Vous êtes sur la page 1sur 50

CENTRE AFRICAIN DÉPARTEMENT BANQUE &

D’ETUDES FINANCE – COMPTABILITÉ,


SUPÉRIEURES EN CONTRÔLE & AUDIT
GESTION
BF – CCA
(CESAG)

MODULE

GOUVERNANCE D’ENTREPRISE, COSO & CONTRÔLE


INTERNE

CAHIER N°5

EVALUATION, HIÉRARCHISATION ET RESTITUTION DES RISQUES

Présenté par : Youssouf DIAGANA


EVALUATION &
HIÉRARCHISATION
ET RESTITUTION DES
RISQUES
Au niveau du référentiel, la 4ème
composante du COSO porte
uniquement sur l’évaluation des
risques.

Au niveau pratique et dans le présent


support, l’évaluation est traitée au sens
large; c’est-à-dire qu’elle également
comprend la hiérarchisation et la
restitution (présentation finale des
résultats de la cartographie aux
différents destinataires).
Elle constitue la phase préalable à la
mise en œuvre du contrôle interne.
II.6 FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS

 Modèles probabilistes

Les modèles probabilistes associent une probabilité d’occurrence à un certain nombre


d’événements et à leur impact, sur la base de certaines hypothèses.

La probabilité d’occurrence et l’impact résultant d’un événement sont évalués sur la


base de données historiques ou de simulations fondées sur des hypothèses de
comportement futurs.

Parmi les modèles probabilistes, citons la « valeur en risque » (« Value at Risk », VaR),
les « résultats en risques » (« earning at risk »), les « flux de trésorerie en risque »
(« cash flow at risk ») ainsi que les développements de modèles de distribution des
pertes opérationnelles et de crédit.

Les modèles probabilistes peuvent être utilisés pour différents horizons temporels,
pour fournir des mesures telles que, par exemple, des fourchettes de valorisations
d’instruments financiers dans le temps. Ils peuvent également servir à évaluer les
résultats attendus ou les résultats moyens par comparaison avec des impacts
inattendus ou extrêmes.
II.6 FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS
DES RISQUES
 Modèles non probabilistes:

Les modèles non probabilistes utilisent des hypothèses subjectives afin d’estimer
l’impact d’événements, sans en quantifier la probabilité d’occurrence. L’évaluation de
l’impact se fonde alors sur des données historiques ou sur des simulations construites
à partir d’hypothèses de comportements futurs. Parmi les modèles non probabilistes,
citons les mesures de la sensibilité, la simulation du stress (ou Stress Test) et l’analyse
du scénarii.

(*) ERM : Entreprise Risk Management Framework


II.6 FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS
L’horizon temporel utilisé pour évaluer les risques doit être cohérent
avec celui de la stratégie de l’organisation ou celui de l’objectif
spécifique concerné.

 Sources des données


 La probabilité d’occurrence et l’impact du risque sont souvent estimés à
partir de données historiques, qui constituent une base plus objective
que de simples estimations.
 Les données générées en interne basées sur l’expérience de
l’organisation sont moins sujettes à des biais liés à la subjectivité des
personnes et donnent de meilleurs résultats que les données provenant
de source externe. Cependant, les données externes peuvent être utiles
pour servir de point de référence ou pour renforcer l’analyse.
 Les données historiques issues de l’expérience et du vécu de
l’organisation présentent toutefois l’inconvénient de ne pas prendre en
compte les évolutions de l’environnement interne et externe. Les
données historiques ne sont exploitables en l’état que dans un contexte
iso-environnement.
II.6 FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS

 TECHNIQUES D’ÉVALUATION

 La méthodologie d’évaluation des risques d’une organisation s’appuie


sur un ensemble de techniques qualitatives et quantitatives.

 Les techniques d’évaluation qualitatives sont souvent utilisées lorsque


les risques ne se prêtent pas à une quantification ou qu’il n’ya pas
suffisamment de données fiables pour effectuer une évaluation
quantitative ou encore lorsqu’il n’est pas possible d’obtenir ou
d’analyser ces données moyennant un coût raisonnable.

 Les techniques quantitatives sont habituellement plus précises et sont


utilisées dans des activités plus complexes et sophistiquées afin
d’apporter un complément aux techniques qualitatives.
II.6 FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS

 La mise en œuvre des techniques d’évaluation nécessite en règle


générale un investissement et une rigueur plus importants, et requiert
parfois l’utilisation de modèles mathématiques.

