Vous êtes sur la page 1sur 47

Réaliser et auditer

la cartographie des
risques
2 5 av r i l 2 0 2 0
Votre formateur
Jean-François Caron
Certifié CRMA et CIA
Président de la SAS FormaConseils
1 5 a n s d ’e x p é r i e n c e e n a u d i t e t e n m a n a g e m e n t
des risques

2
Logistique
P o u r d e s r a i s o n s t e c h n i q u e s , n o u s n ’a v o n s p a s a c t i v é
l a v i d é o n i p o u r l e s p a r t i c i p a n t s n i p o u r l ’a n i m a t e u r.
Vo u s avez l a p o s s i b i l i té d e p o s e r d e s q u e st i o n s v i a l e
chat (Conversation).
Formation de 9h30 à 12h30.
Envoi par mail du support de formation, d’un modèle
de cartographie des risques, de l ’a t t e s t a t i o n
personnalisée de fin de formation.

3
Objectifs pédagogiques
1.Connaître les concepts fondamentaux pour
l ’é t a b l i s s e m e n t d ’ u n e c a r t o g r a p h i e d e s r i s q u e s .
2.Disposer des techniques d’identification et de
mesure pour cartographier les risques.
3.Déterminer des points de contrôle clés à intégrer
dans la cartographie des risques.
4 . I d e n t i f i e r l e s a x e s d ’a u d i t p o u r s ’a s s u r e r d e l a
qualité de la cartographie des risques.

4
Objectif pédagogique 1
Fo n d e m e nt s p o u r l ’éta b l i s s e m e nt d e
l a ca r to g ra p h i e d e s r i s q u e s

5
Définition du risque
ü Survenance d’un évènement défavorable qui impact défavorablement
l ’o r g a n i s a t i o n .
ü D é c i d e r, c ’e s t p r e n d r e d e s r i s q u e s , d o n t s e p r o j e t e r v e r s u n a v e n i r p a r
n a t u r e i n c e r t a i n . L’ i n c e r t i t u d e e s t a i n s i i n h é r e n t e a u r i s q u e , d ’o ù l a
nécessité de le circonscrire notamment avec des méthodes probabilistes.
ü Impacts défavorables :
§ Quantitatifs : perte, baisse de chiffre d’affaires, hausse des coûts, diminution des revenus.
§ Qualitatifs : réputation altérée, défiance sur les marchés, démotivation des salariés, surveillance
des autorités de contrôle.
ü Complexification croissante des affaires : gestion de plus en plus
p r é p o n d é r a n t e d e s r i s q u e s j u s q u ’à d e v e n i r u n é l é m e n t d e p i l o t a g e .

6
Risque et gouvernance
ü Membres de la gouvernance :
§ Conseil : fonction de surveillance.
§ Direction générale : fonction exécutive.
ü Conseil : détermination de la stratégie et du cadre d ’a p p é t e n c e aux
risques.
ü Direction générale : exécute les orientations stratégiques et maîtrise les
risques.
ü Coordination entre Conseil et Direction générale pour la gestion des
risques :
§ Transposition du cadre d’appétence aux risques en politique de gestion des risques.
§ Moyens alloués pour la mise en place d’un dispositif de management des risques.
§ Exploitation de méthodes et d’outils de gestion des risques (dont la cartographie).
§ Reporting au Conseil sur les résultats de la gestion des risques.

7
Dispositifs de management des
risques
Analyse Gestion

Mesure Surveillance

Cartographie
Identification Reporting
des risques

8
Identification des risques
ü Identification des risques à partir :
§ Des objectifs.
§ De l’environnement et du contexte de marché.
§ De l’évolution réglementaire.
§ Des processus.
§ Des attentes des autorités de contrôle.
ü Démarche collaborative entre :
§ Management des risques.
§ Métiers.
ü Audit interne et identification des risques :
§ Les normes de l’IIA stipulent que l’audit interne doit disposer de sa propre cartographie des
risques.
§ Établissement du plan pluriannuel d’audit à partir de la cartographie des risques.
ü Audit externe et identification des risques :
§ Appréciation du contrôle interne, donc sur base des risques identifiés, pour l’orientation des
travaux d’audit.
9
Mesure des risques
ü Mesure des risques sur base des facteurs associés :
§ Exposition au risque (créance, instruments financiers, actifs).
§ Probabilité de survenance de l’évènement défavorable.
§ Impact (effet de l’évènement défavorable).
ü Mesure quantifiable :
§ Exposition * Probabilité * Impact.
§ Exemple : 100 000 (exposition) * 15% (probabilité) * 40% (niveau de perte attendue) = 6 000.
§ Value At Risk (VAR).
ü Mesure qualifiable :
§ Évaluation à dire d’expert.
§ Probabilité de survenance : forte, moyenne, faible.
§ Gravité de l’évènement : élevé, moyen , faible.
§ Mesure relative du risque par croisement de la fréquence et de la gravité : fort, moyen, faible.

