TIMLOG SOLUTIONS

Thème 1 : Management des

Risques
TIMLOG SOLUTIONS

1. Le Management des Risques

1.1. Risque : définition et notions clefs

1.2. La cartographie des risques

1.3. Le Management des Risques

TIMLOG SOLUTIONS

Risque : définition et notions clefs

• La Notion de risque

• Les différents éléments d’un risque

• L’approche Processus

• Les différentes réponses à un risque

TIMLOG SOLUTIONS

Notion de risque
Définition du risque :

• Un risque se définit comme tout événement, action ou inaction de nature à

empêcher une organisation d'atteindre ses objectifs
Élevée

Évaluation du risque en fonction de :

Probabilité Modérée

• La probabilité que le risque se réalise

• L’impact que pourrait avoir ce risque s’il se matérialisait Faible

Un risque majeur est : Faible Modéré Élevé

Impact
• Un risque évalué comme élevé (probabilité & impact en zone rouge)
• ou un risque qui présente un caractère inacceptable pour l’entreprise en regard de
la sécurité des biens et des personnes ou de la survie de l’ entreprise
• Il s’agit par exemple des accidents du travail qui, compte tenu des contrôles mis en
place, n’ont pas été évalués en tant que risque élevé mais sont néanmoins jugés
inacceptables.
11
TIMLOG SOLUTIONS

Les différents éléments d’un risque

Identification et qualification du risque :

• Fréquence
• Probabilité / Incertitude
• Nature du risque
• Pertes et Impact du risque

Management et réduction du risque

• Contrôles
• Coûts des contrôles
• Analyse des coûts et bénéfices et Retour sur Investissements

12
TIMLOG SOLUTIONS

Les différents éléments d’un risque

TYPOLOGIE DES RISQUES MAJEURS
DANS UNE ORGANISATION
PUBLIQUE
§ Dilution des responsabilités
§ Formalisation insuffisante des attributions
§ Absence des délégations et habilitations
§ Absence (insuffisance) de contrôle interne
organisé
Risques
Organisationnels § Absence de politique d'objectifs
§ Insuffisance des restitutions de données
§ Absence (insuffisance) de politique
documentaire
§ Absence (insuffisance) de gestion des
ressources humaines, en matière d'information et
de formation
§ Absence de maîtrise des opérations complexes
13
TIMLOG SOLUTIONS

Les différents éléments d’un risque

TYPOLOGIE DES RISQUES MAJEURS
DANS UNE ORGANISATION
PUBLIQUE
§ Non respect des règles budgétaires
§ Non respect des règles de la commande
publique
§ Insuffisante coordination dans la réception des
marchandises et prestations (contrôle mutuel)
Risques
§ Insuffisance dans la gestion des stocks
opérationnels
§ Insuffisante traçabilité des opérations
§ Absence de sincérité comptable
§ Enregistrement tardif des opérations
§ Non-ajustement régulier des comptes
§ Fragilité de la conservation des pièces
justificatives

14
TIMLOG SOLUTIONS

1.1.2. Les différents éléments d’un risque

TYPOLOGIE DES RISQUES MAJEURS

DANS UNE ORGANISATION
PUBLIQUE

§ Contrôle non organisé des opérations à risques

§ Absence d'exploitation des alertes
§ Caractère aberrant des données ou des
Risques résultats
financiers § Sortie non sécurisée de flux financiers
importants
§ Non-détection des autres opérations présentant
un risque financier

15
TIMLOG SOLUTIONS

Les différents éléments d’un risque

TYPOLOGIE DES RISQUES MAJEURS
DANS UNE ORGANISATION
PUBLIQUE

§ Facteurs externes (évolution du rôle des acteurs

partenaires des procédures…)
Risques liés
§ Modifications législatives ou réglementaires
au
changement § Introduction de nouvelles technologies (évolution
du système d’information…)
§ Facteurs internes (recrutements, départs…)

16
TIMLOG SOLUTIONS

L’organisation

Entreprise
A propos de processus

Offre

Organisation

Le client fait appel

à cette entité pour
son organisation &
ses compétences sur
son offre.

Compétences
Approche Processus
TIMLOG SOLUTIONS

Le savoir faire

Entreprise
A propos de processus

Offre
Organisation
Compétences

Savoir Faire
L’entreprise
exploite ses
méthodes et
son savoir
faire afin de
réaliser des
produits et
Méthodes services.
TIMLOG SOLUTIONS

Les outils

Entreprise
A propos de processus

Offre
Organisation
Compétences
Savoir Faire L’entreprise
Méthodes
met en œuvre
des outils au
travers de ses
méthodes et
de son savoir-
faire.

Outils
TIMLOG SOLUTIONS

Questions ?

