Vous êtes sur la page 1sur 227

Audit interne,

Cartographie et gestion
des risques

Décembre 2017

1 © 2017 Deloitte & Touche


Introduction

2 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Introduction
Contexte / Présentations
• Présentation des
intervenants

• Tour de table :
‒ Votre fonction
‒ Votre parcours
‒ Vos attentes sur la formation
‒ Vos préoccupations

3 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Introduction
Les objectifs de cette formation
Objectifs généraux Objectifs détaillés

- Comprendre le concept de l’audit interne,


Appréhender le concept d’audit interne appréhender ses finalités, ses moyens et ses
dans un contexte de gestion des risques outils;
- Comprendre l’intérêt de mettre en œuvre une
démarche de gestion des risques;
Appréhender le concept et la démarche de - S’approprier les différentes étapes de la
cartographie des risques au sein d’un démarche d’analyse et de cartographie des
dispositif global de gestion des risques risques;
- Connaître les principales méthodes de
remontée d’information ainsi que leurs
avantages et inconvénients;
Maîtriser les méthodologies de l’analyse
- Présenter le rôle des différents acteurs
et de la cartographie des risques
intervenant dans le processus de cartographie
des risques;
- Disposer d’un canevas pour la mise en œuvre
Appréhender le lien existant entre la d’une démarche d’analyse des risques.
cartographie des risques et le plan d’audit - Disposer d’un canevas pour l’élaboration d’un
plan d’audit basé sur les risques
4 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Principes d’interactivité

Vous avez un doute, une question ?


 Interrogez-nous !

Vous avez une expérience qui éclaire le sujet ?


 Partagez avec le groupe !

Vous avez besoin d’un éclairage ?


 Alertez-nous !

5 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Présentation du programme

1er jour 2ème jour

Contexte de la gestion des Exemples détaillés


risques de démarche
Enjeux de cette formation top down / bottom up

Matin l’audit interne et le


management des risques:
Concept et définitions
Mise en Pratique et
cartographie
La notion de risque et les
concepts fondamentaux

La notion de risque et les


concepts fondamentaux (suite) Pérennisation du processus
(Exploitation et révision d’une
Après- cartographie des risques)
midi
Méthodologie de cartographie
des risques
• Conclusions du séminaire

6 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la première journée

• Quizz de démarrage

• Généralités sur l’audit interne

• Pourquoi élaborer une cartographie des risques?

• Notion de risque

• Management des risques

• Méthodologie de cartographie des risques

• De la cartographie des risques au plan d’audit


7 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Quizz de
démarrage
Objectif : identifier le niveau d’appréhension des
principaux concepts afin d’orienter la première
journée sur les messages essentiels

8 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

1. Quelle est la différence entre cartographie des risques


et gestion des risques ?

A. Il n’y a aucune différence


B. La gestion des risques c’est le contrôle interne
C. La cartographie des risques est un élément de la gestion des
risques
D. La gestion des risques est un élément de la cartographie des
risques

9 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

2. Qu’est ce qu’un risque inhérent (brut) ?

A. C’est un risque non-évalué


B. C’est un risque externe accepté par l’organisation
C. C’est un risque évalué avant la prise en compte du dispositif
opérant
D. C’est un risque fort en terme d’impact et de probabilité

10 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

3. Qu’est ce qu’un risque résiduel (net) ?

A. C’est un risque acceptable


B. C’est un risque interne accepté tel quel par l’organisation
C. C’est un risque faible accepté tel quel par l’organisation
D. C’est un risque évalué après prise en compte du dispositif de
contrôle opérant

11 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

4. Qu’est ce qu’un risque cible ?

A. C’est un risque acceptable pour l’organisation


B. C’est un risque à traiter en priorité
C. C’est un risque à identifier dans le cadre d’un exercice de
cartographie des risques
D. Ça n’existe pas

12 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

5. Qu’est ce qu’un plan d’action dans le cadre de la gestion


des risques ?

A. C’est une action d’amélioration du contrôle interne


B. C’est une action visant à ramener le risque résiduel à un niveau
acceptable pour l’organisation
C. C’est une démarche de sensibilisation
D. Ce n’est pas applicable à la gestion des risques

13 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

6. Qu’est ce qu’un risque individuel ?

A. Un risque propre à l’entité


B. Un risque qui est individuellement mesurable
C. Un risque fort
D. Une cause

14 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

7. Comment évaluez-vous l’impact du risque suivant: « Le


niveau de stress de l’équipe comptable est très élevé
au moment de la clôture avec pour conséquences des
erreurs potentielles lors de la clôture » ?

A. Majeur (Décès et blessures)


B. Critique (Blessures moyennes)
C. Significatif (Blessures légères ou stress élevé)
D. Mineur (Inconfort des personnels)

15 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

8. Dans une cartographie des risques, les risques doivent


être hiérarchisés selon :

A. Leur impact financier


B. Leur probabilité d’occurrence
C. Des critères définis par l’entité
D. Leur impact et leur probabilité

16 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Question

9. Suite à l’élaboration d’une cartographie des risques, la


priorité doit être accordée aux risques présentant :

A. Un impact élevé
B. Une probabilité élevée
C. Un impact et une probabilité élevés
D. Un impact élevé et une probabilité faible

17 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la première journée
• Quizz de démarrage

• Généralités sur l’audit interne

‒ Définition de l’audit interne


‒ Les objectifs de l’audit interne
‒ Les moyens et les outils de l’audit interne

• Pourquoi élaborer une cartographie des risques?

• Notion de risque

• Management des risques

• Méthodologie de cartographie des risques

• De la cartographie des risques au plan d’audit


18 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur
l’audit interne

19 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA


Définition de l’audit
interne et cadre de
référence

20 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Définition

L’audit interne est une activité d’assistance et de conseil à la gestion qui a


beaucoup évolué depuis la seconde guerre mondiale.

Autrefois cantonné aux questions comptables, l’Audit Interne touche aujourd’hui


toute les activités de l’entreprise et assure par conséquent une grande variété de
services d’audit et de conseil.

Du simple point de vue du vocabulaire, observons que le terme « Audit Interne »


trouve sa définition dans les mots :

Audit qui, fidèle à sa racine latine (Audio, Audire : écouter), montre la réelle
définition d’écoute de la fonction. Son caractère générique est naturellement
employé pour tout ce qui constitue une analyse et une opinion sur une situation.

Interne car l‘audit est ici exercé par du personnel de l’entreprise. Il s’oppose
ainsi à « externe » relevant d’intervenants extérieurs.
21 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Définition

3 notions clés:

L’audit interne est une fonction d'évaluation


Une Fonction
d'évaluation indépendante exercée au sein de l'Entreprise pour
indépendante assister les responsables et leur permettre d'avoir une
meilleure maîtrise de leurs activités …

L’audit interne est un contrôle qui a pour fonction d’estimer et


Un Contrôle
évaluer l'efficacité des autres contrôles

L’audit interne est une activité indépendante et objective qui donne à


une organisation une assurance sur le degré de maitrise de ses
une activité opérations, lui apporte ses conseils pour les améliorer, et contribue à
indépendante créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
et objective objectifs en évaluant, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle et de gouvernement
d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

(Source : Institute of International Auditors, I.I.A.)

22 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Cadre de référence
 L’audit interne est une profession normée qui s’appuie sur un cadre de
référence établi par l’Institute of International Auditors, (I.I.A)
comprenant:
‒ un code de déontologie fournissant aux auditeurs internes les principes
et valeurs régissant leur pratique professionnelle.
‒ des Normes pour les guider dans la réalisation de leur mission et la gestion
de leur activité

 L’objet des normes Professionnelles de l’audit interne:


‒ définir les principes fondamentaux de la pratique de l'audit interne ;
‒ fournir un cadre de référence pour la réalisation et la promotion
d'un large champ d’intervention d'audit interne à valeur ajoutée ;
‒ établir les critères d'appréciation du fonctionnement de l'audit interne ;
‒ favoriser l'amélioration des processus organisationnels et des opérations.

23 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Cadre de référence
 Classification des normes

• Normes de qualification

‒ des auditeurs indépendants, objectifs et compétents et,

‒ des auditeurs aux missions, pouvoirs et responsabilités délimités ainsi que


des droits et devoirs définis pour les audités,

‒ l’existence d’un service dédié, une mission permanente et exclusive,


rattaché au plus haut niveau décisionnel,

‒ le développement d’une démarche qualité.

24 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Cadre de référence
 Classification des normes

• Normes de fonctionnement
‒ un plan d’audit (programme et moyens mobilisés) est élaboré
annuellement sur la base d’une analyse des risques,

‒ pour évaluer les processus de management des risques : analyse de la


cartographie des risques, du dispositif de contrôle interne et de la
gouvernance,

‒ chaque mission doit être accompagnée d’objectifs, d’un programme


de travail et des ressources allouées,

‒ rechercher les causes des risques identifiés et proposer des


recommandations opérationnelles qui permettent la prise de décision,

‒ intégrer le suivi des suites données aux recommandations.

25 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Cadre de référence
 Classification des normes

• Code de déontologie
‒ fournit aux auditeurs internes les principes et valeurs régissant leur
pratique professionnelle

‒ définit le cadre des comportements (honnêteté, objectivité, diligence,


respecter la confidentialité des informations)

‒ faire preuve d’honnêteté, d’objectivité et de diligence ;

‒ faire preuve de loyauté à l’égard des employeurs ;

‒ respecter la confidentialité des informations ;

‒ mettre en œuvre avec compétence professionnelle les obligations de l’audit

‒ œuvrer sans cesse pour améliorer compétence et efficacité.

26 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Cadre de référence
 Classification des normes

• Charte d'audit interne : Une exigence des normes professionnelles.

‒ fournit aux auditeurs internes les principes et valeurs régissant leur


pratique professionnelle

‒ établit officiellement les missions, pouvoirs et responsabilités du service


d'audit interne.

‒ Proposée par le responsable de l'audit interne, la charte est approuvée par


les organes dirigeants (direction générale, comité d'audit) dès la création
du service.

27 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Les objectifs de
l’audit interne

28 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Les objectifs de l’audit interne

Evaluer le contrôle interne : l’audit est tenu


d’identifier les risques relatifs aux dispositifs de
contrôle interne mis en place et proposer des
actions pour les maîtriser.

Apporter une valeur ajoutée aux unités auditées


tout en concourant à l’intérêt général de Objectifs
l’entreprise.

Obtenir le changement c’est-à-dire une amélioration


réelle de la situation actuelle. L’auditeur n’est pas
seul responsable de la réussite du changement, mais
ne peut ignorer sa part de responsabilité.

Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Les objectifs de l’audit interne

Assurer la Direction de l'application de ses


politiques et directives;

Aider les responsables concernés à améliorer leur


Objectifs
niveau de contrôle et leur efficacité;

Permettre une meilleure maîtrise des risques et


l’atteinte des résultats que la structure s’est fixés

Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Les moyens et outils
de l’audit interne

31 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Les moyens de l’audit interne

Les questionnaires Les FRAP


 Le questionnaire de prise de
connaissance
La Feuille de Révélation et
Ce document est essentiellement utilisé
au cours de la phase de « prise de d’Analyse de Problème (FRAP)
connaissance » de la mission. Il va se présente comme un
permettre la collecte des informations
dont la connaissance est nécessaire à Moyens document normalisé, qui va
l’auditeur. conduire le raisonnement de
 Le questionnaire de prise de l’auditeur à seule fin de
connaissance l’amener à formuler une
Une liste de questions auxquelles recommandation.
l’auditeur répond par OUI ou par NON (ou
non applicable) afin de porter un
diagnostic par simples lectures des
réponses.

32 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Généralités sur l’audit interne
Les outils de l’audit interne

Les outils d’interrogation Les outils de description

 Les interviews ;  La grille d’analyse des


tâches;
 Les vérifications et les
rapprochements ;  Le diagramme de circulation
Outils
des informations;
 Les sondages statistiques ;
 L’observation physique.
 L’analyse causale ;

 Le Questionnaire de Contrôle
Interne

33 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la première journée

• Quizz de démarrage

• Généralités sur l’audit interne

• Pourquoi élaborer une cartographie des risques

• Notion de risque

• Management des risques

• Méthodologie de cartographie des risques

• De la cartographie des risques au plan d’audit

34 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer
une cartographie
des risques ?

35 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA


Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement
mentionnée …

 Concernant le secteur bancaire – CEMAC :


o Article 10 du règlement COBAC R-2016/04 relatif au contrôle interne dans les
établissements de crédit et les holding financières
Extrait : « Les entreprises assujetties doivent mettre en œuvre pour chaque risque
un système d’identification, d’analyse, de mesure, de surveillance, d’atténuation ou
de maitrise, ainsi que de contrôle des risques comprenant notamment :
- la cartographie des risques qui identifie et évalue les risques encourus au
regard de facteurs internes (notamment la complexité de l’organisation, la nature
des activités exercées, le professionnalisme des personnels et la qualité des
systèmes) et externes (notamment les conditions économiques et les évolutions
réglementaires) ».
(…)

36 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement
mentionnée …

 Concernant le secteur bancaire – UMOA:


o Circulaires de la Commission Bancaire N°10-2000 du 23/06/00 et N°01-2001 du
03/04/2001 Extrait de la circulaire du 23/06/00 : « Le contrôle interne ayant une
dimension préventive, les banques et les établissements financiers doivent être en
mesure d’identifier l’ensemble des facteurs internes et externes,
susceptibles de compromettre la réalisation des objectifs fixés par l’organe
exécutif.
Ce recensement doit être permanent et exhaustif. Il doit couvrir le risque de
contrepartie, les risques de marché (risques de change, de taux d’intérêt et de
prix), le risque de liquidité, le risque de règlement, le risque opérationnel et le
risque juridique.
Les risques identifiés font l’objet, par des moyens appropriés et adaptés aux
caractéristiques des activités concernées, d’une évaluation permettant de
déterminer la perte financière, ainsi que tout dommage d’une autre nature,
que leur réalisation pourrait engendrer.
Pour chacun des principaux risques quantifiables auxquels est exposé
l’établissement, l’organe délibérant fixe des limites globales, dont le caractère
adéquat doit être révisé périodiquement. »

37
(…)
Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement
mentionnée …

 Concernant le secteur bancaire – Europe / France :


o Arrêté du 19 janvier 2010 modifiant le règlement n° 97-02 du 21 février 1997
Extrait : « Les entreprises assujetties mettent en place des systèmes et procédures
permettant d’appréhender globalement l’ensemble des risques associés aux
activités bancaires et non bancaires de l’établissement, notamment de crédit, de
marché, de taux d’intérêt global, d’intermédiation, de règlement, de liquidité et
opérationnels.
Les systèmes et procédures doivent permettre aux établissements de disposer
d’une cartographie des risques qui identifie et évalue les risques encourus au
regard de facteurs internes (notamment la complexité de l’organisation, la nature
des activités exercées, le professionnalisme des personnels et la qualité des
systèmes) et externes (notamment les conditions économiques et les évolutions
réglementaires) ».
(…)

38 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement mentionnée …

 Concernant le secteur des assurances - CIMA :


o Règlement N°005/CIMA/PCMA/CE/SG/2009
Extrait de l’article 331-16 « Rapport sur le contrôle interne » : « La seconde partie de ce
rapport détaille:
a) Les objectifs, la méthodologie, la position et l'organisation générale du contrôle interne au sein
de l'entreprise; Les mesures prises pour assurer l'indépendance et l'efficacité du contrôle interne
et notamment la compétence et l'expérience des équipes chargées de le mettre en oeuvre, ainsi
que les suites données aux recommandations des personnes ou instances chargées du contrôle
interne;
b) Les procédures permettant de vérifier que les activités de l'entreprise sont menées selon les
politiques et stratégies établies par les organes dirigeants et les procédures permettant de
vérifier la conformité des opérations d'assurance aux dispositions législatives et réglementaires;
c) Les méthodes utilisées pour assurer l'évaluation et le contrôle des placements, en particulier en
ce qui concerne l'évaluation de la qualité des actifs et de la gestion actif-passif;
d) Le dispositif interne de contrôle de la gestion des placements, ce qui inclut les délégations de
pouvoir, la diffusion de l'information, les procédures internes de contrôle ou d'audit et la
répartition interne des responsabilités au sein du personnel, les personnes chargées d'effectuer
les transactions ne pouvant être également chargées de leur suivi;

39 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement
mentionnée …

 Concernant le secteur des assurances – CIMA (suite) :


o Règlement N°005/CIMA/PCMA/CE/SG/2009
Extrait de l’article 331-16 « Rapport sur le contrôle interne » : « La seconde partie de
ce rapport détaille:
e) Les procédures et dispositifs permettant d'identifier, d'évaluer, de gérer et de contrôler
les risques liés aux engagements de l'entreprise, ainsi que les méthodes utilisées pour
vérifier la conformité des pratiques en matière d'acceptation et de tarification du risque,
de cession en réassurance et de provisionnement des engagements réglementés aux
normes de l'entreprise dans ces domaines ;
f) Les mesures prises pour assurer le suivi de la gestion des sinistres, le suivi des filiales, la
maîtrise des activités externalisées et des modes de commercialisation des produits de
l'entreprise ainsi que les risques qui pourraient en résulter;
g) Les procédures d'élaboration et de vérification de l'information financière et comptable.
(…)

40 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement
mentionnée …

 Concernant le secteur des assurances – Europe :


o Solvency II – Pilier II
Extrait de la Directive 2009/138/CE du Parlement Européen et du Conseil du
25/11/09 : « Les entreprises d’assurance et de réassurance mettent en place un
système de gestion des risques efficace, qui comprenne les stratégies,
processus et procédures d’information nécessaires pour déceler, mesurer,
contrôler, gérer et déclarer, en permanence, les risques, aux niveaux individuel et
agrégé, auxquels elles sont ou pourraient être exposées ainsi que les
interdépendances entre ces risques.
Ce système de gestion des risques est efficace, parfaitement intégré à la structure
organisationnelle et aux procédures de prise de décision de l’entreprise d’assurance
ou de réassurance et dûment pris en compte par les personnes qui dirigent
effectivement l’entreprise ou qui occupent d’autres fonctions clés (…) »

41 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Pour atteindre l’objectif de conformité réglementaire, bien que la


cartographie des risques ne soit pas toujours explicitement
mentionnée …

 Concernant les autres secteurs (industries, services) – Afrique sub-


saharienne :
o Pas de réglementation spécifique

 Concernant les autres secteurs (industries, services) – Europe / France :


o Loi du 3 juillet 2008, Art. 26 : « …Le président du Conseil d’administration rend
compte dans un rapport…des procédures de contrôle interne et de gestion des
risques ….Le rapport …est approuvé par le Conseil d’Administration ….»
o Ordonnance du 8 décembre 2008 (transposant la 8e directive européenne -
2006/43/CE du 17 mai 2006), Art. 41 : « …Le Comité d’Audit est notamment
chargé des missions suivantes :
 Suivi du processus d’élaboration de l’information financière
 Suivi de l ’efficacité des systèmes de contrôle interne … et de gestion des risques
 Suivi du contrôle légal des comptes….
 Examen et suivi de l’indépendance du contrôleur légal des comptes… »

42 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pourquoi élaborer une cartographie des risques ?