 La fiabilité de ces techniques repose largement sur la qualité des


données et des hypothèses sous-jacentes du modèle aussi
conviennent-elles mieux aux événements pour lesquels l’entité
dispose de suffisamment de données historiques pour pouvoir établir
des prévisions fiables.

(*) ERM : Entreprise Risk Management Framework


II.6 FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS

— Quelques techniques d’évaluation quantitatives des risques

 Benchmarking :

Il s’agit d’un processus d’échange d’informations au sein d’un groupe


d’entités qui repose sur des critères communs. Il porte sur des événements,
des processus spécifiques ou sur la comparaison de mesures et de résultats
et permet d’identifier des opportunités d’amélioration.

Les données collectées sur les événements, les processus et les indicateurs
de mesure sont utilisées pour comparer la performance des entités.
Certaines entités ont recours au benchmarking pour évaluer la probabilité de
survenance et l’impact de certains événements dans le secteur d’activité.

(*) ERM : Entreprise Risk Management Framework


FONDAMENTAUX DE L’ÉVALUATION DES RISQUES : ASPECTS
CONCEPTUELS

 Estimation de la probabilité et de l’impact des risques

 L’incertitude relative aux événements potentiels porte sur


leur probabilité d’occurrence et leur impact.

 La probabilité représente la possibilité qu’un événement


donné survienne, tandis que l’impact en représente les
conséquences.

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE : ASPECTS PRATIQUES

L’évaluation des risques est organisée autour de trois (3) piliers :

 les modalités (Évaluation collective, individuelle, en atelier, etc.),

 les principes d’évaluation,

 les échelles d’évaluation.

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE : ASPECTS PRATIQUES
INDIVIDUELLE COLLEGIALE
Amener l’évaluateur à « challenger » sa
Amener l’évaluateur à fournir son analyse et sa perception du risque au sein d’un
Principes perception personnelle du risque groupe (service, département, etc.) et de
contribuer à une perception collective.
Indépendance, objectivité et compétence de
Conditions de succès l’évaluateur
Equilibre entre les parties prenantes

Permet à chaque évaluateur de se prononcer


Avantages de manière individuelle sur sa perception du Correction mutuelle des biais individuels
risque
Prédominance de certains avis pas
Possibilité de biais individuel (*) par un
Inconvénients évaluateur
toujours plus pertinents (pour des
causes de hiérarchie généralement)

Quelle formule retenir ? Seul le contexte déterminera l’option la plus adaptée.

 Au plan pratique, lorsque le choix se porte sur l’évaluation individuelle, elle peut se faire simultanément
avec l’interlocuteur ou l’expert métier pendant l’entretien d’identification des risques.
 L’évaluation collective nécessite, en revanche beaucoup plus de préparation (matrice des évaluateurs,
fiche d’évaluation, planification des ateliers, centralisation et traitement des données d’évaluation, etc.);
elle se fera donc hors entretien d’identification.
 L’évaluation collective sera privilégiée lorsque plusieurs experts métiers peuvent avoir un avis pertinent
sur un domaine (process, fonction, thématique, etc.); par contre, dans un contexte où les compétences ou
la maîtrise des différents sujets ont un caractère exclusif (limitée à une personne), l’évaluation individuelle
sera privilégiée.
(*) Le biais d’évaluation se définit comme une erreur de jugement ou d’appréciation par l’évaluateur
CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE : ASPECTS PRATIQUES

— Encadrement des évaluations


Les personnes devant coter les risques lors des ateliers d’évaluation sont encadrées afin
d’obtenir des résultats comparables et de limiter d’éventuelles dérives.

— Droit d’arbitrage (des évaluations)


L’équipe projet peut le cas échéant proposer une modification des cotations si elle estime
qu’un risque a été sous-évalué ou surévalué par les participants. Toute modification par
l’équipe projet est bien évidemment traçable et fondée (par exemple, la connaissance
d’une évolution d’un élément de l’environnement inconnu de l’évaluateur).

— Hiérarchisation
Les risques sont hiérarchisés selon leur criticité (produit de leur gravité moyenne et de leur
probabilité d’occurrence moyenne) et présentés sous forme de top 5 ou top 10 ou top n.