Entité
A propos de processus

Offre Quoi Où
Organisation
Compétences
Qui
Savoir Faire
Comment Coût
Exigences Méthodes

Avec quoi Quand

Satisfait

Outils
Approche Processus 20
TIMLOG SOLUTIONS

A propos de processus Processus

Organisation Savoir Faire

Outils
Compétences Méthodes
Exigences Satisfaction
Entreprise

Pour conduire ses activités et réaliser les produits ou services, l’entreprise

met en œuvre des processus intégrant de façon cohérente :
– l ’organisation et les compétences
– le savoir faire et les méthodes
– les outils
Approche Processus 21
TIMLOG SOLUTIONS

Processus
Processus : Ensemble de moyens et d ’activités liés qui transforment
des éléments entrants en éléments sortants.
A propos de processus

Événement
enclenchant
les processus

Produit ou
service
clôturant
les processus
TIMLOG SOLUTIONS

A propos de processus Quelques notions …

1. Un processus a une finalité

2. Il est toujours orienté vers un système

bénéficiaire, interne ou externe (sous processus)

3. il y a une relation de type client-fournisseur

4. L’entreprise est un processus global

Approche Processus
TIMLOG SOLUTIONS

Exercices Principaux Processus

• Quels sont les principaux processus au sein de
votre entité?

• Décrivez ces processus, quelles sont leurs

finalités?(Cartographie des Macro-Processus
et des Micro-Processus)
TIMLOG SOLUTIONS

Prévoir - Faire - Vérifier – Améliorer

Plan – Do – Check - Act

L’entreprise planifie la mise en œuvre des processus

pour assurer la qualité des produits et services.

Faire ce que l’on a prévu.

L’entreprise effectue des contrôles sur les produits et les services

à différents niveaux des processus.

L ’entreprise cherche à améliorer la qualité des processus en

améliorant l ’organisation, les compétences, les méthodes, les outils.
TIMLOG SOLUTIONS

La roue de Deming
L’approche processus s’appuie sur le cadre rigoureusement établi
par la politique et les objectifs qualité. L’objectif de cette approche
est la satisfaction des clients par le respect de leurs exigences.

Le responsable
qualité est non
seulement garant de
l’application des
Prévoir Faire
dispositions du
système qualité, Améliorer Vérifier
mais également de
son suivi et de son
perfectionnement.
Ensemble
SMQ des acteurs
TIMLOG SOLUTIONS

Qu’est-ce que le management par les

processus ?
Les processus en questions

Le management par les processus consiste pour l’entreprise à :

n identifier les processus et les activités qui les composent,
n à les décrire,
n à identifier les acteurs,
n à désigner leur « propriétaire » (pilote),
n à définir les dispositifs de pilotage,
n à améliorer en permanence les processus et leurs activités.

Le management par les processus distingue :

n l’efficacité ou l’atteinte des résultats,
n l’efficience ou la performance du triplet
« fonctionnement-productivité-rendement ».
TIMLOG SOLUTIONS

Quels avantages offre une démarche

de management par processus ?

En mettant en œuvre une telle démarche, l’entreprise :

n intègre les besoins de ses clients,
n optimise et diminue ses coûts de fonctionnement,
n améliore sa productivité interne,
n pilote de bout en bout selon une véritable stratégie,
Avantages

n formalise ses procédures, ses modes opératoires,

n fait de l ’amélioration continue un principe de fonctionnement,
n entre dans une démarche améliorant le professionnalisme,
n limite les problèmes liés aux interfaces,
n améliore sa réactivité dans le traitement des anomalies,
n permet à tous de se situer au sein de l ’entreprise et de mieux
appréhender les finalités de ses activités.
TIMLOG SOLUTIONS

Les Différents types de processus

Processus
Typologie des processus

Déterminent la politique et le déploiement des

de objectifs dans l’organisme
Pilotage (Politique, stratégie, technologie,décision,
budget, mesure)
Contribuent directement à la réalisation
Processus de du produit ou du service
Réalisation (conception, fabrication, vente,
prestation)

Contribuent au bon déroulement de la

réalisation en leur apportant les
Processus
ressources nécessaires
Support &
(ressources, formation, informatique,
soutien comptabilité,maintenance)
TIMLOG SOLUTIONS

Les différentes réponses à un risqu

En réponse à un risque, le management a plusieurs options :

Réponse à un Actions à mener

risque
Accepter Surveiller le risque

Éviter Éliminer le risque

Réduire Mettre en place des

contrôles
Partager S’associer avec un
partenaire

30
TIMLOG SOLUTIONS

La cartographie des risques

TIMLOG SOLUTIONS

1.2. Méthode pour la cartographie des risques

• Pour identifier, évaluer ou réévaluer les risques, recueil des avis :

• Du top management
• Des opérationnels et techniciens
• Des experts et des risks managers
• Des auditeurs internes

L’identification des risques est d’abord un travail de brainstorming

• Prise en compte des mesures prises par l’organisation pour maîtriser les risques :
• Contrôle interne
• Plans d’ actions
• Couverture d ’assurances
• Plans de crise…