Mais aussi et surtout pour…

‒ Définir les priorités en matière de traitement des risques en fonction des


objectifs stratégiques de l’entreprise

‒ Comprendre et analyser les risques majeurs applicables à l’entreprise de


manière à ce que leur survenance ne soit plus, dans la mesure du
possible, une surprise

‒ Comprendre les interactions entre les différents risques en identifiant les


liens entre les différents silos de l’entreprise tout en valorisant l’expertise
qu’ils possèdent

‒ Favoriser la perception homogène des risques entre les acteurs (cadres


dirigeants, opérationnels… )

‒ Renforcer la sensibilisation et la responsabilisation des acteurs


opérationnels en matière de prévention et de détection des risques au
travers du projet de cartographie, puis du processus global de gestion des
risques (dans un second temps)

43 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la première journée
• Quizz de démarrage

• Généralités sur l’audit interne

• Pourquoi élaborer une cartographie des risques

• Notion de risque
‒ Fondamentaux
‒ Origine et contexte
‒ Dimensions du risque
‒ Evaluation des risques bruts / risques nets
‒ Evaluation des risques majeurs / risques individuels

• Management des risques

• Méthodologie de cartographie des risques

• De la cartographie des risques au plan d’audit


44 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque

45 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA


Fondamentaux

46 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Fondamentaux
• «Un risque» se définit comme tout événement, action ou inaction de
nature :
‒ à empêcher une organisation d’atteindre ses objectifs (de façon implicite ou explicite)
‒ ou à altérer sa performance
‒ ou à une perte d’opportunités.

• Chaque organisation accepte un niveau de risque défini en fonction de son


activité, de sa sensibilité aux risques, de sa culture mais aussi de ce que peuvent supporter
les parties prenantes : c’est la notion d’appétence au risque (« risk appetite ») dont
la responsabilité exclusive incombe au Management. Tout système de maîtrise des
risques s’inscrit dans le cadre du niveau de risque acceptable.

• Un risque est généralement évalué en fonction de :


‒ Sa probabilité de réalisation
‒ L’impact qu’il pourrait avoir s’il se matérialisait

47 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Fondamentaux
• Un risque majeur est :
‒ Un risque évalué comme élevé (probabilité & impact élevés)
‒ ou un risque qui présente un caractère inacceptable pour la structure au regard de la sécurité des
biens et des personnes (ou de la survie de l’entreprise, dans la sphère privée). On parle généralement
de l’appétence / non appétence au risque de l’organisation.

• Identification et qualification du risque :


‒ Fréquence
‒ Probabilité / Incertitude
‒ Nature du risque
‒ Impact du risque
‒ Causes et conséquences du risque

• Management et réduction du risque


‒ Amélioration du dispositif de contrôle en place
‒ Analyse des coûts des contrôles et des bénéfices
‒ Analyse du retour sur Investissement
‒ Animation du dispositif de gestion des risques

48 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Fondamentaux
• Le contrôle interne d’une activité est le dispositif de protection contre les risques
de toute nature qui pèsent sur une activité
‒ Mauvaise ou sous exploitation de ressources
‒ Investissements injustifiés
‒ Pertes d’opportunités
‒ Risques inacceptables

• Le contrôle interne est un ensemble de dispositifs mis en œuvre par l’ensemble


des personnels de tous niveaux pour maitriser le fonctionnement de leurs
activités.

• Le contrôle interne est un processus mis en œuvre par le personnel de tout niveau
destiné à fournir une assurance raisonnable quant à la réalisation des objectifs:
‒ Optimisation des opérations
‒ Fiabilité des informations financières
‒ Conformité aux lois et règlementations en vigueur
‒ Sécurité des actifs

49 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Fondamentaux
Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs
de la société seront atteints.

Le processus de management des risques (PMR) :

« est un processus élaboré et maintenu par le conseil d’administration, les directions et les opérationnels,
déployé dans toute l’entreprise et destiné à identifier des évènements potentiels susceptibles d’affecter la vie
de l’entreprise, à gérer ces risques et à fournir une assurance raisonnable que ses objectifs seront atteints ».

Maîtrisez-vous ces définitions de base ?


Identifiez-vous d’autres concepts-clés ?

50 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Origine et contexte

51 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte
Réglementations

Ouverture
des marchés
Complexification
des opérations

Internationalisation

Un environnement
de risques
Transformation
Diversification
des activités

Thématiques
sensibles Ouverture
du capital

Information
financière

52 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte
Un environnement en mutation et des enjeux nouveaux :
• Un cadre réglementaire strict (LSF, Sarbanes-Oxley) qui oblige les entreprises à
se prononcer formellement sur le degré de fiabilité de leur Contrôle
• Un business de plus en plus complexe et global
‒ Nouveaux schémas organisationnels d’entreprise
‒ Risques industriels et environnementaux
‒ Un environnement de plus en plus concurrentiel
• Une pression croissante des marchés financiers et des actionnaires en matière
d’information financière
‒ Raccourcissement des délais de clôture
‒ Importance de la publication des résultats
‒ Bonnes pratiques en matière de bonne gouvernance et de gouvernance d’entreprise
‒ Éthique d’entreprise
• Une évolution rapide des structures et la naissance de nouveaux risques
‒ Valorisation d’entreprises, fusions et acquisitions
‒ Mise en place de synergies
• Une responsabilité accrue des dirigeants
‒ Risques pénaux

53 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte
De nouvelles attentes pour les acteurs de l’entreprise
• Direction générale
‒ Degré suffisant de confiance dans la maîtrise du business
‒ Mise en perspective des risques en relation avec les objectifs stratégiques
‒ Correcte application des instructions
‒ Respect des exigences réglementaires et éthiques
‒ Missions spéciales d’acquisition
• Actionnaires
‒ Identification des risques financiers
‒ Pertinence et transparence de l’information financière
• Opérationnels
‒ Optimisation des process pour une meilleure maîtrise des risques
‒ Mise en place de plans d’actions et de meilleures pratiques
• Auditeurs
‒ Alléger et orienter le plan d’audit

54 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte

Cet environnement fait-t-il écho à celui de la sphère


publique ?

Environnement
Un cadre réglementaire strict (LSF, Sarbanes Oxley) qui oblige les
entreprises à se prononcer formellement sur le degré de fiabilité de leur
Contrôle Interne
Des activités de plus en plus complexes et globales (Nouveaux schémas
organisationnels d’entreprise, Risques industriels et environnementaux)
Une pression croissante des marchés financiers en matière d’information
financière
Une évolution rapide des structures et la naissance de nouveaux risques

Une responsabilité accrue des dirigeants

55 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte
Les incontournables de la gestion des risques

56 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte
Les incontournables de la gestion des risques

57 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Origine et contexte
Les incontournables de la gestion des risques

• Le COSO I, un incontournable pour aborder le contrôle interne


‒ Committee of Sponsoring Organizations of the Treadway Commission
‒ Référentiel de contrôle interne développé dans les années 90 lors de la faillite des
caisses d’épargne américaines
‒ Référentiel recommandé par l’IIA (Institut des Auditeurs Internes)
• Le COSO II, un incontournable pour aborder la gestion des risques
• Quelques dates-clé:

2004 :
Publication du
2003 : Le COSO II -
COSO est Introduction
recommandé de la notion
1992 : comme la
Publication Entreprise
norme Risk
rapport intitulé d’application
Internal Management
1987 : de la loi (ERM)
Premier Control - Sarbanes-
rapport de la Integrated Oxley ou SOX
commission Framework. (SEC)
Ce rapport
1985 – USA : sur le devient le
Création de la contrôle référentiel
Commission interne COSO.
du sénateur
Treadway

58 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les incontournables de la gestion des risques

• COSO II Incontournable pour aborder la gestion


des risques
‒ Le principal référentiel est américain « COSO II »

‒ « AMF » : L’AMF préconise un dispositif de


contrôle interne qui prévoit un « système visant à
recenser et analyser les principaux risques
identifiables au regard des objectifs de la société et
à s’assurer de l’existence de procédures de gestion
de ces risques »

59 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les incontournables de la gestion des risques

Les principales étapes de mise en place d’un dispositif de gestion des risques:

Politique Organisation Déploiement Synthèse Pilotage

• Décision CA/DG • Identification du • Analyse des • Validation des • Définition des KPI
• Objectifs de la responsable du objectifs Groupe / niveaux • Suivi des plans
gestion des risques dispositif Entités avec DG d’exposition (en d’action
• Détermination du • Identification du • Identification des ateliers) • Audit (interne) des
périmètre – entités réseau de « risk risques majeurs et • Agrégation des contrôles « forts »
et natures de managers » risques individuels évaluations • Anticipation des
risques • Formation • Evaluation du • Cartographie des évolutions internes
(stratégiques, • Choix d’un outil niveau d’exposition risques majeurs et externes
opérationnels, • Budget (brut / net) • Identification, • Analyse des
comptables /
• Planning • Lien avec le validation et incidents (back
financiers, contrôle interne attribution des testing)
réglementaires) plans d’action
• Choix • Lien avec le plan
méthodologiques d’audit interne
(brut / net /
valorisation / etc)
• Définition du
processus de
Reporting

60 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les incontournables de la gestion des risques
Valeur ajoutée de la gestion des risques

• La gestion des risques contribue à :


‒ Améliorer la communication interne et externe
‒ Améliorer la prise de décision
‒ Améliorer la qualité et la réputation
‒ Simplifier les procédures
‒ Mieux allouer ses ressources
‒ Améliorer sa stratégie de contrôle

Votre avis? Vos commentaires?

61 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les incontournables de la gestion des risques
Les bénéfices attendus

Clarification des rôles


et responsabilités

Conformité aux lois et Concentration sur la


règlements réalisation des objectifs

Maximisation de
valeur pour
Qualité de services et
toutes les Initiatives de gestion de
meilleure utilisation des parties changement réussies
ressources prenantes

Outil efficace de
Outil permettant
décision et de
d’éviter les surprises
management

62 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les incontournables de la gestion des risques
Gestion globale
des risques

Réaction aux
Maîtrise du risque
incidents
placée au cœur
Réponse intégrée aux
du processus
situations de risques
« Tone at the top » de décision
Réaction aux
situations de risques
Réponse • Suivi de l’exposition aux • Prise en compte des
confiées à des
chaotique risques interactions entre les
spécialistes facteurs de risque
• Les politiques,
• Transformation • Prise de risque
procédures,
culturelle en cours « intelligente »
responsabilités sur les
• Existence de
risques sont définies et
• Prépondérance d’un procédures basiques • Processus « bottom • Pérennité
communiquées
suivi des risques pour certaines up »
• La maîtrise du risque
« intuitif » catégories de risques
• Approche est le souci de tous
(finance, assurance, • Réponse pro-active
principalement dans l’organisation
conformité)
qualitative
• Risk intelligence
• Réponse réactive Dashboard

1. Héroïque 2. Par silos spécialisés 3. Top Down 4. Systémique 5. Intelligent

Prise de risque « valorisée »


Prise de risque « non valorisée »

Où se situent à votre sens votre structure ?

63 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les incontournables de la gestion des risques
Une démarche qui concerne l’ensemble de la structure
• La gestion des risques est un levier
de création de valeur plutôt qu’un Orientations Direction Générale
exercice « défensif » stratégiques Conseil
Politique de gestion Appétit d’Administration /
• Le cadre de gouvernance et la des risques aux risques Organes de
gouvernance
politique de gestion permettent un Supervision rattachés
pilotage rapproché et une prise de « Tone at
the top »
décision réactive
• Le dispositif permet d’identifier,
d’évaluer et de piloter les risques
majeurs, tout en appréhendant leurs Dispositif
interactions mutualisé
Infrastructure,
Direction
• La gestion des risques est intégrée : moyens et
priorités
Exécutive
implication et responsabilisation de
l’ensemble des acteurs de l’entreprise Ressources
humaines
Processus
Outils et
systèmes
• Une « culture risques » est
instaurée aux différents échelons de
la hiérarchie, les métiers sont Couverture de l’ensemble des processus
fortement impliqués Unités
opérationnelles
• Les risques et les opportunités Appropriation et et Fonctions
sont gérés en parallèle
Concevoir,
Identifier Conso- Surveiller, supports
responsabilisation Analyser déployer les
les lider et Gérer assurer &
& évaluer contrôles
risques intégrer intensifier
• Le dispositif est évolutif et adaptés

continuellement renforcé, les moyens


sont mutualisés
..et des dimensions du dispositif
• Le pilotage s’appuie sur un Opérations et Conformité
dashboard global adapté à Gouvernance Stratégie et planning
infrastructures réglementaire
Reporting

l’environnement de la structure

64 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Dimensions du risque

65 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les 4 dimensions d’objectifs et de risques associés

• Selon les principaux FINANCE


référentiels de OPERATIONS
Risques pouvant compromettre la
fiabilité des processus de
gestion des risques, 4 Risques pouvant altérer l’efficacité reporting, pour tout type
dimensions sont et l’efficience des ressources
utilisées
d’information (financier / non
financier; interne / externe) ou
systématiquement compromettre l’atteinte des
objectifs financiers de l’entité
analysées lors de
l’identification des OBJECTIFS

objectifs et des
risques STRATEGIE
LOIS ET REGLEMENTATIONS
Risques pouvant porter atteinte
Risques pouvant conduire au non
aux objectifs stratégiques
respect des textes et lois en
traduisant la vision, les missions
vigueur
et les valeurs de l’entité

 Cette orientation correspond au « Cadre de Référence AMF » et au


référentiel « ERM COSO II »
 Penser aux enjeux et objectifs de la structure avant de réfléchir aux
risques : un risque ne se définit qu’au travers d’objectifs.

66 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les 4 dimensions d’objectifs et de risques associés

• Deux (2) autres typologies de risques peuvent être considérées :


• Risques liés aux systèmes d’information
• Risques liés à la fraude

Pouvez-vous citer d’autres typologies de risques


propres à votre environnement ?

67 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les 4 dimensions d’objectifs et de risques associés

Exemple de typologie des risques / secteur public

 Non respect des règles budgétaires


 Non respect des règles de la commande
publique
 Insuffisante coordination dans la réception
des marchandises et prestations (contrôle
Risques mutuel)
Opérationnels  Insuffisance dans la gestion des stocks
 Insuffisante traçabilité des opérations
 Absence de sincérité comptable et
enregistrement tardif des opérations
 Non-ajustement régulier des comptes
 Fragilité de la conservation des pièces
justificatives

68 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les 4 dimensions d’objectifs et de risques associés

Exemple de typologie des risques / secteur privé

 Contrôle non organisé des opérations à


risques
Sortie non sécurisée de flux financiers
Risques importants
financiers  Non-détection de toutes les opérations
présentant un risque financier

69 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les 4 dimensions d’objectifs et de risques associés

Exemple de typologie des risques / secteur privé

 Dilution des responsabilités


 Absence des délégations et habilitations
 Absence de politique d'objectifs
Insuffisance de gestion des ressources
Risques humaines, en matière d'information et de
stratégiques formation
…
…

70 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Les 4 dimensions d’objectifs et de risques associés

Exemple de typologie des risques / secteur privé

 Modifications législatives ou
Risques liés à la réglementaires
règlementation …
…
…

Pouvez-vous citer d’autres exemples de risques


propres à votre environnement ?

71 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Evaluation des risques
risques bruts / risques
nets

72 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluation du risque

• Qu’est-ce qu’un risque brut ?

