CEA/IDEP

MODULE 4 : SUIVI DES RISQUES ET RAPPORTS

Objectifs d’apprentissage du module :

A la fin du module, les participants devraient être en mesure de :

 Comprendre l’importance du suivi des risques et des rapports dans les organisations
 Décrire les outils et systèmes de suivi des risques et de rapports dans les organisations
 Comprendre l’importance du travail d’équipe dans la gestion du risque et le rôle des
différents départements ou unités.
 Identifier les éléments et la structure d’un rapport sur les risques

Nombre de sessions
Session N° Titre de la session Durée
Session 1  Aperçu 20
 Justification du suivi des risques et rapports minutes
 Facteurs déterminants de la qualité du rapport des risques
 Indicateurs, outils et mesures du suivi des risques
 Gestion des risques liés aux données
Session 2 20
 Outils et systèmes de suivi des risques et de rapports minutes
 Rôles et responsabilités des cibles et des secteurs dans la
gestion des risques
 Structure et contenu du rapport des risques

Principaux enseignements de la session

 Justification du suivi des risques et rapports

 Rôles et responsabilités des départements ou secteurs dans la gestion des risques
 Travail d’équipe et coordination de la gestion des risques dans l’organisation
 Risques à surveiller et à signaler
 Structure et contenu du rapport des risques

1
Session 1 : Justification et outils du rapport des risques
Qu’est-ce que le suivi des risques ?
Il s’agit d’un processus continu qui implique la documentation des tendances et des
modèles critiques dans l’organisation. Il aboutit au partage de l’information sur le risque et
à une prise de conscience de ce qui se passe dans les différentes sections de l’organisation.
Il a pour but la réalisation de deux objectifs : (a) fournir une assurance et (b) faciliter
l’amélioration de la qualité, de l’efficacité de la conception, de la mise en œuvre et des
résultats des processus (ISO,2018).
L’ISO (2018) met l’accent sur le risque
La fréquence du suivi doit refléter les risques encourus ainsi que la fréquence et la nature
des changements dans l’environnement opérationnel. Par conséquent, les risques plus
élevés et les environnements plus à risque ont tendance à nécessiter un suivi constant des
risques. En termes simples, un réacteur nucléaire aura certainement plus de technologies
de suivi des risques et une surveillance plus fréquente qu’une plantation de café bien que
les deux soient des entreprises.
Après un traitement réussi du risque, le suivi et le rapport sur les risques permettent de
s’assurer que les décideurs et les autres parties prenantes sont tenus informés de la nature
et de l’étendue du risque persistant ou du statut des nouveaux risques.
Le risque qui persiste (ou tout nouveau risque émergent) doit être documenté et faire l’objet
d’un suivi, d’un examen et, le cas échéant, d’un traitement supplémentaire.
Le suivi doit faire partie intégrante des activités principales d’une organisation. Les
résultats de ces activités de suivi doivent être inclus dans les rapports périodiques de la
direction et du conseil d’administration, tout comme les examens de conformité effectués
par les fonctions d’audit interne et externe ou de gestion des risques.
Pour suivre, enregistrer et rendre compte efficacement des tendances en matière de risques,
tout organisme s’appuiera sur des indicateurs de risques préétablis ou émergents
Comme indiqué dans l’évaluation des risques, le suivi des risques peut également être
effectué par les tiers pour diverses raisons (Williams, 2019).
.

Pourquoi surveiller les risques dans les organisations ?

 Pour aider à identifier les modèles et les tendances critiques des risques dans les
organisations.

2
  Pour permettre à la direction de prendre des décisions plus éclairées
 Pour aider à repérer les domaines potentiels d’amélioration qui ne seraient pas apparus sans
un suivi efficace des risques.
 Pour aider les employés à prendre de meilleures décisions et à faire des progrès dans le
perfectionnement de l’organisation
 Pour aider l’organisation à comprendre comment les risques internes et externes évoluent.
 Pour aider à anticiper ou simuler l’effet du ou des changements sur les objectifs ou d’autres
facteurs de l’environnement opérationnel interne ou externe.
 Pour déterminer si une organisation a pris suffisamment de risques pour atteindre ses
objectifs, et fournir des informations sur les mesures d’atténuation pour la réalisation des
objectifs futurs.