32
TIMLOG SOLUTIONS

Méthode pour la cartographie des risques

• Risque inhérent : Avant la prise en compte du dispositif de contrôle

• Risque résiduel : Après la prise en compte du dispositif de contrôle
La somme des risques résiduels constituera la cartographie des risques

• Lorsque des éléments probants (missions d’audit interne récentes, plans d’action et
projets en cours ...) d’évaluation du dispositif de contrôle interne sont connus, ceux-ci
doivent être pris en compte afin d’obtenir une évaluation du risque résiduel.
Élevée

Risque
Risque
Probabilité

inhérent
résiduel Légende
Modérée

Elevé

Modéré
Faible

Faible

Faible Modéré Élevé

Impact
33
TIMLOG SOLUTIONS

1.2. Méthode pour la cartographie des risques

La Réponse aux risques par les mesures de contrôle interne

34
 Méthode pour la cartographie d
TIMLOG SOLUTIONS

risques
La Réponse aux risques par les mesures de contrôle interne

MANAGER
RISQUE INHERENT
Mise en œuvre

MESURES DE CONTRÔLE INTERNE

AUDITEUR
RISQUE RESIDUEL
Aide à améliorer

35
 Méthode pour la cartographie d
TIMLOG SOLUTIONS

risques
MÉTHODE MATRICIELLE POUR LA MESURE DU RISQUE INHERENT
• Détermination d’une échelle d’occurrence (ou probabilité)
• Détermination d’une échelle d’impact
La détermination de ces échelles est un choix du manager (en général de 1
à 10 ou pour simplifier de 1 à 3).

Probabilité
Nature du risque Gravité - Impact Evaluation Classement
de survenance
Risque financier 3 8 24 3
Risque juridique 4 6 24 3
Risque informatique 6 8 48 1
Risque matériel 2 3 6 5
Risque administratif 6 5 30 2

36
 Méthode pour la cartographie d
TIMLOG SOLUTIONS

risques
Représentation de l’Évaluation du risque inhérent

Risque financier
100

80

60

40
Risque administratif Risque juridique
20

Risque matériel Risque informatique

37
 Méthode pour la cartographie d
TIMLOG SOLUTIONS

risques
Du risque inhérent au risque résiduel

Le risque résiduel est le risque inhérent après mesure de contrôle

interne. Cela signifie que les mesures de contrôle interne doivent
être évaluées selon deux critères :
§ Leur efficacité : sont-elles pertinentes pour couvrir le risque
inhérent ?
§ Leur degré de mise en œuvre : sont-elles effectivement mises en
œuvre ?
Exemple : dans une application informatique de virement bancaire, il
est prévu de que la personne qui initie le virement soit différente de
celle qui le valide après contrôle. Des identifiants et authentifiants
(mots de passe) différents sont attribués à ces deux personnes mais
dans la pratique elles se communiquent leur Login et leur mot de
passe
- Donc : efficacité de la mesure de contrôle interne : très bonne
- Mais : mise en œuvre : mauvaise

38
TIMLOG SOLUTIONS

1.2. Méthode pour la cartographie des risques

Du risque inhérent au risque résiduel

Ce tableau permet d’évaluer le niveau de maîtrise des risques dans

l’organisation et d’en permettre la réalisation de la cartographie des risques.
•1. Identification et Évaluation du (ou des) risque(s) inhérent(s) pour chaque
sous-processus
•2. Identification et Évaluation des mesures de contrôle interne existantes
3. Détermination et classement du niveau de risque résiduel

39
 Méthode pour la cartographie d
TIMLOG SOLUTIONS

risques
Du risque inhérent au risque résiduel

L’évaluation du risque résiduel, c’est à dire le risque après contrôle interne,

se déroule en donc en quatre temps :
1) Identification de l’entité concernée, du ou des processus associés et
du ou des risques inhérents, ainsi que leur cotation. Des familles de
risques, qui sont ensuite subdivisées, peuvent être identifiées
2) Identification de la ou des mesures de contrôle interne permettant de
maîtriser ce(s) risque(s) ;
3) Évaluation du degré de mise en œuvre et d’efficacité de la ou des
mesures de contrôle interne, par corroboration au sein des services ;
4) Calcul et présentation du risque résiduel selon la typologie suivante :
- Rouge : risque résiduel élevé donc non couvert par le contrôle interne
existant ;
- Vert : risque résiduel moyen donc partiellement couvert par le contrôle
interne existant
- Bleu : risque résiduel faible donc couvert par le contrôle interne existant.
40
 Méthode pour la cartographie d
TIMLOG SOLUTIONS

risques
Du risque résiduel à la cartographie des risques (exemple)

41
 Aperçu de la démarche
TIMLOG SOLUTIONS

d’élaboration d’une cartographie

42
des risques
ELABORATION D’UNE CARTOGRAPHIE DES RISQUES

Préparation du projet de cartographie des risques

Description des processus
Identification des risques opérationnels
Evaluation des risques opérationnels
Formalisation de la carte des risques
TIMLOG SOLUTIONS

43

Phase 1.
Préparation du projet de cartographie des
risques
TIMLOG SOLUTIONS

Phase 1:
Préparation du projet de cartographie des risques

Etape 1- Préparation d’une mission d’élaboration de la

cartographie des risques.
Tâches
01 – Définition du périmètre de la cartographie.

