Suite visio du 10 juin

Préparation GRAND ORAL

Question 1 : Comment caractérisez-vous une approche globale de gestion des risques « ERM » ? En quoi
a-t-elle évolué au cours de la dernière décennie ?

La gestion des risques permet d’atteindre les objectifs stratégiques d’une entreprise tout en connaissant
et en traitant les risques liés aux activités d’une entreprise.

Ce point de vue est nécessaire aux dirigeants d’entreprise pour prendre conscience de leurs risques
majeurs et de prendre les bonnes décisions concernant leurs opportunités et de créer de la valeur en
réduisant l’impact de leurs risques.

Un dispositif dynamique, propre à chaque organisation, qui met en oeuvre un ensemble de moyens, de
comportements, de procédures pour :

- Identifier les risques, les mesurer et en évaluer les conséquences en vue de mener des actions de
traitement pertinentes, ou de saisir des opportunités

- Permettre aux dirigeants de maintenir les risques à un niveau acceptable pour leur entreprise, en
prenant en compte les objectifs de l’organisation.

Depuis les années 90, la gestion des risques a changé de fonctionnement, on est passé d’une démarche
par silo à une approche globale et intégrée.

De plus, la gestion des risques ne se limite plus à quelque type d’industries, mais à toute sorte
d’entreprise public et privée.

Comparée à la gestion des risques traditionnelle focalisée sur les risques assurables, la gestion globale
des risques (Enterprise Risk Management) se positionne désormais sur un périmètre élargi, et prend en
compte :

- tous les risques qu’ils soient techniques, opérationnels, financiers ou stratégiques

- les effets négatifs du risque sur un plan financier, réglementaire, réputation, ... mais aussi

les opportunités à saisir.

La vision ERM comprend une démarche continue, globale, structurée, transverse, intégrée et
entreprenariale. Le principe étant d’intégrer l’ensemble des domaines d’activité et l’ensemble de son
écosystème.

Le but final de la gestion des risques ERM est de fournir une vision globale de l’exposition de
l’organisation pour gérer les incertitudes, anticiper, accompagner les managers dans leurs prises de
décisions pour réduire les chocs, saisir les opportunités et sécuriser sa performance sur le long terme.

A contrario la gestion des risques se concentrait sur la protection des actifs de l’entreprise d’un point de
vue opérationnel, financier et assurable.

Mais il est important de rappeler que L’ERM ne vise pas à supprimer les risques, mais au contraire, à
cadrer la prise de risques au regard des objectifs de l’organisation.
L’ERM lie ainsi la gestion des risques à la stratégie de l’entreprise et aux objectifs opérationnels.

Certains secteurs sont obligés de mettre des dispositifs de gestion des risques (entreprises sous bale et
solvabilité II).

Mais d’autres entreprises mettre en place car cela les aide.

C’est vraiment les crises qui ont conduit a mettre dans les entreprises des dispositifs de gestion des
risques.

Exemple: les entreprises qui ont on mis en place un dispositif de gestion des risques s’en sont beaucoup
mieux sortis pendant le covid que les autres.
Question 2 : Que recouvre le concept de dispositif des risques ? Quelles en sont les composantes ?

PAS DE RETOUR
Question 3 : Vous devez mettre en place un dispositif de gestion des risques dans une ETI. Comment
procédez vous ?
Mettre en place un dispositif de gestion des risques dans ETI :

Pour identifier les risques de l’environnement de l’ETI il faudra faire un PESTEL pour l’environnement
macroeconomique et un Porter pour l’environnement micro économique de l’entreprise àfin de connaitre
toute les parties prenantes de l’entreprise qui peuvent avoir une influence sur l’entreprise.

- Mettre en place une cartographie des risques

Définir Risques stratégique, risque financier, risques opérationnelles

- Déployer dans chaque service en collaboration avec un manager une cartographie des
risques de son service qui reprend l’ensemble des risques que prend son service

Mettre en place des contrôles Permanents :

- Niveau 1 :

Contrôle du manager des process et procédure qu’applique les collaborateurs du service via un fichier
Excel et créer une procédure qui reprend les objectifs des contrôles, les moyens, et le rendu attendu

- Niveau 2 :

Contrôle du Risk manager ou contrôle interne directement sous forme de picking de dossier pour vérifier
que les collaborateurs respect bien la politique et la procédure mis en place dans le service dans la
bonne gestion du service

Veiller à ce que l’ensemble des risques identifiés soient connus et couvert :

- Par de l’assurance
- Par les fonds propres

Faire des formations aux collaborateurs pour limiter les risques :

