purchase from non agreed ven- Excessive costs Procedure for purchasing from n T
U
dor agreed vendors or from non agreed D
vendors in certain segments E
D
Supervision on purchasing from non U
Excessive costs Procedures P
agreed vendors R
O
07 – Incorrect posting in ledger Unrelieable information Centralization of registration of C
E
invoices received from vendors Supervision S
S
Unrelieable information Procedure for registering purchases U
/ liabilities Strategy S
D
Unrelieable information Supervision on purchasing posting E
M
(P&L/payables) Procedures A
N
08 – Invoice not in line with receipt Loss of assets Responsibility defined for compa- A
G
goods and with contract tariffs, ring invoice, goods receipt and Supervision E
terms and conditions sourcing contract M
E
Loss of assets Procedures of regularization of Organizatio N
T
variances between invoice, good E
receipt and sourcing contracts tariffs, n
T
D
Loss of assets Supervision on regularization of E
C
variances between invoice, good A
G receipt and sourcing contract R
UI Procedures T
O
D 09 – Unauthorized payment / Loss of assets Responsibility defined for paying G
E
D' double payment invoices R
A A
U Supervision P
D H
IT IE
D

Organizatio
G Entity É
UI T
D Process Plan & buy prod. items, execute & admin. buying operations U
E D
D' E
A D
U General Overview U
D P
IT R
Business O
Sub-process Operational Risk Major Risk Internal Control C
Control E
S
Plan, execute and administrate 09 – Unauthorized payment / double Loss of assets Procedure of authorization of Procedures S
U
purchasing operations payment payment S
(continued) D
(continued) Loss of assets Supervision on payments to vendors Supervision E
01 – Conflict / litigation with vendor Business interruption M
Maintain relation with supplier Responsibility defined for handling Organization A
N
conflict with vendor A
G
Business interruption Procedure for handling conflict with Procedures E
vendor M
E
02 – Loss of key vendor Business interruption List of key vendors Strategy N
T
Business interruption Indicator on number of key vendors Monitoring E
T
losses D
E
Business interruption Responsibility defined for Organization C
A
maintaining specific and privileged R
relationships with key vendors T
O
03 – Confidential information disclo- Business interruption Existence of Non-Disclosure Strategy G
sed by vendors Agreement with vendor R
A
P
Business interruption Existence of a confidentiality policy Strategy H
IE
Business interruption Procedure for signing Non-Dislosure Procedures D
Agreement with vendor
Business interruption Supervision on confidentiality policy Supervision
04 – Unrelieable / too costly vendor Excessive costs Objective of % of satisfaction of Objectives
maintained internal customer regarding current
vendors
Excessive costs Logbook of encountered problems Strategy
with major vendors
Excessive costs Exit conditions included in the Strategy
sourcing contract

59
60 Entity
Process Plan & buy prod. items, execute & admin. buying operations

General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Maintain relation with supplier 04 – Unrelieable / too costly vendor Excessive costs Indicator on % of satisfaction of Monitoring
(continued) (continued) internal customers regarding current
vendors
Excessive costs Responsibility defined for maintai- Organization
ning the logbook of problems
encountered with vendors
É
Excessive costs Procedure for re-negotiating Procedures T
U
sourcing contract every x years D
E
05 – Material shortage Business interruption Existence of sourcing long-term Strategy D
contracts with strategic vendors U
P
Business interruption Dual vendor policy Strategy R
O
Business interruption Supervision on material supply Supervision C
E
operations S
S
06 – Unreliable sourcing contract Unreliable information Existence of a sourcing contract Strategy U
S
register register / database D
Unreliable information E
Responsibility defined for Organizatio M
maintaining the sourcing contract A
N
register / database n A
G
Unreliable information Procedure for contract administration E
M
Unreliable information Supervision of correct register / E
database maintenance Procedures N
T
07 – Vendor bankruptcy Business information Responsibility defined for evaluating Supervision E
T
vendors D
E
Business information Procedure for evaluating the vendor Organizatio C
A
G solvability periodically R
UI T
08 – Sleeping vendor Excessive costs Objective of vendor turnover per n O
D
E segment G
D' R
A Excessive costs Indicator or vendor turnover per Procedures A
U P
D segment H
IT IE
Objectives D
É T U D E D U P R O C E S S U S D E M A N A G EÉM
TEUN
DET D
E TU DPER OCCAERSTSOUGS R D
AEP HM
I EA NDAEGS E R
MI ES N
QTU EEST D E C A R T O G R A P H I E D E S R I S Q U E S

3.2. En milieu commercial

1. La fonction Achats – Le référentiel

La fonction Achats, du fait même de sa situation en tête de la chaîne logistique de l'entre-


prise peut, par ses insuffisances, être la source de dysfonctionnements sérieux perturbant
la plupart des autres fonctions de l'entreprise. De ce fait, elle peut générer une perte d'acti-
vité substantielle.