— Restitution graphique
Les risques sont ensuite positionnés sur des matrices de criticité permettant de déterminer
le profil de risque de l’entreprise et d’en fournir une visualisation à l’instant t.
CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE : ASPECTS PRATIQUES

Étape 1 : EVALUATION DU NIVEAU DE RISQUE BRUT

— Dans cette formule, il est demandé à l’évaluateur de se prononcer respectivement


sur le niveau de probabilité et de gravité du risque sans tenir compte des dispositifs
de contrôle mis en place (préventif, détectif, curatif).
— Cette évaluation permet à l’organisation de connaitre ce que serait son niveau
d’exposition et de vulnérabilité si aucun effort n’était réalisé en matière de contrôle
interne et de maîtrise des risques.
— Dans cette formule, une campagne de collecte des dispositifs de contrôle dans un
deuxième temps (sous forme d’accompagnement à l’auto évaluation du contrôle
interne ou de mission d’audit).

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE : ASPECTS PRATIQUES

Étape 2 : EVALUATION DU NIVEAU DE RISQUE RÉSIDUEL

Ce schéma d’évaluation s’effectue en trois temps :

— Étape 1 – Détermination du Niveau de risque brut : Il est demandé à l’évaluateur de


se prononcer respectivement sur le niveau de probabilité et de gravité du risque sans
tenir compte des dispositifs de contrôle mis en place (préventif, détectif, curatif).

— Etape 2 – Identification & analyse des contrôles : Il lui est demandé de renseigner
tous les dispositifs de contrôle et d’apprécier leur niveau de maturité conceptuelle et
ce, sur une base déclarative. La prise en compte d’un dispositif obéit à 3 conditions :
Existence – Mise en œuvre – Mise à jour. L’objectif, à ce stade de la démarche, n’est
pas d’effectuer des tests sur les contrôles (tâche dévolue à l’audit).

— Étape 3 – Détermination du niveau de risque résiduel : Sur la base de la criticité brute


et de l’efficacité du contrôle, l’équipe projet ou le risk manager établit le niveau de
risque résiduel sur la base des principes de détermination du risque résiduel
préalablement établi (par exemple, un contrôle détectif impacte la Gravité, un contrôle
préventif impacte la Probabilité.
CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES
PRINCIPES EXPLICATIONS

L’évaluation des risques est une étape centrale du management des risques. Le résultat de ce travail
Principe 1 déterminera les grandes orientations du management des risques (stratégie, politique, etc.) et constituera
le socle du travail de restitution sur les risques (matrice de criticité,

L’évaluation est individuelle. Il est souhaitable que les données d’évaluation soient le produit d’une
Principe 2 analyse personnelle

L’évaluation des risques n’est pas un travail de notation ou d’appréciation des différents responsables
Principe 3 fonctionnels ou de processus. Il faut nécessairement veiller à ce que ce travail soit le plus objectif
possible

L’appréciation de la probabilité est une estimation très fine des facteurs qui rendent favorable l’apparition
Principe 4 du risque. Il peut s’agir de facteurs internes ou externes.

L’appréciation de la gravité est une estimation très fine des impacts supposés de la survenance du risque
sur la réalisation des objectifs de l’organisation. Il conviendra de ne pas surestimer des risques dont les
Principe 5 impacts sur les objectifs stratégiques ne seraient que « locaux ». De même, il faudra veiller à ne pas
sous estimer des risques

Il est important que chaque évaluateur veille à ne pas tomber dans le piège du « biais cognitif » c’est-à-
dire la tendance à commettre des « erreurs » d’évaluation compte tenu de facteurs subjectifs,
Principe 6 secondaires ou erronés.
Le biais peut porter aussi bien sur l’appréciation du risque que dans celui du contrôle.

Il est important que chaque évaluateur prenne connaissance des règles d’appétence au risque de l’institution
Principe 7 (« quel risque l’institution accepte ? », «  quel risque l’institution n’accepte pas ? », « à quoi correspond le niveaux
maximum de nos échelles : crise majeure ? »)

L’exercice d’évaluation consiste à déterminer le niveau de risque inhérent et ensuite le niveau de risque résiduel sur
Principe 8 la base des dispositifs de contrôles effectivement en place.