Des formations sur les nouvelles lois concernant leur domaine ou sur des nouvelles manières de travailler
suite à des changement
Question 4 : La gestion des risques est-elle une démarche imposée ou volontaire ? Commentez le cadre
réglementaire de la gestion des risques.
Gest° des risques :
dispositif dynamique adapté et mise en œuvre par et pour l’organisation. C’est un ensemble de moyens
de procédure et de comportement pour :
- identifier les risques, évaluer les conséquences et mener les actions
- Permettre de maintenir les risques à un niveau acceptable pour la société
Le dispositif de gestion des risques est à adapter par secteur, à personnalisé ou réorganisé par les
organisations.
Principes qui constitue un dispositif de gestion des risques : cadre organisation, processus de gestion des
risques, et le pilotage du dispositif qui font partie intégrante des référentiel
Cette gestion des risques est encadrée par des Référentiels et des réglementations qui font l’objet de
mise à jour régulière.
- Référentiel COSO : contrôle interne à évoluer pour une démarche en coordonnant à la stratégie
d’entreprise. Prend en compte la culture et les valeurs de l’entreprise.
- Iso 31000: norme international pour la gestion des risques. Sans vocation à être certifiante, elle
s’applique à toutes les organisations.
- Bâle : pour le secteur bancaire, assurer la stabilité du système financier globale
● Exigences minimales des fonds propres avec la prise en compte des risques de marché
et des risques opérationnels (mise en place du ratio BALE II et la modification du calcul
de crédit)
● Procédure de surveillance prudentielle : mise en place des processus interne de suivi et
de calcul des risques ainsi que l’analyse par les autorités de contrôle de la situation de
chaque banque
● Discipline de marché : mise en place des règles de transparence financière dans le but
d’améliorer et uniformiser la communication d’information vers le grand public
- Solvabilité II: réglemente le secteur de l’ assurance avec 3 piliers :
*exigences quantitatives (2 indicateurs : K de solvabilité requis: limiter la proba de ruine et
Niveau de fond propre niveau : en dessous duquel les intérêts des assurés sont menacés)
*qualitatives (mise en place de fct° de clés: actuariat, audit interne, gestion des risques. C’est
une gouvernance saine et effective et une politique de qualité des données et la mise en place
d’un dispositif de gestion des risques)
*communication financière (pour renforcer la transparence des rapports) .
Exemple : Suite à la crise économique de 2008, les accords de Bâles ont d’ailleurs été revus. Notamment
pour répondre à cette crise mondiale (entre autre) : Renforcement de la qualité des fonds propres, cadré
le risque de liquidité…

Conclusion: La gestion des risques est imposée aux institutions financière européenne (avec solva et
bale). Le but est de réduire le risque systémique.
Pour les autres secteurs, non financière la gestion des risques = non imposés mais reco et qui se dév de
plus en plus. C’est une démarche qui informe les dirigeants sur les risques majeurs et les assiste pour
les maîtriser et trouver une solution pour réduire leur impact pour continuer leur croissance et évolution.
Question 5 : Quelle différence faites vous entre contrôle interne, audit et gestion des risques ? Donnez votre
définition des 3 concepts. Quelle articulation recommandez-vous entre contrôle interne, audit et gestion
des risques ?
Question 6 : Comment implanter une culture de la gestion des risques dans une organisation ?
Rappel des définitions :

La gestion des risques consiste à identifier, évaluer et prioriser les risques auxquels peut être
confrontés une organisation afin de les supprimer ou de réduire leur impact

La culture du risque est la connaissance par tous les salariés des différents risques existants ce qui va
leur permettre d’acquerir des règles de comportement et des réflexes appropriés en cas d’événements
Objectif :Sensibiliser les salariés à l’identification et l’evaluation des risques auxquels l’entreprise peut
etre confrontée.

Rappel des risques :

● les risques économiques et financiers,

● les risques environnementaux
● les risques sanitaires
● les risques de cybe
● les risques concurrentiels,
● les risques techniques
● les risques humains
● les risques juridiques

Différentes étapes :

· Définir la propension au risque de l’entreprise ou du projet = déterminer le niveau de

risques que l’entreprise est prête à prendre, son appétence au risque
Mettre en place une gestion des risques =
Ø Identification des risques
Ø Analyser et hiérarchisation des risques : analysez l’impact de chaque risque et la
probabilité qu’il ait lieu, puis classez-les en mettant les risques les plus probables et les plus
importants en premier.
Ø Traitement des risques : limiter l’impact du risque
Ø Suivi et contrôle : suivre l’évolution des risques et vérifier que les mesures de prévention
sont toujours adaptées.
Communiquer ouvertement sur les risques = Importance d’être transparent et de communiquer sur les
risques potentiels auxquels l’entreprise peut être confrontée. But est de s’assurer que chacun sera bien
informé et préparé

Organiser des sessions de formation = Susciter l’interet et former les salariés sur les différents risques
existants et sur les attitudes et les comportements qu’il faut adopter EXEMPLE former sur le risque cyber
et le comportement à adopter face à un mail douteux ou frauduleux

Conclusion = faire que la gestion de risque devienne un reflexe pour les salariés
Question 7 : Quelles sont les 5 étapes du processus de gestion des risques ? Commentez chaque étape.
PAS DE RETOUR
Question 8 : Quelle étape du processus de gestion des risques intègre l’analyse du contexte de
l’organisation ? Que comprend cette analyse ? Apport de cette étape ? Comment la mettre en œuvre ?

