Académique Documents
Professionnel Documents
Culture Documents
fonctions (suite)
Selon le COSO II1 « Le management des risques est un processus mis en œuvre par le
conseil d’administration, la direction générale, le management de l’entreprise et l’ensemble
des collaborateurs, pris en compte dans l’élaboration de la stratégie de l’organisation ainsi que
dans toutes les activités et conçu pour identifier les événements potentiels pouvant affecter
l’organisation et gérer les risques dans les limites de son appétence pour le risque afin de
donner une assurance raisonnable quant à la réalisation des objectifs de l’organisation ».
Les acteurs du management des risques : il est d’une grande importance d’évoquer
les intervenants dans ce processus et de rappeler leurs rôles respectifs :
Le risk manager : identifie les risques, les évalue, élabore la cartographie des risques,
et à partir de là, il propose les traitements nécessaires qui seront appliqués afin d’atténuer leur
impact et réduire leur survenance
Le manager opérationnel : applique les propositions du risk manager et met en place
les moyens nécessaires pour une meilleure maitrise des risques
L’auditeur interne : apprécie la qualité de la cartographie et des moyens mis en
place, il en détecte les lacunes et les insuffisances et formule des recommandations pour y
mettre fin
1
Un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway
Commission »
Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)
La gestion des risques concerne l’organisation dans son entièreté. Pour cela,
l’identification des risques prend deux niveaux d’appréhension (stratégique et opérationnel)
Niveau stratégique : démarche dite « Top-down » permettant d’identifier et d’analyser les
risques majeurs auxquels l’entreprise est exposée. Pour ce faire, il faut bien connaitre la
stratégie de l’entreprise, bien préciser les objectifs à atteindre et le plafond de pertes
supportable, et ce dans le but de faire apparaitre les événements qui peuvent empêcher
l’entreprise à mettre en place sa stratégie c'est-à-dire d’atteindre ses objectifs. La résultante de
cette analyse se traduira par la cartographie des risques stratégique.
Niveau opérationnel : Bottom-up est focalisée sur l’activité courante de l’entreprise et aux
déficiences identifiées par la revue du contrôle interne. Elle consiste, au niveau de chaque
processus de remplir des fiches risques indiquant : les risques opérationnels et leurs niveaux
de maitrise. L’out put obtenu sera donné par les cartographies des risques opérationnels et
leurs résultante la cartographie globale.
Au niveau opérationnel, le passage en revue des activités dans le but de repérer les
risques et les situer dans l’organisation nécessite et exige la connaissance du Modèle
d’entreprise.
Selon cette approche, l’entreprise est abordée en analysant les divers processus mis en
œuvre au travers de ses activités, l’objectif affiché est de détecter et d’affecter chaque risque
à l’activité qui le génère et d’en connaitre le propriétaire.
Définition de la cartographie des risques : c’est un outil de gestion élaboré en interne afin
de donner une vision globale des risques encourus. Les risques seront alors classés selon leurs
degré de vulnérabilité avec une graduation allant de faible à élevé.
2) Evaluation des risques : une fois les risques recensés, se pose la question de leurs
traitement, quelles suites l’organisation va-t-elle donner à ces analyses.
Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)
La phase d’identification nous donne une liste exhaustive des risques, il est impossible
de traiter tous ces risques, la question qui se pose alors est de savoir quelles sont les priorités.
Pour cela, dans cette étape de priorisation on utilise un concept clé qui s’appel « la criticité »,
en effet, le risque est caractérisé par deux données : la première est sa gravité et la deuxième
caractéristique est sa probabilité d’occurrence, et c’est par le croisement de ses deux critères
que l’on puisse calculer la criticité des risques. Cette étape consiste à faire la cotation des
risques en quantifiant d’une part la probabilité d’apparition de chaque risque recensé, et d’une
autre part la gravité de ce risque sur l’entreprise.
Une fois qu’on déterminé la gravité et la probabilité, on peut évaluer la criticité des
risques qui nous permet de les hiérarchiser dans différentes zones sur «le diagramme Gravité-
Survenance »
a) Risques majeurs : sont des risques inacceptables, ils correspondent à la zone des risques
de fréquence et de gravité élevées. Les situations générant ces risques sont évidemment à
éviter
c) Risques de fréquence : sont ceux qui possèdent une éventualité de survenance élevée et
une gravité relativement faible. La prévention s’applique à ces risques. En effet, en présence
de risque de fréquence, l’entreprise devra anticiper les dépenses éventuelles auxquelles faire
face en cas de sinistre car elle détient des données historiques relatives à la réalisation de ce
type de risque.
d) Risque de gravité : la zone des risques de gravité forte et probabilité d’occurrence faible.
Un risque de gravité est rare, mais sa réalisation est destructrice de valeur. Ce sont là les
risques de catastrophe pour lesquels l’assurance (transfert) joue à plein son rôle.
Politiques de traitement des risques : les actions que vous pouvez entreprendre pour
maitriser les risques sont très diverses. Elles peuvent être ramenées à une des solutions
suivantes :
a) Acceptation : les petits risques sont acceptés, on n’investit ni temps ni moyens pour les
éviter (mineurs)
b) Evitement : l’entreprise décide de ne pas réaliser une activité donnée afin d’éviter les
risques qui y sont liés
c) Transfert : l’exemple le plus connu de transfert de risque est l’assurance. Contre paiement,
on repousse le risque vers un tiers
Les mesures préventives : la prévention interviendra lorsque les actions entreprises réduiront
la « survenance », ce qui aura pour conséquence de déplacer le risque traité vers le bas dans le
diagramme Gravité-Survenance (séparation des tâches, limites de crédit, recours à plusieurs
fournisseurs)
Les mesures correctives (protection) : lorsque la gravité du dommage sera réduite, dans ce
cas, le risque traité se déplacera vers la gauche au sein du diagramme Gravité-Survenance.
Bien entendu, lorsque le risque sera traité simultanément par prévention et précaution, il se
déplacera en direction de la zone dévolue aux risques mineurs.
Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)
L’audit interne et le management des risques, deux fonctions bien distinctes, mais qui
s’intéressent à un même objectif pour l’entreprise, à savoir, celui de réduire les risques.
Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)
La fonction d’audit est née à partir de l’audit externe. Commençant cet élément par une
définition de l’audit externe ;
« L’audit externe est une fonction indépendante de l’entreprise dont la mission est de certifier
l’exactitude des comptes, résultats et états financiers, et plus précisément, certifier la
régularité, la sincérité et l’image fidèle des comptes et états financiers.
L’audit interne et l’audit externe utilisent les mêmes méthodes d’investigation, de plus,
elles respectent toutes les deux l’interdiction de toute immixtion dans la gestion de
l’entreprise.