Exemples de risques que la direction (les entreprises) doit surveiller

 Obsolescence technologique
 Défaillances dans les processus d’affaires
 Changements de politique, émergence de nouvelles lois, non-respect des lois et litiges
 Obsolescence de la gamme de produits
 Risques financiers
 Ruptures potentielles de la chaîne d’approvisionnement,
 Risques inhérents au développement de nouveaux produits ou services
 Risques liés à un nouveau partenariat
 Cyber-attaque potentielle
 Tendances politiques dans le pays où l’entreprise opère
 Dégradation de l’environnement et son incidence sur les entreprises (par exemple, le
changement climatique)

Types de suivi des risques

Kadar (2022) affirme que le suivi des risques peut être effectué (a) de manière permanente, (b)
périodique, ou (c) ponctuelle. Sa fréquence peut dépendre du type de suivi qu’une organisation

3
préfère effectuer et de la nature des risques concernés. Outre les trois types susmentionnés, d’autres
types de suivi peuvent être effectués, notamment les suivants :

(d). Suivi volontaire des risques : Il s’agit d’un processus de suivi des risques qui n’est légalement
pas requis mais qui constitue un élément clé de la stratégie de gestion des risques d’une
organisation. La surveillance des changements, des processus ou des performances sont des
exemples de suivi volontaire que l’organisation peut juger utiles.

(e). Suivi obligatoire des risques : Les entreprises peuvent être légalement tenues de surveiller les
risques en fonction du secteur et de l’écosystème dans lesquels elles opèrent. Le contrôle des
transactions, par exemple, peut être considéré comme une forme de suivi obligatoire des risques
que les banques et les institutions financières doivent effectuer afin d’être conformes aux
réglementations anti-blanchiment.
Qu’est-ce que le rapport sur les risques ?

Compétences requises pour un suivi efficace des risques

i. La capacité à collecter des données et à les relier aux pratiques commerciales pertinentes
et la manière dont cela contribue aux risques ou à une bonne gestion des risques.
ii. Une compréhension de la manière dont les différents départements interagissent entre eux
- en particulier lorsque le risque crée un chevauchement entre plusieurs équipes.
iii. Une compréhension complète du modèle d’entreprise, afin de s’assurer que le risque
surveillé n’est pas complètement hors de portée.
iv. Une compréhension des éléments et des fonctions mécaniques ou techniques d’une
organisation pour les risques techniques,
v. Des bases appropriées en matière de politique, de droit, de stratégie, de gouvernance
stratégique et de contentieux.
vi. Capacité à analyser et à anticiper comment les procédures de prise de décision et de
fonctionnement de l’entreprise peuvent exposer l’organisation à des risques.
vii. Compétences interpersonnelles
viii. Compétences en communication - capacité à communiquer clairement les résultats.

Étapes du suivi des risques

i. Effectuer les tâches de base - entreprendre une analyse des besoins et justifier la nécessité
d’un suivi
ii. Définir des objectifs
iii. Concevoir et mettre en œuvre la gestion
iv. Cartographie des parties prenantes ; identification des bénéficiaires
v. Définir le cadre théorique

4
 vi. Concevoir la méthodologie de suivi - définir la logique, cartographier les indicateurs,
identifier les grandes étapes du suivi, la planification et le calendrier, concevoir les
instruments ; sélectionner les outils.
vii. Entreprendre le suivi sous forme d’étude pilote
viii. Effectuer un suivi réel
ix. Analyser les résultats
x. Faire un rapport et utiliser les résultats (Biden, 2022 ;

Parties prenantes et ressources nécessaires au suivi des risques

Les membres de l’organisation qui connaissent le risque et l’unité ou les unités
opérationnelles qu’il affecte (direction générale, conseil d’administration ou directeurs,
personnel - audit, finances, TIC, juridique, etc. des conversations informelles avec ces
personnes peuvent fournir des informations précieuses sur la nature d’un risque.
Les indicateurs clés de performance (ICP) tels que les ventes, les revenus, la fidélisation
de la clientèle, le coût des marchandises vendues, etc. peuvent montrer comment un risque
évolue. Les indicateurs clés de performance sont des mesures historiques.
Les indicateurs clés de risque sont une combinaison d’indicateurs historiques et avancés
qui, lorsqu’ils sont convenablement utilisés, peuvent agir comme un système d’alerte
précoce efficace.
Les rapports d’audit interne sont une excellente source pour le suivi des risques, car ils
évaluent si les unités commerciales prennent les mesures convenues concernant un risque
particulier.
Consultants spécialisés
Agrégateurs d’actualités - Les réseaux sociaux, la télévision, la radio, les journaux, les
journalistes indépendants, etc. peuvent vous aider à rester au courant des événements qui
pourraient affecter un risque ou un sujet particulier. Les différents agrégateurs s’adressent
à un public précis. Veillez donc à choisir des plateformes adaptées à votre secteur et à vos
besoins.
Extraction de données - La quantité de données disponibles aujourd’hui est bien supérieure
à ce qu’elle était il y a seulement quelques années. Si vous avez besoin d’obtenir des
données relatives à votre secteur et à des risques spécifiques, faites appel à l’une des
nombreuses entreprises spécialisées dans la collecte et l’analyse de données.
Revues ou publications spécialisées - Les périodiques mensuels ou trimestriels de groupes
sectoriels peuvent être utiles pour se renseigner sur les risques propres au créneau de votre
entreprise. Discuter avec les cadres et d’autres membres de l’entreprise de ce qu’ils lisent
peut également vous aider à comprendre l’évolution d’un risque.
Parler avec des pairs lors d’événements sectoriels - Il y a de fortes chances que vous
puissiez assister à des conférences et des salons professionnels qui peuvent fournir des
informations utiles pour comprendre les risques. Cela renvoie également à l’importance
des relations.