=> la 1ère étape (juste après l'analyse des objectifs de l'orga°

Elle est définie par les référentiels COSO & ISO 31 000

Il s'agit de l’analyse des contextes INTERNES & EXTERNES

Que comprend cette analyse ?

Analyser les R liés aux parties prenantes (*)

Et donc analyser la culture d'ENT

+ la manière dont l'ENT appréhende ses R (= appétence aux R)

(*) PARTIES PRENANTES =

Actionnaires, Employés, Clients, Fournisseurs, Créanciers, Banques, Concurrents, Associations

Ces parties prenantes ont chacune des attentes différentes de l'ENT

=> l'ENT doit communiquer avec elles pour comprendre leurs attentes + leurs besoins.

===> les relat° avec ces parties prenantes sont facteurs de risques

Comment la mettre en œuvre ?

OUTILS =

- analyse du CTXTE EXTERNE : PESTEL : méthode d'analyse découpée par domaines (juridique,
écologique, légal, politique, social, technologique)

- CTXTE INTERNE : SWOT : forces / faiblesses / opportunités / menaces

En conclusion : Apport de cette étape ?

L'analyse du contexte c'est comme faire un « état des lieux ».

Interêt : comprendre dans quel environnement évolue l'orga° et identifier les facteurs de R.

Permet que la vis° de l'ENT en interne et le vis° des parties prenantes soit alignée.

Un exemple de changement de contexte qui peut affecter les objectifs de l'orga° :

- un chgt de contexte EXTERNE :

modif° réglementation :

ex : un chgt de norme : interdict° utiliser bisphénol A dans les conditionnements des aliments pour BB.

Si une ENT agro-alimentaire a pris en compte cet élément de contexte EXTERNE, elle aura pu
anticiper et revoir la composition de ses emballages.

(abréviations : ENT pour "entreprise" et R pour "risques".

Question 9 : Dans la phase d’identification des risques, quel est l’objectif principal ? Quelles sont les
méthodes couramment utilisées pour identifier les risques ? Quels en sont les avantages, inconvénients,
limites ?

Dans la phase d’identification des risques, quel est l’objectif principal ?

De prime abord il convient de procéder par une approche définitionnelle de quelques notions notamment
le risque et le processus de gestion des risques.

En ce qui concerne le risque il est défini comme la probabilité qu’un danger impacte négativement
l’atteinte de nos objectifs. C’est en quelque sorte ce qui pourrait mal tourner dans nos vies, une annonce,
une conséquence fâcheuse, voire funeste pour l'intéressé́ ».

Quant au processus de gestion des risques, c’est un processus qui permet d’identifier les risques
auxquelles une organisation est exposée en vue de les évaluer, les hiérarchiser, de traiter les risques
considérés comme prioritaire et de s’assurer de la mise en œuvre et de l’efficacité des mesures de
traitement (c’est un processus qui permet d’avoir une vision à 360° des risques.).

Dans les différentes phases de ce processus de gestion des risques on a la phase d’identification des
risques dont l’objectif principal est de disposer d’une vision globale la plus réaliste possible des risques.
Autrement dit elle permet de dresser une liste exhaustive des risques susceptibles d’empêcher une
organisation d’atteindre ses objectifs ou de saisir des opportunités, de décrire les risques pour les
comprendre, en vue de les hiérarchiser et de les traiter.

Quelles sont les méthodes couramment utilisées pour identifier les risques ?

Il y a un point important à considérer qui est notamment la compréhension et la prise en compte du

contexte. Cette prise en compte va permettre de déterminer quelle est la méthode à utiliser pour mieux
identifier les risques auxquels est exposés l’organisation.

Une fois le contexte situé, il convient de savoir qu’il y a deux méthodes couramment utilisées pour
identifier les risques à savoir la méthode descendante ou Top Down pour - les risques majeurs et
stratégiques.

L’approche Bottom-Up (ascendante) pour les risques techniques et opérationnels.

La différence entre ses deux méthodes réside dans la nature des risques. La méthode top down est
utilisée pour identifier les risques majeurs et stratégiques, la mise en œuvre de cette méthode passe par
des entretiens et des ateliers avec les dirigeants, les responsables de métiers etc.

Tandis que la méthode Bottom up encore appelé approche ascendante consiste à identifier les risques à
travers les activités et les processus ainsi que les fonctions ressources. Généralement les acteurs qui
contribuent à la mise en œuvre de cette méthode sont au niveau opérationnel, les responsables des
activités métiers et les responsables d’activités en générale.

Plusieurs paramètres sont à prendre en compte pour sélectionner la (ou les) méthode(s) d’identification
des risques, parmi lesquels :

- la nature de « la commande » passée par le donneur d’ordre

o L’identification doit ‘elle répondre à une logique de performances ou de conformité́ ?

o Quel est le niveau de détail souhaité (risques majeurs , risques opérationnels)?