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES
PROBABILITE D’OCCURRENCE
et GRAVITE DES CONSEQUENCES
Échelle #1 Échelle #2 Échelle #3 Échelle #4
1 1 1 1
2 2 2 2
3 3 3 3
4 4 4 4
5 5 5
6 6 6
7 7
8 8
9
10

 Avantage : facilite l’évaluation  Avantage : donne un degré de


grâce à un nombre réduit de finesse important à la cartographie
niveaux des risques
 Inconvénient : manque de finesse  Inconvénient : complexifie
dans l’évaluation et réduit l’intérêt l’évaluation à cause d’un grand
de la cartographie des risques nombre de niveaux

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES
EXEMPLE D’ÉCHELLE QUALITATIVE

PROBABILITE D’OCCURRENCE GRAVITE


Exemple Correspondance Exemple Correspondance
d’échelle d’échelle
qualitative qualitative
1 Très peu probable 1 Très peu grave
2 Peu probable 2 Peu grave
3 Moyennement probable 3 Moyennement grave
4 Très probable 4 Très grave
5 Extrêmement probable 5 Extrêmement grave
6 Quasiment certain 6 Crise majeure

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES

L’évaluation (individuelles) des risques est effectuée sur la base d’une distribution
des risques identifiés par les uns et les autres à un échantillon d’évaluateurs, au
maximum de personnes à même d’évaluer le risque, afin d’obtenir une diversité
de points de vue, sur un même sujet :

Process
Process Risque
Risque 11 ::
11 évalué
évalué 33 fois
fois

Process
Process Risque
Risque 22 ::
22 évalué
évalué 33 fois
fois

Process
Process Risque
Risque 33 ::
nn évalué
évalué 11 fois
fois

— La matrice des évaluateurs est un outil de délimitation des périmètres


d’évaluation de chaque évaluateur. Elle permet d’alimenter les fiches
d’évaluation individuelles.

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES

— Des ateliers de cotation des risques sont organisés par ensemble homogène
(Comité de Direction, Unités opérationnelles, divisions, service, département,
équipe projet, etc. ).

— La cotation est réalisée par toutes les personnes identifiées comme étant
compétentes pour évaluer un risque donné, quand bien même elles ne l’auraient
pas identifié.

— La cotation des risques est réalisée suivant deux échelles,

 l’une de gravité potentielle sur une échelle de 1 à 10 par exemple (paire de préférence),
 l’autre de probabilité d’occurrence – tenant compte des dispositifs de maîtrise dores et
déjà en place (l’exercice porte donc sur le risque net, considérant qu’évaluer d’une part
de risque brut et d’autre part l’efficacité du dispositif de maîtrise en place introduit un
biais d’évaluation délicat à maîtriser lors d’une première cartographie.)-, sur le même
type d’échelle.
 Le produit des deux évaluations correspond à la notion de criticité.

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES

— Les personnes devant coter les risques lors des ateliers d’évaluation sont encadrées
afin de limiter d’éventuels biais.

— L’équipe projet peut le cas échéant proposer une modification des cotations si elle
estime qu’un risque a été sous-évalué ou surévalué par les participants. Toute
modification par l’équipe projet est bien évidemment traçable.

— Pour être totalement exploitable, les données d’évaluation brute doivent être
assorties d’une évaluation de la maturité des contrôles. La combinaison de
l’évaluation brute et celle des contrôles permettent de déduire une évaluation du
niveau de risque résiduel correspondant au niveau de vulnérabilité et d’exposition
réelle de l’organisation.

— Les résultats des audits internes permettent ensuite d’enrichir la cartographie avec
de nouveaux risques ou de nouvelles évaluations. C’est la boucle vertueuse Audit
interne/ Management des risques.

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES : MODALITÉS PRATIQUES

Extrait de fiches d’évaluation des risques


Probabilité Gravité des Justification de l'évaluation de la
Sous- d’occurrence conséquences gravité et de la probabilité
Processus Intitulé du risque
processus
(1 à 10) (1 à 10)
   
Péremption des systèmes d’extinction
Sécurité incendie (Exemple : de nombreux
physique et Sécurité extincteurs localisés dans les couloirs
accès ou les salles informatiques ont
dépassés la date limite d’utilisation)

   
Mauvaise utilisation des moyens
d’extinction en raison de mise à jour
de formation ou de compétences
Sécurité
particulières en matière d’extinction
physique et Sécurité
insuffisante (Exemple : de
accès
nombreuses personnes ne savent
plus comment utiliser les systèmes
d’extinctions)
   
Risque que les solutions d’extinction
ne soient pas adaptées aux différents
Sécurité types d’incendies, aux matériels à
physique et Sécurité protéger ou aux lieux concernés
accès (Exemple : arroser les ordinateurs
avec de l’eau au lieu d’utiliser des gaz
suppresseurs comme le Halon).