10
Analyse des risques
Analyse
Pourquoi la fréquence de Degré d’acceptabilité Décisions
survenance du risque ? Est-il du risque
possible d’en diminuer la Acceptation
Rapport coût / bénéfice
probabilité ? Evitement
Sécurité absolue
Pourquoi la conséquence de Transfert
l’évènement est-elle aussi Approche mixte (seuils de
tolérance) Contrôle interne
élevée ? Est-il possible d’en
diminuer le montant ?

11
Gestion des risques

Gouvernance Management Pilotage


• Cadre d’appétence • Fonction dédiée au • Allocation de moyens
aux risques management des opérationnels.
• Politique de gestion risques • Provisionnement des
des risques • Cartographie et plan pertes attendues.
• Limites de contrôle entre • Allocation de fonds
management des propres pour la
risques et métiers couverture des pertes
• Indicateurs (KPI et inattendues.
KRI) • Comitologie.
• Actions correctives

12
Surveillance des risques
ü Surveillance quotidienne des limites.
ü Supervision des contrôles par le management des
risques.
ü Déclaration des incidents opérationnels.
ü Comité de provisionnement.
ü A v a n c e m e n t d e s p l a n s d ’a c t i o n s .
ü Comité de nouveaux produits.
ü Rendement / risques

13
Reporting des risques
ü Résultats de la gestion des risques :
§ Montant des risques couverts.
§ Rapport entre rentabilité et risques.
§ Dépassements de limites.
§ Incidents opérationnels.
§ Pertes.
§ Avancement des actions correctives.
§ Suivi des recommandations d’audit.
ü Différents destinataires :
§ Gouvernance
§ Management opérationnel.
§ Audit (interne et externe).
§ Superviseurs.

14
Bonnes pratiques

ü C a d r e d ’a p p é t e n c e e t p o l i t i q u e d e g e s t i o n d e s r i s q u e s .
ü Fonction de management des risques dédiée et indépendante des métiers.
ü Contribution des directions opérationnelles au management des risques
(identification, mesure, contrôle, actions correctives, recommandations).
ü Matérialisation du management des risques au travers d’une cartographie.
ü Cadrage entre cartographie des risques et stratégie.
ü Intégration des contrôles dans les processus.
ü Implication de la gouvernance en amont et en aval (Comité, reporting,
p r o c é d u r e d ’e s c a l a d e ) .

15
Vrai / Faux
ü La fonction exécutive décide du cadre d’appétence aux risques et le
Conseil se charge du management des risques.
ü Tous les risques sont quantifiables.
ü La coordination au sein de la gouvernance pour la gestion des risques
suppose un reporting de la fonction exécutive au Conseil sur les résultats
des contrôles.
ü L’audit interne établit la cartographie des risques de l’entreprise.
ü Les auditeurs externes donnent leur conclusion aux actionnaires sur la
qualité de la cartographie des risques.
ü La probabilité de survenance d’un évènement défavorable et son impact
sont les facteurs déterminants pour la mesure du risque.
ü Les limites sont une transposition opérationnelle du cadre d’appétence
aux risques décidé par le Conseil.
ü Il n’est pas opportun que le risk manager participe au Comité de
nouveaux produits.

