Réalisé par :

Les étudiantes et étudiants de Master Commerce International et Logistique

Coordonné par :

L’étudiant AAMRI MOHAMMED

Année Universitaire :
2020/2021
LE RISUQE : APERCU GENERAL
Un ensemble d’aléas susceptibles d’avoir des conséquences négatives sur une entité
et dont le contrôle interne et l’audit ont pour mission d’assurer la maîtrise » IFACI
Un risque, c’est une possibilité qui pourra disparaître avec le temps, ou devenir un
problème qu’il faudra alors résoudre pour atteindre les objectifs du projet.
La résolution de ces problèmes aura pour conséquence de produire des écarts entre
prévisionnel (par exemple une charge de 10 jours de développeur) et réalisé (finalement, ce
sera 15).
Ces écarts entre les prévisions effectuées en début de projet et la réalité de sa
réalisation peuvent mettre le projet en péril. Le chef de projet avisé veillera donc à identifier
les risques afin de limiter leurs impacts possibles.

Évolution possible d'un risque dans le temps

Les normes sont généralement mises au point par les acteurs d’un marché. Elles sont des
cadres de référence qui fournissent les lignes directrices, les descriptions techniques ou qualitatives
pour des produits, services ou pratiques. Il existe plusieurs normes en gestion de projet.

La norme NFX50-117 (Management de projet – Gestion du risque – Management des risques

d'un projet) distingue imprévu, aléa, risque et problème. Précisons un peu ces notions.

Distinguer les risques, les aléas, les imprévus et les problèmes

1. Les imprévus
Un imprévu est un événement futur possible, non identifiable.

Vous ne pourrez donc pas « prévoir » un imprévu. Cet événement arrive comme une parfaite
surprise en cours de projet, et tout votre talent résidera dans la manière dont vous y ferez face.

2. Les aléas
Un aléa est un événement futur possible, identifiable, mais que vous ne pouvez pas
quantifier. C’est un problème potentiel pour lequel vous ne pouvez pas encore déterminer les
impacts concrets sur le projet. Comme il n’est pas possible de déterminer les dommages
éventuels causés au projet, les aléas se rapprochent assez des imprévus.
3. Les problèmes
Un problème, ce n’est plus un risque. C’est un événement dommageable qui s’est déjà réalisé.
Il va donc falloir résoudre ce problème pour sécuriser le déroulement du projet.

Un problème peut être identifié dès le début du projet ; vous devriez alors le résoudre tout de
suite (sauf si vous aimez avoir mal…). Mais un problème, cela peut être aussi, on l’a vu, un risque
devenu réalité.

4. Les risques
Un risque, c’est un événement futur possible, identifiable et que vous pouvez
quantifier. Nous allons nous concentrer sur les risques dans ce cours. Cette quantification
pourra se faire sur des valeurs précises lorsque ce sera possible, mais aussi sur des échelles
arbitraires. Ne vous inquiétez pas, nous y reviendrons.

Caractéristiques d’un risque :

➢ Les caractéristiques statiques :

• Le libellé : Il s’agit d’une description succincte et non ambiguë du risque. Ce n'est pas
une caractéristique à proprement parler mais c'est un élément essentiel qui décrit le
risque.
• Les causes : C’est l'ensemble des événements, certains ou non, pouvant conduire à sa
manifestation.
 • Les conséquences : « Résultat d'un événement » Cette caractéristique décrit de
manière informelle l'ensemble des impacts potentiels du risque sur le projet. Ces
impacts peuvent affecter le budget, les délais, les charges du projet, la qualité ou les
performances des logiciels produits.
• La répétabilité : C’est l’aptitude du risque à se produire plusieurs fois. La valeur de cette
caractéristique est binaire : le risque peut se répéter ou non.
• Le processus lié : Processus dont le degré de maîtrise est le plus lié au risque. Cette
caractéristique est applicable dans le cas où l’organisation a mis en place un référentiel
de processus pour les projets.
➢ Caractéristiques dynamiques :

• La probabilité d'apparition : Degré de vraisemblance pour que le risque se produise.

Cette probabilité peut être évaluée de manière qualitative ou quantitative.
• L'impact ou gravité : Mesure des conséquences du risque. Cette caractéristique donne
une estimation des conséquences du risque. On peut considérer un impact sur les
coûts, sur les délais et la qualité.
• Détectabilité ou probabilité de détection : Degré de vraisemblance pour que des signes
précurseurs puissent être détecté. On peut considérer cette caractéristique soit
comme binaire, soit comme une probabilité que l'on peut évaluer qualitativement ou
quantitativement.
• L'état : L'état d'un risque se caractérise par l'un des trois attributs suivants : latent (le
risque ne s'est pas encore manifesté), apparu (il s'est manifesté) ou disparu (on
considère qu'il ne peut plus se manifester)
• La période active du risque : La période active correspond à la période durant laquelle
le risque est susceptible de se manifester. Cette période active peut correspondre, soit
à des intervalles temporels, soit à des phases/activités du projet.
• La tendance d'évolution : La tendance d'évolution est un indicateur de l'évolution du
risque. Cette caractéristique du risque nous indique quelle est la tendance globale
actuelle d'évolution du risque.