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES

— Les risques sont hiérarchisés selon leur criticité (produit de leur gravité moyenne
et de leur probabilité d’occurrence moyenne) et présentés sous forme de TOP
5/10/15.
— Les risques sont ensuite positionnés sur des matrices de criticité (nuage de points)
permettant de déterminer le profil de risque de l’entreprise et d’en fournir une
cartographie à l’instant t.
— Dès lors, l’organisation dispose d’un outil de pilotage par les risques, qui lui
permettra d’allouer les ressources aux risques les plus critiques, d’améliorer les
dispositifs de maîtrise des risques et du contrôle interne.

(*) ERM : Entreprise Risk Management Framework


CHOIX ET MISE EN ŒUVRE DE LA MÉTHODE D’ÉVALUATION :
ASPECTS PRATIQUES

L’évaluation consiste à estimer, sur la base d’échelles prédéfinies, la probabilité d’apparition (P)
de chaque risque recensé et à estimer la gravité de leurs conséquences (G) directes et indirectes
sur les objectifs de la société.
— La criticité (C), qui est la mesure agrégée du risque, est le produit de la gravité par la
probabilité => C = P x G.

Probabilité et gravité sont évaluées par tous moyens, et présentent par essence un caractère
subjectif. Néanmoins,
— un risque qui serait déjà survenu, de façon récurrente verra bien évidemment sa
probabilité être forte,
— la gravité d’un risque doit embrasser le plus de paramètres possibles : l’évaluation de la
gravité potentielle d’un risque doit faire référence à la notion de coût complet, autant
que possible et surtout à l’impact sur les objectifs.

L’évaluation d’un risque, notamment en ce qui concerne sa gravité, doit être établie à l’aune de la
dimension de l’organisation qui procède à la cartographie du risque :
— Autrement dit, un risque sera grave s’il risque de remettre en cause d’une façon ou d’une
autre le fonctionnement, la pérennité de l’organisation observée ou la réalisation d’un
objectif critique.
EVALUATION DES RISQUES : APPROCHE QUANTITATIVE

La mise en place d’une évaluation quantitative des risques obéit à des conditions d’applicabilité précises :

Condition 1 : Existence d’un système d’information adéquat

— La valorisation du coût d’un risque nécessite des données comptables en entrée, une comptabilité
analytique permettant des ventilations à de multiples objets de coûts. La disponibilité de cette
information et la flexibilité du SI sont des conditions nécessaires à la faisabilité de la méthode. Notre
système est il apte à déterminer le coût du risque lié à l’arrêt de nos unités industrielles ? Ou la perte
d’une ressource clé ?

Condition 2 : Délimitation d’un périmètre cible

— La 2ème étape de la réflexion consiste à délimiter un périmètre cible. Pour quels processus et pour
quels risques (techniques, organisationnels, financiers, conformité) est il pertinent ou raisonnable de
réaliser une évaluation quantitative des risques ?

Condition 3 : Tous les impacts ne sont pas quantifiables

— Par exemple, le risque de perte d’une ressource clé aura une partie quantifiable (Indemnité de départ
+ Honoraires versés au cabinet de recrutement + Différentiel de salaire défavorable + etc.) et une
partie non quantifiable (perte d’efficacité opérationnelle liée à l’insertion de la nouvelle ressource +
Baisse de motivation des collaborateurs en raison de facteurs d’ordre affectifs + etc.).

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES : APPROCHE QUANTITATIVE

Condition 4 : Existence d’un dispositif d’évaluation du coût du contrôle


— L’évaluation quantitative des risques présente deux avantages majeurs : connaitre le coût global du
préjudice lié à la survenance d’un risque et la réalisation d’arbitrage au regard du coût des contrôles
mis en place pour une meilleure allocation des ressources.