Un bon Contrôle Interne de la fonction Achats est ainsi d'autant plus nécessaire que ses
missions sont généralement formalisables.

La fonction Achats n'est pas seulement une fonction amont, c'est une fonction carrefour
entre les divers utilisateurs qu'elle doit satisfaire dans l'entreprise et l'ensemble des four-
nisseurs potentiels.

Elle doit agir de façon à assurer aux utilisateurs un approvisionnement en matériels, ser-
vices et fournitures qui soient :

• conformes aux spécifications des utilisateurs et contrôlables par les réceptionnaires,


• obtenues dans des conditions compétitives de coût net, compte tenu des opérations qui
affecteront ces approvisionnements dans l'entité et donc les charges qu'ils engendreront,

• disponibles dans la forme, et les conditions nécessaires, sans rupture de la continuité


des approvisionnements.

À long terme, on peut dire que la finalité de la fonction Achats est de rendre la relation
avec les fournisseurs la plus favorable possible à l'entreprise. Chaque fois que la situation
le permet, les acheteurs doivent chercher à rester les donneurs d'ordre, maintenir un rap-
port de force avec les fournisseurs.

À moyen terme, à l'horizon budgétaire, elle va proposer des politiques et contribuer à la


prévision.

À court terme, elle a pour mission de répondre aux besoins des utilisateurs en obtenant
les approvisionnements définis, au meilleur coût, suivant les spécifications, et dans les
délais requis auprès des fournisseurs retenus pour leur standing et la qualité de leurs
services.

Le Business Model retenu


Le tableau ci-après présente les trois principaux domaines au sein desquels s'organise
l'activité de la Direction des Achats. Ces domaines se décomposent en Mega-processus
qui vont regrouper l'ensemble des opérations permettant l'organisation générale des
opéra- tions et la poursuite des objectifs du groupe.

6 GUIDE D'AUDIT GUIDE D'AUDIT


6
pro
duit
s

~
;;
-
e•

!

L'identification des objectifs des processus et l'analyse des risques
Pour l'ensemble des processus structurant l'activité, les objectifs inhérents en sont précisés
afin de mettre en lumière les risques susceptibles d'en altérer l'atteinte. Quelques meilleures
pratiques – points d'organisation communément adoptés dans l'ensemble des organisa-
tions – sont suggérées. Elles constituent des dispositifs de Contrôle Interne permettant de
couvrir les risques et de renforcer le respect des orientations stratégiques définies. Enfin,
les conséquences de la réalisation des risques sont exposées en terme d'image, de perte
financière, elles doivent permettre de hiérarchiser les priorités en terme d'actions à mettre
en œuvre.

Les processus relatifs au traitement des factures fournisseurs ne sont pas abordés lors de
cette analyse.

La fonction achats

Analyse des Risques

– Voir tableaux pages suivantes –


ANNEXE 4
RISQUE INDUSTRIEL : LA DIRECTIVE SEVESO

Qu’est-ce que le risque industriel ?

Les activités humaines créent des risques technologiques divers : industriel, nucléaire,
bio- logique, de rupture de barrage, de transport de matières dangereuses, etc.

Le risque industriel est soit chronique soit accidentel. Les risques chroniques résultent des
différentes formes de pollutions susceptibles d’avoir un impact sur la santé des popula-
tions et l’environnement, telles que les émissions de métaux toxiques, de composés orga-
niques volatils ou de substances cancérigènes.

Les risques accidentels résultent de la présence de produits ou/et de procédés dangereux


susceptibles de provoquer un accident entraînant des conséquences immédiates graves
pour le personnel, les riverains, les biens et l’environnement.

Les principaux risques industriels sont, selon la nature des produits et de l’activité,
l’explo- sion, l’incendie et la dissémination de produits toxiques dans l’environnement.
Les consé- quences de ces événements sont plus ou moins dramatiques, depuis les dégâts
matériels, qui concernent une majorité d’accidents, jusqu'à la mort ou la blessure grave de
personnes.

La prévention des risques

La prévention des risques (industriels) est un processus itératif, basé sur l'analyse de l’im-
pact et le niveau de contrôle/de maîtrise. La probabilité d'occurrence de défaillances pou-
vant conduire à un accident majeur est en effet toujours difficile, voire impossible à déter-
miner. Cette évaluation permet à l'exploitant de valider la conception de ses installations
en la comparant à l'état de l'art, de dimensionner les barrières de sécurité visant à réduire
le risque à la source (réduction du potentiel de danger, de la probabilité d'occurrence d'un
accident majeur) et de définir des mesures de limitation des effets d'éventuels accidents.