‒ Un risque brut représente le poids potentiel d’un risque sans prise en


compte du dispositif de maîtrise (contrôle interne).
‒ Il correspond au risque maximal que pourrait supporter la structure en
l’absence de mesures préventives ou détectives.

• Pourquoi est-il nécessaire d’évaluer les risques bruts ?

‒ L’évaluation du risque brut aide à analyser de manière précise l’ensemble


des causes / facteurs pouvant engendrer la réalisation du risque.
‒ Une appréciation du risque « maximal » permet :
o de prendre la pleine mesure de la criticité d’un risque
o et d’évaluer ainsi la nécessité de maintenir ou d’implémenter un dispositif de
maîtrise fort (ou limité si le risque brut n’est pas jugé significatif).

73 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluation du risque
• Comment évaluer les risques bruts ?
‒ L’évaluation du risque brut tient compte de deux critères. Ces critères sont à définir
selon l’approche / la méthode retenue. Les termes les plus usités sont:
‒ Probabilité (P) et impact (I)
‒ Vulnérabilité (V) et impact (I)
‒ Fréquence d’occurrence (F) et matérialité (M)
‒ Importance et niveau de maîtrise actuel
‒ Quelques notions:
‒ La fréquence d’occurrence est l’estimation de la période associée à la survenance du risque
‒ La matérialité représente l’impact d’un risque estimée de manière quantitative ou qualitative
‒ La fréquence ou la matérialité peuvent être définies selon une hypothèse moyenne en tenant
compte de l’historique (incidents avérés => Bases incidents ) ou d’estimations

• Exemples d’échelles d’évaluation :


Matérialité Matérialité Fréquence d’occurrence
(Echelle quantitative) (Echelle qualitative)
1. De 0 à 10M FCFA 1. Faible 1. Plus de 10 ans
2. Entre 10M FCFA et 50M FCFA 2. Limité 2. Entre 5 ans et 10 ans
3. Entre 50M FCFA et 100M FCFA 3. Moyen 3. Entre 1 an et 5 ans
4. Entre 100M FCFA et 200M FCFA 4. Fort 4. Moins de 1 an
5. Plus de 200M FCFA 5. Très fort 5. Plusieurs fois par an

74 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluation du risque

• Qu’est-ce qu’un risque net (autrement appelé risque résiduel) ?

‒ Un risque résiduel représente le poids potentiel d’un risque après prise en


compte du dispositif de maîtrise (contrôle interne).

Contrôle
externe

Contrôle
Inspection /
audit interne

risque Contrôle fonctionnel


risque
inhérent résiduel
Contrôle hiérarchique
(validation, pilotage, sondages,
etc.)
Mesures et contrôles opérationnels
(séparation des tâches, compétences,
autocontrôle, contrôle automatisé, etc.)

75 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluation du risque

• Pourquoi est-il nécessaire d’évaluer les risques résiduels ?

‒ L’évaluation des risques résiduels permet de mesurer la vulnérabilité de


la structure face aux risques.

• Comment évaluer les risques résiduels ?


‒ Pour évaluer les risques résiduels, il suffit de tenir compte d’un troisième
critère supplémentaire : le niveau de contrôle / maîtrise déterminé par
l’analyse de l’existence et de l’efficacité des contrôles / procédures pour
prévenir, détecter ou réduire les risques identifiés.

• Exemple d’échelle d’évaluation du niveau de contrôle:


Niveau de contrôle
‒ 1. Un contrôle fort est en place (pertinent/efficace)
‒ 2. Une procédure est en place pour couvrir le risque
‒ 3. Aucun contrôle ni procédure

76 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluation du risque

• La première étape d’analyse porte sur


les risques inhérents / bruts.
• Les risques résiduels / nets sont alors Risque
identifiés en tenant compte des dispositifs inhérent
Processus en place qui
de contrôle existants. visent à limiter le
risque
• L’évaluation d’un risque résiduel repose
sur l’appréciation (perception) du Risque
niveau de maîtrise par les éventuels résiduel

dispositifs de contrôle en place


(pertinence / efficacité). Plans d’actions décidés
par la Direction afin de
• Cette perception nécessite d’être renforcer la maîtrise du Risque
cible
risque
confirmée par une évaluation.
• Le niveau de risque résiduel ainsi défini
doit enfin être comparé au niveau de
risque considéré comme acceptable par
les organes de gouvernance (définition
du risque cible / appétence aux
risques).
77 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Evaluation des risques
risques majeurs /
risques individuels

78 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Risques majeurs et individuels
La notion de risque majeur doit être distinguée de la notion de
risque individuel même si ces deux concepts demeurent
étroitement liés.

• Un risque majeur répond à la définition communément utilisée d’un risque,


à savoir : la potentialité d’une perte – ou perte d’opportunité – causée par des
évènements pouvant affecter l’atteinte des objectifs d’une organisation.

• Les risques individuels représentent quant à eux les causes contribuant à


la réalisation d’un risque majeur (=> « évènements » mentionnés dans la
définition du risque majeur). L’existence (ou non existence) de risques
individuels conditionne donc la probabilité de réalisation d’un risque. A noter
qu’un risque majeur peut-être lié à un ou plusieurs risques individuels.
Causes Risques individuels Risque majeur Objectif
Destruction de la
base de stockage Assurer
Intrusion externe
des données
Perte/altération des l’intégrité
Erreur humaine données des
Altération du données
Pollution virale système
Typologie « Risques liés
aux SI »
79 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Risques majeurs et individuels

Le responsable du projet de construction de l’usine de production de


savon d’Azur SA a défini parmi ses objectifs majeurs spécifiques
« maîtriser les coûts des projets ».

Un des risques majeurs associés est l’« arrêt d’un chantier ».

Il peut intervenir selon la survenance de différents risques individuels :


‒ Aléas climatiques (pluies diluviennes)
‒ Défaillance d’un prestataire
‒ Panne matérielle

80 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Risques majeurs et individuels

Facteurs de Risque Risque Majeur Conséquences


Eléments déclencheurs

Mise en production Arrêt des systèmes / Absence de reporting Difficulté pour piloter
Problème technique
non fiabilisée perte de données

Déficience de la Arrêt des systèmes /


Destruction partielle
protection physique perte de données Perte de l’information Difficulté pour
comptable produire les comptes
Vol / altération de
Intrusion externe
données
Déficience de la Perte de données Atteinte à l’image de
sécurité informatique confidentielles la structure
Vol / altération de Rupture des
Accès conflictuels
données systèmes
d’information
Défaillance de Perte de confiance du Changement d’équipe
Conditions / Environnement

Dépendance Arrêt des systèmes / management ou de direction


l’alimentation en
énergétique perte de données
énergie

Dépendance du Départ de personnel Maintenance / Perte de confiance


personnel clé sécurité insuffisante Perte de contrats
des usagers

Hétérogénéité des Gestion Arrêt des systèmes /


systèmes décentralisée perte de données Perte de confiance Chute du cours de
des investisseurs bourse
Interfaces non Altération / perte de
compatibles données
Limites des Perte de confiance du Coûts de campagnes
Arrêt des systèmes / public publicitaires
Aléas climatiques conditions
perte de données
techniques

81 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluer les risques individuels
• L’impact : Appréciation quantitative et qualitative selon l’axe analysé

Exemples d’échelles d’évaluation

Dépassement Interruption de Sécurité Dégradation


Cotation
budgétaire service Physique d'image

Décès et Campagne
4 Majeur > 4 MFCFA > 1 semaine
blessures média

Blessures Campagne
3 Critique > 1,5 MFCFA > 1 jour
moyennes média

Blessures Doléances
2 Significatif > 0,5 MFCFA < 1 journée légères importantes
ou stress élevé de contribuables
Inconfort Doléances
ponctuelle
1 Mineur < 0,5 MFCFA
et courte
des limitées
personnels (interne/externe)

82 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluer les risques individuels
• La fréquence : Appréciation qualitative de la probabilité d’occurrence du risque.

Exemples d’échelle d’évaluation

Cotation Qualification de la probabilité

L’événement est très probable au regard des statistiques ou des incidents


Forte
internes

L’événement est probable au regard des statistiques ou des incidents


M oye nne
internes

L’événement est possible sous des conditions qui ne sont pas réunies
Lim ité e
aujourd'hui, mais qui sont susceptibles de l ’être dans le f utur

L’événement est très improbable et ne devrait se produire


Infim e qu'exceptionnellement (sous réserve d'une conjonction de conditions très
particulières)

• La fréquence: Appréciation quantitative de la probabilité d’occurrence du risque.


Exemple (1/2/3/4): 4. tous les mois; 3. tous les semestres; 2. une fois par an; 1.
supérieure à un an

La fréquence devra être définie selon une hypothèse moyenne en tenant compte de
l’historique (incidents avérés), de statistiques, d’événements historiques ou d’estimations.

83 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Evaluer les risques individuels
• Le contrôle en place (mesure de traitement des risques) : Analyse de l’existence et de
l’efficacité des contrôles / procédures pour prévenir, détecter ou réduire les risques
identifiés (contrôles existants, formalisés, évalués)

Exemples d’échelles d’appréciation

Qualification de la couverture des mesures


Cotation
de traitement du risque
Un dispositif de contrôle est en place et a été
1 La couverture est totale
évalué

Un dispositif de contrôle est en place, mais pas


2 La couverture est majoritaire
encore évalué

Une procédure est en place pour couvrir le


3 La couverture est partielle
risque

4 La couverture est faible Aucun contrôle ni procédure n'est en place

84 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Réponse aux risques

85 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Appétence au risque

• Chaque organisation accepte un niveau de risque défini en fonction


de son activité, de sa sensibilité aux risques, de sa culture mais
aussi de ce que peuvent supporter les actionnaires et autres parties
prenantes : c’est la notion d’appétence au risque (risk
appetite)
• La responsabilité exclusive de définition d’appétence au risque
incombe au Management. Tout système de maîtrise des risques
s’inscrit dans le cadre du niveau de risque acceptable.

• Principes associés :
‒ Le risque "zéro" n'existe pas
‒ Les limites budgétaires impliquent de rechercher un équilibre entre
coûts et bénéfices
‒ La prise de risque est nécessaire pour une organisation qui se veut
dynamique et flexible
‒ Certains risques sont hors du champ de contrôle du management

86 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Appétence au risque

• En réponse à un risque, le management a plusieurs options :

Réponse à un risque Actions à mener


Accepter Surveiller le risque

Éviter Éliminer le risque

Réduire Mettre en place des contrôles

Partager S’associer avec un partenaire

Pouvez-vous citer des exemples au regard de chaque


exemple?

87 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
La notion de risque
Réponse aux risques

Approche MARCI

Mitigate: Impact critique,


vulnérabilité forte : renforcer les
contrôles
Audit: Impact critique,
vulnérabilité faible : veiller aux
contrôles
Reallocate : Impact important,
vulnérabilité faible : réallouer les
moyens
Cumulative Impact : Impact
important, vulnérabilité forte :
surveiller l’impact du cumul

88 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la première journée
• Quizz de démarrage

• Généralités sur l’audit interne

• Pourquoi élaborer une cartographie des risques

• Notion de risque

• Management des risques

‒ Définition
‒ Eléments du dispositif de management des risques
‒ Relation entre objectifs de l’organisation et éléments du management des
risques

• Méthodologie de cartographie des risques

89 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Management des
risques

90 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA


Définition

91 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Management des risques
Définition
Le management des risques traite des risques et des opportunités
ayant une incidence sur la création ou la préservation de la valeur.

Il se définit comme suit :

 Un processus mis en œuvre par le Conseil d’administration, la


direction générale, le management et l'ensemble des
collaborateurs l’organisation.

 Il est pris en compte dans l’élaboration de la stratégie ainsi que


dans toutes les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles d’affecter
l’organisation et pour gérer les risques dans les limites de son
appétence pour le risque. à fournir une assurance raisonnable
quant à l'atteinte des objectifs de l'organisation.
92 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Management des risques
Définition :Les concepts clés

Le management des risques


Est un processus Est mis en œuvre à chaque niveau
et dans chaque unité de
permanent qui irrigue toute
l’organisation et permet d’obtenir
l’organisation et est orienté une vision globale de son exposition
vers l’atteinte des objectifs aux risques

Est mis en œuvre par Est destiné à identifier les


événements potentiels susceptibles
l’ensemble des
d’affecter l’organisation, et à gérer
collaborateurs, à tous les les risques dans le cadre de

niveaux de l’organisation l’appétence pour le risque

Donne à la direction et au Conseil


Est pris en compte dans d’administration une assurance
raisonnable (quant à la réalisation
l’élaboration de la stratégie
des objectifs de l’organisation)

93 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Management des risques
Définition
Cette définition est volontairement large. Elle intègre les principaux
concepts sur lesquels s’appuient les sociétés ou d’autres types
d’organisation pour définir leur dispositif de management des risques
et se veut une base pour la mise en œuvre d’un tel dispositif au sein
d’une organisation, d’un secteur industriel ou d’un secteur d’activité.
Elle est centrée sur l’atteinte des objectifs fixés pour une organisation
donnée, et constitue en cela une base pour la définition d’un dispositif
de management des risques efficace.

94 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Les Eléments du dispositif
de management des
risques

95 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Management des risques
Les éléments du dispositif de management des risques
Le dispositif de management des risques comprend huit éléments.

1. Environment interne 3. Identification des évènements


Il englobe la culture et l’esprit de (risques/opportunités)
l’organisation. Il structure la façon Les événements internes et externes
dont les risques sont appréhendés susceptibles d’affecter l’atteinte des
et pris en compte par l’ensemble objectifs d’une organisation doivent être
des collaborateurs de l’entité, et identifiés en faisant la distinction entre
plus particulièrement la conception risques et opportunités.
du management et son appétence Les opportunités sont prises en compte
pour le risque, l’intégrité et les lors de l’élaboration de la stratégie ou
valeurs éthiques, et l’environnement au cours du processus de fixation des
dans lequel l’organisation opère. objectifs

2. Fixation des objectifs 4. Evaluation des risques


Les objectifs doivent avoir été Les risques sont analysés, tant en
préalablement définis pour que le fonction de leur probabilité d’occurrence
management puisse identifier les que de leur impact, cette analyse
événements potentiels susceptibles servant de base pour déterminer la
d’en affecter la réalisation. Le façon dont ils doivent être gérés. Les
management des risques permet de risques inhérents et les risques
s’assurer que la direction a mis en résiduels sont évalués.
place un processus de fixation des
objectifs et que ces objectifs sont en
ligne avec la mission de l’entité ainsi
qu’avec son appétence pour le
risque.
© 2017 Deloitte & Touche
Management des risques
Les éléments du dispositif de management des risques
Le dispositif de management des risques comprend huit éléments.

5. Traitement des risques 7. Information et communication


Le management définit des solutions Les informations utiles sont identifiées,
permettant de faire face aux risques collectées, et communiquées sous un
(évitement, acceptation, réduction format et dans des délais permettant
ou partage). Pour ce faire le aux collaborateurs d’exercer leurs
management élabore un ensemble responsabilités. Plus globalement, la
de mesures permettant de mettre communication doit circuler
en adéquation le niveau des risques verticalement et transversalement au
avec le seuil de tolérance et sein de l’organisation de façon efficace.
l’appétence pour le risque de
l’organisation.

6. Activités de contrôle 8. Pilotage


Des politiques et procédures sont Le processus de management des
définies et déployées afin de veiller risques est piloté dans sa globalité
à la mise en place et à l’application et modifié en fonction des besoins. Le
effective des mesures de traitement pilotage s’effectue au travers des
des risques. activités permanentes de management
ou par le biais d’évaluations
indépendantes ou encore par une
combinaison de ces deux modalités.

© 2017 Deloitte & Touche


Relation entre objectifs de
l’organisation et éléments
du management des
risques

98 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Management des risques
Relation entre objectifs de l’organisation et éléments du
management des risques

Il existe une relation directe entre les objectifs que cherche à atteindre une organisation
et les éléments du dispositif de management des risques qui représentent ce qui est
nécessaire à leur réalisation. La relation est illustrée par une matrice en trois dimensions
ayant la forme d’un cube.

Les quatre grandes catégories


d’objectifs (stratégiques,
opérationnels, reporting et
conformité) sont représentées par
les colonnes;
Les huit éléments du management
des risques par les lignes
Les unités de l’organisation par la
troisième dimension.

© 2017 Deloitte & Touche


Sommaire de la première journée
• Quizz de démarrage

• Généralités sur l’audit interne

• Pourquoi élaborer une cartographie des risques

• Notion de risque

• Management des risques

• Méthodologie de cartographie des risques

‒ Identifier les risques


‒ Evaluer / rationaliser les risques

• De la cartographie des risques au plan d’audit

100 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de
cartographie des
risques

101 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Méthodologie de cartographie des risques
Contexte et objectifs

• La cartographie est un outil permettant l’identification et l’évaluation


des risques qui constitue le premier volet de la gestion des
risques. Elle met en œuvre les actions suivantes:

• Connaitre l’environnement afin d’être, à l’avenir, dans une position où la


survenance d’un risque majeur sera, dans la mesure du possible, limitée en terme
de fréquence et d’impact;

• Favoriser la perception homogène des risques entre les acteurs (cadres


dirigeants, opérationnels… );

• Responsabiliser davantage les acteurs opérationnels en matière de prévention


et de détection des risques;

• Mieux orienter le dispositif et les travaux de Contrôle / Audit Interne.