- les éléments d’information disponibles

o Référentiel de risques, questionnaire d'enquête, statistiques de sinistres, analyse de

bilan et autre document comptable, documents techniques, schémas de fabrication et de flux, visites de
sites, consultation d'experts, ...

- la culture d’entreprise voire les cultures d’entreprise

- le niveau de connaissances des systèmes et de l’organisation de l’équipe en charge de la

gestion des risques

- les moyens dont dispose l’équipe en charge du projet

- la durée du projet

Quels en sont les avantages, inconvénients, limites ?

*Les avantages :

Top Down (descendante) : elle permet d’avoir une vision globale à 360° des risques

Bottom up : elle a une mise en œuvre facile puisque l’approche se faire vers les responsables d’activités
métiers. Elle permet d’avoir une vision terrain ou encore une vision très concrète de la réalité des risques

*Inconvénients :

Top Down : on a une vision de direction beaucoup trop éloigné de la réalité du terrain

Bottom up : on a un niveau de détail trop élevé et la granulométrie fine (difficulté à agréger les risques
pour disposer d’une vision d’ensemble de l’exposition aux risques) des risques constituant un ensemble
peu homogène des petits risques.

*Les limites :

L'approche top down n'est pas universelle. En effet, elle peut limiter la créativité et ralentir la résolution
des problèmes, ce qui ne convient pas toujours aux équipes qui nécessitent une plus grande flexibilité et
réactivité.

Un style purement bottom up pourrait faire intervenir trop d'acteurs dans l'équation. Lorsque tous les
membres d'un groupe sont invités à collaborer, les arbitrages peuvent s'avérer plus difficiles et cela peut
ralentir les processus.
Question 10 : Pourquoi est il important de bien formuler un risque ? Quels sont les éléments à prendre en
compte lors de la formation du risque ? Quels sont les pièges et erreurs à éviter ?

Question 1 : En quoi consiste un énoncé de risque?

L’énoncé de risque dresse le portrait exact d’un risque donné, et il constitue un élément essentiel du
processus de gestion du risque.

Le risque désigne l’effet de l’incertitude sur les objectifs. Il exprime la probabilité et les répercussions d’un
événement susceptible de nuire à l’atteinte des objectifs de l’organisation

Pourquoi il est important de bien formuler un risque

La formulation d’un risque dresse le portrait exact d’un événement qui aura des répercussions positives.
Notons qu’il peut être difficile de formuler un énoncé de possibilité car les répercussions touchent
généralement de multiples intervenants ou plus d’un secteur ou d’une fonction d’une organisation. Les
possibilités peuvent découler de diverses situations et approches.

Un énoncé de risque spécifique décrit la menace ou la possibilité ciblée. Il renferme des détails
importants, y compris les répercussions possibles sur l’organisation et d’autres organisations ou
intervenants. Les énoncés de risque spécifiques peuvent changer plus souvent car ils traitent d’un
événement précis et ciblé. En général, il est plus facile de gérer des énoncés de risque car la nature
précise du risque est transparente aux yeux des décideurs.

Un énoncé de risque élargi décrit le risque en des termes qui correspondent aux menaces ou aux
possibilités communes, et il précise les répercussions possibles sur l’ensemble de l’organisation.
L’énoncé de risque élargi procure plus de stabilité car il est moins susceptible d’être modifié au fil du
temps, et il est généralement de nature plus horizontale, ce qui peut être avantageux lorsqu’il s’agit de
traiter des renseignements sensibles dont les détails ne peuvent pas être partagés.

Les énoncés de risque inclus dans le profil de risque organisationnel doivent être à un niveau
suffisamment élevé pour préciser le niveau de risque potentiel relatif à la réalisation de ses objectifs, et ils
doivent comprendre suffisamment de détail et de précision pour être en mesure de gérer de manière
efficace.

Un énoncé de risque peut également comprendre le facteur associé à l’événement. Le facteur est une
circonstance interne ou externe qui alimente un risque. Les facteurs sont souvent relevés par les
analyses du contexte. Il peut arriver que plusieurs facteurs soient associés à un seul événement. Dans un
tel cas, il est recommandé d’intégrer les facteurs les plus probables à l’énoncé de risque et d’ajouter les
autres facteurs à la description complète des risques du profil de risque organisationnel

Question 2 : Les éléments à prendre en compte lors de la formulation d’un risque

Formuler l’énoncé de risque comprend deux éléments : l’événement et ses répercussions négatives
possibles s’il n’est pas géré.

Ainsi, dans le cas d’un profil de risque organisationnel, l’énoncé de risque pourrait décrire, par exemple,
un événement et ses répercussions potentielles (positives ou négatives) sur la réalisation des objectifs de
l’organisation.

Il est important de faire la distinction entre un événement et une répercussion :

 Un événement est une situation, un incident ou un changement survenant dans des circonstances
particulières qui risque d’avoir une incidence sur la réalisation des objectifs d’une organisation. Un
événement peut être positif ou négatif.

Une répercussion est la conséquence potentielle d’un événement. Comme dans le cas d’un événement,
une répercussion peut être positive ou négative.