16
Objectif pédagogique 2
Te c h n iq u e s d ’ id e nt if icat io n et de
m e s u re d e s r i s q u e s

17
Critères de détermination
de la probabilité et de
l’impact Probabilité Impact

Nombre de cibles
Intensité du danger
exposées au danger

Fréquence
Taille de la cible
d’exposition au
exposée
danger

Temps d’exposition Sensibilité de la cible


au danger au danger

18
Mesure du risque brut

Risque brut
=
Probabilité
*
Impact

19
Mesure du risque net
Risque net Protection
=
Risque brut
- Prévention
Prévention
-
Protection

20
Mesure du risque acceptable
Management des
risques
=
Risques
Acceptabilité Risques
non
= acceptés
acceptés
« frontière » entre
risques acceptés et
risques non
acceptés

21
Nature des risques
Risques majeurs Risques métiers

• Stratégie inappropriée. • Commercial.


• Réputation. • Crédit.
• Non-conformité. • Marché.
• Défaillance des SI. • Liquidité.
• Rupture d’activité. • Opérationnel.
• Incapacité de protéger la • Juridique.
marque. • Fraude (interne, externe).
• Collaborateur-clé.
• Social.
• Environnemental.
• Insolvabilité.

22
Outils pour identifier les risques
ü Analyse documentaire.
ü Entretien.
ü Visite de sites.
ü Questionnaire.
ü Simulation, stress-test.
ü Sinistralité antérieure.
ü Etats comptables.

23
Graduation pour mesurer
les risques
ü 4 graduations pour la gravité :
§ Insignifiant.
§ Mineur.
§ Significatif.
§ Critique.
ü 4 graduations pour la fréquence :
§ Exceptionnelle.
§ Rare.
§ Périodique.
§ Régulière.
ü 5 niveaux de risques:
§ Non significatif.
§ Mineur.
§ Significatif.
§ Majeur.
24
§ Critique.
Modèle de cartographie des risques

25
Pérenniser la démarche
ü Actions à mettre en œuvre pour pérenniser la démarche de cartographie et
de gestion des risques :
§ Mise en place d’un outil de gestion des risques dédiés pour traitement de l’information.
§ Objectif des managers en matière de maîtrise des risques.
§ Déclinaison de la cartographie des risques globale en cartographie par Direction
opérationnelle.
§ Détermination par la direction, en collaboration avec la direction des risques, des
contrôles à réaliser pour la couverture des risques (1er niveau).
§ Supervision des contrôles de 1re niveau par la Direction des risques.
§ Ajustement de la cartographie des risques et des contrôles sur base des
dysfonctionnements et anomalies détectées.
§ Synthèse des cartographies en une cartographie des risques globale présentée à l’organe
de surveillance.
§ Suivi des actions correctives et des recommandations par la gouvernance.

26
Vrai / Faux
ü Le risque de fraude appartient à la catégorie des risques métiers.
ü La circularisation des fournisseurs est un outil pour identifier le risque
inhérent aux approvisionnements.
ü Le risque brut correspond au risque après mise en œuvre des dispositifs
de contrôle interne.
ü La sensibilité de la cible au danger permet de mesure l’impact du risque.
ü Les recommandations de l’audit interne sont incluses dans la
cartographie des risques.
ü Les plans d’actions à mettre en œuvre suite aux résultats des contrôles
sont compris dans la cartographie des risques.
ü Il est obligatoire de mettre à jour la cartographie des risques une fois par
an.
ü La cartographie des risques est présenté à l’assemblée générale des
actionnaires.
ü Les contrôles préventifs visent à réduire la probabilité de survenance
d’un évènement défavorable pour l’entreprise.
27
Objectif pédagogique 3
Po i nt s d e co nt rô l e c l é s dans la
ca r to g ra p h i e d e s r i s q u e s

28
Plan de contrôle permanent
ü Le plan de contrôle permanent est à la fois la planification des contrôles,
la responsabilisation quant à leur réalisation, la synthèse des contrôles
opérés et leur conclusion.
ü Les objectifs du plan de contrôle permanent :
§ Conformité.
§ Respect des objectifs, des règles et des limites fixées.
§ Protection des actifs.
§ Qualité de l’information.
§ Efficacité et qualité des services.
ü L’é t a b l i s s e m e n t e t l a m i s e e n œ u v r e d u p l a n d e c o n t r ô l e p e r m a n e n t e s t
l ’a f f a i r e d e t o u s ! C ’e s t d o n c u n o u t i l f é d é r a t e u r p o u r l a m a î t r i s e d e s
risques (sensibilisation, formation, responsabilisation, documentation).