102 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Approche générale
Comme indiqué précédemment, la gestion des risques est un processus dont la
cartographie constitue une première étape structurante. Celle-ci s’intègre dans
une logique visant à assurer la mise en place d’une démarche pérenne et
continue de management des risques.

Suivi & Evaluation Identification & Priorisation

DEVELOPPEMENT DU CADRE DE GESTION DES RISQUES


Comment évite-t-on les
PRELIMINAIRE Quels sont les problèmes
problèmes et comment
pouvons-nous potentiels qui peuvent survenir?
Quels choix stratégiques à
continuellement progresser ? retenir pour la gestion des IDENTIFIER LES RISQUES
risques ?
SUIVRE ET EVALUER LES
PILOTER LE PROCESSUS RISQUES
Quel est le niveau de criticité de
chaque problème en terme de
survenance et d’impact,
notamment en prenant en compte
les dispositifs existants de maitrise
CONTROLER LES RISQUES des risques?
CLASSER PAR ORDRE DE PRIORITE
Comment implémenter les
actions correctives Quels problèmes doivent être abordés en priorité?
identifiées, et comment les Quelles actions correctives doivent être mises en
contrôler? place, et dans quel ordre?

Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
103
Méthodologie de cartographie des risques
Un cadre de gestion des risques opérationnels

Profil de risque
Analyse des processus
Identification des risques potentiels et
du dispositif de maitrise associé BASE INCIDENT
Ajustement du
Suivi des pertes avérées
dispositif
global

Une mise en
1 Identification
place
progressive…

Articulation avec le
Gouvernance contrôle interne
4 Pilotage &
2 Evaluation
Surveillance reportings Détermination des
(KRI / KCI) pertes potentielles

…Un
Traitement & ajustement
3 plan d’actions continuel et
itératif Appétence au
risque
/ Risque cible
Prévention de l’occurrence
Articulation avec le contrôle interne

Atténuation de l’impact
104 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Vue d’ensemble
Cartographie des risques

PHASE PHASE PHASE PHASE


1 2 3 4

Identification Plans
Evaluation Pérennisation
d’actions
des risques des risques du dispositif
et suivi

Entretiens
Hiérarchisation des
individuels avec les
risques identifiés lors de Formulation de plans Structuration de la
membres du top-
la Phase 1 et d’actions et proposition méthodologie de mise à
management, et
consolidation sous forme d’un mode de suivi jour régulère de la
réunions avec les
de cartographies des cartographie des risques
acteurs des services
risques
sélectionnés

105 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Les deux grandes options de cartographie des
risques

En fonction des objectifs du management en matière de gestion des


risques, du profil de risques de l’entreprise et de son organisation,
deux méthodologies peuvent être utilisées.

- L’approche « Bottom-up » (approche par processus /


entités)
- L’approche « Top-Down » (approche par les objectifs)

L’objectif de l’approche bottom-up est de s’assurer du bon


déroulement des processus. Celui de l’approche top-down est de
s’assurer de l’atteinte de objectifs de l’organisation. Ces deux
objectifs ne sont pas contradictoires mais bien complémentaires dans
la mesure où il est nécessaire que les processus soient exécutés de
manière performante pour atteindre les objectifs.

106 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Les deux grandes options de cartographie des
risques
• L’approche Bottom-Up consiste à :
‒ Identifier l’ensemble des processus de la structure ;
‒ Identifier pour chaque processus les risques potentiels ;
‒ Définir la typologie de chacun des risques recensés : opérationnel, finance/comptabilité,
systèmes d’information,…;
‒ Coter chaque risque en fonction de la probabilité d’occurrence, et de l’impact potentiel;
‒ Synthétiser l’ensemble des risques dans une matrice des risques.

=> Les avantages de la démarche:


‒ Cette approche permet d’avoir une vision exhaustive, et très détaillée de l’ensemble des
risques encourus par l’organisation.

=> Ses inconvénients:


‒ La réalisation de la cartographie peut s’avérer complexe et nécessite potentiellement des
moyens humains et matériels importants.
‒ Le niveau de détail important que permet cette démarche peut poser des difficultés
d’agrégation des résultats. Chaque processus faisant l’objet d’une cartographie propre, la
consolidation implique de définir des règles de synthèse pertinentes.

107 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Les deux grandes options de cartographie des
risques
• L’approche Top-down consiste à :
‒ Recenser l’ensemble des objectifs de la société ;
‒ Pour chacun de ces objectifs, identifier les risques potentiels ;
‒ Effectuer une cotation des risques.

=> Les avantages de la démarche:


‒ Contrairement à l’approche bottom-up où les impacts sont estimés pour chaque processus,
et consolidés ensuite, cette approche donne plus directement une vision consolidée des
risques.

=> Ses inconvénients:


‒ Il n’est donc pas possible d’avoir une cartographie détaillée au niveau processus des risques
encourus. Néanmoins, celle-ci peut-être obtenue dans un second temps au travers de focus
sur des risques spécifiques et de manière priorisée en fonction des résultats de la première
cartographie des risques (=> Déclinaison de la cartographie sur des processus qui s’avèrent
sensibles au regard des résultats de la cartographie top-down. Exemple : Cartographie des
risques liés aux Ressources Humaines et élaboration / mise à jour d’un manuel de procédure
RH, etc.).

(NB: Nous avons choisi de présenter l’approche Top-down. L’approche


Bottom-Up fera l’objet d’un exemple demain)
108 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Identifier les risques

109 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques
Quels sont les objectifs de cette première phase?
‒ Comprendre les objectifs de l’organisation et définir un langage commun sur le risque
‒ Définir le cadre méthodologique et les modalités de fonctionnement du projet
(responsabilités, planning, principaux livrables…)

Boîte à outils
‒ Elaboration de questionnaires afin d’initier la réflexion des différentes parties
prenantes sur les risques auxquels l’organisation est confrontée.
‒ Conduite d’entretiens en utilisant les bonnes pratiques de conduite d’interview et
d’animation de réunions (cf. page suivante). L’objectif étant de « challenger » et
d’optimiser l’efficacité de l’entretien à travers une analyse pertinente et pointue des
problématiques abordées, et de permettre la prise en compte de l’ensemble des risques
– y compris spécifiques – pouvant potentiellement impacter l’organisation.

Finalité
Construction de l’univers des risques recherchés
Volume d’intervention estimé

110 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

• Penser à la formalisation des objectifs avant de réfléchir aux


risques : un risque ne se définit qu’au travers d’un objectif:
‒ Enjeux stratégiques
‒ Enjeux opérationnels
‒ Enjeux financiers / comptables
‒ Enjeux de conformité
‒ …

• L’approche top-down se concentrera sur quelques objectifs /


enjeux mis en avant par la Direction, et non sur une multitude
d’objectifs
Exemples :
•Développer et promouvoir la production agricole de qualité,
•S’assurer que les conditions de production des végétaux, les conditions de vie et
d’utilisation des animaux garantissent la santé publique
•Mettre en œuvre les politiques nationales et communautaires dans des conditions
optimales de coût et de qualité de service …

111 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

1 - Elaborer un « questionnaire d’identification des risques » afin


d’assurer une identification exhaustive des risques bruts

• L’identification des risques comprend trois parties :


• Les risques majeurs perçus permettant d’identifier les principaux risques perçus
instinctivement par la personne complétant le questionnaire. Cette section comprend
deux sous-parties :
oLes risques présents dans la sphère de responsabilité de la personne interrogée
oLes risques hors de la sphère de responsabilité de la personne interrogée
• Les risques externes permettant d’identifier les principales menaces de
l’environnement qui peuvent avoir des répercutions sur les activités et objectifs de
l’organisation
• Les risques internes permettant d’identifier les risques les plus importants à
maîtriser par le Ministère ou la Direction Générale concerné.

• Pour chaque risque mentionné, il sera demandé de préciser :


• L’intitulé du risque
• Une rapide description du risque (définition, exemple…)

112 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

Exemple de questionnaire

113 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

2 - Bien préparer l’entretien

Quels sont les objectifs recherchés? Quelles sont les personnes clés à
inclure dans le projet?

Avant l’entretien, prendre connaissance, en détail, du questionnaire qui aura été


rempli par l’interlocuteur :

‒ Il convient d’identifier clairement chaque interlocuteur : sa fonction au sein de


l’organisation ? son ancienneté à ce poste ? son parcours professionnel ? Son
rattachement hiérarchique, fonctionnel ? Son domaine de compétence ?
‒ Identifier les risques qui ont été remontés par l’interlocuteur, aussi bien ceux concernant
son domaine de responsabilités propre que l’ensemble de l’organisation ;
‒ Comprendre les pistes pour actions correctives et évaluer la pertinence de celles-ci au
regard du risque auquel elles sont associées ;

Se préparer en considérant qu’un entretien de 90 minutes est un maximum : ceci


implique d’identifier en amont les questions essentielles pour lesquelles les réponses
doivent être obtenues.

114 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

3 - Bien conduire l’entretien (1/2)

Il est recommandé de commencer l’entretien en se présentant et en rappelant le « TOP » : le


« Thème » de l’entretien, ses « Objectifs », et enfin le « Plan » qui sera suivi au cours de
l’entretien :

• Le Thème : restituer l’entretien dans le cadre plus large du projet de cartographie des
risques dans son organisation en tant que responsable d’un périmètre ;
• Les Objectifs : rappeler les objectifs précis et concrets de l’entretien, et faire le lien
avec les objectifs plus généraux du projet de cartographie des risques dans son
ensemble ;
• Le Plan : annoncer les sujets qui seront abordés et définir un timing/un horaire de fin
pour l’entretien, en essayant autant que faire se peut de respecter les contraintes
éventuelles de l’interlocuteur.

Il conviendra de « challenger » l’expression du risque, ce qui implique :


‒ un questionnement systématique (« sur ce sujet, qu’est ce qui peut arriver ? »)
‒ un certain scepticisme, ou du moins, la faible adhérence aux conventions généralement
acceptées, et une demande d’argumentation raisonnable
‒ rester focalisé sur les risques – et non les problèmes.

115 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques
3 - Bien conduire l’entretien (2/2)

Par ailleurs, au cours de l’entretien, il est important d’aller suffisamment au fond des
choses pour être en mesure d’obtenir une perception et une évaluation des risques par
l’interlocuteur qui soient aussi claires que possible. Il conviendra donc de bien valider les
quatre éléments suivants :

• La définition exacte du risque dont on parle : elle doit tenir en une courte
phrase, être claire, et faire précisément référence au risque en tant qu’événement
potentiel pouvant empêcher l’atteinte d’un ou de plusieurs objectifs fixés majeurs de
l’organisation ;
• Les causes de ce risque : quels sont les événements et les raisons qui peuvent
conduire ou qui ont déjà conduit à un tel risque ?
• Les conséquences potentielles de ce risque : quels événements peuvent
découler de ce risque et quel peut être leur impact pour l’organisation, en s’appuyant
notamment sur l’expérience acquise au cours d’incidents précédents ;
• Les actions correctives en place ou à déployer (contrôles internes existants,
moyens de maîtrise en place…).

Une fois cette analyse effectuée et validée avec l’interlocuteur, il peut parfois être
nécessaire de revenir à la formulation de la définition exacte du risque, qui peut s’en
trouver affinée/ modifiée en raison d’une meilleure appréhension de ses causes et/ou de
ses conséquences.
116 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

Bien conclure l’entretien

• Reformuler les idées maîtresses de l’entretien ;

• Demander s’il existe des points importants qui n’auraient pas été
abordés ;

• Demander, si nécessaire, le nom de collaborateurs avec lesquels il


serait intéressant de « creuser » certains points précis.

117 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques
Cas pratiques : comportements à adopter face à des comportements « non
collaboratifs »

Tous les risques que j’ai exprimés n’existeraient pas si j’avais


les moyens humains pour les couvrir.

Je vous ai produit un tableau avec les 200 risques


majeurs de ma structure !

Mon métier, c’est de gérer des risques.

On a sûrement autre chose à faire qu’à se poser la


question des risques potentiels !

118 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

Risques individuels
Déterminer une série de (Phase 1 - Identification)
risques individuels
Vol matériel /
Rappel : les risques individuels cash

représentent les causes contribuant


à la réalisation d’un risque majeur Vol immatériel /
Risque majeur
(=> « évènement », « action », accessibilité données
confidentielles
(Phase 2 -
rationalisation)
« inaction » mentionnés dans la
définition du risque majeur).
L’existence (ou non existence) de Intrusion informatique / Fraude
risques individuels conditionne sécurité informatique

donc la probabilité de réalisation


d’un risque majeur.
Corruption

(…)

119 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

Déterminer les risques individuels

L’objectif de cette étape est d’identifier les risques individuels pouvant être
associés et contribuer à la réalisation d’un risque majeur.
La liaison risques – causes doit découler d’une analyse approfondie des facteurs
internes et externes susceptibles d’engendrer la réalisation d’un risque.
Quelques exemples de facteurs externes et internes :

Facteurs internes
Facteurs externes
Changement récent de direction
Rapide évolution technologique
Refonte du système d'information
Pression environnementale
Eléments relevés lors des derniers Audits
Modification comportement Usagers/Clients
Historique de l’organisation (fraude,
Lobbying / pressions
cession, rachat)
Évolutions réglementaires nationales
Turnover important
Evolutions réglementaires sous régionales
Contexte social
ou internationales
Organisation hiérarchique

120 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques

Eléments déclencheur
Eléments déclencheur

Risques individuels Risque Majeur Risques individuels Risque Majeur

Formation
xxxx xxx xxx
inadaptée

(…) (…)

Arrêt de service Achats publics


d’une Direction

Conditions / Environnement
inefficients
Conditions / Environnement

Localisation
xxxxx xxxx xxxx
géographique

Dépendance
xxxx xxxxx xxxx
d’un fournisseur

(…) (…)

121 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 1: Identification des risques
Cas pratique : « traitement des demandes d’aide direct ou
indirect » Risque 1 Risque de méconnaissance du dispositif d'aide par des porteurs de projet => risque de ne pas avoir de projets déposés
Risque d'une organisation du processus trop compliquée et d' une gestion trop lourde qui effraie les porteurs de projet => risque
Risque 2
de decourager les porteurs de projet potentiels
Risque de ne pas identifier les actions sur lesquelles il n'y a pas ou peu de financements demandés => risque d'un manque de
Risque 3
suivi et de pilotage
Risque 4 Risque de ne pas répondre à une demande par courrier => risque de perte de la demande
Risque 5 Risque de ne pas répondre à une demande par courrier dans un délai satisfaisant
Risque de non complétude des dossiers déposés ( perte de temps et d'éfficience en demandant des pièces complémentaires)
Risque 6
Risque 7 Risque de non traçabilité des dossiersde demande => perte d'un dosier
Risque de mauvaise aiguillage d'un dossier : vers une autre entité( CR…) ou un mauvais service instructeur =>perte de temps et
Risque 8
d'éfficience
Risque 9 Risque d'accuser réception du dossier trop tardivement ( par exemple alors que les travaux sont déjas finis)
Risque d'informer trop tardivement le porteur du projet - ou de ne pas l'informer- que son projet n'est pas éligible =>risque d'image
Risque 10
à terme
Risque 11 Risque de turnover fréquent pour les gestionnaires et les instructeurs
Risque 12 Risque d'un manque d'éffectifen cas de vacance du poste
Risque que l'instruction du dossier ne prenne trop de temps et que le porteur du projet ne puisse pas commencer son action à
Risque 13
temps voulu
Risque 14 Risque de ne pas contacter l'ensemble des services compétents pour avis d'opportunité et/ou réglementaires
Risque 15 Risque d'un avis insuffisant sur le fond ( insuffisamment motivé, biaisé…)
Risque 16 Risques d'une absence de mise à jour des procédures existantes (DOMO…)
Risque 17 Risque d'une instruction hétérogène des dossiers entre les différents services instructeurs
Risque 18 Risque d'un "bug" dans le système qui ne permette pa d' enregistrer le dossier et/ou de procéder à sa bonne instruction
Risque 19 Risque d'insuffisance de contrôle ou d'un contrôle inefficient
Risque 20 Risque de motivation insuffisante de ses décisions => risque d'image
Risque de communication insuffisante de ses décisions => difficulté de compréhension de la "jurisprudence" du comité
Risque 21
Risque 22 Risque que le porteur de projet ne signe pas la convention
Risque 23 Risque d'une notification tardive de la décision d'attribution => perte de temps dans la mise en œuvre des actions
Risque 24 Risque d'un défaut d'actualisation des dates d'éligibilités des dépenses =>perte de temps et efficience
Risque 25 Risque de ne pas demander un avenant dans les délais impartis
Risque 26 Risque de dépassement de délai pour le porteur pour faire parvenir des factures
Risque 27 Risque de fraude / risque sur la réalité des dépenses envoyées
Risque 28 Risque sur l'attestation des service fait et sur la réalitédes factures envoyées
Risque 28 bis Risque de financer le fonctionnement d'une structure
Risque 29 Risque de non évaluation des résultats des actions menées par rapport aux objectifs visés
Risque 30 Risque de fraude
Risque 31 Risque de non réception ou d'une réception tardive de la subvention
Risque 32 Risque de perte dun dossier => insuffisance dans l'archivage

122 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Evaluer les risques

123 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques
Quels sont les objectifs de cette deuxième phase?
‒ Hiérarchiser et rationaliser les risques majeurs
‒ Formaliser la cartographie des risques

Boîte à outils
‒ Préparer, organiser et animer un atelier de hiérarchisation des risques, visant à réunir
une sélection des interlocuteurs rencontrés en Phase 1 et à les faire débattre puis se
prononcer sur l’évaluation de chacun des risques identifiés. Cette étape constitue un
moment clé dans un projet de cartographie des risques, dans la mesure où il permet de
fédérer les interlocuteurs autour d’un même exercice, et d’apporter une réelle valeur-
ajoutée dans la perception que chacun d’entre eux a des risques, gage d’une
cartographie cohérente et pertinente, à laquelle chacun pourra s’identifier.
‒ Chaque participant doit mesurer le risque en fonction de deux critères d’évaluation
définis lors de la mise en œuvre de la démarche. Il s’agit de l’échelle d’évaluation (par
exemple: importance et niveau de maitrise actuel).
‒ Formaliser les fiches de risques pour les grands risques majeurs identifiés.