02 – Analyse des facteurs de spécificité de la

cartographie.
03 – Conception de la démarche d’élaboration de
la cartographie des risques.
TIMLOG SOLUTIONS

Définir le périmètre:
• Tout le ministère (cartographie globale), quelques uns
de ses démembrements (cartographie sectorielle ou
thématique), ou uniquement un projet pilote?

• tous types de risques ou des risques spécifiques?

TIMLOG SOLUTIONS

Constituer une équipe

46

• chef de mission ;

• autres membres de l’équipe ;

• comité de suivi ;

• rôle de chacun.
TIMLOG SOLUTIONS

Formaliser la commande sous

47 forme de projet
• partager les termes de référence pour l’élaboration de la
cartographie des risques avec l’équipe;

• définir des objectifs;

• préparer un planning détaillé;

• préciser la forme et le contenu de la carte des risques;

• préparer un budget;

• établir l’ordre de mission.

 Facteurs de spécificité d’une
TIMLOG SOLUTIONS

démarche de cartographie des

1.
risques
L’activité de l’organisation (risques inhérents).
2. Les objectifs de l’organisation ou de l’activité (risques pouvant
compromettre l’atteinte des objectifs).
3. L’aversion aux risques/niveau de tolérance des risques
(niveaux/risques acceptables).
4. les motivations de la cartographie des risques (utilisations).
5. le périmètre (délimitation) de la cartographie des risques
(globale, sectorielle, projet pilote…).
6. Les méthodes d’identification et d’évaluation des risques à
mettre en œuvre.
7. Le système existant de contrôle des risques…
TIMLOG SOLUTIONS

49

Phase 2.
Description du processus
 Phase 2
TIMLOG SOLUTIONS

Description du processus
Etape 1- Préparation de la description des processus.

Tâches

01 – Cibler les processus.

02 – Choisir la méthode de description des processus.

 Phase 2
TIMLOG SOLUTIONS

51
Description du processus
Etape 2- Description détaillée des processus.
Tâches
01 – Description du processus.
02 – Description de l’identité des processus.
03 - Collecte des données «entrées» du processus à décrire
04 – Collecte des données «sorties» du processus à décrire

04 - Collecte des données «marche» du processus à décrire

05- Collecte des données «pilotage» du processus à décrire

06 – Harmonisation des liaisons entre les processus.
TIMLOG SOLUTIONS

L’approche processus
• De nos jours, l’audit (et donc la cartographie des risques).

• Le processus est un ensemble d’activités qui s’enchaînent pour

un objectif à atteindre et qui se traduisent par un résultat.

• Dans toute organisation, l’on peut identifier:

– les processus de réalisation ou métiers;

– les processus de support (soutien technique);

– les processus de pilotage (soutien administratif).

TIMLOG SOLUTIONS

Processus – activités - tâches

Tâches Activités Processus

TIMLOG SOLUTIONS

Méthodes de description des

processus
• la méthode du plus grand au plus petit qui consiste
à partir des processus pour aboutir aux tâches en
passant par les activités

• La méthode du plus petit au plus grand : plus

difficile que la première, elle consiste à regrouper les
tâches homogènes en activités, puis les activités en
processus.
TIMLOG SOLUTIONS

Description des processus

• La notion de processus est relative car elle dépend du
niveau de détails recherchés. En effet, l’équipe a la
possibilité de faire une décomposition multi-niveaux.
Méga processus
Processus élémentaire
Sous processus
Macro-activités
Activités
Tâches
Opérations.
TIMLOG SOLUTIONS

Description narrative des

processus
• Décrire le processus, de façon narrative, selon la
méthode de description retenue, en faisant ressortir
les activités séquentielles (ou étapes principales du
processus).

• Décrire les tâches constitutives de chaque activité.

• Etablir le dictionnaire des activités

TIMLOG SOLUTIONS

Formaliser les fiches des processus

• Identité du processus

• Données « Entrées »

• Données « Sorties »

• Données « Marche »

• Données « Pilotage ».
TIMLOG SOLUTIONS

Phase 3.
Identification des risques
 Phase 3
TIMLOG SOLUTIONS

Identification des risques

Etape 1 - Choix des techniques et des outils
appropriées d’identification des risques.
Tâches

01 – Choisir la combinaison des techniques la plus

appropriée

02 –Choisir et concevoir les outils d’identification

des risques.