Question 3 : Les pièges à éviter

Il faut éviter d’inclure un trop grand nombre de menaces ou de possibilités dans un seul énoncé de
risque. Si les menaces ou les possibilités sont multiples, il faut les répartir dans plusieurs énoncés de
risque. Les risques complexes peuvent être mieux formulés et compris s’ils sont décrits dans plusieurs
énoncés de risque concis. Les risques fortement interdépendants peuvent être expliqués en détail dans
les sections appropriées du profil de risque organisationnel.

Les événements de risque et leurs répercussions, positives ou négatives, doivent concorder avec le
mandat et les objectifs de l’organisation. Il faudra donc éviter les énoncés de risque trop généraux ou trop
vagues, et une présentation floue de l’information peut se révéler trompeuse. De ce fait, on encourage les
organisations à formuler des énoncés de risque clairs et concis dont le contenu est spécifique ou élargi et
qui s’appliquent au mandat et aux activités de l’organisation.

Eviter une rédaction de l’énoncé du risque dans un langage ambigu, évasif ou louche

Les énoncés de risque doivent être rédigés dans un langage clair et simple qui peut être compris par les
employés à tous les niveaux de l’organisation. La terminologie complexe et technique peut être expliquée
plus en détail dans une annexe.
Question 11 : Qu’est ce qu’une cartographie des risques ? Selon vous, quels sont les facteurs de succès pour
construire une cartographie ? Que peut on attendre d’une cartographie ?

1. Définition de la cartographie

Est une représentation visuelle graphique des risques d'une organisation fréquence /gravité

elle permet d'analyser et d'émettre des plans d'actions sur les risques

vision large et globale des risques

elle formalise et hiérarchise les risques avec une codification de couleurs

2 méthodologies bottom up et top down

2. les facteurs de succès pour construire la cartographie

-soumise à une politique de maîtrise des risques et si la maîtrise est suffisante

-les facteurs organisationnels de l'entreprise ( la culture de l'entreprise) et la culture de risques et la

Gestion des risques

-une conduite de projet et le questionnement pour faire remonter les perceptions des risques

-une expertise en interne et en externe

-une mise à jour régulière elle doit être dynamique et vivante

-une lisibilité et ne pas mettre risque de maïs l'optimisation du risque exemple vulnérabilité ou incapacité
à protéger la marque au lieu de risque de contrefaçon corruption.

3 Que peut on attendre d'une cartographie

En somme c'est un outil d'aide à la décision stratégique de l'entreprise car permet d'analyser les risques
majeurs prioritaires et à l'émergence des risques nouveaux .t car en effet les limites de la cartographie
c'est l'omission des risques extrêmes
Question 12 : En quoi une cartographie des risques « bottom up » est complémentaire d’une cartographie
des risques « top down » ?

La cartographie des risques est un outil essentiel pour identifier, évaluer et gérer les risques auxquels une
organisation peut être confrontée. Elle permet de hiérarchiser les risques, d'identifier les mesures de
prévention et de gestion les plus appropriées et de mettre en place un plan d'action efficace. Il existe
deux approches principales pour élaborer une cartographie des risques : l'approche "top-down" et
l'approche "bottom-up". Dans cet échange, nous allons examiner la complémentarité de ces deux
approches et les avantages de les combiner.

Développement :

L'approche "top-down" consiste à identifier les risques stratégiques en commençant par les priorités de
l'entreprise, tandis que l'approche "bottom-up" implique de recueillir des informations sur les risques au
niveau opérationnel en impliquant les acteurs de terrain. Les deux approches ont des avantages et des
limites. L'approche "top-down" permet de prendre en compte les risques stratégiques qui peuvent avoir
un impact significatif sur l'entreprise dans son ensemble. Cependant, elle peut ne pas couvrir tous les
risques opérationnels qui peuvent surgir dans les activités quotidiennes de l'organisation.

D'un autre côté, l'approche "bottom-up" permet de recueillir des informations sur les risques qui ont un
impact direct sur les opérations de l'entreprise. Elle peut mettre en évidence des risques qui n'ont pas été
identifiés dans une approche "top-down". Cependant, elle peut manquer de perspective stratégique et ne
pas tenir compte des risques qui sont moins fréquents mais qui peuvent avoir un impact majeur sur
l'entreprise.

Combiner les deux approches permet de prendre en compte les risques à tous les niveaux de
l'organisation, de mieux comprendre leur nature et leur gravité, et de mettre en place des mesures de
prévention et de gestion plus efficaces. En intégrant les informations recueillies à travers les deux
approches, une cartographie des risques plus complète peut être élaborée. Cela peut aider l'entreprise à
identifier les risques les plus critiques, à hiérarchiser les mesures à prendre et à allouer les ressources de
manière plus efficace.