Finalité
‒ Formaliser la cartographie des risques consolidée
124
Présenter
‒Formation les résultats de la cartographie à la Direction.
« Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Échelles à utiliser
Méthodologie de:cartographie des risques
Importance et niveau de maîtrise des risques
Phase 2: Evaluation des risques
Exemple d’échelles à utiliser : Importance et niveau de maîtrise des risques

Importance Niveau de maîtrise actuel


Critique : risque pouvant avoir un impact Risque très maîtrisé : compétences et
7 extrême sur les valeurs, sur les objectifs 7 expertises pointues ; procédures rédigées,
stratégiques ou sur les actifs (Impact long diffusées, appliquées et mises à jour
terme). régulièrement ; risque piloté.
6 6

Très important : risque pouvant avoir un Risque maîtrisé : compétences dans le


5 impact très fort sur les valeurs, sur les objectifs 5 domaine ; procédures rédigées ; outils de suivi
stratégiques ou sur les actifs (Impact moyen et de pilotage perfectibles.
terme).
4 4

Important : risque pouvant avoir un impact Risque partiellement maîtrisé :


3 fort sur les valeurs, sur les objectifs 3 compétences partielles ; procédures
stratégiques ou sur les actifs (Impact court insuffisantes ; pilotage moyennement formalisé
terme). et structuré.

2 2
Significatif : risque pouvant avoir un impact
1 modéré sur les valeurs, sur les objectifs Risque non maîtrisé : compétences
1 insuffisantes ; absence de formalisation des
stratégiques ou sur les actifs (Impact
ponctuel). procédures ; pilotage empirique.

© 2017 Deloitte & Touche


125 Formation « Cartographie et gestion des risques » – Décembre 2013
La cartographiede
Méthodologie descartographie
risques des risques
Mode de lecture
Phase 2: Evaluation des risques
Exemple d’échelles à utiliser : Importance et niveau de maîtrise des risques
Mode de lecture
Zone d’amélioration
• Zone de risques critiques faiblement maîtrisés. Zone
prioritaire pour la mise en place de plans d’actions
(programme d’assurance, contrôle interne, qualité,…).

Critique

Zone à contrôler Zone Zone à


• Zone de risques critiques a priori bien maîtrisés. Zone d’amélioration contrôler

Importance du risque
d’intervention « privilégiée » de l’audit interne.

Zone de tolérance
• Zone de risques de faible importance moyennement Zone de Zone à
maîtrisés mais qui peuvent être “acceptés” par le tolérance optimiser
groupe.
Significatif
Zone à optimiser
Faible Élevé
• Zone de risques de faible importance fortement Niveau de maîtrise du risque
maîtrisés pour lesquels un effort d’optimisation des
contrôles est requis.

126 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

• Les risques individuels sont identifiés et recensés au travers d’une matrice


d’analyse interfacée avec la fiche de risque, et formalisant ainsi le lien entre
risques majeurs et risques individuels.

Analyse des causes 1- Forte hétérogénéité des SI


2 - Protection physique des systèmes inadaptée
(internes ou externes) 3 - (…)

Matrice
d’analyse 1- La forte hétérogénéité des systèmes peut entrainer un
Recensement des « risque de non compatibilité » (interfaces)
risques individuels 2 - Une déficience dans la protection physique des
systèmes peut entrainer un « risque de destruction
partielle »

Fiche de
Risque Liaison risque majeur
« Rupture des SI »

127 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques
Exemple

‒ Risque Majeur : Fermeture d’une usine


‒ Risque individuel n° 2: Grève
‒ Importance : D’après les incidents survenus sur les 3 dernières années, l’arrêt de
l’activité coûte en moyenne 100 millions de FCFA par jour et dure en moyenne 6
jours (par an)
=> Matérialité : 100 millions * 6 = 600 millions (compris dans la fourchette de 500 à
650 millions FCFA) / Note = 2
‒ Importance : Sur les 3 dernières années l’entité A a observé 2 grèves par an
=> Fréquence : Bi-annuelle (plusieurs fois par an) / Note = 3
‒ Niveau de maîtrise : Il n’est pas réellement possible d’empêcher les grèves du
personnel mais il existe toutefois des procédures pour faire face à ces situations de
crise.
=> Contrôle : Existence de procédures / Note = 5

Afin de pouvoir faciliter la consolidation des évaluations au niveau de chaque risque


majeur, il est recommandé d’utiliser une fiche de risque individuel standard et
référencée (cf. exemple de fiche de risque individuelle).

128 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Exemple de fiche de risque


Crise média (1/2)

Description courte, description Cas évoqués


Risque de médiatisation d'un évènement se traduisant par • Accusation dans une affaire de produits défectueux et non rappel des
une dégradation d'image produits

Objectif :
1. Plan de communication

Causes potentielles Conséquences potentielles

• Médiatisation d’un retrait produit • Perte d’image


• Manque de structuration de la cellule de crise
• Procédure de rappel produit insuffisante
• Propagation d’une mauvaise image via les réseaux sociaux

Moyens de contrôle en place Axes d’amélioration évoqués


• Mise en place d’un service communication en charge de coordonner la • Structurer la gestion de crise au sein du Groupe – mettre en place une
communication de crise procédure de gestion de crise (alerte)
• Mise en place d’un community manager en charge de réaliser une veille • Organiser des exercices de gestion de crise
sur les sites web

129 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Crise média (2/2)


Exemple de fiche de risque
Commentaires :
Description courte, description
Impact
Risque de médiatisation d'un évènement se traduisant par une « Ce risque est très important car il touche aux actifs fondamentaux du Groupe, il est difficile
de restaurer l’image en cas d’atteinte.»
dégradation d'image «On sous-évalue ce risque potentiel et on a eu beaucoup de chance de ne pas avoir été
confronté à ce risque. »
« En fait, on considère tous que ce risque est important mais est-il critique ? »

Maîtrise
« La maîtrise est faible. On a défini une procédure mais celle-ci est mal diffusée. On n’a pas
de relais en termes d’expertise et de coaching en cas de crise. On pourrait prévoir une
Objectif : action de coaching auprès du Comex. »
1. Plan de communication « Il manque de structuration de la cellule de crise en amont. »
« Un grossiste peut prendre un risque particulier sans que le Groupe en soit conscient .»

Importance : 4,2 Degré de maîtrise : 2,9

130 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Exemple de fiche de risque


Fuite d’informations (1/2)

Description courte, description Cas évoqués


Risque lié au manque de culture en matière de confidentialité /
protection des données qui se traduit par des fuites • Possibilité d’extraire le carnet fournisseurs et de récupérer les contrats
fournisseurs sans difficulté
d’informations
• Appel d’un concurrent indiquant qu’un ancien collaborateur lui avait
proposé de lui fournir le fichier fournisseurs et les conditions
Objectif : commerciales du Groupe
1. Plan de communication

Causes potentielles Conséquences potentielles

• Absence de règles formalisées et diffusées • Perte d'avantage concurrentiel


• Insuffisance dans les accords de confidentialité signés avec les
partenaires, sous-traitants
• Insuffisance des clauses de confidentialité dans les contrats de travail

Moyens de contrôle en place Axes d’amélioration évoqués

• Clause de confidentialité dans les contrats fournisseurs • Identifier les données sensibles
• Protection informatique (firewall) • Concevoir et réaliser des tests d’intrusions sur le nouveau réseau

131 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Exemple de fiche de risque

Fuite d’informations (2/2) Commentaires :


Impact
« Il s’agit d’un risque peu important car « tout fuit de partout ». Ce n’est pas la peine de
consacrer des moyens pour maîtriser le risque. Il faut plutôt essayer de garder son avance. »
Description courte, description « Il y a de l’information mais aussi de la désinformation. »
« La sensibilité est plutôt sur les données liées à la concurrence et la communication
Risque lié au manque de culture en matière de confidentialité / d’informations vers l’extérieur .»

protection des données qui se traduit par des fuites Maîtrise


d’informations « Tests d’intrusion ? Pas de commentaire.»
« Procédures de contrôle interne ? »
« L’amélioration de la maîtrise de ce risque est probablement à renforcer et surtout il est
nécessaire de protéger l’innovation.»
Objectif :
1. Plan de communication

Importance : 3,5 Degré de maîtrise : 3,4

132 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Démotivation (1/2)
Exemple de fiche de risque

Description courte, description Cas évoqués


Risque de démotivation du personnel se traduisant par • Résultats du baromètre social très bas (1 salarié sur 3 pense que le
une perte d'efficacité Groupe est une bonne entreprise)
• Menace de grèves
• Différences de mode de rémunération pour des postes identiques
Objectif :
7. Reconnaissance de la performance
12. Mobilisation des salariés

Causes potentielles Conséquences potentielles

• Manque de vision des salariés sur la stratégie • Hausse de l’absentéisme


• Manque d’organisation - déclinaison d’une stratégie sans analyse des • Mauvaise ambiance => Conflit social
moyens
• Déficit de transversalité et de communication
• Configuration des locaux
• Manque d’implication du management intermédiaire
• Manque de ressources pour certains services

Moyens de contrôle en place Axes d’amélioration évoqués


• Baromètre social et entretiens individuels • Analyser les résultats du baromètre social et plan d’actions associé
• Mise en place des réunions de services obligatoires • Mettre en place un système de primes associées aux objectifs
• Réunions trimestrielles avec l’ensemble des salariés stratégiques
• Séminaire annuelle avec l’ensemble des salariés pour présenter la
nouvelle stratégie

133 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Exemple de fiche de risque


Démotivation (2/2)
Commentaires :
Description courte, description

Risque de démotivation du personnel se traduisant par une Impact


perte d'efficacité « Pas de commentaire. »

Maîtrise
Objectif : « Pas de commentaire. »
7. Reconnaissance de la performance
12. Mobilisation des salariés

Importance : 3,8 Degré de maîtrise : 3,6

134 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques
Principe méthodologique : principes de déroulement des ateliers

• Objectifs des ateliers :


‒ Finaliser l’identification et la hiérarchisation de l’ensemble des risques afin de
pouvoir mettre en évidence les risques les plus significatifs: les risques majeurs
‒ Favoriser les échanges entre des acteurs prenant part aux processus concernés,
confronter les points de vue
‒ Echanger sur les contrôles existants

• Définition des modalités de tenue des ateliers d’identification et de


hiérarchisation des risques :
‒ Chaque atelier sera conduit comme un projet spécifique avec :
o L’implication d’au moins un modérateur ayant conduit l’état des lieux lors de la phase 1
o L’implication d’experts lorsque l’atelier implique des sujets très spécifiques (SI, juridiques,
immobiliers, etc.).
‒ Les participants seront invités, à chaque atelier, à débattre des risques identifiés et
donner une assurance sur l’exhaustivité des risques identifiés
‒ Deux ateliers peuvent être organisés afin:
o d’identifier des risques bruts
o de hiérarchiser des risques
Dans la pratique, l’exercice est souvent fait en simultané lors de l’atelier.
Note: problématique d’agenda à prendre en compte
135 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Principe méthodologique : déroulement des ateliers d’identification


des risques

• Identification des risques

‒ Présentation aux participants de la liste des risques constituée à partir de la liste


préliminaire des risques et des réponses aux « questionnaires d’identification des
risques »

‒ Discussions sur la pertinence de chaque risque (causes et conséquences des


risques)

‒ Validation en groupe du libellé des risques

‒ Identification d’éventuels risques complémentaires non identifiés sur la liste


présentée

136 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Principe méthodologique : déroulement des ateliers de hiérarchisation


des risques

• Hiérarchisation des risques par vote

‒ Cotation individuelle des risques par le biais d’un vote confidentiel


‒ Les risques identifiés devront être cotés selon les deux dimensions précédemment
définies.
‒ A ce stade d’évaluation des risques il est nécessaire d’estimer l’impact et la
fréquence (si ce sont les dimensions retenues) sans prendre en considération
les actions de maîtrise mises en place pour leur atténuation.
‒ Les divergences de votes doivent s’expliquer par des points de vue différents et non
par des compréhensions différentes du risque. La discussion est donc
essentielle.

137 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Principe méthodologique : Elaboration des cartographies de risques


inhérents

• Suite à la tenue des ateliers, une analyse complémentaire sera menée


avant la finalisation de la cartographie :
‒ Principes retenus pour l ’analyse des cotations des risques
o Pondération des réponses selon le niveau d’expertise des participants au regard des thèmes abordés
o Identification des divergences d’opinions (selon une analyse par écart type) et évaluation de la prise en
compte des opinions divergentes (analyse des commentaires émis lors des ateliers)
o Présentation des résultats à la Direction pour validation

• Représentation graphique de la cartographie des risques bruts et


formalisation des résultats

• Validation de la cartographie par la Direction

138 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Phase 2: Evaluation des risques

Principe méthodologique : identification des risques nécessitant la


mise en œuvre de plans d’actions

• Réévaluation des risques bruts en fonction des actions de maîtrise en place


pour déterminer et les risques résiduels

• Identification des risques résiduels pour lesquels un plan d’action doit être
mis en place (risques forts et moyens)

• Validation de cette liste par l’équipe projet et la Direction

139 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Exemples de cartographies de risques

140 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Journée 2

141 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Rappel Journée 1

142 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la deuxième journée

• Exemple détaillé de démarche top down

• Exemple détaillé de démarche bottom-up: processus RH

• Mise en Pratique et cartographie

• Pérennisation du processus de cartographie des risques

• Conclusions du séminaire

143 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la deuxième journée

• Exemple détaillé de démarche top down

• Un exemple au sein d’un Ministère: risques comptables

• Exemple détaillé de démarche bottom-up: processus RH

• Mise en Pratique et cartographie

• Pérennisation du processus de cartographie des risques

• Conclusions du séminaire

144 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Les différentes étapes

• Etape 1 : Mise en place d’une organisation projet

• Etape 2 : Définition des objectifs majeurs

• Etape 3 : Définition des risques majeurs

• Etape 4 : Analyse et identification des risques individuels

• Etape 5 : Evaluation du risque

• Etape 6 : Représentation graphique de la cartographie des


risques

• Etape 7 : Définition des plans d’actions

145 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 1 – Mise en place d’une organisation projet
• Une organisation en mode projet indispensable pour renforcer
l’efficacité du processus de cartographie des risques
‒ Renforce la sensibilisation des différentes parties prenantes, notamment au
travers de l’implication de la Direction Générale qui doit s’inscrire comme
étant le leader de la démarche (« tone at the top »)
‒ Assure la transversalité du processus de cartographie, tout en s’appuyant
sur les éventuels travaux déjà réalisés « en silos »
‒ Permet la mise en place des premiers jalons qui aideront à structurer le
futur processus de gestion des risques (notamment au niveau
opérationnel)

• Une organisation en mode projet implique :


‒ La désignation d’un chef de projet et d’une équipe dédiée
‒ L’identification des « propriétaires de risques » (implication des
opérationnels)
‒ La création de comités de projet et/ou de pilotage impliquant la
Direction Générale
‒ Une communication en amont sur l’intérêt de la démarche ainsi qu’une
communication régulière sur l’état d’avancement du projet et des résultats
146 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 2 – Définition des objectifs majeurs

• Rappel : Un risque majeur répond à la définition communément


admise du risque

« Un risque se définit comme tout événement, action ou inaction de nature:


‒ à empêcher une organisation d’atteindre ses objectifs (de façon implicite ou
explicite) ou
‒ à altérer sa performance ou
‒ à entrainer une perte d’opportunités »

• Penser aux enjeux et objectifs stratégiques de l’entreprise


avant de réfléchir aux risques : Un risque ne se définit qu’au
travers d’un objectif.