5
 Données issues d’examens ou d’inspections périodiques - Les inspections ou examens des
processus sont essentiels pour mettre en évidence les défaillances.
Entretien et réparation des machines et des pièces mécaniques - dans les scénarios d’usine,
ces réparations et entretiens peuvent aider à identifier les pièces qui s’usent. À partir de là,
une évaluation des risques indiquera les menaces que ces déchirures et usures représentent
(Williams, 2019).

Rapport sur les risques

 En plus d’une identification et d’une mesure plus rigoureuse des risques organisationnels
principaux, il est nécessaire d’améliorer les rapports (divulgation) sur les risques
organisationnels afin que les gestionnaires et les autres parties prenantes puissent examiner
ces risques plus efficacement et prendre des décisions plus éclairées.
 Les rapports doivent pleinement refléter les problèmes identifiés et inciter à prendre
rapidement des mesures correctives sur les questions en suspens.
 Pour garantir l’utilité et la fiabilité de ces rapports sur les risques et les rapports d’audit, la
direction doit régulièrement vérifier l’opportunité, l’exactitude et la pertinence des
systèmes de rapports et des contrôles internes en général.
 Suivre un traitement des risques réussi,
 Les organisations doivent décider, pour chacun des risques identifiés, évalués ou traités,
s’ils doivent être signalés à l’un ou l’autre des publics et, dans l’affirmative, quel niveau
de détail fournir.
 La détermination du public cible, qui constitue un point de départ important, influe sur les
autres décisions relatives à la communication des risques. Lorsqu’une divulgation est
imposée par une exigence réglementaire, comme cela peut être le cas dans le rapport
externe sur les risques, l’organisation doit s’y conformer et fournir une divulgation
appropriée.
 Les divulgations volontaires doivent faire l’objet d’une analyse coûts-avantages
minutieuse des besoins du public et de la divulgation. Les organisations doivent comparer
(a) les avantages d’une divulgation spécifique (type et détail du risque) pour améliorer la
prise de décision des parties prenantes internes et externes et les activités de l’organisation
avec (b) les coûts de la divulgation.

Facteurs influençant la qualité du rapport sur les risques

 Exigences et attentes des parties prenantes en matière d’information sur les risques, par
exemple en matière de réglementation,
 Stratégie de gestion des risques existante et structures de gouvernance et de gestion des
risques qui établissent des systèmes de rapport sur les risques.
 Niveau de sensibilisation aux risques dans l’organisation

6
  Disponibilité des ressources organisationnelles, par exemple du personnel expérimenté et
des ressources financières,
 L’engagement de la direction de l’organisation à l’égard des efforts de gestion des risques.
 Le retour d’information sur le processus de gestion des risques.

Quel est le public visé par le rapport sur les risques ?

 Conseil d’administration
 Comité d’audit
 Direction générale
 Employés
 Parties prenantes externes, notamment
 Régulateurs
 Actionnaires
 Créanciers
 Clients
 Fournisseurs
 Media
 Communauté
Responsabilités des publics internes dans le rapport sur les risques (Débat ?)
 Le Conseil d’administration ?
 Le Comité d’audit ?
 Les Cadres supérieurs internes ?
 Les employés ?
 Les actionnaires ?
 Des clients ?
 Les fournisseurs ?

