A.S.C.

CARTOGRAPHIE DES RISQUES DES

MINISTERES

Moussa YAZI 26-27 fvrier 2013

 Objectifs
2

Cerner les concepts de contrle interne, de

risque et de cartographie des risques.

Savoir drouler une mission de cartographie

des risques.
 Contenu
3

1. Introduction: le contrle interne.

2. Dfinition et classification des risques.

3. Dfinition, objectifs et utilit de la

cartographie des risques.

4. Dmarche de cartographie des risques.

4

.1.
Introduction
 Le contrle interne
5

Le contrle interne est un systme (ensemble de

dispositifs), un processus (ensemble dactivits) mis en
uvre par les organes, les dirigeants et le personnel dune
organisation, destin fournir une assurance raisonnable
quant la ralisation des objectifs suivants :
1. la protection et la sauvegarde du patrimoine;
2. la matrise des risques;
3. la ralisation et loptimisation des oprations;
4. la qualit des informations;
5. la conformit aux lois, aux rglementations, aux
procdures en vigueur (Adapt du COSO).
 Les lments du systme de contrle interne
Les principes du contrle interne
Organisation, intgration,
6
permanence, universalit,
Objectifs du contrle interne indpendance, information,
harmonie ou dadquation,
Bonne image auprs des prvision, qualit du personnel
parties prenantes:
1. Matrise des risques.
2. Protection du patrimoine.
3. Qualit de linformation. Les composantes du contrle interne
4. Amlioration des Environnement de contrle
performances. Management des risques (dfinition des
5. Conformit aux lois, objectifs, identification des vnements,
rglements, directives, valuation des risques, traitement des
procdures risques)
Activits de contrle
Information et communication
Pilotage.
 Les principes du contrle interne
7

1. Le principe dorganisation
2. Le principe dintgration
3. Le principe de permanence
4. Le principe duniversalit
5. Le principe dindpendance
6. Le principe dinformation
7. Le principe dharmonie ou dadquation
8. Le principe de prvision
9. La qualit du personnel
 Composantes du contrle interne/Management des
risques
8

Selon le COSO 1: ICIF Selon le COSO 2: ERM

1. Environnement de contrle 1. Environnement de contrle
2. valuation des risques
2. Dfinition des objectifs
3. Identification des
risques/vnements;
4. Evaluation des risques
5. Traitement des risques
6. Activits de contrle
3. Activits de contrle
4. Information et communication 7. Information et communication
5. Pilotage. 8. Pilotage.
9

.2.
Dfinition et classification des risques
 Dfinition du risque
10

Risque: tout vnement, comportement ou situation

susceptible de provoquer un dommage non ngligeable
lorganisation et/ou de lempcher de raliser ses objectifs
ou de maximiser ses performances ou de saisir une
opportunit.
Risque: loccurrence dun fait imprvisible ou plus ou
moins certain susceptible daffecter les membres, le
patrimoine, lactivit de lorganisation et de modifier son
patrimoine et/ou ses rsultats.
Risque: vnement (externe ou interne) rsultant dune
action ou dune inaction, dune opportunit, susceptible de
se produire et de nature avoir un impact surtout ngatif
sur la ralisation des objectifs dune entit.
 Le risque oprationnel
11

Risque de perte directe rsultant dune

inadquation ou dune dfaillance attribuable
des personnes, des procdures, des systmes
mis en place et des vnements extrieurs.

Ce qui donne 4 sources de risques:

-Dfaillance due aux processus.
-Dfaillance due aux personnes.
-Dfaillance due aux systmes dinformation.
-Dfaillance due aux vnements extrieurs
 Elments cls des dfinitions
12

Facteurs ou sources de risques : internes

(processus, ressources humaines, systmes
dinformation) ou externes (opportunits saisir,
menaces grer).
Ces facteurs imprvisibles sont plus ou
moins certains : notion de probabilit.
Et ont des consquences diverses :
incapacit/impossibilit saisir une
opportunit, impact sur lefficacit, le
patrimoine, etc. : notion dimpact.
 Classification des risques selon leur nature
13

1. Risque inhrent (environnement).

2. Risque de non contrle (dispositifs de contrle

interne).

3. Risque de non dtection ou daudit (procdures

daudit).

4. Risque rsiduel (gestion des risques).

5. Risque cible (niveau acceptable/tolrable).

 Risques inhrents
14

1. Risque client/produit.
2. Risque dimage.
3. Risque accidentel (risque dinscurit physique).
4. Risque terroriste.
5. Risque de malversation (risque de dtournement, de
collusion ou de vol).
6. Risque de traitement des oprations (risque
oprationnel).
7. Risque rglementaire (risque fiscal, juridique).
8. Risque dontologique (risque li au non respect des
rgles dontologiques).
 Risques inhrents
15

10. Risque stratgique (risque de politique gnrale).

11. Risque dinsuffisance fonctionnelle (risque li
lorganisation).
12. Risque sur la gestion du personnel (risque humain, social).
13. Risque ergonomique (risque li aux conditions de travail).
14. Risque environnemental.
15. Risque dexternalisation (risque de dpendance ou de
sous-traitance).
16. Risque de dpendance technologique.
17. Risque de communication.
Adapt de Maders & Masselin (2006: 10-18)
16