‒ Enjeux stratégiques
‒ Enjeux opérationnels
Cartographier les risques plutôt qu’élaborer une
‒ Enjeux financiers cartographie des risques …
‒ Enjeux de conformité

147 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 3 – Définition des risques majeurs

• Une approche « Top-Down » :

‒ Concentration sur quelques objectifs / enjeux clés mis en avant par la


Direction Générale, et non sur une multitude d’objectifs
‒ Déclinaison de ces objectifs majeurs aux autres niveaux de
l’organisation au travers de l’identification des risques (étape suivante)

Exemples : Renforcer la présence de l’entreprise en dehors de la région


d’Abidjan, zéro accident, réduire l’endettement de 25%, préserver
l’image de l’entreprise, augmenter les crédits accordés aux
particuliers…

148 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down

Identification des risques majeurs

• Sur la base du regroupement tel que


proposé par les principaux référentiels de
gestion des risques

1. Risques stratégiques
Développement d’une nouvelle activité vs
consolider une activité actuelle
2. Risques opérationnels
Optimisation du BFR
3. Risques comptables et financiers
Risque de liquidité
4. Risques réglementaires
Respect de la réglementation de protection de
l’environnement sur un site de production

+1 Risques liés aux systèmes d’information


+2 Risques liés à la fraude
149 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Identification des risques majeurs

• Exemple concret
Objectif stratégique

Une entreprise industrielle a listé parmi ses objectifs majeurs, « la


diminution des délais de livraison de l’ordre de 5 jours » afin de
pouvoir s’aligner sur les concurrents nouvellement implantées dans la
région

Risque majeur
Parmi les risques majeurs que l’entreprise a souhaité
cartographier et rattacher à cet objectif, le risque de
dépendance par rapport à son prestataire logistique a été
identifié.

150 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Identification des risques majeurs

Objectif stratégique

En raison d’une absence de contrôle et de suivi de ses activités, une


entreprise de transports a été victime de détournements de la part de
son responsable achats durant près de deux et pour environ 100 K€.
Au-delà du montant détourné, cet incident a eu impact considérable
sur l’image de l’entreprise dans la région, celle-ci ayant toujours été
considérée comme un exemple de rigueur, de sérieux et d’éthique.
L’entreprise a alors listé pour la première fois dans ses objectifs
majeurs, « l’amélioration de l’image »

Risque majeur

Parmi les risques majeurs que l’entreprise a souhaité


cartographier et rattacher à cet objectif, le risque de fraude a
été identifié.

151 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Identification des risques majeurs
Objectif stratégique

Une nouvelle Direction Générale vient d’être nommée à la tête d’une


banque en perte de vitesse et dont la réputation est d’être un
établissement vieillissant et peu dynamique. Parmi les missions fixées
par le Conseil d’Administration au Directeur Général, ce dernier doit
déployer une stratégie permettant de multiplier par deux les crédits
auprès des particuliers d’ici 2 ans. La Direction Générale a conscience
qu’elle ne pourra pas attirer de nouveaux crédits sans un
repositionnement de son image. Deux objectifs se distinguent :
L’amélioration de l’image pour attirer la clientèle des particuliers et le
risque de crédit auprès de cette même clientèle

Risques majeurs

Parmi les risques majeurs que l’entreprise a souhaité cartographier et


rattacher à ces deux objectifs, le risque de crédit était bien
évidemment déjà appréhendé mais une attention particulière sera
accordé au risque de crédit auprès de la clientèle privée. A ce
risque a été rajouté le risque d’inadéquation / inefficacité de
la politique de communication.
152 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 4 – Analyse et identification des risques individuels

• Qu’est ce qu’un risque individuel ?

‒ Les risques individuels représentent les causes contribuant à la réalisation


d’un risque majeur (=> « évènement », « action », « inaction »
mentionnés dans la définition du risque majeur). L’existence (ou non
existence) de risques individuels conditionne donc la probabilité de
réalisation d’un risque majeur.

• Pourquoi est-il nécessaire d’identifier les risques individuels sans se


limiter à l’identification des risques majeurs ?

‒ L’analyse des causes rend le travail de cartographie plus fin et permet


d’ajuster l’effort de l’entreprise en fonction de son degré de
vulnérabilité aux risques

153 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Identification des risques individuels
• Risque majeur : Arrêt de la chaine de production

Risques individuels

Panne technique

Risque majeur Grève des


employés

Arrêt de la Programmation
chaîne de des ordres de
fabrication non
production optimisée

Incendie

(…)

154 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Identification des risques individuels
• Risque majeur : Risque de contrepartie

Risques individuels

Risque de
contrepartie
Grands Corporates

Risque majeur Risque de


contrepartie PME

Risque de Risque de
contrepartie
contrepartie Particuliers

Risque de
concentration
sectorielle

(…)

155 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Identification des risques individuels
• Risque majeur : Fraude

Risques individuels

Vol matériel /
cash

Risque majeur Vol immatériel /


savoir faire

Intrusion
Fraude informatique / virus

Corruption

(…)

156 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 5 – Evaluation du risque

• Evaluation du risque brut et résiduel

‒ un dispositif de maîtrise fort (ou limité si le risque brut n’est pas jugé
significatif).

‒ L’évaluation du risque brut tient compte de deux critères : La fréquence


d’occurrence (F) et la matérialité (M)

‒ L’évaluation des risques résiduels permet de mesurer la vulnérabilité de


l’entreprise face aux risques en tenant compte d’un troisième critère
supplémentaire : le niveau de contrôle / maîtrise (C)..

157 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 6 – Représentation graphique de la cartographie des risques

• Exemple de représentation graphique de la hiérarchisation des


risques majeurs en reprenant la cotation brute de l’exemple de la
grève Matérialité
Très fort
Fort
Moyen

Grève des employés


Limité
Faible

Fréquence
Plus de 10 ans Entre 5 et 10 ans Entre 1 et 5 ans Moins d’1 an Plusieurs fois par an
158 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche top down
Etape 7 – Définition des plans d’actions

• L’appréciation de l’évaluation des risques majeurs s’effectue au


regard du niveau du risque cible souhaité.

• Cette appréciation conditionne la mise en place de plans d’actions


sur une sélection ou sur la totalité des risques individuels associés
à un risque majeur.
‒ Il pourra ainsi être décidé de réduire le poids de certains risques majeurs si
ce dernier est trop important au regard du niveau de tolérance aux risques.
‒ Un niveau de risque cible à atteindre sera défini pour chaque risque
majeur. L’atteinte de ce niveau de risque cible se traduira par
l’implémentation de plans d’actions qui viendront impacter le niveau de
maitrise (ex : implémentation de nouveaux dispositifs de contrôle) ou la
matérialité du risque (ex : polices d’assurance).
‒ Chaque plan d’action doit être attribué à un propriétaire en charge
d’assurer sa mise en place dans les délais.

159 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la deuxième journée

• Exemple détaillé de démarche top down

• Exemple détaillé de démarche bottom-up

• Mise en Pratique et cartographie

• Pérennisation du processus de cartographie des risques

• Conclusions du séminaire

160 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de
démarche bottom-up
/ étapes

161 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Les différentes étapes

• Etape 1 : Modélisation des processus de l’entreprise

• Etape 2 : Identification des risques inhérents

• Etape 3 : (Auto-)évaluation des risques résiduels et


identification des risques majeurs

• Etape 4 : Identification des risques liés à la stratégie

• Etape 5 : Mixage des risques majeurs/risques stratégiques

• Etape 6 : Gestion du portefeuille des risques et opportunités

• Etape 7 : Pilotage et communication

162 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 1 – Modélisation des processus de l’entreprise

• Description et Objectifs
‒ Questionnaire de description d’un processus
‒ Business Process Model (Cf. exemple dans le tableau ci-dessous) :

• Moyens/Outils
‒ Interviews
‒ Missions d’audit
163 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 2 – Identification des risques inhérents

• Description et Objectifs
‒ Identifier les risques par processus, notamment les:
• risques liés aux actifs (corporels ou incorporels) ;
• risques « environnementaux » (liés aux contraintes externes) ;
• risques de non-conformité des opérations aux référentiels internes de l’entreprise ;
• etc.

• Moyens/Outils
‒ Interviews
‒ Missions d’audit

164 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 3 – (Auto-)évaluation des risques résiduels et
identification des risques majeurs
• Description et Objectifs
‒ Dresser une 1ère carte des risques résiduels(risques restant après l’évaluation de
l ’efficacité des contrôles internes sur les risques inhérents). En évaluer l’impact
probable sur les activités de l’entreprise et sur ses états financiers.
‒ Analyser / apprécier/ assembler ces risques résiduels (corrélation, analyses causes /
effets, analyses multifactorielles, simulation de scenarii « catastrophes »…).
‒ Sélectionner les 10 à 20 risques résiduels majeurs (ceci implique d’avoir fait valider
par la Direction Générale de l’entreprise la définition et la qualification d’un risque
majeur : la probabilité d’occurrence (lorsqu’elle peut être définie), le niveau de
maîtrise, l’impact qualitatif (éthique, image) / quantitatif / économique.
‒ Cette étape d’identification des « risques majeurs » doit toujours être faite en tenant
compte systématiquement :
• du business model de l’entreprise ;
• des contraintes de performances internes et externes de l’Entreprise ;
• des référentiels standards connus sur les grands risques du secteur d’activité concerné.
‒ Le résultat de cette cartographie sera présenté à la direction générale, pour
validation, sous forme d’un portefeuille des risques majeurs encourus par
l’entreprise.

165 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 3 – (Auto-)évaluation des risques résiduels et
identification des risques majeurs

• Moyens/Outils
‒ Ateliers de 7 à 10 personnes qui réunissent les opérationnels (Recherche et
Développement, Supply Chain, Industriels, Commerciaux, Contrôle Qualité,
Marketing, …), les fonctions support (Finance, RH, ...), la fonction
« Systèmes d’Information » lorsque des activités / processus sont
fortement impactées par l’informatique.

166 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 4 – Identification des risques liés à la stratégie

• Description et Objectifs
‒ Dresser une 2ème carte de risques : les risques stratégiques, en
fonction des business plans à moyens et long termes.
‒ Documenter ces risques liés à l ’exercice du processus stratégique de
l’entreprise et les actions d’atténuation qui s’ensuivent : élaboration,
développement, mise en œuvre, réajustement des options stratégiques…
‒ Lister également les opportunités liées à l’exercice du processus
stratégiques.
‒ Faire valider cette carte par responsable « Stratégie et Développement »
de l’entreprise et par le responsable de la Division opérationnelle
concernée.

167 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 5 – Mixage risques majeurs/ risques stratégiques

• Description et Objectifs
‒ L’assemblage et le croisement des deux cartes (risques stratégiques) doit
conduire à :
• Une cartographie unique de risques et opportunités majeurs de
l’entreprise, hiérarchisation (en fonction de leur impact sur l’activité, les états
financiers et la réalisation de la stratégie de l’entreprise) ;
• Une hiérarchisation des processus cruciaux.
‒ Cette cartographie peut-être présentée sous diverses formes (graphiques,
matrices, par business, par processus, par région…).

• Moyens/Outils
‒ Petits groupes de travail coordonnés par le chef de projet (idéalement le
Business Risk Manager/BRM).

168 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 6 – Gestion du portefeuille des risques et opportunités

• Description et Objectifs
‒ Cette gestion se fait en fonction d’une politique et de stratégies de
traitement des risques et opportunités prédéfinies. Les actions possibles à
l’égard des risques sont :
• Accepter : l’accepter en fonction des seuils de tolérance fixés, prendre des
mesures de back-up,… ;
• Réduire/Traiter : le réduire par des mesure de prévention ou de protection, de
prévention pouvant passer par la formation des acteurs concernés dans l’entreprise
et la définition de leurs responsabilités, et la protection par la mise en place de
contrôles internes adaptés ;
• Partager/Transférer : par des couvertures financières ou d’assurance, ou par le
transfert à un sous traitant externe par exemple ;
• Eviter/Supprimer : en arrêtant l’activité, en changeant les objectifs.
‒ Les actions possibles à l’égard des opportunités sont de :
• Développer ;
• Saisir ;
• adapter la stratégie

169 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de démarche bottom-up
Etape 7 – Pilotage et communication

• Description et Objectifs
‒ Il s’agit de contrôler et de mesurer l’efficacité des actions de traitement et
de maitrise des risques :
• Préparer un premier tableau de bord de suivi de gestion en lien avec le tableau de
bord de pilotage de l’entreprise. Ce tableau de bord permettra de suivre l’apparition
des risques ou le non accomplissement des opportunités identifiées;
• Actionner les plans de gestion de crise si le risque se concrétise;
• Mémoriser et capitaliser sur l’expérience vécue. L’approche culturelle et
l’apprentissage des hommes et de l’entreprise sont des facteurs clés de réussite.

170 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Exemple détaillé de
démarche bottom-up /
processus RH

171 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Axée sur les processus
Processus RH: ouverture de poste
13 Publie les
postes,
1 sélectionne les
candidats,
Niveau Définit ses priorités
affecte un
Groupe/ et ses éléments de
agent
Zone cadrage en matière
d'ETP
Pour les
postes
à gestion
nationale

Filiale

2 7 10
Analyse de ces Décision
Direction cadrages, d'ouverture, ou Revoit ou non
diffusion aux non, des sa position
services postes

4
Agrégation de ces 14
Lance le processus Prend en charge
besoins en ETP, de recrutement les agents à leur
RH ajout des besoins 12 arrivée,
pour les postes informe
spécifiques au RH, validés
alimentation Mobilité Pour les Département
(antichambre) postes
à gestion
locale
2 5 8 11 15
Analyse de ces Analyse des Préparation de Après accord Remet à jour
Départe cadrages, besoins, l'information des final, ses outils
ment diffusion aux proposition de services, valide la de suivi des
services décision justification publication ETP
des choix

3 9 Prend
Resp. Expression des connaissance
de besoins en de la décision,
service ETP a la possibilité
de réagir

172 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Axée sur les processus

Processus RH: ouverture de poste


1 bis.
N° de Caractéristiq 2. Définition du risque 4. Niveau de risque 5. Activité de contrôle
1. Etapes 3. Activité /
ues
Risque n° du Objectif
spécifiques Description du Probabil Evaluation du Responsa Fréquenc Comment
l'étape processus de cette Type de risque associé Impact Description
risque ité risque ble e aires
étape
- Contrôles
Risque de non automatiques dans
mise à jour du le système : date de
SERR (schéma la dernière mise à
Expression des emplois et Avoir une bonne jour ;
des besoins recrutements en visibilité sur les - Contrôler la mise à
Risque 1 Etape 3 Information 3 3,5 10,5 MPS
en région) et de besoins RH des jour du SERR /
recrutement décalage entre les services Visiom en UO;
besoins reflétés - Se mettre d'accord
par l'outil et les sur les conditions de
besoins réels remplissage de
Visiom
Risque d'une
mauvaise
Expression anticipation et Avoir une bonne Se mettre d'accord
des besoins Adéquation aux estimation des visibilité sur les sur les conditions de
Risque 2 Etape 3 2,7 4 10,8
en besoins départs besoins RH des remplissage de
recrutement prévisionnels et services Visiom
des futurs besoins
RH
- Revoir les listes de
Agrégation de
diffusion ; - niveau
ces besoins Risque de retard
Transparence et - Indiquer les types national
en ETP, ajout ou de non
bonne circulation de destinataires - niveau
des besoins réception en
de l'information servis dans le début responsable
Risque 3 Etape 4 spécifiques au Information / Délai DREAL du 2 4 8
(pour ne pas du mail de BALU :
SG, calendrier Mobilité
rater un cycle de - Définition d'un resp des
alimentation envoyé par le
mobilité) schéma de diffusion règles de
Mobilité national
: aux SG, MPS diffusion
(antichambre)
(RZGE délégué)
Risque de non-
adéquation des
Analyse des Avoir une bonne
ouvertures de
besoins, Adéquation aux visibilité sur les
Risque 4 Etape 5 poste aux objectifs 2,0 4 8
proposition de besoins besoins RH des
impartis aux
décision services
services et à leurs
besoins

173 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Axée sur les processus
Risque n° Description du risque
Risque de non mise à jour du SER (schéma des emplois et recrutements) et
Risque 1
de décalage entre les besoins reflétés par l'outil et les besoins réels
Risque d'une mauvaise anticipation et estimation des départs prévisionnels
Risque 2
et des futurs besoins RH
Risque de retard ou de non réception dans les filiales du calendrier envoyé
Risque 3
par le Groupe
Risque de non-adéquation des ouvertures de postes aux objectifs impartis
Risque 4
aux services et à leurs besoins
Risque de non-adéquation des ouvertures de postes aux compétences
Risque 5
recherchées
Risques de non-anticipation des besoins futurs par rapport aux évolutions de
Risque 6
l'activité et aux mouvements de personnels
Risque d'une communication trop tardive par le Groupe, qui ne laisse que
Risque 7
peu de temps à la Filiale pour prendre une décision
Risque d'une communication trop tardive qui ne laisse que peu de temps
Risque 8
au service pour répondre
Risque de non-ouverture d'un poste en raison d'une qualité insuffisante de la
Risque 9
motivation de ce poste
Risque d'une communication trop tardive qui ne laisse que peu de temps
Risque 10
pour prendre une décision
Risque d'un "bug" dans le système qui ne permette pas de valider la
Risque 11
publication dans les délais impartis
Risque de retard et de non réception par la filiale du calendrier de sortie des
Risque 12
nouveaux diplomés des écoles
Risque de ne pas déclencher le processus de recrutement au bon moment
Risque 13
(trop tôt ou trop tard)
Risque de manque de clarification sur la répartition des rôles entre le RH et le
Risque 14
Département
Risque 15 Risque de non publication de la fiche de poste
Risque 16 Risque de retard ou de non publication d'un poste
Risque de non visibilité sur les sorties d'écoles au moment de la publication
Risque 17
du poste
Risque de non-adéquation entre le mode de recrutement + le profil choisi par
Risque 18 le groupe/ et les candidats qui sont
susceptibles de postuler
Risque 19 Risque de non prise en charge des agents à leur arrivée
Risque 20 Risque de non mise à jour des outils de suivi
Risque 21 Risque de transparence dans le processus de recrutement
Risque 22 Risque de correct traitement des candidatures reçues

174 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Méthodologie de cartographie des risques
Axée sur les processus
Cartographie des risques sur le processus RH "Ouverture des postes"
4,5

4,0 Risque 8
Probabilité

Risque 18
3,5 Risque 7
Risque 20
Risque 16
Risque 13
Risque 10Risque 6
3,0 Risque 1 Risque 15

Risque 2
2,5 Risque 14
Risque 22
Risque 4
Risque 19Risque 3 Risque 12
2,0 Risque 11 Risque 17 Risque 9

1,5 Risque 21 Risque 5

1,0

0,5

0,0 Impact
0,0 1,0 2,0 3,0 4,0 5,0 6,0

175 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la deuxième journée

• Exemple détaillé de démarche top down

• Exemple détaillé de démarche bottom-up: processus RH

• Mise en Pratique et cartographie

• Pérennisation du processus de cartographie des risques

• Conclusions du séminaire

176 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Mise en pratique :
analyse et cartographie

177 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Mise en pratique : analyse et cartographie

• La gestion des ressources humaines

Etape 1: premier travail d’expression de risques par sous-groupe (3


sous-groupes identifiés)
‒ Quels sont les objectifs stratégiques de la GRH ?
‒ Quels sont selon votre première analyse les 4 risques majeurs ?