29
Organisation du contrôle
Direction
générale
Supervision

Audit
interne
3 ème niveau

Directions Direction
métiers des risques
1 niveau
er 2 niveau
nd

30
Critères de qualité du plan de
contrôle permanent
ü Caractère nécessaire et suffisant des moyens alloués à
la mise en œuvre du plan de contrôle permanent.
ü Séparation des tâches (autorisation, exécution,
contrôle et supervision).
ü Contrôles uniques (efficience), ciblés (efficacité), réel
(conformité).
ü Supervision de la réalisation des contrôles et de la
mise en place des actions correctives.
ü Cadre de contrôle interne formalisé (transposition de
la charte de contrôle interne en procédures et modes
opératoires).
ü Qualité de la comptabilité en appui des contrôles.
ü Piste d ’a u d i t efficace pour la réalisation des
contrôles.
ü E v a l u a t i o n d e l ’a u d i t i n t e r n e s u r l a q u a l i t é d u p l a n .
31
Plan de contrôle permanent et
système d’informations
ü Le plan de contrôle permanent doit reposer sur un système
d’informations performant et sécurisé :
§ Système d’informations exhaustifs avec des informations de trois types :
o Environnement : prix de marché, conditions de taux, contexte macro-économique, tendances du
marché, évolution réglementaire.
o Gestion et comptabilité.
o Risques et contrôles.
§ Niveau de sécurité encadré et régulièrement évalué.
§ Traçabilité des opérations et des traitements.
§ Procédures de secours informations (back-up)
§ Conservation des données par des sauvegardes régulières.
§ Disponibilité de la documentation.
§ Fonctions de contrôlé associées au développement des outils.

32
Formalisation du plan de contrôle permanent
ü Le plan de contrôle s’inscrit dans la démarche de cartographie des
risques en intégrant les actions de couverture et les indicateurs de
pilotage.
ü P o u r c h a q u e n a t u r e d e r i s q u e , l e p l a n s ’a r t i c u l e d e f a ç o n s u i v a n t e :
§ Définition du risque.
§ Cause(s) du risque.
§ Conséquence(s) du risque.
§ Actions de couverture.
§ Indicateurs de pilotage pour le suivi.

33
Exemple de plan de contrôle permanent (1/3)
ü Couverture du risque stratégique

Définition Cause(s) Conséquence(s) Couverture Pilotage


Détermination erronée Mauvaise connaissance Incapacité de Analyse précise du Taux de réussite de
des segments du marché, commercialiser l’offre marché. commercialisation de
composant le modèle segmentation erronée sur les segments client Identification précise l’offre par segment
stratégique de l’entité des bases clients et souhaités, dégradation de chaque besoin stratégique.
vers lesquels est prospects, de l’activité client.
déployée l’offre inadéquation de l’offre
commerciale aux segments
stratégiques

34
Exemple de plan de contrôle permanent (2/3)
ü Couverture du risque financier

Définition Cause(s) Conséquence(s) Couverture Pilotage


Créances clients non Absence de sélectivité Pertes financières. Définition d’une Taux d’impayés.
recouvrées. en amont. Coûts opérationnels politique crédit client. Taux de retards de
Concentration du engendrés pour le Process de sélection de paiement.
risque client. recouvrement des la clientèle. Taux de recouvrement
Déficit de gestion de créances. Process de gestion et des créances.
l’encours client. de suivi des créances Taux moyen de
clients. provision des créances
clients.

35
Exemple de plan de contrôle permanent (3/3)
ü Couverture du risque opérationnel

Définition Cause(s) Conséquence(s) Couverture Pilotage


Réalisation d’opérations Violation Déficit d’image. Formation des collaborateurs à Nombre d’alertes
illicites, à des fins d’intégrité. Détournement de l’intégrité. émises.
personnelles, par des commission reçue. Politique de gestion des conflits Résultats des
collaborateurs de d’intérêts. contrôles.
l’entité auprès de tiers. Process d’alerte.
Contrôles de 1er et de 2nd
niveau.