Conclusion:

En conclusion, la cartographie des risques est un outil important pour les entreprises pour identifier,
évaluer et gérer les risques. L'approche "top-down" et l'approche "bottom-up" ont des avantages et des
limites. En les combinant, une cartographie des risques plus complète peut être élaborée, permettant à
l'entreprise de mieux comprendre les risques qui peuvent avoir un impact sur ses activités et de mettre en
place des mesures de prévention et de gestion plus efficaces.
Question 13 : Quels sont les outils de traitement des risques qu’un risk manager peut mettre en œuvre ?
Afin de gérer au mieux les risques dans une organisation, le risk manager dispose d’outils dans son
processus de gestion des risques. Il faut donc rappeler que le but n’est pas de supprimer tous les risques
mais de faire en sorte que la tolérance aux risques des entreprises soit acceptable.
La liste suivante n’est donc pas exhaustive car il faudra la décliner à chaque type d’entreprise selon sa
taille et son activité.
Chaque outil mis en place doit être adapté à l’appétence au risque, par exemple pour une start up nous
rien ne sert de faire une cartographie.

1) Identification des risques : Cette étape consiste à établir les risques à partir d’une liste
d’activités.
Les outils peuvent donc être des analyses documentaires : le risk manager examine les documents
importants tels que les rapports financiers par exemple.
Il peut également procéder à des interviews et établir des questionnaires par le biais d’entretiens avec
des employés afin de recueillir des informations sur les risques compte tenu de leur activité au sein de
l’entreprise.
Des sessions de brainstormings peuvent également être mises en place : par exemple avec les équipes
et des experts pour générer des idées sur les risques beaucoup plus larges. Une analyse des processus
pour identifier les étapes critiques et les vulnérabilités, les défaillances de celles-ci. A partir de ça des
scénarios potentiels peuvent être imaginés.

2) Evaluation des risques : On va quantifier les risques à partir de l’identification de ces

derniers. Ce qui va donner lieu à une matrice des risques afin d’évaluer la probabilité de
réalisation de ces derniers à partir d’une analyse SWOT par exemple. Un examen approfondi
des politiques et procédures ou encore du contrôle interne.

3) Planification de la gestion des risques : Il pourra élaborer un plan de gestion des risques afin
de définir une stratégie adaptée aux risques identifiés par le biais d’une matrice de risques
déjà effectuée qui va donner naissance à un plan d’action - une matrice de responsabilité -
matrice RACI ou encore un plan d’urgence et de continuité d’activité.

4) Prévention : reporting + dispositifs d’alerte pouvant être mise en place en amont suite à la
réalisation de toutes ces étapes comme de la formation et de la sensibilisation aux risques
identifiés.

5) Transfert du risque : Le risk manager peut orienter l’entreprise vers la souscription à des
polices d’assurance afin de transférer le risque et d'établir une couverture adéquate. Ce qui
permettra de ne pas supporter l'entièreté du risque pour l’entreprise. Le risk manager peut
également préconiser aux entreprises d’avoir recours à des contrats de sous traitance ou
encore des contrats de location bails des outils selon le secteur d’activité de l’entreprise.

6) Surveillance et contrôle des risques : Des outils de surveillance continue peuvent être mis en
place comme des revues périodiques des risques, un tableau de bord de gestion des risques
avec une vision en temps réel des risques grâce aux indicateurs de performance clé ( KPI)

Enfin des évaluations après la réalisation d’un risque peuvent permettre d’en mesurer les conséquences
et d’être en mesure de les contrer à l’avenir et d’établir un plan d’action adapté.
Question 14 : Comment s’articule la relation entre le risque manager, l’audit interne et les autres fonctions
des entreprises?

La relation entre le risque management, l'audit interne et les autres fonctions des entreprises est
essentielle pour assurer une gestion efficace des risques au sein d'une organisation.

Le risque management est le processus par lequel les entreprises identifient, évaluent et gèrent les
risques auxquels elles sont exposées. Il vise à minimiser les pertes potentielles et à maximiser les
opportunités.

L'audit interne, quant à lui, est une fonction indépendante au sein de l'entreprise chargée d'évaluer et
d'examiner de manière objective les activités de l'organisation. Son rôle est d'assurer l'efficacité des
processus internes, la conformité aux politiques et réglementations, ainsi que la gestion des risques.

Ces deux fonctions travaillent en étroite collaboration pour assurer une gestion efficace des risques.
L'audit interne joue un rôle clé en évaluant l'efficacité des contrôles de gestion des risques et en
identifiant les lacunes potentielles. Il fournit également des recommandations pour améliorer la gestion
des risques.

D'autre part, les autres fonctions de l'entreprise, telles que la finance, les opérations, les ressources
humaines, la conformité et la sécurité, ont également un rôle à jouer dans la gestion des risques. Elles
doivent intégrer les pratiques de gestion des risques dans leurs activités quotidiennes et collaborer avec
le département de risque management et d'audit interne pour assurer une approche globale et cohérente
de la gestion des risques.

Résumé par point : Dans le monde des entreprises, la gestion des risques est une démarche qui consiste
à identifier, prévenir et résoudre les risques qui peuvent surgir dans le cadre des activités d'une
entreprise en raison de son organisation, de son personnel ou encore de sa politique économique.

la relation entre le risque management, l'audit interne et les autres fonctions des entreprises est
collaborative et interdépendante. Ensemble, elles travaillent à identifier, évaluer et gérer les risques pour
assurer la pérennité et la réussite de l'organisation.