Durée : ½ heure

178 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Fiche 1 : utilisation
efficace d’une
cartographie des risques

179 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Utilisation efficace d’une cartographie des risques
Les facteurs-clé de réussite

• Le défi culturel
‒ Identifier les forces et faiblesses de l’organisation par rapport à la démarche de
cartographie des risques
‒ Appétence pour la règle ?
‒ Appétence pour les idées neuves de la part du Top-Management ? Quel « profil » des
corps dirigeants – ingénieurs, administrateurs, … ?
‒ Culture pré-existante du risque ?
‒ Forte pression réglementaire ?
• Le défi marketing
‒ Identifier ses sponsors
‒ Identifier ses alliés
‒ Générer l’attente / exposer les avantages attendus (Redistribution de
responsabilité ? Réponses ou arguments vis-à-vis de l’externe / de l’interne ? )

180 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Utilisation efficace d’une cartographie des risques
Les facteurs-clé de réussite

• Le choix de la gouvernance
‒ Comment responsabiliser les managers ? Lesquels ?
‒ Comité de gestion des risques
‒ Propriétaires de risques
‒ Comment trouver des relais locaux, une « filière » ?

• La capacité à éviter l’épuisement


‒ une démarche progressive
‒ La valorisation de la valeur ajoutée
‒ Générer de la créativité lors des exercices de cartographie des risques

181 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Fiche 2 : gestion
opérationnelle des
risques

182 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Gestion opérationnelle des risques
Transposition dans le secteur public

• Les 9 principes fondamentaux de la « Risk Intelligence »


Neuf principes pour bâtir une
L’organisation Risk Intelligent
organisation Risk Intelligent

Définition du risque commune

Matrice de risques commune

Rôles & Responsabilités

Transparence pour les organes de


gouvernance

Matrice de risques commune

Responsabilité des cadres dirigeants

Assurance objective et pilotage

Responsabilité des unités


opérationnelles

Appui des fonctions support

183 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Gestion opérationnelle des risques
Transposition dans le secteur public

Gouvernance des Risques


Principe1: Une définition commune Principe 2: Une matrice de risques Principe 3: Les rôles,
du risque, appréhendant les notions commune (infrastructure des risques),
responsabilités et délégations de
de préservation et de création de s'appuyant sur des normes appropriées
pouvoirs clés dans le cadre de la
valeur, est utilisée de manière (COSO ERM, ISO, par exemple), est
utilisée dans l'ensemble de l'entreprise gestion des risques sont clairement
cohérente et transverse au sein de
pour gérer les risques définis dans l'entreprise
l'entreprise

Principe 4: Les organes de gouvernance (Conseil d'Administration, Comité d'Audit, etc.) sont suffisamment
transparents et bénéficient d'une visibilité suffisante sur les pratiques de l'entreprise en matière de gestion des
risques pour pouvoir accomplir leur devoir de surveillance

Matrice et Gestion des Risques


Principe 6: Une matrice commune Principe 7: Les fonctions telles que
Principe 5: Les Cadres dirigeants l'audit interne, la gestion des
de gestion des risques est utilisée
ont comme responsabilité première risques et la conformité assurent un
pour assister les unités
la conception, la mise en œuvre et suivi et soumettent des rapports sur
opérationnelles et les différentes l'efficacité du programme de
le maintien d'un programme de
fonctions dans l'exécution de leurs gestion des risques aux organes de
gestion des risques efficace
obligations en matière de risques direction et aux cadres dirigeants

Propriété des Risques


Principe 9: Certaines fonctions (finance, service
Principe 8: Les unités opérationnelles (services, juridique, technologies de l'information, ressources
agences, etc.) sont responsables de la gestion des humaines, etc.) ont un impact significatif dans
risques qu'elles prennent dans les limites de la matrice l'organisation et fournissent un support adéquat aux
des risques établie par les cadres dirigeants unités opérationnelles (Business Units), tel que défini
dans le programme de gestion des risques

184 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la deuxième journée

• Exemple détaillé de démarche top down

• Exemple détaillé de démarche bottom-up: processus RH

• Mise en Pratique et cartographie

• Pérennisation du processus de cartographie des risques

• Conclusions du séminaire

185 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Pérennisation du
processus de
cartographie des
risques

186 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Inscrire la cartographie des risques dans une démarche de
gestion des risques itérative et continue

•La cartographie des risques doit être considérée comme une première étape
d’un processus de gestion des risques continuel et itératif.

Surveillance
Objectifs de
Analyse des l’entreprise
Indicateurs de Ajustement du
expositions
dispositif de
risques clés surveillance Identification des
risques potentiels
Identification Cartographie des
des risques
risques
Prévention de
l’occurrence
Mise en évidence
Mise en place / des positions à
ajustement des risque Maitrise Mesure des
Mise en place des des risques risques
contrôles couvertures
Suivi de l’évolution du Outils de mesure
niveau d’impact et de des risques (base
Atténuation probabilité d’occurrence
de l’impact Ajustement de des risques incident, …)
l’appétence au risque et
Ex: Assurances / de la stratégie de maitrise
Analyse de
des risques sous-jacente
plan de continuité scénarios

187 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Inscrire la cartographie des risques dans une démarche de
gestion des risques itérative et continue
La cartographie des risques :

‒ Constitue le point de départ et non l’aboutissement du processus de gestion


des risques.
‒ Doit permettre d’établir une stratégie adéquate et différenciée pour chacun
des risques majeurs et contribuer ainsi à l’optimisation et l’amélioration de
la performance à travers la maîtrise des opérations et des risques clés
sous-jacents.

188 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Inscrire la cartographie des risques dans une démarche de
gestion des risques itérative et continue

•Principe des Indicateurs de Risques Clés (IRC)


‒ Les indicateurs de risque clés (IRC) se fondent sur un profil d’exposition à un risque
déterminé. Ils peuvent se baser par exemple sur le délai de traitement de certaines
opérations, sur le volume des factures fournisseurs en suspens, sur le nombre de fraude
déjouées ou avérées, etc.
‒ Il est important de distinguer les risques de nature endogène des risques de nature exogène.
Pour ces derniers les indicateurs sont également applicables et permettent ainsi de piloter
des risques dont les enjeux sont généralement importants.
‒ Ces indicateurs peuvent également être complétés du suivi des contrôles en place selon deux
modalités sur l’efficacité des contrôles : (i) mesure de la réalisation du contrôle (taux de
réalisation) ; (ii) évaluation de la conformité des contrôles réalisés (taux de conformité).
Cette démarche permet ainsi d’affiner la mesure du niveau d’exposition au risque.

•Objectifs :
‒ il s’agit de données spécifiques tirées de la gestion et inhérente au profil du risque
‒ il s’agit dans la mesure du possible d’indicateurs à caractère quantitatifs
‒ ils visent à caractériser l’exposition aux risques, en particulier le degré de sévérité
‒ si ils sont bien choisis, ils peuvent revêtir un caractère prédictif, en permettant de faire
apparaitre, dans la mesure du possible ex-ante, des évolutions significatives du risque
concerné

189 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Inscrire la cartographie des risques dans une démarche
de gestion des risques itérative et continue

•L’implémentation de plans et procédures de contrôle et d’indicateurs de suivi des


risques n’est pas toujours suffisante et certaines améliorations sur la démarche
de gestion des risques sont à prévoir afin d’obtenir un dispositif plus dynamique :

‒ Instaurer une communication au plus haut niveau des indicateurs de risques, de


contrôle selon une fréquence adaptée, notamment au travers de tableau de bord.
Exemples de tableau de bord :

190 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Inscrire la cartographie des risques dans une démarche de
gestion des risques itérative et continue

A titre d’exemple : Le suivi des plans d’actions par


Direction…
Ressources Humaines Direction Financière Direction Juridique Direction Opérationnelle

43% 30% 52%


25%
Nombre de Risk Owner: Nombre de Risk Owner: Nombre de Risk Owner: Nombre de Risk Owner:

0% 15 100% 0% 25 100% 0% 22 100% 0% 48 100%


13 22 17 40
Risques Risques Risques Risques
Ouvert Ouvert Ouvert Ouvert
Tolérance Tolérance Tolérance Tolérance
depuis depuis depuis depuis
Risque: Départ de personnes Risque: Recensement des Risque: Non respect des règles Risque: Intégrité des systèmes
critiques dans l'organisation engagements hors bilan sur la concurrence d'information défaillante
Plan d'action: Mise en place
3/3 + 6 mois Plan d'action: Analyse 3/3 + 9 mois 3/3 - 3 mois 3/3 + 6 mois
d'enquêtes de satisfaction pour le
systématique des contrats fermes Plan d'action…………………… Plan d'action……………………
Plans d'action prioritaires ouverts

top management afin de les


par la direction financière
fidéliser

Risque: Sécurité du personnel Risque: Fiabilité des arrêtés sur Risque: V eille réglementaire Risque: Maitrise des contrats à
inadaptée sur les projets XXX les affaires insuffisante risque
Plan d'action: Inspection
systématique des sites sur ces 3/3 + 3 mois Plan d'action: Suivi périodique 2/3 + 3 mois 2/3 + 3 mois 2/3 - 3 mois
projets et mise en place d'un des contrats selon un format de Plan d'action…………………… Plan d'action……………………
système de boni/mali pour les reporting opérationnel
responsables

Risque: Non optimisation des Risque: Programme de lutte Risque: Perte de propositions
liquidités 2/3 + 9 mois
contre la fraude 3/3 - 3 mois
significatives 3/3 + 9 mois
Plan d'action: Mise en place
Plan d'action…………………… Plan d'action……………………
d'une cellule de cash pooling

Risque: Valorisation des actifs Risque: Viabilité des déclaration ………………………………………..


fiscales
3/3 + 6 mois + 9 mois
Plan d'action: … Plan d'action……………………

……………………………………….. ………………………………………..

191 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Inscrire la cartographie des risques dans une démarche
de gestion des risques itérative et continue

‒ Privilégier l’approche systématique par les risques : les modalités des contrôles
(fréquence, niveau, équipes…) doivent être définies et calibrées en fonction du risque
encouru
Exemple (à titre illustratif) :
‒ Contrôle de la liquidation de la dépense :
Fréquence : contrôle par sondage (20% des dépenses liquidées)
Niveau et équipe : contrôle de 2ème niveau, 1 personne dédiée => 30 contrôles/jour
Points de contrôle : Montant liquidé, mode de règlement, bénéficiaire, imputation budgétaire, …

‒ Effectuer une évaluation régulière, au moins annuelle, des différents éléments du


dispositif (cartographie des risques, nature des procédures, plan de contrôles, etc.)
pour en apprécier les performances ;

‒ Assurer une mise à jour continue de chacun des éléments de ce dispositif ainsi que
de la documentation afférente ;

‒ Définir une organisation et une répartition des responsabilités adéquates en


matière de gestion des risques et de contrôle interne (notamment au travers de
chartes, du règlement financier).

192 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Inscrire la cartographie des risques dans une démarche
de gestion des risques itérative et continue

• La pérennisation de la cartographie des risques passe également par une appropriation du


risque à tous les niveaux et par toutes les fonctions :
Les Directeurs
‒ Les instances de direction jouent un rôle important en amont de la cartographie des risques, car outre la
fixation des objectifs, elles définissent le niveau de risque que l’établissement est prêt à prendre pour
atteindre ses objectifs. De fait, un seuil est implicitement fixé pour considérer un aléa comme risqué et
l’introduire dans la cartographie des risques. Ce niveau de risque considéré comme acceptable est lié à
l’appétence au risque des instances de direction et pris en considération pour la définition de la stratégie de
gestion des risques ;
‒ En aval, la cartographie des risques permet à la direction de piloter son appétence au risque en lui donnant
une vision précise sur la nature, le niveau et la couverture des risques générés par l’activité.

Les Opérationnels
‒ La cartographie des risques ne doit pas être vue comme une simple exigence bureaucratique. Il faut donc
assurer la communication adéquates au sein des équipes, afin que la cartographie élaborée soit utilisée par
les différents métiers pour l’amélioration de certains processus ;
‒ Elle doit permettre de définir des actions correctrices en termes de gestion et de contrôles de premier niveau.

Les organes de contrôle


‒ La cartographie est un outil de référence pour apprécier la complétude du dispositif : couverture des plans de
contrôle, adéquation avec les niveaux de risque, efficacité des contrôles ;
‒ Elle fournit une assistance à l’élaboration des programmes de travail et des plans d’audit ;
‒ En outre, le contrôle interne de par la nature de sa fonction doit occuper un rôle central dans le processus de
gestion globale des risques et notamment dans le démarrage et le suivi de la mise en œuvre d’un processus.

193 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit de la cartographie des risques
Une nécessité de mise à jour régulière et continue

Rappel

La cartographie des risques a été essentiellement élaborée à partir d’éléments qualitatifs se


fondant notamment sur l’appréciation des différentes parties prenantes au projet
(Directeurs, Chefs de Division, Responsables de Business Unit, Chefs de Services, etc.).

Par ailleurs, la cartographie des risques traduit une exposition aux risques majeurs à un
instant donné. L’environnement n’étant pas figé, certains risques ou facteurs de risques
nouveaux peuvent apparaitre, d’autres pourraient être amenés à disparaitre, ce qui
impacterait naturellement la configuration de la cartographie des risques ainsi que les
cotations associées à chaque risques majeurs.

C’est pourquoi il est important de s’assurer d’une part, du degré de cohérence et de


l’exactitude des cotations retenues, et d’autre part de la correcte mise à jour des facteurs
de risques, voire des risques majeurs le cas échéant.

L’audit et le contrôle interne contribuent à donner un degré d’assurance suffisant quant à


l’exactitude de la situation de l’exposition aux risques, au travers de l’audit de la
cartographie des risques :
-Identification des risques
-Cotation des risques

194 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit de la cartographie des risques
Une nécessité de mise à jour régulière et continue

Identification des risques

Il est possible, soit d’auditer le processus d’identification des risques si celui-ci est
implémenté, exécuté de manière continue et piloté par du personnel dédié, soit d’auditer
directement l’exhaustivité et la pertinence des risques cartographiés.
Pour ce faire, le contrôle interne doit analyser dans un premier temps et de manière
indépendante les risques et facteurs de risques figurant sur la cartographie afin de dresser
les premiers constats à partir de:
- sa connaissance l’entreprise
- des résultats de ses précédents audits

Cette analyse pourra ensuite être soumise à discussion au travers d’entretiens ou ateliers
de travail, de la même manière que lors de l’élaboration de la première cartographie des
risques.

Dans ce cas de figure, c’est le contrôle interne qui réalise la mise à jour des risques de la
cartographie des risques.
Ce travail de mise à jour des risques doit être effectué selon une périodicité annuelle.

195 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit de la cartographie des risques
Une nécessité de mise à jour régulière et continue

Cotation des risques

La cotation et la hiérarchisation des risques doit également être revue selon une périodicité
annuelle. De la même manière que pour l’identification des risques, ce travail pourrait être
confié au contrôle interne et/ou au propriétaires de risques eux-mêmes (au travers de
questionnaires ou de reporting de risques => Cf. Audit du processus de gestion des
risques).

La réévaluation des cotations peut s’effectuer en s’appuyant sur :


- l’exploitation des résultats des audits
- l’audit de l’historique et des incidents associés aux risques et facteurs de risques
- l’analyse de scénarios
- des ateliers de travail tels que réalisés lors de l’élaboration de la première cartographie
des risques

Les éléments quantitatifs qui viendraient appuyer les cotations doivent s’appuyer des
éléments objectifs et formalisés (analyse des historiques, incidents).

Par ailleurs, le contrôle interne peut également, si cela s’avère nécessaire, faire évoluer les
règles d’évaluation des risques en revoyant les critères de cotation eux-mêmes, en vue de
les affiner ou de renforcer leur cohérence au regard du contexte.