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES : APPROCHE QUANTITATIVE

Exemple d’échelle quantitative des risques

PROBABILITE D’OCCURRENCE
Échelle Qualitative Échelle Quantitative Échelle verbale

1 < 25% Très peu probable


2 25 à 50% Moyennement probable
3 50 à 75% Très probable
4 > 75% Extrêmement probable

GRAVITE MOYENNE DES CONSEQUENCES


Échelle Qualitative Échelle Quantitative Échelle verbale

1 < 500 M Fcfa Mineure


2 500 M Fcfa à 1 000 M Fcfa Modérée
3 1 000 M fcfa à 5 000 M Fcfa Significative
4 > 5 000 M Fcfa Majeure

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES : APPROCHE QUANTITATIVE

Principes de l’évaluation quantitative des risques

— Une gravité exprimée en terme quantitatif signifie l’enjeu auquel l’entreprise est exposé sur la
thématique abordée
— Une probabilité exprimée en terme quantitatif correspond à un % d’impact.

 Exemple d’échelle quantitative des risques

Risque Probabilité Gravité Coût du risque

Risque d’amende infligée par le régulateur du fait du


non respect de dispositions prudentielles sur 25% 100 000 KF 25 000 KF

Risque de continuité d’exploitation au niveau de la


plateforme de connexion (commerçant) ne permettant
pas d’assurer la réalisation des transactions au niveau 70% 500 000 KF 350 000 KF
des différents points d’acceptation

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES : ANALYSE ET PRISE EN COMPTE DES
CONTRÔLES
 L’analyse des contrôles est une étape déterminante de l’évaluation du risque résiduel. Elle permet à
l’entité d’apprécier le niveau de vulnérabilité réelle de l’entité et de ses processus compte tenu des
contrôles mis en place.
 Le tableau ci-dessous propose un exemple d’échelle d’évaluation des contrôles.

MATURITÉ DES CONTRÔLES – Échelle de maturité du contrôle (mise en œuvre)

Exemple
d’échelle Attribut ou niveau du contrôle Impact du contrôle sur le risque
qualitative
1 Rudimentaire / basique Totalement inefficace
2 Informel Peu efficace
3 Moyen / Acceptable Impact moyen
4 Satisfaisant Impact satisfaisant
5 Optimisé Impact maximal

 Plus le contrôle sera mature au plan conceptuel, plus il aura d’impact sur le risque.
 L’objectif du processus de management des risques n’est pas de procéder au testing des contrôles
pour évaluer leur efficacité (rôle de l’audit); il se contente de juger le risque au plan de sa
conception (control design); ce qui correspond en d’autres termes, à une efficacité supposée ou
présumée.
 La mission d’audit viendra confirmer ou infirmer l’efficacité du contrôle (calculé lors de la phase de
cartographie) ; ce qui conduira naturellement au « re-calcul » du niveau de risque résiduel.
EVALUATION DES RISQUES : LES BIAIS D’ÉVALUATION

Quelles sont les travers envisageables dans la détermination du risque résiduel ?


Biais relatif au risque
1. Crainte de la sanction : Sous-évaluer volontairement le risque (probabilité ou gravité) de
peur de se voir accuser ou réprimander.
2. Absence de maîtrise des impacts du risque : Sous-évaluer le risque car l’évaluateur a du
mal à inclure toutes les dimensions de la gravité des conséquences d’un évènement
(Exemple : un arrêt du réseau entraînera un coût de maintenance, une perte de revenus,
une perte de clients et d’image, etc.).
3. Transfert entre les axes d’évaluation P et G : Exemple du risque tellement grave que toute
fréquence est jugée trop élevée (Incident mortel , retrait de l’agrément, etc.)
4. Le syndrome paranoïaque : La maximisation peut également se produire mais c’est un
biais bien moins grave et fréquent. Il doit également faire l’objet de traitement.
Biais relatif au contrôle
5. Biais de conception du contrôle (control design) : surévaluation de l’efficacité ou de la
maturité du contrôle.
6. Biais de mise en œuvre du contrôle (control implementation) : Non implémentation ou
implémentation partielle du contrôle ou problématique de permanence du contrôle.
7. Le syndrome du « plan d’action en cours » : sous-évaluer le risque car « on a un plan
d’action en cours ». C’est un problème, car dans plus de 80% des cas, le plan d’action n’est
pas réellement engagé ou opérationnel.