03 – Identifier les risques.

TIMLOG SOLUTIONS

Les approches d’identification des risques

60

1. La démarche top-down
Auditeurs, Risk managers
Opérationnels
2. La démarche bottom-up
Opérationnels Auditeurs, Risk
managers
3. La démarche combinée
Combinaison des deux premières
démarches.
TIMLOG SOLUTIONS

Exercice Matrice des Risques

61

Famille du risque Sous Famille Risque Risque Impacts Probabilité Gravité Criticité % Criticité
TIMLOG SOLUTIONS

Approches retenues?
62

Approche Retenue?

Top-down

Bottom-Up

Combinée

Benchmarking
TIMLOG SOLUTIONS

Le Management des Risques

Définition du management des risques

Les concepts fondamentaux du management des

risques

Le rôle de l’Audit Interne dans le cadre du Management

des Risques
TIMLOG SOLUTIONS

1.3.1 Définition du management des risques

• Le management des risques est un processus mis en oeuvre par le

conseil d’administration, la direction générale, le management et
l‘ensemble des collaborateurs de l’ organisation.

• Il est pris en compte dans l’élaboration de la stratégie ainsi que dans

toutes les activités de l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d’affecter l’organisation et pour
gérer les risques dans les limites de son appétence pour le risque. Il
vise à fournir une assurance raisonnable quant à l'atteinte des
objectifs de l'organisation.

64
TIMLOG SOLUTIONS

Les concepts fondamentaux

du management des risques
Le management des risques, qui s’appuie sur le contrôle interne :

• Est un processus permanent qui irrigue toute l’organisation

• Est mis en oeuvre par l’ensemble des collaborateurs, à tous les niveaux de l’organisation

• Est pris en compte dans l’élaboration de la stratégie

• Est mis en oeuvre à chaque niveau et dans chaque unité de l’organisation et permet d’
obtenir une vision globale de son exposition aux risques

• Est destiné à identifier les événements potentiels susceptibles d’ affecter l’organisation, et

à gérer les risques dans le cadre de l’appétence pour le risque (niveau de risque accepté)

• Donne à la direction et au conseil d administration une assurance raisonnable (quant à la

réalisation des objectifs de l’organisation)

• Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories

indépendantes mais susceptibles de se recouper
65
TIMLOG SOLUTIONS

Le Contrôle Interne

Contrôle Interne : définition et notions clefs

.Descriptif du modèle COSO

. Le modèle COSO 2 : du contrôle interne au

Management des Risques
TIMLOG SOLUTIONS

Contrôle Interne : définition et notions clefs

Introduction au Contrôle interne

Le COSO : Une norme internationale en matière de
Contrôle Interne
Définition COSO du Contrôle interne
Les limites du Contrôle interne
Le modèle COSO : Les 5 composantes du contrôle
Interne
TIMLOG SOLUTIONS

Introduction au Contrôle interne

• Les définitions du Contrôle Interne sont multiples. D’où une grande confusion
parmi les décideurs, les organes législatifs, les autorités de tutelle et le public

• Difficultés renforcées lorsque la même terminologie est utilisée dans les lois, règlements
ou autre texte sans être clairement définie

• Objectif : établir une norme pour toutes les entreprises et organisations (secteur public ou
privé, but lucratif ou non) leur permettant d’évaluer leurs propres dispositifs de contrôle et
de déterminer comment les améliorer

• Le contrôle interne est défini de façon large ; il ne se limite pas à des contrôles
réglementaires (contrôle de type vérifications) et n’est pas restreint au seul reporting
financier

• Le cadre de contrôle est lié aux objectifs de l’organisation et il est suffisamment souple
pour être modulable

• Il faut prendre le terme « contrôler » dans sa signification anglo-saxonne qui est

« maîtriser » (cf. métaphore du footballeur)
68
TIMLOG SOLUTIONS

Le COSO : Une norme internationale

en matière de Contrôle Interne
Le COSO :

• COmittee of Sponsoring Organisations of the Treadway Comission

• Référentiel de Contrôle Interne développé dans les années 90, à l’époque des
faillites des caisses d’épargne américaines
• Référentiel de contrôle Interne le plus pertinent selon l’IIA (Institut des Auditeurs
Internes)

Historique du COSO :

• 1985 : Formation de la Commission Treadway

• 1987 : Premier rapport de la commission sur le contrôle interne
• Sept. 1992 : Publication du rapport intitulé Internal Control - Integrated Framework
• Juin 2003 : Le COSO doit être la norme d’application de la loi Sarbanes-Oxley
(SEC)
• 2004 : COSO 2 Report ou l’introduction du Risk Management
• 2013 : COSO 3
• 2017 : Nouvelle version COSO ERM
69
TIMLOG SOLUTIONS

Définition COSO du Contrôle interne

Définition COSO :