196 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit du processus de gestion des risques
Un audit supposant une maturité de l’organisation en matière
de gestion des risques

Le processus de gestion des risques peut se décomposer en 6 objets d’audit permettant de


déterminer le degré d’efficacité et de pertinence du processus :

1 - Marketing de la gestion des risques


Le processus ne peut être efficace que si les différentes parties sont motivées et se sentent
impliquées dans la maîtrise des risques. Pour ce faire, la culture de risques doit être
diffusée de manière transverse au sein de l’entreprise. Il existe plusieurs leviers :
-Choisir un sponsor adéquat au regard des enjeux et impliquer de manière plus
significative (dans la mesure du possible, les personnes les plus motivées qui
faciliteront la diffusion des bonnes pratiques)
-Définir un plan de communication spécifique autour de la gestion des risques
(réalisation de publications, articles dans les journaux internes ou sur l'intranet,
organisation de présentations ou conduite de formations en interne…)
-Effectuer des liens entre la gestion des risques et des projets « phares » ou
significatifs
-Rendre visibles les efforts et progrès réalisés en matière de gestion des risques
-Promouvoir les fonctions gravitant autour du contrôle interne et de la gestion des
risques (ex: propriétaires de risques, auditeurs internes, etc.)

197 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit du processus de gestion des risques
Un audit supposant une maturité de l’organisation en matière
de gestion des risques

2 - Organisation du processus sur le plan méthodologique et humain


Le processus de gestion des risques repose sur une méthodologie mais aussi sur une
organisation adaptée. C’est pourquoi, il faut veiller à ce que cette méthodologie et
organisation soient clairement formalisées et comprises de tous. Les points d’attention
principaux sont :
- La clarification de l’organisation et des responsabilités en matière de gestion
des risques (propriétaires de processus, sous-processus, propriétaires de risques
majeurs, etc.) et notamment concernant l’identification, l’évaluation, le reporting des
risques (ex : questionnaires, tableaux de bord)
- La formalisation du lien entre l’approche déployée et les pratiques en vigueur
(manuels de procédures, etc.), note méthodologique à diffuser, élaboration d’un guide
d’auto-évaluation du contrôle interne, etc.

3- Mise « sous tension » du dispositif de gestion des risques


Afin de faciliter et de renforcer la mise en place du processus, il est parfois nécessaire de
distiller une dose de force coercitive (en veillant néanmoins à ne pas tomber dans l’excès).
Certains leviers existent :
-Les revues effectuées par la hiérarchie
-L’intégration de la gestion des risques dans les objectifs individuels
-L’audit Interne
-Les benchmarks auprès d’organisations similaires
198 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit du processus de gestion des risques
Un audit supposant une maturité de l’organisation en matière
de gestion des risques
4- L’ évaluation des risques
L’évaluation des risques doit être continue et s’affiner au fil du temps au travers du recensement
d’éléments quantitatifs objectifs et d’incident. Cela suppose une organisation et une méthodologie adaptée
(cf. point 1) qui permettront la collecte et l’analyse d’informations susceptibles de modifier l’appréciation
du degré d’exposition aux risques et les impacts potentiels. Il s’agit notamment d’organiser la gestion de
base incidents ainsi que les modalités de reporting sous-jacentes.
Ces incidents peuvent être mis en relief et analysés au travers de scénarios de risques dans lesquels il
conviendra de distinguer l’évolution des niveaux d’impacts et des probabilités d’occurrence.

5- Action sur les risques


L’objectif ultime du processus de gestion des risques est la maîtrise des risques. Les efforts de maîtrise
doivent découler d’une stratégie de gestion des risques (appétence aux risques). Par conséquent, il est
important de veiller à ce que :
- Les actions déployées soient adéquation avec la stratégie de gestion des risques : niveaux de
priorités et degrés d’efforts consacrés pour chacun des risques, nature des actions à engager (sur
la réduction de l’impact ou sur la probabilité de survenance)
- La stratégie de gestion des risques est partagée en vue d’assurer une cohésion entre les
différentes directions et/ou divisions.
- Chaque plan d’action est assigné à un propriétaire
- La mise en place du plan d’action est suivie dans le temps au regard d’une date d’échéance
convenue
- Un état des lieux sur l’implémentation des plans d’actions est régulièrement transmis au Comité
de direction.

199 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Audit du processus de gestion des risques
Un audit supposant une maturité de l’organisation en matière
de gestion des risques

6- Pilotage des risques


La gestion de la performance axée sur les résultats doit intégrer le « volet risque » en
intégrant des indicateurs de risques et des indicateurs de pilotage axés sur la
gestion des risques.
Les indicateurs de risques doivent permettre d’anticiper ou de détecter la survenance
éventuelle de risques. C’est pourquoi, ils doivent faire l’objet d’un reporting régulier et être
automatisés dans la mesure du possible pour plus d’efficience.
En fonction de l’évolution des indicateurs de risques, le dispositif de maîtrise pourra être
ajusté en conséquence et impacter la cotation des risques
Les indicateurs de pilotage axés sur la gestion des risques permettent quant à eux de
suivre l’efficacité du dispositif de gestion des risques en permettant le suivi de
l’implémentation des plans d’actions, de l’efficacité des dispositifs de contrôles (notamment
suite aux tests réalisés par l’audit interne ou questionnaires / guides d’auto-évaluation), le
recensement des incidents et constituent également des outils de mesure de la
performance.

Le pilotage des risques doit être structuré de manière à disposer d’une vision transverse
des indicateurs de risques et de l’efficacité du processus de gestion des risques dans son
ensemble.

200 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la première journée
• Quizz de démarrage

• Généralités sur l’audit interne

• Pourquoi élaborer une cartographie des risques

• Notion de risque

• Management des risques

• Méthodologie de cartographie des risques

• De la cartographie des risques au plan d’audit

‒ Pourquoi un plan d’audit ?


‒ Passage de la cartographie des risques au plan d’audit
‒ Communication du plan d’audit et des résultats de la cartographie
201 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie
des risques au plan
d’audit

202 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Pourquoi un plan
d’audit

203 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Pourquoi un plan d’audit

Un plan d’audit annuel et/ou pluriannuel, fondé sur une cartographie des
risques de l’entreprise, permet au responsable du contrôle périodique de :
 Définir ses priorités,
 Planifier son activité
 Evaluer les moyens nécessaires à ses audits, enfin de justifier les
budgets proposés aux organes exécutif et délibérant.

204 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Pourquoi un plan d’audit

Le plan d’audit constitue :


Une saine
pratique de
gestion
Un standard
professionnel
Une
recommandation ou
une exigence des
autorités de tutelle

205 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Pourquoi un plan d’audit

 Une nouvelle recommandation


Le Comité de Bâle a publié en septembre 2012 un document traduit de l’anglais
sur les nouveaux « Principes fondamentaux pour un contrôle bancaire efficace ».
Le cinquième critère essentiel du principe n° 26 (Contrôle interne et audit)
préconise à ses alinéas e) et f) les diligences qui doivent s’appliquer en matière de
supervision bancaire :

« L’autorité de contrôle établit que la fonction d’audit interne :


e) s’appuie sur une méthodologie permettant d’identifier les risques significatifs
encourus par la banque ;
f) prépare et réexamine régulièrement un plan d’audit reposant sur sa propre
évaluation du risque et répartit ses ressources en conséquence ».

206 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Pourquoi un plan d’audit

 Une exigence réglementaire


De facture plus ancienne, l’article 9 du règlement CRBF 97-02 introduit deux
horizons en termes de planification :

• Plan pluriannuel « pour mener un cycle complet d'investigations de l'ensemble


des activités sur un nombre d'exercices aussi limité que possible » ;

• Programme de missions de contrôle « établi au moins une fois par an en


intégrant les objectifs annuels de l'organe exécutif et de l'organe délibérant en
matière de contrôle ».

207 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Pourquoi un plan d’audit

 Une norme professionnelle

Comme prévu par la norme 2010 « Planification » de l’IIA (Institute of Internal

Auditors), l’audit interne doit « établir un plan d’audit fondé sur les risques afin de

définir des priorités cohérentes avec les objectifs de l'organisation ». En outre, la

norme 2010.A1 – « Le plan d'audit interne doit s'appuyer sur une évaluation des

risques documentée et réalisée au moins une fois par an. Les points de vue de la

direction générale et du Conseil doivent être pris en compte dans ce processus ».

208 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Pourquoi un plan d’audit

 Une saine pratique de gestion

L’élaboration d’un plan d’audit permet de donner aux instances de gouvernance

une vision globale des risques et de la manière dont les missions d’audit en

assurent une couverture appropriée.

Le plan d’audit permet au responsable de l’audit interne de rationnaliser

l’utilisation de ses ressources : il peut ainsi calibrer ses moyens, planifier son

activité et justifier le budget alloué.

209 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Passage de la
cartographie des risques
au plan d’audit

210 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit

 Exigence préalable

L’objectif du plan d’audit pluriannuel est de positionner les objets auditables

constituant le périmètre d’audit sur un calendrier de missions. Il est préférable

que le découpage du périmètre d’audit en objets auditables, utilisé dans la

cartographie des risques et dans le plan d’audit, soit d’un niveau de granularité

identique. En effet, un découpage différent ne permettrait pas de prendre en

compte directement les résultats de la cartographie dans le plan d’audit et

nécessiterait des retraitements spécifiques, parfois complexes, pour faire le lien

entre les deux.

211 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit

 Exigence préalable

Ce principe général de cohérence entre la cartographie des risques et le plan

d’audit souffre toutefois quelques exceptions, dont certaines ont été détaillées ci-

dessus : il s’agira bien sûr des missions effectuées hors plan d’audit, ou de

nouveaux objets auditables (par exemple, une activité lancée depuis peu, ou une

entité récemment acquise) qui peuvent être intégrés au plan d’audit avant

d’avoir fait l’objet d’une cartographie complète des risques.

212 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit

 Les étapes successives de passage


La construction du plan d’audit à partir de la cartographie des risques se fait
généralement au travers de quatre étapes successives.
Etape 4

Mettre en cohérence les


besoins théoriques
Etape 3 déterminés ci-dessus avec les
ressources réellement
Evaluation des moyens disponibles, tant au niveau
Etape 2 humains nécessaires pour la quantitatif que qualitatif.
réalisation des missions
Prise en compte des objets positionnées dans le plan
auditables dont le niveau de d’audit
Etape 1 risque n’a pas été évalué au
moyen de la cartographie
Traduire le niveau de risque
attribué à l’objet auditable
par la cartographie des
risques en une fréquence
d’audit cohérente.

213 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit
 Etape 1
Quel que soit le mode d’expression du résultat de la cartographie des risques (couleur,
chiffre, lettre, etc.), il conviendra de bâtir une grille de passage permettant la
transposition de ce niveau de risque en fréquence. A titre d’exemple, sur la base
d’une évaluation du risque sur 4 positions (où le niveau 1 représenterait le risque le plus
faible et 4 le plus élevé) dans la cartographie, cette grille pourrait être la suivante :

• Risque de niveau 1 : audit tous les 4 ans ;


• Risque de niveau 2 : audit tous les 3 ans ;
• Risque de niveau 3 : audit tous les 2 ans ;
• Risque de niveau 4 : audit tous les 1 ans.

A chaque mise à jour du plan d’audit pluriannuel (par exemple en fin d’année), toute
modification du niveau de risque issu de la cartographie entraînera ainsi logiquement
une révision de la date du prochain audit par rapport au précédent passage.
214 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit

 Etape 2
Faute de pouvoir disposer comme indiqué ci-dessus d’un niveau de risque issu de
la cartographie pour la détermination de la date à laquelle positionner ces objets
auditables dans le plan d’audit, la date sera alors fixée en fonction d’autres
critères nécessairement plus subjectifs. A titre d’exemple, une entité récemment
acquise sera souvent auditée dans l’année qui en suit la prise de contrôle, alors
qu’une nouvelle activité pourra nécessiter un délai d’un à deux ans avant de
pouvoir disposer du recul suffisant pour en effectuer un bilan pertinent.

215 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit

 Etape 3
Ce dimensionnement, à la fois quantitatif et qualitatif, sera fonction de différents
critères tels que par exemple :
 la taille des équipes auditées,
 le niveau de complexité de l’activité ou de l’organisation de l’objet auditable,
 le besoin de compétences spécifiques en matière technique ou linguistique,
 le contexte de la mission, etc.
En complément des facteurs énumérés ci-dessus, le niveau de risque issu de la
cartographie des risques peut également constituer un bon indicateur pour évaluer
le dimensionnement de l’équipe d’audit : les missions sur des objets auditables à
risque élevé pourront ainsi être confiées à des auditeurs plus expérimentés et/ou
plus nombreux.

216 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Passage de la cartographie des risques au plan d’audit

 Etape 4
En cas de déséquilibre important entre les ressources quantitatives et
qualitatives, sur une ou plusieurs années du plan pluriannuel, les arbitrages
suivants pourront être demandés ou mis en oeuvre :
 obtenir des moyens supplémentaires pour la réalisation du plan d’audit ;
 reporter certaines missions dans le temps afin de rétablir l’équilibre global
entre besoins et ressources, si certaines années du plan sont plus chargées
que d’autres du fait des fréquences d’audit retenues ;
 revoir ponctuellement le périmètre des travaux prévus, par exemple en
retirant du périmètre d’audit une activité ou une direction de l’objet
auditable jugée moins risquée que les autres.
 recourir à une sous-traitance externe pour une partie des travaux
envisagés.

217 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Communication du
plan d’audit et des
résultats de la
cartographie

218 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Communication du plan d’audit et des résultats de la
cartographie

En général prévue dans la charte d’audit interne, la communication aux


organes exécutifs, délibérants ou leur émanation peut porter :

 d’une part sur la cartographie de l’audit, notamment pour expliquer les


choix effectués pour bâtir le plan d’audit et donc assurer la couverture des
risques principaux ;

 et d’autre part sur le plan d’audit pour en obtenir la validation d’ensemble


(et non pas mission par mission), ce qui permet de donner un caractère
officiel au dispositif. En effet, la Norme Professionnelle 2020 prévoit que «
Le responsable d’audit doit communiquer à la Direction générale et au
Conseil son plan d’audit et ses besoins pour examen et approbation ».

219 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
De la cartographie des risques au plan d’audit
Communication du plan d’audit et des résultats de la
cartographie

En termes de niveau de détail, la communication de la cartographie pourra


porter uniquement sur les résultats (par exemple, détail des risques majeurs
uniquement ou niveau de risque résiduel de l’ensemble des objets auditables).

Pour ce qui concerne la communication du plan d’audit, celle-ci pourra prendre


la forme d’une présentation de la programmation des missions sur le cycle
d’audit avec un focus sur le plan de l’année à venir.

220 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Sommaire de la deuxième journée

• Exemple détaillé de démarche top down

• Exemple détaillé de démarche bottom-up: processus RH

• Mise en Pratique et cartographie

• Pérennisation du processus de cartographie des risques

• Conclusions du séminaire

221 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Conclusions du
séminaire

222 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte SA
Conclusion

• La cartographie des risques ne constitue pas un simple exercice intellectuel


mais un outil de pilotage destiné à faciliter l’atteinte des objectifs
majeurs fixés par la Direction.
• Pour qu’elle puisse remplir pleinement son rôle, la cartographie doit évoluer et
être constamment remise à jour en fonction de l’évolution des activités
de l’entreprise, de son organisation, de son environnement, etc.
• Pour cela, elle devra :
‒ Couvrir l’intégralité ou les activités clés de l’entreprise et intégrer les conclusions
des ses rapports d’Audit et de Contrôle Interne.
‒ Répondre à une méthodologie éprouvée et adaptée à l’environnement spécifique
de l’entreprise et à ses activités.
• La cartographie des risques n’est pas un outil réservé aux banques et
compagnies d’assurances. Toutes les entreprises se doivent de réfléchir sur
la meilleure façon d’appréhender leurs risques stratégiques afin d’assurer leur
pérennité. La cartographie des risques constitue le premier pas vers
une gestion des risques intelligente qui tend à améliorer la
performance de l’entreprise.

223 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Tour de table

Quel est pour chacun de vous le principal apport du


séminaire dans votre quotidien opérationnel ?

Quel est pour le groupe le principal apport du séminaire ?

Nous avons besoin de vos évaluations


 Merci de bien vouloir les renseigner et nous les
remettre !

224 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Gardons le contact !
Les coordonnées de vos formateurs

Jean Baptiste POUSSIE Julien Guy DEUTOU


Manager Deloitte Afrique Centrale Sénior Deloitte Afrique Centrale
Audit & Conseil Audit & Conseil

Mobile : +237 650 20 93 95 Mobile : +237 679 72 93 83


jpoussie@deloitte.com jdeutou@deloitte.com

225
© 2017 Deloitte & Touche
Merci !

226 Formation « Cartographie et gestion des risques » – Décembre 2017 © 2017 Deloitte & Touche
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee, and its network of member firms, each
of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte
Touche Tohmatsu Limited and its member firms. In France, Deloitte SA is the member firm of Deloitte Touche Tohmatsu Limited, and professional
services are provided by its subsidiaries and affiliates.

Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally
connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed
wherever they operate. Deloitte's approximately 170,000 professionals are committed to becoming the standard of excellence.

© 2013 Deloitte. Member of Deloitte Touche Tohmatsu Limited

© 2017 Deloitte & Touche