Rôle du conseil d’administration dans le rapport sur les risques

 Le conseil d’administration est le principal responsable de la supervision, de l’élaboration

et de la mise en œuvre de la mission, des valeurs et de la stratégie de l’organisation Il doit
aussi examiner attentivement les processus d’identification, de suivi et de gestion des
risques de l’entreprise.
 Le conseil est également à l’origine de la philosophie du risque, de la soif de risque et de
la tolérance au risque.
 Les examens spécifiques des objectifs et des plans financiers, les dépenses
d’investissement majeures et d’autres transactions importantes relèvent également de la
responsabilité du conseil.
 Ces responsabilités exigent un rapport complet et transparent sur les différents risques
organisationnels - stratégiques, opérationnels, et les rapports de risques et de conformité.

7
Rôle de la direction dans l’information et la gestion des risques

 Les besoins des cadres supérieurs en matière d’information sur les risques organisationnels
revêtent une importance capitale. Ils ont besoin de rapports pertinents, précis et fiables sur
les risques, en temps réel et périodiquement, pour prendre des décisions et exercer un
contrôle efficace.
 En générant une multitude d’informations sur les risques, les organisations peuvent
informer les cadres supérieurs avec des faits, et non des intuitions, afin qu’ils puissent
ensuite intégrer de manière appropriée ces informations dans les décisions de gestion et
prendre des décisions plus efficaces afin d’optimiser la stratégie et les objectifs de
l’entreprise.
 Les gestionnaires ont besoin de rapports pertinents et précis sur les risques, en temps réel
et périodiquement. Sans un rapport interne approprié sur les risques organisationnels -
stratégiques et opérationnels, en particulier - les gestionnaires ne peuvent pas (a) prendre
des décisions stratégiques et tactiques optimales, (b) évaluer les retombées d’initiatives
spécifiques de gestion des risques, ou (c) prendre des décisions concernant de nouveaux
projets d’investissement tout en reconnaissant explicitement les risques potentiels et leurs
coûts sur la rentabilité de l’organisation (ISO, 2018).

Contenu du rapport sur les risques

i. Introduction
 Informations générales sur l’organisation
 Vision, mission et objectifs stratégiques
 Profil de risque de l’organisation
 Conclusions

ii. Analyse ou évaluation des risques de l’organisation

iii. Mesures de contrôle des risques
iv. Dispositions relatives au suivi des risques et à la rédaction des rapports
v. Annexes

Pourquoi la gestion des risques associés aux données ?

Lorsque les données de l’entreprise sont exposées ou mises en péril, il y a des coûts directs et
indirects associés à la faille. Lorsque les données sont à risque, l’organisation peut être tenue
responsable des dépenses à couvrir à savoir :

 La réparation des dommages qu’une cyber-attaque a causés à son infrastructure

informatique.
 Les coûts associés à la fuite des actifs, y compris les amendes réglementaires et les frais de
consultation juridique

8
  L’augmentation du travail manuel pendant le temps nécessaire pour contenir un incident
 Le temps d’arrêt du centre de données et interruption des activités
 La diminution de la productivité du lieu de travail
 La perte de la valeur de la marque et de la réputation.

Que signifie risques associés aux données ?

Les risques associés aux données sont le potentiel de perte commerciale dû à :
 Une mauvaise gouvernance des données : L’incapacité pour une organisation de
s’assurer que ses données sont de qualité irréprochable tout au long du cycle de vie des
données.
 Mauvaise gestion des données : Faiblesse des processus d’acquisition, de validation, de
stockage, de protection et de traitement des données pour ses utilisateurs.
 Sécurité des données médiocre : Difficultés à protéger les données numériques contre des
actions indésirables comme une cyber-attaque ou une violation de données.

La gestion des risques associés aux données est le processus contrôlé qu’une organisation utilise
lors de l’acquisition, du stockage, de la transformation et de l’utilisation de ses données, de leur
création à leur retrait, afin d’éliminer les risques associés aux données.

Analyse coûts-avantages de la déclaration des risques

Les organisations doivent comprendre que les coûts et les avantages d’une divulgation des risques
en temps réel doivent être exprimés en termes monétaires. Les principaux avantages potentiels des
rapports internes sur les risques comprennent, par exemple, l’amélioration de la prise de décision
interne qui entraîne des économies de coûts ou une augmentation des revenus. L’amélioration de
l’environnement de travail peut également constituer un avantage de la divulgation des risques aux
employés, entraînant une augmentation de leur confiance, de leur engagement, de leur créativité
et de leur productivité.
Les coûts potentiels de la communication interne sur les risques sont liés aux comportements
dysfonctionnels de différents publics internes, tels qu’une réduction appropriée de la prise de
risque des managers, nécessaire au succès de l’entreprise. Les tableaux 1 à 4 montrent les différents
avantages de la divulgation interne des risques.