• Le contrôle interne est un processus mis en œuvre par la direction générale, la

hiérarchie et le personnel d’une organisation, et destiné à fournir une assurance
raisonnable quant à la réalisation d’objectifs entrant dans les catégories suivantes :
• Réalisation et optimisation des opérations
• Fiabilité des informations financières
• Conformité aux lois et réglementations en vigueur

Points clefs

• Processus : Ensemble de dispositifs pour arriver à un résultat, et non une fin en soi

• L’ensemble du personnel : Chacun a son contrôle interne à tous les niveaux

• Assurance raisonnable : Et non absolue : Caractère relatif du contrôle interne

70
TIMLOG SOLUTIONS

Les limites du Contrôle interne

• Le contrôle interne tend à réduire les risques d’erreur ou de fraude

mais ne peut pas les éliminer complètement en raison de :

• Mauvaise évaluation
• Changements des organisations
• Défaillances
• Volonté de passer outre de la direction
• Collusion
• Coûts excessifs par rapport aux bénéfices

71
TIMLOG SOLUTIONS

2.1.5 La pyramide du COSO :

Les 5 composantes du contrôle Interne

Pilotage
n In
ta i o Activités fo
rm
ic at
un de io
n
m et
o m c
et
c contrôles om
m
n
tio un
a ic
m ati
for Evaluation des risques on
In
Environnement de contrôle

72
TIMLOG SOLUTIONS

Description du modèle COSO

Les objectifs, les composantes et l’organisation sont

intégrés
Les 3 catégories d’objectifs
Environnement de contrôle
Évaluation des risques
Activités de contrôle
Information et Communication
Pilotage
Périmètre du modèle COSO
 Les objectifs, les composantes
TIMLOG SOLUTIONS

et l’organisation sont intégrés

Objectifs

s
ité t ion s o ns
m e i
m c iè r rat
r a
n fo o r é
f
Co In ina n Op
f

Pilotage

Cycle 2
Cycle 1
Infor mation &
Communicat ion

Site B
Composantes Activit
Activitéés de contrô
Activités contr ôle
contrôle
du COSO Site A
Evaluat ion des
risques Organisation
Environnement de
contrôle

74
TIMLOG SOLUTIONS

Les 3 catégories d’objectifs

§ Fiabilité des informations financières
Concerne la fiabilité de la préparation des états financiers
publiés, y compris les états financiers intermédiaires et
synthétiques, et les données non directement financières qui y
concourent

§ Conformité aux lois et

§ Réalisation et
réglementations en vigueur Objectifs
optimisation des
Concerne le respect des lois et opérations
réglementations auxquelles est soumise
l’entité Concernent les objectifs
opérationnels d’une entité

Pilotage

Cycle 2
Information & Cycle 1
Communication
Site B

Composantes Activités de contrôle

Site A

du COSO
Evaluation des
risques Organisation
Environnement de
contrôle

75
TIMLOG SOLUTIONS

Environnement de contrôle
Objectifs
§ Les employés sont sensibles au
contrôle (intégrité, valeurs
éthiques, compétence, autorité et s
ité ion ns
responsabilité) or
m a t re s atio
m iè
nf for c ér
Co In ina n Op
f
§ Environnement réglementaire
Pilotage
(complexité), et techniques

Cycle 2
Cycle 1
Infor mation &
(moyens) Communicat ion

Site B
Composantes Activit
Activitéés de contrô
Activités contr ôle
contrôle

Site A
§ Politiques de ressources du COSO
Evaluat ion des
humaines et de formation risques Organisation
Environnement de
§ Système d’information contrôle

Exemple : (accès physique à l’immeuble de la société)

• Il y a un gardien à l’entrée
• Ses objectifs ont été clairement définis
• Il est régulièrement formé
76
TIMLOG SOLUTIONS

Évaluation des risques

§ Identification et analyse des

risques inhérents
Objectifs
§ Détermination du niveau de
risque acceptable
s
ité ion s ns
rm a re atio
t
o m iè r
o nf for a nc pé
C n
I in O
f

Pilotage

Cycle 2
Cycle 1
Infor mation &
Communicat ion

Site B
Composantes Activit
Activitéés de contrô
Activités contr ôle
contrôle

Site A
du COSO
Evaluat ion des
risques Organisatio
Environnement de
contrôle
Exemple : (accès physique à l’immeuble de la société)
• Vol d’équipements de la société
• Vol d’informations de la société
77
TIMLOG SOLUTIONS

Activités de contrôle
Objectifs
§ Politiques/procédures qui
garantissent que les directives
de la direction sont exécutées s
on s ns
ité i
rm a re atio
t
§ Approbations, autorisations, o nf
o m iè
for a nc pé
r
C n
I in O
vérifications, recommandations, f

évaluations des performances, Pilotage

Cycle 2
sécurité des actifs et répartition

Cycle 1
Infor mation &
Communicat ion
des tâches

Site B
Composantes Activit
Activitéés de contrô
Activités contr ôle
contrôle

Site A
§ Les contrôles peuvent être
du COSO
préventifs, détectifs ou directifs Evaluat ion des
risques Organisation
§ Séparation des fonctions, Environnement de
contrôle mutuel, supervision contrôle

Exemple : (accès physique à l’immeuble de la société)

• Demande d’une carte d’identité au visiteur
• Comparaison du nom avec la liste des visiteurs.