.3.
Dfinition, objectifs et utilit de la
cartographie des risques
 Dfinition de la cartographie des risques
17

La carte des risques est un document permettant

de recenser les principaux risques dune
organisation et de les prsenter synthtiquement
sous une forme hirarchise pour assurer une
dmarche globale dvaluation et de gestion des
risques.
 La cartographie des risques
18

La cartographie des risques est la fois un

outil :
de gestion des risques,

de gestion des ressources,

et de communication.
19
Objectifs de la cartographie des risques
Il sagit:
1. dvaluer les risques identifis en termes de
connexit, dimportance et de probabilit ;
2. de calculer le score de chaque risque ;

3. de classer, de comparer et de hirarchiser les

risques entre eux;
4. de dfinir un plan daction de management des

risques en fonction des ressources disponibles;

5. den assurer le suivi ;

6. de communiquer les informations sur les risques de

lorganisation aux dirigeants.
 Motivation pour cartographier les risques

1. Plan daudit: pilotage de la gestion des risques en

identifiant les domaines dactions prioritaires,
programmation/rationalisation des missions daudit.

2. Rfrentiel danalyse des risques.

3. Communication/reporting en matires de risques.

4. Rglementation professionnelle: approche par les

risques.

5. Pressions de la gouvernance et du Comit daudit.

 Utilit de la cartographie des risques
21

La carte des risques sert de rfrentiel pour :

Ltablissement des plans daudit/contrle (plan
pluriannuel, plan annuel et planning annuel des
missions).
Ltablissement de plans (stratgiques et
oprationnels) de gestion globale de risques.
Lallocation stratgique des ressources, en fonction
des risques prioritaires.
La dtermination des axes de communication interne
et externe relative la gestion des risques.
Rfrentiel danalyse permettant de choisir la
dmarche adopter en matire de gestion des risques.
22

.4.
Elaboration de la carte des risques
 Aperu de la dmarche dlaboration dune
cartographie des risques
23

ELABORATION DUNE CARTOGRAPHIE DES RISQUES

Prparation du projet de cartographie des risques

Description des processus
Identification des risques oprationnels
Evaluation des risques oprationnels
Formalisation de la carte des risques
24

Phase 1.
Prparation du projet de
cartographie des risques
 Phase 1:
Prparation du projet de cartographie des risques
25

Etape 1- Prparation dune mission

dlaboration de la cartographie des risques.
Tches
01 Dfinition du primtre de la cartographie.

02 Analyse des facteurs de spcificit de la

cartographie.
03 Conception de la dmarche dlaboration de
la cartographie des risques.
 Dfinir le primtre:
26

Tout le ministre (cartographie globale), quelques

uns de ses dmembrements (cartographie
sectorielle ou thmatique), ou uniquement un
projet pilote?

tous types de risques ou des risques spcifiques?

 Constituer une quipe
27

chef de mission ;

autres membres de lquipe ;

comit de suivi ;

rle de chacun.
 Formaliser la commande sous forme de projet
28

partager les termes de rfrence pour llaboration

de la cartographie des risques avec lquipe;
dfinir des objectifs;
prparer un planning dtaill;
prciser la forme et le contenu de la carte des
risques;
prparer un budget;
tablir lordre de mission.
 Facteurs de spcificit dune dmarche de
cartographie des risques
1. Lactivit de lorganisation (risques inhrents).
2. Les objectifs de lorganisation ou de lactivit (risques
pouvant compromettre latteinte des objectifs).
3. Laversion aux risques/niveau de tolrance des risques
(niveaux/risques acceptables).
4. les motivations de la cartographie des risques (utilisations).
5. le primtre (dlimitation) de la cartographie des risques
(globale, sectorielle, projet pilote).
6. Les mthodes didentification et dvaluation des risques
mettre en uvre.
7. Le systme existant de contrle des risques
30

Phase 2.
Description du processus
 Phase 2
Description du processus
31

Etape 1- Prparation de la description des

processus.
Tches

01 Cibler les processus.

02 Choisir la mthode de description des processus.

 Phase 2
Description du processus
32

Etape 2- Description dtaille des processus.

Tches
01 Description du processus.
02 Description de lidentit des processus.
03 - Collecte des donnes entres du processus dcrire
04 Collecte des donnes sorties du processus dcrire

04 - Collecte des donnes marche du processus dcrire

05- Collecte des donnes pilotage du processus dcrire

06 Harmonisation des liaisons entre les processus.
 Lapproche processus
33

De nos jours, laudit (et donc la cartographie des risques).

Le processus est un ensemble dactivits qui senchanent

pour un objectif atteindre et qui se traduisent par un
rsultat.

Dans toute organisation, lon peut identifier:

les processus de ralisation ou mtiers;

les processus de support (soutien technique);

les processus de pilotage (soutien administratif).