La sécurité repose d'abord sur la qualité de l'évaluation initiale des risques. Cependant,
les installations ou leurs conditions d'exploitation peuvent ensuite être modifiées, ou être
affectées par des incidents. Ces éléments qui caractérisent la vie de nombreuses unités
industrielles, sont autant de motifs de réactualisation de cette étude initiale. En outre, les
connaissances techniques évoluent et les exigences de sécurité des populations
s'accroissent légitimement.

L'enregistrement des incidents, leur analyse, la mise au point de mesures correctives et le


suivi de leur mise en place effective sont indispensables pour l'amélioration de la sécurité
des installations, c’est le rôle du Bureau d’Analyse des Risques et Pollutions Industrielles
(BARPI) qui dépend du Ministère de l’Environnement.
La directive Seveso

La directive Seveso 2 vise à maîtriser les risques industriels présentés par les établisse-
ments renfermant des substances dangereuses. Leur exploitation est soumise à autorisa-
tion, après la réalisation notamment d'une étude de danger dont le but est de quantifier et
de limiter les nuisances causées. Seveso 2 impose que l'évaluation des dangers soit réalisée
tous les cinq ans. Les plans d'urgence en découlant sont réexaminés tous les trois ans.

La directive est transposée en droit français dans le cadre de la législation sur les installa-
tions classées qui reprend et renforce ces exigences. Il incombe aux exploitants de mettre
en place les mesures de prévention permettant d'assurer la sûreté de leurs établissements
et des riverains. De ce fait, ils sont les premiers responsables de la prévention et en cas
d'accident. Mais l'État a le devoir de contrôler régulièrement les dispositifs exigés. Son
rôle est d'assurer la sécurité des personnes et de l'environnement.

Des milliers de français vivent à proximité des quelques 1 239 usines classées Seveso 2. La
prévention reste la meilleure des stratégies. Elle est à la base de trois axes principaux :

– faire en sorte que les usines classées soient les plus sûres possible : contrôles des DRIRE
;
– mettre en place des plans d'urgence et de secours (plan interne à l'entreprise et plan
particulier d'intervention à l'extérieur) lors de la survenue d'accidents. En effet, il est
malheureusement impossible d'exclure totalement d'éventuelles défaillances techniques
ou humaines, voire des actes de malveillance ;

– contrôler l'urbanisation autour des sites classés dangereux.


Pour plus d’informations sur l’application de la Directive SEVESO, consulter le site
http://www.seveso.ema.fr/
ANNEXE 5
GLOSSAIRE

Auto-évaluation : Revue par les managers de leur dispositif de management des risques, au sein
de groupes de travail, sous la conduite d’un animateur expérimenté dans le domaine concerné.

Critères d’impact : Critères choisis pour exprimer les conséquences d’un risque (en terme d’image,
de finance…).

Facteurs de risque : Ce sont les critères pour identifier l'importance relative des événements qui
pourraient se produire et qui auraient des conséquences néfastes sur l'entreprise.

Impact : Résultat ou effet d’un événement. Il peut y avoir une série d’impacts possible associés à
un événement. L’impact d’un événement peut être positif ou négatif en fonction des objectifs de
l’entreprise. L’impact se mesure en termes de coût, qualité, réputation,…

Management des risques : Activités coordonnées visant à diriger et piloter un organisme vis-à-
vis du risque. Le management des risques inclut généralement l’identification et l’évaluation du
risque, la réponse apportée au risque (traitement, acceptation,…) et la communication relative au
risque.

Niveau de contrôle/de maîtrise : Il s’apprécie en fonction de la pertinence et de la fiabilité du


contrôle interne relatif à ce risque.

Processus de management des risques (PMR) : Processus élaboré et maintenu par le conseil
d’administration, le management ou les opérationnels, déployé dans toute l’entreprise et destiné à
identifier des évènements potentiels susceptibles d’affecter la vie de l’entreprise, à gérer ses risques
et à fournir une assurance raisonnable que ses objectifs seront atteints.

Propriétaire de risque : Personne chargée de s’assurer que les risques liés aux activités dont il est
responsable sont correctement traités, conformément aux modalités définies dans le PMR. Il doit
également anticiper l’évolution de ces risques.

Risque : Possibilité que se produise un événement susceptible d’avoir un impact sur la réalisation
des objectifs. Le risque se mesure en termes de conséquences et de probabilité.

Risque inhérent : Risque existant en l’absence de toute action prise par le management en vue de
diminuer la probabilité d’occurrence ou l’impact.

Risque résiduel : Risque restant après que le management ait entrepris des actions visant à dimi-
nuer la probabilité d’occurrence ou l’impact du risque.

Tolérance au risque : Variation acceptable relative à l’atteinte des objectifs/Niveau de tolérance


acceptée par rapport à l’atteinte des objectifs.