- Le risque management est le processus de gestion des risques au sein d'une entreprise.

- L'audit interne est une fonction indépendante chargée d'évaluer et d'examiner les activités de
l'organisation.

- Le risque management et l'audit interne collaborent pour assurer une gestion efficace des risques.

- L'audit interne évalue l'efficacité des contrôles de gestion des risques et fournit des recommandations
d'amélioration.

- Les autres fonctions de l'entreprise, comme la finance, les opérations, les ressources humaines, etc.,
ont également un rôle à jouer dans la gestion des risques.

- Les autres fonctions doivent intégrer les pratiques de gestion des risques dans leurs activités et
collaborer avec le département de risque management et d'audit interne.

- L'objectif commun est d'identifier, évaluer et gérer les risques pour assurer la pérennité et la réussite de
l'organisation.

Le risque manager est un gardien de méthode , un animateur, un chef d’orchestre( capitalise le tout et
rend compte à l’administration) il doit assurer que les

Les autres fonctions de l’entreprises participation à l’identification des risques

Question 15 : Quels sont les différents instruments de réduction des risques ?

PAS DE RETOUR
Question 16 : Quel est le rôle de l’assurance dans le traitement des risques ? Quelles sont les autres
stratégies de traitement ?
L'assurance joue un rôle essentiel dans le traitement des risques en offrant une protection financière
contre les événements imprévus. Voici quelques points clés concernant le rôle de l'assurance dans le
traitement des risques :

1. Transfert des risques : L'assurance permet le transfert des risques financiers liés à des événements
indésirables d'un individu ou d'une organisation à une compagnie d'assurance. En souscrivant une police
d'assurance, l'assuré transfère la responsabilité financière à l'assureur en échange du paiement d'une
prime.

2. Protection contre les pertes financières : L'assurance offre une protection financière en cas de
réalisation d'un risque couvert par la police. Si un sinistre se produit, l'assureur indemnise l'assuré, ce qui
permet de réduire ou de compenser les pertes financières subies.

3. Atténuation des conséquences : L'assurance contribue à atténuer les conséquences négatives des
risques en offrant une assistance financière pour réparer ou remplacer des biens endommagés, couvrir
des frais médicaux ou juridiques, ou compenser des pertes de revenus, par exemple.

4. Encouragement à la prévention des risques : Les compagnies d'assurance ont également un intérêt à
promouvoir la prévention des risques. En offrant des réductions de primes ou des incitations financières
pour la mise en place de mesures préventives, elles encouragent les assurés à adopter des
comportements et des pratiques qui réduisent les risques.

5. Stabilité économique : L'assurance contribue à la stabilité économique en permettant la gestion et la

répartition des risques. En assumant les risques pour de nombreux assurés, les compagnies d'assurance
répartissent les pertes financières de manière plus équilibrée, ce qui contribue à maintenir la stabilité des
entreprises et de l'économie dans son ensemble.

Il est important de noter que l'assurance ne supprime pas les risques, mais elle en limite les
conséquences financières. Elle offre une tranquillité d'esprit et une protection financière aux individus et
aux organisations, leur permettant de faire face aux aléas de la vie et de poursuivre leurs activités malgré
les risques inhérents.

Pour illustrer le rôle de l'assurance dans le traitement des risques, prenons l'exemple de l'ouragan Katrina
qui a frappé la côte du golfe des États-Unis en 2005. Cet ouragan dévastateur a causé d'importants
dégâts matériels et humains. Cependant, grâce à l'assurance, de nombreuses personnes et entreprises
touchées ont pu se remettre sur pied plus rapidement. Les polices d'assurance habitation, d'assurance
des entreprises et d'assurance contre les catastrophes naturelles ont permis de couvrir une partie des
pertes et de faciliter la reconstruction.

Cependant, l'assurance n'est pas la seule stratégie de traitement des risques disponible. Il existe d'autres
approches que nous pouvons explorer :

Évitement du risque : Cette stratégie consiste à identifier les risques potentiels et à prendre des mesures
pour les éviter complètement. Par exemple, une entreprise peut décider de ne pas se lancer dans une
activité commerciale risquée pour minimiser l'exposition aux dangers associés.

Réduction du risque : Cette stratégie vise à réduire la probabilité ou l'impact des risques. Des mesures
préventives sont prises pour atténuer les risques identifiés. Par exemple, l'installation de systèmes de
sécurité avancés dans une maison peut réduire le risque de cambriolage.

Transfert du risque : Outre l'assurance, il est possible de transférer les risques à une autre partie. Par
exemple, les contrats de sous-traitance sont souvent utilisés pour transférer une partie des risques
associés à un projet à une autre entreprise.
Rétention du risque : Dans certains cas, il est préférable de retenir le risque et de le gérer en interne.
Cela peut se produire lorsque le coût de transfert ou d'assurance est prohibitif, ou lorsque l'organisation
est mieux équipée pour gérer le risque elle-même.

