LA CARTOGRAPHIE DES

RISQUES

Présenté le 18 février 2020 par le Groupe 4

MASTER II EN AUDIT ET CONTRÔLE DE GESTION 2019-2020
 SOMMAIRE
 I-Définition  Fatoumata Maïga
 II- Objectif  Oumou Diallo
 III-Méthode d’élaboration  Moulaye Y Keïta
 P1: identification des risques  Madani Diallo
 P2: Evaluation et hiérarchisation des  Aboubakare S Diakité
risques
 Boubacar Sylla
 P3: Traitement des risques
 Mohamed Coulibaly
 I- La définition du cartographie des risque

Risque: évènement (externe ou interne) résultant d’une

action ou d’une inaction, d’une opportunité, susceptible
de se produire et de nature à avoir un impact surtout
négatif sur la réalisation des objectifs d’une entité.
La cartographie des risques est un outil de l’audit interne
qui permet de recenser les risques majeurs d’une
organisation et de les présenter de façon synthétique sous
forme hiérarchisée.
 II- Les objectifs du cartographie des risques

 inventorier, évaluer et classer les risques de l’organisation ;

 informer les responsables afin que chacun soit en mesure d’y adapter le
management de ses activités ;
 permettre à la direction générale, et avec l’assistance du risk manager,
d’élaborer une politique de risque qui va s’imposer à tous :
aux responsables opérationnels dans la mise en place de leur système de
contrôle interne ;
aux auditeurs internes pour élaborer leur plan d’audit, c’est-à-dire fixer
les priorités.
III-Méthodologie d’élaboration du cartographie des
risques

Traitement des risques

Evaluation et hiérarchisation des risques

Identification des risques

Première étape : Identification des risques

On liste toutes les natures de risques susceptibles d’être rencontrées dans l’organisation.
Cette liste sera plus ou moins détaillée selon que l’on souhaite dresser une cartographie
plus ou moins sommaire.

Exemple d’une nomenclature élémentaire :

• Risques sociaux.
• Risques financiers.
• Risques informatiques.
• Risques technologiques.
• Risques de transports.
• Risques commerciaux.
• Risques juridiques.
• Risques politiques.
• Etc.
Cette liste doit couvrir toutes les activités de
l’organisation.
Elle sera plus ou moins détaillée selon les objectifs ;
Le bon sens commande que chaque rubrique soit
dimensionnée de telle façon qu’elle puisse faire l’objet
d’une mission d’audit.
Deuxième étape : Evaluation et hiérarchisation des risques

Cette estimation, présentée sous la forme d’un tableau à double entrée,

va porter sur deux points :
• Appréciation de l’impact du risque (gravité) ;
• Appréciation de la vulnérabilité estimée (fréquence).

1. Très faible 2. Faible 3.Moyenne 4. Forte 5.Très forte

1-Insignifiant 2-Mineur 3-Modéré 4-Important 5-Très important
 Echelle de mesure de l’impacte des risques:
Côte Catégorie Description
1 Insignifiant Très négligeable
2 Mineur Faible

3 Modéré Modérées

4 Important Fâcheuses

5 Très important Très élevées

 Echelle de mesure de la probabilité d’occurrence
Côte Catégorie Description

1 Très faible Quasi impossible

2 Faible Peu de chance

3 Moyenne Possible

4 Forte Très bonne chance

5 Très forte Quasi certitude

 Appréciation globale de chaque risque dans chaque activité
Elle sera le résultat du produit des deux appréciations
spécifiques.
Ainsi on dira pour le risque informatique de la
trésorerie :
Gravité : 3
Vulnérabilité : 1
D’où le risque informatique de la trésorerie : 3 × 1 = 3
 Impact des risques
Risque Description Impact Côte

R1 Risque financier Mineur 2

R2 Risque sociaux Modéré 3

R3 Risque informatique Très important 5

R4 Risque GRH Important 4

 Probabilité d’occurrence des risques
Risque Description Probabilité Côte

R1 Risque financier Faible 2

R2 Risque sociaux Moyenne 3

R3 Risque informatique Moyenne 3

R4 Risque GRH Très forte 5

 Calcul du risque spécifique de chaque activité/fonction

L’appréciation sera égale au cumul de tous les

coefficients identifiés pour chaque risque et
concernant cette activité.
 La matrice des risques:
Risque Description Probabilité Côte Impact Côte Criticité
(P*I)

R1 Risque financier Faible 2 Mineur 2 4

R2 Risque sociaux Moyenne 3 Modéré 3 9

R3 Risque Moyenne 3 Très important 5 15

informatique

R4 Risque GRH Très forte 5 Important 4 20

 Définition des indicateurs de la cartographie des risques
couleur Risque Intervalle de criticité Action

Réduit De 1 à 4 Pas de dispositions

nécessaires

Moyen De 5 à 9 Risques à suivre

Elevé De 10 à 15 Dispositions nécessaires
pour le réduire le risque

Inacceptable De 16 à 25 Des dispositions d’urgence

sont nécessaires pour le
réduire
 Probabilité Présentation graphique

5-Très forte

4-Forte R4

3-Moyenne R2 R3

2-Faible R1

1-Très faible

Gravité
1-insignifiant 2-Mineur 3-Modéré 4-Important 5-Très important
 Troisième partie: Traitement des risques
Le traitement des risques est mis en œuvre par référence à l’appétence
pour le risque de votre organisation, qui représente le niveau de risque
maximum que l’organisation est prête à prendre en vue d’atteindre ses
objectifs.

La définition de l’appétence pour le risque de votre organisation relève

de la responsabilité du Conseil d’Administration.

Le traitement de vos risques peut prendre 4 formes principales :

- La Prévention 
Qui consiste à empêcher ou réduire les chances que
l’événement de risque redouté se produise.

Cette méthode permet donc de diminuer la probabilité

d'occurrence du risque en diminuant ou supprimant certains
des facteurs de risque.
- La réduction 

Qui consiste à diminuer les conséquences potentielles de

l’événement.

Cette méthode permet donc de minimiser l’impact de

l’événement lorsque l'on ne peut agir sur le facteur de risque
lui-même, mais que l'on peut agir sur ses conséquences.
- Le Transfert 

Qui permet de transférer tout ou partie du risque sur un tiers.

Cette méthode ne permet de réduire ni la probabilité ni les
conséquences du risque. C'est le cas typique des contrats
d'assurance, qui n'empêchent ni ne limitent les conséquences
des accidents, mais permettent de traiter les conséquences des
préjudices subis au travers d'un dédommagement.
-L’acceptation
Intervient lorsque le risque est trop faible pour justifier les
coûts liés à la mise en place d’une action de réduction, de
prévention ou de transfert. Typiquement, les risques acceptés
par votre organisation devraient être ceux dont l’impact et la
probabilité de survenance sont en dessous de son appétence
pour le risque. L’acceptation consiste donc à ignorer purement
et simplement le risque.