(*) ERM : Entreprise Risk Management Framework


EVALUATION DES RISQUES : COMMENT MAÎTRISER LES BIAIS
D’ÉVALUATION ?
Prévention de biais
Sensibilisation à l’importance des évaluations et au processus de cartographie des risques
(Priorisation/Hiérarchisation, Plan d’audit, Plan de traitement (mitigation plan).
Sensibilisation aux règles d’évaluation et principes d’utilisation des échelles d’évaluation des risques et des
contrôles.

Détection des biais


Evaluation de l’homogénéité des réponses par le calcul de l’écart type entre les différents évaluations (écart
type probabilité, écart type gravité).
Un écart type élevé signifie des réponses hétérogènes et donc des biais possibles (valeurs extrêmes) chez
certains évaluateurs.
Validation hiérarchique ou double regard sur les évaluations.
Recueil de l’avis des auditeurs sur les risques et les contrôles mis en œuvre.

Correction de biais
Correction des évaluations ayant fait l’objet de biais une fois identifiés. Il s’agit en général des valeurs à
caractère exceptionnel (probabilité ou gravité) perturbant la mesure ou l’appréciation du risque.
Ces valeurs seront soient supprimées, soient corrigées (réévaluation, ajustements, etc.).
Il convient de noter que des données d’évaluation peuvent se situer à l’extrême de l’échelle et avoir un
caractère « normal ». Dans ces cas, les valeurs situées au centre de l’échelle constituent les valeurs
exceptionnelles sans pour autant être extrêmes.
EVALUATION DES RISQUES

‒ Analyse et retraitement des résultats. Le calcul de chaque risque se fait sur la base de la
moyenne des évaluations :
 Probabilité Moyenne X Gravité Moyenne = Criticité moyenne

‒ Afin de se faire une idée sur la qualité des résultats, une analyse des moyennes d’évaluation,
tous risques confondus et des écarts type par risque permet d’avoir une opinion sur
l’homogénéité des réponses.

‒ Le calcul d’un écart type par moyenne de criticité de chaque risque est également très utile : il
permet de voir quel crédit, ou quel poids attribuer à l’évaluation d’un risque.

‒ Les données d’évaluation à caractère exceptionnel peuvent faire l’objet d’un traitement :
 Lorsque l’on a des points extrêmes dans un nuage de points qui est concentré, on peut être amené à
faire valider l’évaluation compte tenu de son caractère « atypique ».
EVALUATION DES RISQUES

‒ La hiérarchisation des risques est au centre de la rationalisation du contrôle interne. Elle se fait à
deux niveaux:
 Au niveau macro (périmètre) : il consiste en la réalisation d’un classement entre les processus pour la
planification des missions de contrôle  PLAN D’AUDIT.
 Au niveau micro (risque) : il consiste à effectuer un classement entre les risques d’un même processus
afin que les priorités de traitement soient établies sur une base rationnelle

‒ Elle permet de se focaliser en priorité sur les risques jugés inacceptables. Les risques situés en
zone acceptable ne sont pas concernés par la hiérarchisation.
 Elle peut être effectuer suivant différentes modalités : numérique ou graphique

‒ Le critère admis pour effectuer la hiérarchisation est généralement la criticité (Probabilité


moyenne X Gravité Moyenne). Le classement se fait par ordre de criticité décroissante.

(*) ERM : Entreprise Risk Management Framework


II.6 EVALUATION DES RISQUES

‒ La hiérarchisation des risques peut s’effectuer suivant plusieurs modalités :

 Numérique : cette modalité de hiérarchisation se fait sur la base du choix d’un critère, la criticité en
général (Probabilité x Gravité). Un classement par ordre décroissant est ensuite réalisé afin de mettre
en évidence les risques à plus forte criticité. Cette méthode se matérialise sous forme de top 5, 10 ou
15, etc.

 Graphique : cette modalité correspond à la méthode des vagues de traitement. Elle consiste à classer
les risques en plusieurs groupes homogènes correspondant à des vagues de traitement.. Les priorités
de traitement sont par conséquent accordées aux vagues prioritaires.

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES

 Sur un plan strictement référentiel, la hiérarchisation des risques ne constitue pas une
composante du COSO; elle constitue un complément méthodologique pour assurer le lien
entre le système de gestion des risques et les systèmes de contrô le.

 Le COSO, dans sa partie « Activités de contrô le », préconise des bonnes pratiques en matière
de systèmes et de dispositifs de contrô le interne. Afin d’assurer leur efficacité et de
maximiser leur impact sur l’entreprise, il convient de les déployer suivant une logique
rationnelle et sur la base de la criticité.