78
TIMLOG SOLUTIONS

Information et Communication
Objectifs
§ Communication descendante et
ascendante
s
ité ion ns
§ Les informations pertinentes m a t re s atio
or m iè
nf for c ér
sont identifiées, enregistrées et Co In ina n Op
f
communiquées en temps utile Pilotage

Cycle 2
Cycle 1
Infor mation &
§ Rapports internes de la direction Communicat ion

Site B
Composantes Activit
Activitéés de contrô
Activités contr ôle
contrôle

Site A
du COSO
Evaluat ion des
risques Organisation
Environnement de
contrôle

Exemple : (accès physique à l’immeuble de la société)

• Utilisation du téléphone, du courriel, etc. pour informer la personne ayant l’autorité
de décider de l’accès du visiteur.

79
TIMLOG SOLUTIONS

Pilotage
Objectifs
§ Les Combinaison évaluation
indépendante continue/audit
interne et externe s
ité ion s ns
rm a re atio
t
o m iè
§ Actualisation du dispositif nf for c ér
Co In ina n Op
f

Pilotage
§ Mise à jour des procédures et

Cycle 2
Cycle 1
Infor mation &
contrôles si nécessaire Communicat ion

Site B
Composantes Activit
Activitéés de contrô
Activités contr ôle
contrôle

Site A
du COSO
§ Mise en place d’un reporting sur Evaluat ion des
risques Organisation
le contrôle interne Environnement de
contrôle

Exemple : (accès physique à l’immeuble de la société)

• Vérifications périodiques pour s’assurer que la procédure de contrôle de l’accès à
l’immeuble est systématiquement suivie. Actualisation moyens/risques en fonction
de l’évolution du nombre de visiteurs
80
TIMLOG SOLUTIONS

Périmètre du modèle COSO

Cette dimension correspond aux

niveaux d’organisation :
§ L’administration centrale,
§ Les ordonnateurs centraux

Cycle 2
Cycle 1
§ Les sous-ordonnateurs
§ Les différents cycles
Site B

(Budgétisation, mise en place

Site A

des crédits, Achat, Exécution,

Paiement, Comptabilité…)

Le modèle COSO peut être utilisé pour le contrôle interne de toute

l’organisation ou de certaines de ses unités / activités uniquement

81
TIMLOG SOLUTIONS Le modèle COSO 2 :
Du Contrôle Interne au Managemen
des Risques
• Les quatre grandes catégories
d’objectifs stratégiques,
opérationnels, reporting et
conformité sont représentées par
les colonnes

• Les huit éléments du management

des risques représentés par les
lignes

• Les unités de l’organisation

représentées par la troisième
dimension

82
TIMLOG SOLUTIONS

Challenges COSO 3
• Environnement de contrôle

vPrévenir le risque de fraude

vAdapter le contrôle interne en fonction des

transformations de l’organisation

vMobiliser le management et instaurer le

«tone in the middle»
83
 17 principes sous jacents aux 5
TIMLOG SOLUTIONS

composantes du contrôle interne

• Environnement de contrôle

• 1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs

éthiques.
• 2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la
mise en place et le bon fonctionnement du dispositif de contrôle interne.
• 3. Le management, agissant sous la surveillance du Conseil, définit les structures,
les rattachements, ainsi que les pouvoirs et les responsabilités.
• 4. L’organisation manifeste son engagement à attirer, former et fidéliser des
collaborateurs compétents.
• 5. L’organisation instaure pour chacun un devoir de rendre compte de ses
responsabilités en matière de contrôle interne.

84
 17 principes sous jacents aux 5
TIMLOG SOLUTIONS

composantes du contrôle interne

• Evaluation des risques

• 6. L’organisation définit des objectifs de façon suffisamment claire pour rendre

possible l’identification et l’évaluation des risques susceptibles d’affecter leur
réalisation.

7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans

l’ensemble de son périmètre et procède à leur analyse de façon à déterminer
comment ils doivent être gérés.

8. L’organisation intègre le risque de fraude dans son évaluation des risques.

9. L’organisation identifie et évalue les changements qui pourraient avoir un

impact significatif sur le système de contrôle interne.

85
 17 principes sous jacents aux 5
TIMLOG SOLUTIONS

composantes du contrôle interne

• Activités de contrôle
10. L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener les
risques à des niveaux acceptables.