36
Vrai / Faux
ü Le plan de contrôle permanent sert à évaluer les collaborateurs sur
l’efficacité de leurs contrôles.
ü La qualité du système d’informations n’est pas la priorité pour la mise en
place du plan de contrôle permanent.
ü Le plan de contrôle permanent sert en priorité à assurer la qualité des
comptes annuels (bilan, compte de résultat).
ü Le plan de contrôle permanent doit obligatoirement être mis à jour une
fois par an.
ü Les résultats issus du plan de contrôle permanent servent à actualiser la
cartographie des risques.
ü La poste d’audit est un des critères essentiels pour la réussite du plan de
contrôle permanent.
ü Les travaux de l’audit interne sont formalisés dans le plan de contrôle
permanent.
ü Les collaborateurs responsables des incidents opérationnels sont
mentionnés dans le plan de contrôle permanent.
37
Objectif pédagogique 4
A xe s d ’a u d it co n c e r n a nt la
ca r to g ra p h i e d e s r i s q u e s

38
Fondamentaux de l’audit interne
ü Audit interne : fonction indépendante pour apporter une assurance
raisonnable à la gouvernance.
ü M i s s i o n s d ’a u d i t i n t e r n e :
§ Conformité.
§ Efficacité et efficience.
§ Processus de gouvernance.
§ Qualité des dispositifs de gestion des risques et de contrôle (dont cartographie des risques).
ü Tr a v a u x d ’a u d i t :
ü Planifiés dans un plan annuel d’audit.
ü Réalisés selon une approche méthodique et systématique.
ü Formalisés pour supervision et justification.
ü Communiqués par écrit (rapport d’audit).
ü Encadrés par les normes professionnelles d’audit internationales (IIA).
39
Outils d’audit de la cartographie des
risques

ü Analyse documentaire.
ü Entretiens.
ü Revue analytique.
ü Te s t s .
ü Confirmation.
ü Grille de séparation des tâches.

40
Points d’audit de la cartographie des
risques
ü C o h é r e n c e e n t r e c a d r e d ’a p p é t e n c e a u x
risques, politique de gestion des
risques, cartographie des risques.
ü I m p l i c a t i o n d e l ’e n s e m b l e d e s d i r e c t i o n s
pour l’identification et la mesure des
risques.
ü Implémentation itérative de la
cartographie des risques (nouveaux
produits, incidents, évolutions
réglementaires).
ü Adéquation des contrôles pour la
couverture des risques cartographies.
ü Mise en œuvre des actions correctives.

41
Vrai / Faux
ü L’audit interne est considéré comme une fonction de contrôle de 3ème
niveau.
ü L’audit interne est en charge d’actualiser la cartographie des risques sur
base de ses recommandations.
ü L’audit interne doit disposer de sa propre cartographie.
ü L’audit interne rend compte de ses travaux sur la qualité de la
cartographie des risques auprès du Conseil de surveillance.
ü L’audit interne doit obligatoirement procéder à un audit du plan de
contrôle permanent une fois par an.
ü La revue de la permanence des méthodes d’identification et de mesure
des risques fait partie des travaux pour l’audit de la cartographie des
risques.
ü En cas de risque significatif non couvert par la Direction générale, l’audit
interne en informe la Présidence du Conseil d’administration.

42
Conclusion

43
Pour conclure…
ü La cartographie des risques est
ü Indispensable pour maîtriser la création de valeur et la pérenniser.
ü Fédératrice car elle implique la gouvernance, le management, les collaborateurs.
ü Sécurisante en intégrant les dispositifs de contrôle.
ü Auditée pour s’assurer de sa qualité.
ü La cartographie des risques repose sur des méthodes d’identification et d’évaluation des risques qui
doivent dépasser le seul cadre théorique, donc être éprouvée.
ü La cartographie est plus qu’un document, c’est un levier de performance !

44
Prochaine formation
Le mardi 7 mai 2020 de 16h30 à 19h30
« Contrôler et auditer la comptabilité »

45
Le mardi 7 juin 2020 de 16h30 à 19h30
ü Formation : « Contrôler et auditer la comptabilité ».
ü Programme la formation :
§ Les fondamentaux de la comptabilité (écritures comptables, documents comptables, bilan, compte
de résultat).
§ Identification des zones de risques comptables.
§ Organisation du contrôle comptable.
§ Etablissement d'un plan de contrôle comptable permanent.
§ Techniques d'audit des postes du bilan et du compte de résultat.

46
FormaConseils
Jean-François Caron
+33 6 80 24 16 25
jfcaron@outlook.fr
www.formaconseils.org