Diversification : Cette stratégie est souvent utilisée dans les investissements

Question 17 : Comment construire un plan d’action pour traiter un risque considéré comme prioritaire ?
Quelles bonnes pratiques ?
1. Identifier le risque : en Analysant en détail le risque considéré comme prioritaire en évaluant
son impact potentiel sur l’entreprise ou le projet. Par ailleurs on doit aussi Identifiez les
causes sous-jacentes du risque et comprenez ses conséquences possibles.
2. Évaluer les mesures existantes : Évaluez les mesures déjà en place pour atténuer le risque.
Déterminez si ces mesures sont adéquates ou nécessitent une amélioration.
3. Développer des objectifs clairs : Nous devons définir des objectifs clairs et mesurables pour
le plan d'action. Ces objectifs devraient être spécifiques, réalisables et en lien direct avec la
réduction du risque identifié.
4. Identifier les actions spécifiques : Déterminez les actions concrètes à entreprendre pour
atténuer le risque. Nous devons nous Assurez que chaque action est spécifique, réalisable,
mesurable, pertinente et temporellement définie (SMART).
5. Attribution des responsabilités : Nous devons assignez des responsabilités claires à chaque
action. En identifiant les membres de l'équipe ou les parties prenantes qui seront chargés de
mettre en œuvre chaque action et de suivre les progrès
6. Allocation des ressources : Identifiez les ressources nécessaires pour exécuter chaque
action du plan d'action. Cela peut inclure des ressources financières, humaines,
technologiques ou matérielles.
7. Établissement d'un calendrier : nous devons établir un calendrier détaillé pour chaque
action, en indiquant les dates de début et de fin prévues, ainsi que les jalons intermédiaires. Cela
permettra de suivre les progrès et de prendre des mesures correctives si nécessaire
8. Surveillance et suivi : nous devons Mettre en place un système de surveillance et de suivi
régulier pour évaluer l'efficacité du plan d'action. Et devons Identifiez les indicateurs clés de
performance (KPI) pour mesurer les progrès réalisés et ajuster le plan si nécessaire
9. Communication et sensibilisation : Communiquez régulièrement sur le plan d'action aux
parties prenantes concernées. Et Tenir l’équipe informées des progrès réalisés, des défis
rencontrés et des résultats obtenus. On doit également Sensibilisez l'ensemble de
l'organisation à l'importance de la gestion des risques et de l'engagement envers le plan
d'action.
10. Révision et amélioration continue : on doit régulièrement Effectuez des révisions du plan
d'action pour évaluer son efficacité et apporter des améliorations si nécessaire.
Tesla, Inc., le fabricant de véhicules électriques et de solutions de stockage d'énergie. L'un des risques
prioritaires auxquels Tesla est confronté est la sécurité des véhicules autonomes et la confiance des
consommateurs dans cette technologie émergente
1. Identification du risque : Tesla reconnaît que la sécurité des véhicules autonomes est un
risque majeur pour l'industrie automobile et pour la confiance des consommateurs.
2. Évaluation des mesures existantes : Tesla dispose de systèmes de sécurité avancés
dans ses véhicules autonomes, mais reconnaît que des améliorations sont nécessaires pour
renforcer la confiance des consommateurs.
3. Développement d'objectifs clairs : L'objectif de Tesla est d'améliorer en permanence la
sécurité de ses véhicules autonomes et de s'assurer que les consommateurs ont une
confiance absolue dans la technologie.
4. Identification des actions spécifiques : Tesla investit massivement dans la recherche et le
développement de nouvelles fonctionnalités de sécurité, de logiciels et d'algorithmes pour
améliorer constamment la sécurité des véhicules autonomes.
5. Attribution des responsabilités : L'équipe de recherche et développement de Tesla est
chargée de mettre en œuvre les actions spécifiques pour améliorer la sécurité des véhicules
autonomes.
6. Allocation des ressources : Tesla alloue des ressources financières, humaines et
technologiques pour soutenir la recherche et le développement de nouvelles fonctionnalités
de sécurité.
7. Établissement d'un calendrier : Tesla établit des jalons et des délais pour la mise en œuvre
des nouvelles fonctionnalités de sécurité, ainsi que pour les tests et la validation.

8. Surveillance et suivi : Tesla effectue des tests rigoureux, des audits internes et collecte des
données en temps réel pour surveiller les performances des fonctionnalités de sécurité et
prendre des mesures correctives si nécessaire.

9. Communication et sensibilisation : Tesla communique régulièrement sur les progrès réalisés

en matière de sécurité des véhicules autonomes, en mettant l'accent sur la transparence et la
responsabilité.

10. Révision et amélioration continue : Tesla révise en permanence ses processus, sa

technologie et ses pratiques en matière de sécurité pour s'assurer qu'elle reste à la pointe de
l'innovation et de la sécurité dans l'industrie des véhicules autonomes.