GUIDE D'AUDIT 85
ANNEXE 6
BIBLIOGRAPHIE

1. Ouvrages
– COSO Report – La pratique du contrôle interne
– COSO Report – Enterprise Risk Management Framework (12)
– Risk Management : changing the internal auditor ’s paradigm (IIA – 1999)
– Integrated risk management : techniques and strategies for managing corporate risks
(IIA – 2000)
– Risk based internal auditing and dynamic control assessment (IIA)
– Control self assessment workshop facilitator ’s guide (IIA)
– Risk assessment (IIA)
– Cahier de la recherche « Management des risques » (IFACI)
– Comprendre et gérer les risques (Éditions d’Organisation)
– Guide de self-audit (IFACI)
– Normes Professionnelles de l’Audit Interne (IFACI)

2. Revue Audit
– Avril 1999 : « Maîtrise des Risques »
– Juin 2000 : « Audit interne et risk management : deux activités spécifiques et complé-
mentaires »

– Septembre 2001 : « Pour une approche des risques en liaison avec les objectifs »
– Septembre 2003 : « Risk management, développement durable et éthique » – article de
Patrice Barnoux

3. The Internal Auditor :


– Octobre 2000 : « Targeting Business Risk »
– Octobre 2000 : « Risk Watch »
– June 2001 : « Risk – Does your organization see obstacles or opportunities ? »
– October 2002 : « Lock down risk – Crucial to ERM, effective knowledge sharing begins
with the internal auditor »

(12) Encore au stade de projet et non traduit en français au moment de l’impression de ce cahier.

8 GUIDE D'AUDIT GUIDE D'AUDIT


8
4. Suppléments Les Échos : L’art de la gestion des risques (année 2000)

N° 1 : – Notion de risque

– Rapport Turnbull

– Gestion, opérationnelle et stratégique, des risques – perception par les dirigeants

– Facteurs influant la perception des risques (compréhension, préjugé, personna-


lité…)

N° 2 : – Risques et probabilités

– Techniques d’analyse des risques

N° 3 : – Gérer le risque global/gestion intégrée (risques de marché de consommation,


opérationnels, de production, fiscaux, réglementaires, légaux, financiers)

– Risque de stratégie d’externalisation

– Analyse des risques d’un Business Plan

– Avantages réels de la diversification (d’activité et géographique)

– Risques liés aux stratégies d’alliance

N° 4 : – Analyse des failles d’un système de gestion des risques

– Réglementation des autorités de tutelle limitant le risque

– Analyse d’impact d’une interruption d’activité/gestion de la continuité d’entre-


prise

– Améliorer les modèles pour prévenir les risques

– Psychologie derrière les scandales financiers

N° 5 : – Gérer le risque positif d’un nouveau projet

– Risque, production et innovation

– Analyse des micro tendances dans un secteur d’activité afin de gérer le risque de
récession

– Produits défectueux

N° 6 : – E-risques, e-économie

– Traitement quantitatif des risques

– Externaliser les technologies de l’information

– Risques juridiques liés au e-commerce

N° 7 : – Risque financier

– Value at Risk
– Gestion intégrée de la rentabilité (risques de marché, de crédit ou opérationnels
pour les institutions financières)

– Nouveaux supports financiers créateurs de valeur


– Produits dérivés (gestion des fluctuations de taux et de prix)

N° 8 : – Risque écologique
– Enjeux du développement durable (environnement, social, économique)

N° 9 : – Risques pays
– Risques politiques
– Réglementation des risques
– Risques liés aux systèmes d’information
N° 10 : – Le nouveau rôle du gestionnaire de risques
– Les risques en terme d’images
– Corruption
– Ethique

Imprimerie Compédit Beauregard S.A./61600 LA FERTÉ-MACÉ


N° d’Imprimeur : 6821
L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte
à tous les adhérents, est l’expression du caractère associatif de l’Institut
et concrétise notre devise : « Le Progrès par le Partage ».
La Recherche s’organise autour de groupes de travail qui mettent en
commun et formalisent leurs réflexions et leurs pratiques sur un thème
ou un sujet propre à un secteur d’activité.
Les travaux de ces groupes sont destinés à être diffusés sous de
multiples formes auprès du plus grand nombre.
Telle est précisément la vocation de la Collection
:

« Les Cahiers de la Recherche »

qui met à la disposition des auditeurs quatre types d’outils


:
• les « Prises de Position » publiées par des instances
professionnelles,
• les « Notes Professionnelles » qui explicitent et commentent ces prises
de position,
• les « Meilleures Pratiques », en France ou à
l’international,
• les « Guides d’Audit » qui définissent un cadre pratique pour la
conduite des missions.

Institut de
l 'Audit Interne
12 bis, place Henri Bergson – 75008 Paris – Tél. : 01 40 08 48 00 – Fax : 01 40 08 48 20
Web : www.ifaci.com – E-mail : institut@ifaci.com
Institut Français de l’Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069
The Institute of Internal Auditors