EN BREF !
« Un risque représente la possibilité qu’un événement survienne et nuise à
l’atteinte d’objectifs »
DEMARCHE GLOBALE DE MANAGEMENT DE RISQUE
La gestion des risques est l’utilisation de processus, méthodes et outils pour gérer et
faire face à des risques qui pourraient représenter des menaces pour la réussite d’une
entreprise.
« C'est l'art de protéger l'entreprise contre les incertitudes ou encore la combinaison
des techniques permettant de limiter la survenance d'événements aléatoires pouvant
compromettre la pérennité de l'entreprise » Sutra, Géraldine : Management du risque : une approche
stratégique

1- IDENTIFICATION DES RISQUES :

Toute entreprise doit disposer d’une cartographie de risque, une sorte d’inventaire des
risques de l’organisation. Ci-après un exemple de nomenclature élémentaire :
➢ Classification selon l'origine :
Les risques selon leur origine peuvent être regroupés en deux catégories :

• Le risque interne : c'est le risque résultant de l'organisation et du fonctionnement de

l'entreprise ; ses facteurs sont en grande partie maîtrisables.
• Le risque externe : c'est le risque indépendant de l'organisation et du fonctionnement
de l'entreprise et ses facteurs sont difficilement maîtrisables.
➢ Classification selon l'activité :
Selon l'activité, on distingue le risque économique et financier, le risque social, le risque
environnemental, le risque opérationnel.

• Le risque économique et financier : il englobe les risques qui menacent les flux liés au
titre financier et relèvent du monde économique ou réel (risques politiques, naturels,
d'inflation et d'escroquerie...).
• Le risque social : c'est l'ensemble des facteurs internes ou externes à l'entreprise
d'origine humaine, sociale, économique, législative, politique, liés à la communication de
l'entreprise ou des médias susceptibles d'affecter temporairement, durablement, voire
définitivement le fonctionnement de l'entreprise concernée.
• Le risque environnemental : c'est l'ensemble des facteurs internes et externes liés à
l'environnement dans lequel fonctionne l'entreprise et susceptibles d'empêcher l'atteinte de
ses objectifs.
• Le risque opérationnel : se définit comme le risque de pertes dues à une inadéquation
ou à une défaillance des procédures, personnels, systèmes internes ou à des événements
extérieurs.
 ➢ Classification selon la nature :
Il existe quatre types de risques selon la nature :

• Le risque inhérent : c'est le risque qu'une erreur significative se produise compte tenu
des particularités de l'entreprise révisée, de ses activités, de son environnement, de la nature
des comptes et de ses opérations.
• Le risque de non contrôle : c'est le risque que le système de contrôle interne de
l'entreprise ne prévienne pas ou ne détecte pas de telles erreurs. C'est le risque lié aux
insuffisances du dispositif de contrôle mis en place au sein d'une entreprise.
• Le risque de non détection : c'est le risque résiduel après le passage de l'audit interne
ou du Risk-manager. Ce risque est dû soit à une mauvaise interprétation des conclusions d'une
mission d'audit ou de diagnostic du Risk-manager, soit à une insuffisance d'investigation lors
des travaux.
• Le risque résiduel : C'est le risque qui subsiste après l'application des politiques de
Maîtrise des risques.
PYRAMIDE DE RISQUE D’ENTREPRISE (DARSA)

Selon Darsa, Chaque risque engendre par nature ou par défaut un impact financier,
pour cette raison le risque financier est situé dans le milieu de la pyramide, alors tous les
risques sont en relation avec le risque financier, ce dernier est le plus grave des risques
puisqu’il affecte directement les résultats, les objectifs des dirigeants et le profit des
actionnaires.
Exemples de risques financiers
• Le risque de liquidité

• Le risque de crédit

• Le risque de perte financière

• Le risque du taux d’intérêt

• Le risque du taux de change

• Le risque comptable

• Le risque fiscal

• Le risque de prise de contrôle

• Le risque fournisseurs

• Le risque de sous-investissement

• Le risque de délinquance financière

• Le risque d’opportunité de délocalisation

• Le risque d’arrêt d’activité

• Le risque de structure des coûts

• Le risque du haut du bilan

• Le risque d’erreur d’investissement

• Le risque de départ des actionnaires

2- EVALUATION DES RISQUES ET CONSTRUCTION DE

CARTOGRAPHIE DES RISQUES :

Une fois le risque identifié, il faut l’évaluer (mesurer). L’évaluation ou la mesure d’un
risque se fait selon deux facteurs :
• La gravité : impact
• La fréquence : la probabilité de reproduction
Pour chaque critère il faut utiliser une échelle de notation selon le degré de gravité ou le degré
de fréquence. La multiplication de la fréquence par la gravité permet de juger l'importance du
risque.
Cas de l’échelle de notation à 3:

-Degré de gravité du risque : Faible(1), Moyen(2), Elevé (3)

-Degré de fréquence du risque : Faible(1) Moyen(2), Elevé(3)

Cas de l’échelle de notation à 4:

-Degré de gravité du risque : Mineur(1), marginal(2), critique (3) et catastrophique(4)

-Degré de fréquence du risque : improbable (1) rare(2), occasionnel(3) et fréquent(4)

Cas d’une l’échelle de notation de 1 à 4

MESURE DE L’IMPACT :

MESURE DE LA FREQUENCE :

CLASSIFICATION DE RISQUES :

Une fois le risque évalué, on peut être en mesure de juger sa criticité tout en le
comparant aux autres risques.
 A cet égard, on construit une cartographie sur laquelle on situe chaque risque selon sa
criticité.
La cartographie des risques est une démarche dynamique d’identification et
d’évaluation des risques qui permet d’en donner une représentation synthétique et visuelle.
Elle constitue ainsi un outil de mise en évidence des risques à couvrir en priorité.
L’intérêt d’une cartographie des risques est de servir de base à la définition d’un plan
d’action pour maîtriser ou réduire les risques les plus importants.
Généralement représenté sous un format de matrice, chacun des risques analysés y
est positionné en fonction de sa vraisemblance (ou probabilité) – impact (ou gravité). La
matrice peut être découpée en différentes zones de couleurs dites aussi « zones de
températures », représentatives du niveau de criticité des risques :
3- TRAITEMENT DES RISQUES :
 ➢ L’acceptation : (rétention) On ne fait rien, c’est-à-dire que l’on accepte de courir le risque.
➢ Le partage : (transfert) Partager le risque c’est réduire son impact ou sa probabilité en
souscrivant une assurance ou en mettant au point une joint-venture avec un tiers.
➢ L’évitement : On fait disparaitre le risque c’est réduire son impact ou sa probabilité en cessant
l’activité qui le fait naitre.
➢ La réduction : Prendre les mesures nécessaires pour réduire la probabilité ou l’impact du
risque ou les deux à la fois, en améliorant le contrôle interne. Il s’agit habituellement des
recommandations des auditeurs internes.

LE RESUME DE LA DEMARCHE GLOBALE DE MANAGEMENT DES RISQUES :

1- IDENTIFIER LES RISQUES
2- EVALUER ET CLASSER LES RISQUES (GRAVITE+FREQUENCE / CARTHOGRAPHIE)
3- TRAITER LES RISQUES
LES DIFFERENTES APPROCHES DU MANAGEMENT
DES RISQUES :
➢ L'Approche Bottom-up :
Cette approche, dite ascendante consiste en l'identification des risques par les opérations qui
sont les plus impliqués dans les processus. Ces risques sont ensuite soumis à la hiérarchie dont
la charge est de déterminer l'importance et la politique de maîtrise de chacun des risques.
Les étapes de l’approche Bottom-up :

1. Modélisation des processus de l’entreprise (avec les opérationnels)

2. Identification des risques inhérents (avec les opérationnels)
3. Évaluation des risques résiduels et identification des risques majeurs (opérationnels)
4. Identification des risques liés à la stratégie (avec le directeur de la stratégie)
5. Mixage des risques majeurs et des risques stratégiques (DG et principaux dirigeants)
6. Gestion du portefeuille des risques et des opportunités
7. Pilotage et communication.

➢ L'Approche Top-down :
Top-down ou descendante, comme son nom l'indique, procède de haut en bas ; elle se
présente comme l'inverse de la première. C'est la hiérarchie qui détecte les risques et les
soumet pour avis aux collaborateurs opérationnels.
Les étapes de l’approche top down :

1. Déterminer les risques majeurs par partie prenante

2. Pondérer les risques majeurs pour ne garder que les plus importants
3. Rattachement des processus clés de l’entreprise aux risques opérationnels et aux
risques majeurs
4. Hiérarchiser les risques
5. Établir une cartographie des risques (entretiens avec les principaux dirigeants)
6. Valider les risques (par les principaux dirigeants)
7. Alimenter le plan d’audit
 ➢ L'Approche par le benchmarking :

C'est une approche qui consiste à mener une campagne de collecte des meilleures pratiques
en matière d'identification et de gestion des risques. Elle permet à l'audit interne d'avoir une
idée générale des risques à prendre en compte.
 BIBLIOGRAPHIE
• RENARD Jacques, Théorie et Pratique de l’Audit
Interne, 10ème ed 2017
• SCHICK Pierre, audit interne et référentiels des
risques, 2014
• SCHICK, Pierre. Mémento d'audit interne :
méthode de conduite d'une mission. Dunod, 2007
• Sutra, Géraldine : Management du risque : une
approche stratégique ; Date: 2018 ; pages: 206 ;
Langage: Français.
• WWW.IFACI.COM