Présenté le 18 février 2020 par le Groupe 4

MASTER II EN AUDIT ET CONTRÔLE DE GESTION 2019-2020

 PLAN
I-Définition…………………………...Fatoumata Maïga
II- Objectif…………………………...Fatoumata Maïga
III-Méthode d’élaboration
❑P1: identification des risques………..Oumou Diallo
❑P2: Evaluation et hiérarchisation des
risques…………… Moulaye Y Keïta, Madani Diallo
et Aboubakare S Diakité
❑P3: Traitement des risques………………..Boubacar Sylla
et Mohamed Coulibaly
I- La définition du cartographie des risque

Risque: évènement (externe ou interne)

résultant d’une action ou d’une inaction,
d’une opportunité, susceptible de se
produire et de nature à avoir un impact
surtout négatif sur la réalisation des
objectifs d’une entité.
La cartographie des risques est un
outil de l’audit interne qui permet
de recenser les risques majeurs
d’une organisation et de les
présenter de façon synthétique
sous forme hiérarchisée.
 II- Les objectifs du cartographie des risques

➢ inventorier, évaluer et classer les risques de l’organisation ;

➢ informer les responsables afin que chacun soit en mesure d’y
adapter le management de ses activités ;
➢ permettre à la direction générale, et avec l’assistance du risk
manager, d’élaborer une politique de risque qui va s’imposer
à tous :
➢aux responsables opérationnels dans la mise en place de
leur système de contrôle interne ;
➢aux auditeurs internes pour élaborer leur plan d’audit,
c’est-à-dire fixer les priorités.
III-Méthodologie d’élaboration du cartographie
des risques

Traitement des risques

Evaluation et hiérarchisation des risques
Identification des risques
Première étape : Identification des risques

On liste toutes les natures de risques susceptibles d’être rencontrées

dans l’organisation. Cette liste sera plus ou moins détaillée selon que l’on
souhaite dresser une cartographie plus ou moins sommaire.

Exemple d’une nomenclature élémentaire :

• Risques sociaux.
• Risques financiers.
• Risques informatiques.
• Risques technologiques.
• Risques de transports.
• Risques commerciaux.
• Risques juridiques.
• Risques politiques.
• Etc.
Cette liste doit couvrir toutes les activités de
l’organisation.
Elle sera plus ou moins détaillée selon les
objectifs ;
Le bon sens commande que chaque rubrique soit
dimensionnée de telle façon qu’elle puisse faire
l’objet d’une mission d’audit.
Deuxième étape : Evaluation et hiérarchisation des risques

Cette estimation, présentée sous la forme d’un tableau à

double entrée, va porter sur deux points :
• Appréciation de l’impact du risque (gravité) ;
• Appréciation de la vulnérabilité estimée (fréquence).

1-Insignifiant 2-Mineur 3-Modéré 4-Important 5-

Très important

1. Très faible 2. Faible 3.Moyenne 4. Forte 5.Très forte

 Echelle de mesure de l’impacte des risques:
Côte Catégorie Description
1 Insignifiant Très négligeable
2 Mineur Faible

3 Modéré Modérées

4 Important Fâcheuses

5 Très important Très élevées

Echelle de mesure de la probabilité d’occurrence
Côte Catégorie Description

1 Très faible Quasi impossible

2 Faible Peu de chance

3 Moyenne Possible

4 Forte Très bonne chance

5 Très forte Quasi certitude

 Appréciation globale de chaque risque dans chaque
activité
Elle sera le résultat du produit des deux appréciations
spécifiques.
Ainsi on dira pour le risque informatique de la trésorerie :
Gravité : 3
Vulnérabilité : 1
D’où le risque informatique de la trésorerie : 3 ×
1=3
 Impact des risques
Risque Description Impact Côte

R1 Risque financier Mineur 2

R2 Risque sociaux Modéré 3

R3 Risque informatique Très important 5

R4 Risque GRH Important 4

 Probabilité d’occurrence des risques
Risque Description Probabilité Côte

R1 Risque financier Faible 2

R2 Risque sociaux Moyenne 3

R3 Risque informatique Moyenne 3

R4 Risque GRH Très forte 5

Calcul du risque de chaque activité/fonction

L’appréciation sera égale au cumul de

tous les coefficients identifiés pour
chaque risque.
 La matrice des risques:
Risque Description Probabilité Côte Impact Côte Criticité
(P*I)

R1 Risque Faible 2 Mineur 2 4

financier

R2 Risque sociaux Moyenne 3 Modéré 3 9

R3 Risque Moyenne 3 Très 5 15

informatique important

R4 Risque GRH Très forte 5 Important 4 20

 Probabilité Présentation graphique

5-Très forte

4-Forte R4

3-Moyenne R2 R3

2-Faible R1

1-Très faible

Gravité
1-insignifiant 2-Mineur 3-Modéré 4-Important 5-Très important
Définition des indicateurs de la cartographie des risques
couleur Risque Intervalle de Action
criticité
Réduit De 1 à 4 Pas de dispositions
nécessaires

Moyen De 5 à 9 Risques à suivre

Elevé De 10 à 15 Dispositions nécessaires
pour le réduire le risque

Inacceptable De 16 à 25 Des dispositions

d’urgence sont
nécessaires pour le
réduire
 Troisième partie: Traitement des risques
Le traitement des risques est mis en œuvre par référence à
l’appétence pour le risque de votre organisation, qui
représente le niveau de risque maximum que l’organisation
est prête à prendre en vue d’atteindre ses objectifs.

La définition de l’appétence pour le risque de votre

organisation relève de la responsabilité du Conseil
d’Administration.

Le traitement de vos risques peut prendre 4 formes

principales :
- La Prévention
Qui consiste à empêcher ou réduire les chances
que l’événement de risque redouté se produise.

Cette méthode permet donc de diminuer la

probabilité d'occurrence du risque en diminuant
ou supprimant certains des facteurs de risque.
- La réduction

Qui consiste à diminuer les conséquences

potentielles de l’événement.

Cette méthode permet donc de minimiser l’impact

de l’événement lorsque l'on ne peut agir sur le
facteur de risque lui-même, mais que l'on peut agir
sur ses conséquences.
- Le Transfert

Qui permet de transférer tout ou partie du risque

sur un tiers. Cette méthode ne permet de réduire ni
la probabilité ni les conséquences du risque.
C'est le cas typique des contrats d'assurance, qui
n'empêchent ni ne limitent les conséquences des
accidents, mais permettent de traiter les
conséquences des préjudices subis au travers d'un
dédommagement.
-L’acceptation

Intervient lorsque le risque est trop faible pour

justifier les coûts liés à la mise en place d’une
action de réduction, de prévention ou de transfert.
Typiquement, les risques acceptés par votre
organisation devraient être ceux dont l’impact et la
probabilité de survenance sont en dessous de son
appétence pour le risque.
L’acceptation consiste donc à ignorer purement et
simplement le risque.