9
Tableau 1 : Un tableau de bord pour les rapports internes sur les risques en
temps réel pour la direction générale

RISQUES AU NIVEAU DE L’ORGANISATION

Risques identifiés Risques évalués Risques traités

Catégories de risques
clés

Risques liés aux

opérations : 
Risques
environnementa  
ux

Risques financiers 

2 Risques stratégiques

3 Risques de conformité

4 Risques liés au Analyse

rapport
détaillée

1.1 Risques 1.2 Risques financiers 1.3 Risques liés à

environnementaux l'innovation

Risque de Risque R&D

Risque crédit
d’inondation
Risque de
marché
Risque de
liquidité Analyse
détaillée

Risque d’inondation : Risque de liquidité : Risque R&D :

Description générale du risque Description détaillée du Description détaillée du risque
2 Impact opérationnel risque Impact opérationnel actuel 3
potentiel 3 Impact financier Impact opérationnel actuel Impact financier actuel
potentiel 4 Impact potentiel 3 Impact financier actuel Impact sur d’autres risques
sur d'autres risques Impact sur d’autres risques Impact financier futur 6
5 Contrôles mis en Impact financier futur 6 Plans et objectifs antérieurs
place 6 Plans et objectifs 7 Contrôles mis en place
Recommandations pour antérieurs 7 Impact de la réponse aux
les responsables Contrôles mis en place risques
Recommandations

3 Impact financier potentiel : 8 Recommandations : 8 Impact de la réponse aux

Quels sont les coûts potentiels Comment intégrer le risque de risques : Causalité des facteurs
de l’inondation pour liquidité dans les calculs de de gestion des risques (voir le
l’entreprise ? retour sur investissement ? tableau 13)

10
Tableau 2 : Calculer les coûts et les avantages de la divulgation externe des risques en temps réel
RENDEMENT
Respect de la réglementation
Réputation de l’entreprise
Baisse des revenus
Volatilité
Réduction du coût du capital
BÉNÉFICES VALEUR
MONÉTAIRE
Réduction des coûts des poursuites et $...............................
sanctions
Augmentation des ventes auprès des $...............................
clients existants et nouveaux,
fidélisation du personnel, amélioration
du recrutement.
Augmentation de la valeur pour les $...............................
actionnaires
Réduction des coûts de financement $...............................
par capitaux propres
Total des bénéfices $...............................

Tableau 3 : Calcul des coûts totaux de la divulgation interne en temps réel

Coûts Valeur
Coûts réels des rapport sur les Coût de la collecte des données, de $...............................
risques l’analyse, du rapport, etc.
Coûts potentiels liés aux Désavantage dans les négociations $...............................
fournisseurs avec les fournisseurs
Coûts potentiels liés aux Désavantage dans les négociations $...............................
clients avec les clients
Coûts potentiels liés aux Retrait potentiel de leur capital, absence $...............................
investisseurs d’investissements, etc.
Coût total $...............................

Tableau 4 : Calcul des avantages monétaires de la divulgation externe des risques en temps réel
RÉSULTATS DE BÉNÉFICES CALCUL DE LA PRESTATION MONÉTAIRE
LA
DIVULGATION
Respect de la Réduction des Le bénéfice monétaire est égal à la réduction des coûts
réglementation coûts des des poursuites et des sanctions ; les estimations des
poursuites et des coûts doivent être fondées sur des preuves historiques.
sanctions
Réputation de Augmentation des Les bénéfices peuvent être calculés comme étant les
l’entreprise ventes des clients ventes additionnelles provenant des clients existants et
existants et nouveaux moins les dépenses marginales de vente
nouveaux
Fidélisation du Les avantages sont égaux aux économies monétaires
personnel résultant de la diminution du roulement du personnel
(diminution du coût du recrutement, de l’orientation et de
la formation).
Amélioration du Les avantages découlent de la diminution des coûts
recrutement d’orientation et de formation des employés.
Réduction de la Augmentation de Les avantages sont liés à l’augmentation du prix des
volatilité des la valeur pour les actions sur le marché.
bénéfices actionnaires
Réduction du Réduction des Les avantages sont égaux aux coûts réduits du
coût du capital coûts de financement par capitaux propres
financement par
capitaux propres

11