11. L’organisation sélectionne et développe des contrôles généraux informatiques.

12. L’organisation met en place les activités de contrôle par le biais de règles et de procédures qui
mettent en œuvre ces règles.
Information et communication

13. L’organisation génère des informations pertinentes et fiables nécessaires au bon

fonctionnement des autres composantes du contrôle interne.

14. L’organisation communique en interne les informations nécessaires au bon fonctionnement

des autres composantes du contrôle interne.
15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des
autres composantes du contrôle interne.
86
 17 principes sous jacents aux 5
TIMLOG SOLUTIONS

composantes du contrôle interne

• Activités de pilotage
• 16. L’organisation sélectionne, développe et réalise des évaluations continues
et/ou ponctuelles afin de vérifier si les composantes du contrôle interne sont
mises en place et fonctionnent.
17. L’organisation évalue et communique en temps voulu les faiblesses de contrôle
interne aux parties chargées de prendre des mesures correctives.

87
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

88
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• INTÉGRATION

• Le Management des Risques doit impérativement

être global et diffusé à l’ensemble des processus de
l’organisation, y compris ceux en lien avec le
management ou la stratégie.
• En d’autres termes, une identification des risques
pour chaque processus de l’organisation est
encouragée, et devrait être au cœur de leur gestion.

89
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• DÉMARCHE STRUCTURÉE ET GLOBALE

• Gérer les risques implique de pouvoir les

comparer entre eux afin de les prioriser et
concentrer les ressources sur ceux qui
impactent réellement la création de valeur.

• Ils doivent être mesurés sur la base d’une

échelle ou grille de lecture unique et adaptée
à la culture de l’organisation.
90
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• DYNAMIQUE & AMÉLIORATION CONTINUE

• La Gestion de Risques ne créée de la valeur que si elle est

vivante. La méthodologie en place doit, par exemple, intégrer
des retours d’expérience autour de la survenance du risque
en cas de risques avérés, et des axes d’amélioration des
moyens de maîtrise des événements susceptibles de générer
un impact sur les objectifs de l’organisation.
• L’analyse des retours d’expérience doit pouvoir remettre en
question la méthodologie déployée et notamment le scoring
des risques.

91
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• MEILLEURES INFORMATIONS & FACTEURS
HUMAINS
• La norme ISO 31000:2018 insiste sur le fait que le management des
risques n’est ni une science exacte ni une donnée parfaitement fiable.
L’évaluation des risques doit tenir compte de l’appétence de l’organisation
à prendre des risques et des points de vue des parties prenantes. Elle
reste essentiellement déclarative, basée sur les connaissances des
managers, avec ce qu’elles comportent d’incertitude.

• En gestion de risques, on ne cherche pas à s’assurer que les dispositifs de

maîtrise sont appliqués (ce qui est le rôle de l’audit) mais que d’un point
de vue théorique, ils sont complets et efficaces. Le traitement de chaque
risque repose donc en partie sur l’intuitu personae.
92
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• Tout comme l’ISO 9001:2015, l’ISO
31000:2018 insiste sur la notion de leadership
et prône une forte implication de la Direction
dans la gestion de risques.

• LA DIRECTION doit promouvoir et

communiquer sur la valeur ajoutée de la
démarche risques, mais aussi s’impliquer dans
le processus de gestion de risque lui même.
93
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

94
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• Véritable chef d’orchestre, le GESTIONNAIRE
DES RISQUES OU RISK MANAGER doit être
rattaché à la Direction. Ceci est un prérequis à
l’alignement de la gestion de risques avec la
stratégie de l’organisation.

• Le Risk Manager est le pilote du projet de

gestion de risques, selon la feuille de route
définie par la gouvernance.
95
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• Garant de la méthodologie, il s’assure qu’elle est
correctement comprise et appliquée. Il fournit à la
Direction les éléments qui permettront d’évaluer la
performance et la pertinence de la démarche de
gestion de risques, et donc sa valeur ajoutée dans
l’organisation.

• Le Risk Manager n’est pour autant pas responsable

de l’ensemble des risques de l’organisation, tout
comme le pilote de la démarche processus n’est pas
responsable de tous les processus de l’organisation.
96
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• La norme ISO 31000:2018 précise en effet que
pour chacun des risques, un ou plusieurs
responsables doivent être identifiés.

• Souvent désigné par le terme Propriétaire du

Risque, ce membre de l’organisation a en
charge le traitement du risque et notamment
la définition de la stratégie de réponse et
d’éventuels plans d’actions, afin d’améliorer
les moyens de maîtrise. 97
TIMLOG SOLUTIONS

PRINCIPES ISO 31000

• Au delà du volet organisationnel de la gestion de
risques, le chapitre 5 insiste également sur
l’importance de la concertation et de la
communication entre les différentes parties
prenantes du projet.

• Cela passe notamment par la nécessité de « collecter,

consolider, synthétiser et partager » l’information
tout au long de la démarche. La traçabilité de
l’information apparaît donc comme un élément
central.
98