 Processus activits - tches
34

Tches Activits Processus

 Mthodes de description des processus
35

la mthode du plus grand au plus petit qui

consiste partir des processus pour aboutir aux
tches en passant par les activits

La mthode du plus petit au plus grand : plus

difficile que la premire, elle consiste
regrouper les tches homognes en activits,
puis les activits en processus.
 Description des processus
36

La notion de processus est relative car elle dpend

du niveau de dtails recherchs. En effet, lquipe a
la possibilit de faire une dcomposition multi-
niveaux.
Mga processus
Processus lmentaire
Sous processus
Macro-activits
Activits
Tches
Oprations.
 Description narrative des processus
37

Dcrire le processus, de faon narrative, selon

la mthode de description retenue, en faisant
ressortir les activits squentielles (ou tapes
principales du processus).

Dcrire les tches constitutives de chaque

activit.

Etablir le dictionnaire des activits

 Formaliser les fiches des processus
38

Identit du processus

Donnes Entres

Donnes Sorties

Donnes Marche

Donnes Pilotage .
39

Phase 3.
Identification des risques
 Phase 3
Identification des risques
40

Etape 1 - Choix des techniques et des outils

appropries didentification des risques.
Tches

01 Choisir la combinaison des techniques la plus

approprie

02 Choisir et concevoir les outils didentification

des risques.

03 Identifier les risques.

 Les approches didentification des risques
41

1. La dmarche top-down
Auditeurs, Risk managers Oprationnels

2. La dmarche bottom-up
Oprationnels Auditeurs, Risk managers

3. La dmarche combine
Combinaison des deux premires dmarches.

4. Approche par le benchmarking :

Collecte des meilleures pratiques en matire de
gestion des risques. Elle permet davoir une ide
gnrale des risques prendre en compte
 Approches retenues?
42

Approche Retenue?

Top-down

Bottom-Up

Combine

Benchmarking
 Les techniques didentification des risques
43

1. Identification base sur les actifs crateurs de

valeurs (risques associs aux actifs intangibles =
quon ne doit pas altrer, modifier, entamer ).( les
valeurs, les relations, limage, le code dontologique,
code dthique, lorganisation, les schmas
informatis.
2. Identification base sur latteinte des objectifs (un
risque peut empcher latteinte des objectifs; ces
derniers sont dabord dfinis, avant de leur associer les
menaces pesant sur eux): SMART=Spcifique,
Mesurable, Atteignable, Raliste situ dans le Temps.
3. Identification base sur les check-lists: liste dj
prconue qui numre lensemble des risques
possibles afin de voir si chaque risque concerne lentit
ou pas.
 Les techniques didentification des risques
44

4. Identification par analyse historique:

identification en se basant sur les risques
oprationnels dj survenus au sein de lentit.
5. Identification base sur lanalyse de
lenvironnement (menaces de lenvironnement
conomique, technologique).
6. Identification par analyse des activits:
dcomposition des processus en activits
identification des risques associs (consquences
potentielles de la non/mauvaise excution des
tches.
 Choix des techniques didentification des
risques dans le cadre de la prsente mission
45

Techniques didentification des risques Retenue?

Identification base sur les actifs crateurs de

valeurs
Identification base sur latteinte des objectifs

Identification base sur les check-lists

Identification par analyse historique

Identification base sur lanalyse de

lenvironnement
Identification par analyse des activits
 Typologie des risques inhrents
46

1. Risque client/produit (risque sur le lancement de produit ou

risque concurrentiel;
2. Risque de stratgie (risque sectoriel, risque li la stratgie
de positionnement);
3. Risque dimage commerciale (risque de politique
commerciale);
4. Risque accidentel (risque dinscurit physique);
5. Risque terroriste;
6. Risque de malversation (risque de dtournement, de
collusion ou de vol);
7. Risque de traitement des oprations (risque oprationnel);
 Risques inhrents
47

10. Risque rglementaire (risque fiscal, pnal);

11. Risque dontologique (non respect des rgles
dontologiques);
12. Risque stratgique (risque de politique gnrale)
13. Risque dinsuffisance fonctionnelle (li lorganisation);
14. Risque sur la gestion du personnel (risque humain, social);
15. Risque ergonomique (risque li aux conditions de travail);
16. Risque environnemental;
17. Risque dexternalisation (risque de dpendance ou de
sous-traitance);
18. Risque de dpendance technologique;
19. Risque de communication (Maders & Masselin, 2006: 10-18)
 Choisir les outils didentification des
risques
48

le questionnaire;

lentretien individuel ;

lentretien de groupe (focus group);

le brainstorming;

les tableaux didentification des risques.

 Identification des risques
49

Inventorier les risques (avec les outils retenus

selon les techniques didentification choisies).
En faire la synthse.
Eliminer les risques les moins pertinents et les
redondances.
Catgoriser ventuellement les risques.
Codifier les risques laide de code
alphanumrique. Exemple : R01, R02
Valider et tablir la liste finale des risques par
processus.
 Modle de tableau didentification des risques
50

Tableau didentification des risques

Activits (ou Risques ou
tapes problmes
principales)

Processus 1