 Cette approche permet à l’entreprise de se focaliser prioritairement sur les risques


présentant les niveaux de préjudices les plus significatifs sur les objectifs, ses processus et
son patrimoine.

 Le choix des priorités de traitements impactera l’allocation des ressources notamment au


niveau du budget. Les risques les plus critiques « bénéficieront » d’un rang prioritaire dans
l’affectation des ressources. Il conviendra d’intégrer cette dimension « risque » au niveau du
processus budgétaire (arbitrage budgétaire).

 Les vagues de traitement permettent de cadencer le traitement des risques suivant les
possibilités de l’organisation au regard des ressources financières, humaines et matérielles
disponibles.
II.7 HIÉRARCHISATION DES RISQUES

Probabilité Ecart- Gravité Ecart-


RANG Code risque Intitulé du risques Criticité
moyenne type P moyenne type G

Risque lié à une absence de justificatifs des exonérations de certains


1 R12.01.16 clients : notre société continue de ne pas facturer la TVA à des clients 6,750 0,957 7,000 1,155 47,250
qui n’ont pas apporté la preuve de leur exonération

Risque d’arrêt ou perturbation de service en cas d’atteinte à la


disponibilité du personnel du fait de l’absence de redondance des
2 R12.01.31 7,250 2,872 6,500 2,646 47,125
ressources humaines clef (accident, maladie, absentéisme, enjeu
concurrentiel).

Risque lié à la confidentialité de la base de données des risques (perte


3 R12.02.01 5,500 0,707 8,500 0,707 46,750
d'information, données, vols…), supports amovibles, copies…

Risque lié à une connaissance insuffisante des normes d'audit (non


4 R12.01.37 appropriation) pouvant impacter l'efficacité des équipes, la qualité des 7,333 1,528 6,333 0,577 46,444
rapports, la crédibilité du département d'audit.

Risque de non fiabilité du reporting CAPEX lié au fait que la rubrique


réalisation se base sur les factures reçues des fournisseurs et non sur
5 R12.03.02 6,600 2,302 7,000 2,550 46,200
l’avancement réel des chantiers. Ainsi les prestations non facturées
sont exclues bien que faisant partie des réalisations.

Les valeurs en rouge représente les écarts type élevés. Les risques correspondant
nécessitent donc un traitement additionnel qui consiste en une suppression des valeurs
extrêmes.

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

Probabilité d’occurrence

- +
Gravité des conséquences

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

Probabilité d’occurrence

- +
Gravité des conséquences

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

Probabilité d’occurrence

- +
Gravité des conséquences

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

Probabilité d’occurrence

- +
Gravité des conséquences

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : LES VAGUES DE TRAITEMENT

Probabilité d’occurrence

- +
Gravité des conséquences

(*) ERM : Entreprise Risk Management Framework


II.7 HIÉRARCHISATION DES RISQUES : QUELLE RELATION AVEC LE PLAN
D’AUDIT ?

‒ La cartographie est un donc un outil de planification interfacée au Plan d’Audit Interne


pour affiner la démarche d’audit. Les résultats des audit internes permettent ensuite
d’enrichir la cartographie avec de nouveaux risques ou de nouvelles évaluations de risques ou
de contrôle. C’est la boucle vertueuse Audit interne/ Management des risques.

(*) ERM : Entreprise Risk Management Framework


II.8
HIÉRARCHISATION DES RISQUES : CLASSEMENT DES RISQUES EN
GRANDES FAMILLES

Probabilité d’occurrence
+ 10

Gravité des conséquences


3

0
- 0 1 2 3 4 5 6 7 8 9 10

- +

45
II.9 RESTITUTION DE LA CARTOGRAPHIE DES RISQUES : GÉNÉRALITÉS

 La restitution de la cartographie des risques fait suite aux étapes d’identification, d’évaluation
(brute et résiduelle) des risques.

 Elle peut indifféremment être effectuée avant ou après la hiérarchisation des risques.

 La restitution n’est pas présentée de manière explicite comme une composante du COSO; elle
constitue également un développement méthodologique au même titre que la hiérarchisation des
risques.

 La restitution de la cartographie des risques permet aux décideurs, aux responsables des processus
et à tous les destinataires de la cartographie des risques de disposer d’une visibilité améliorée de la
vulnérabilité de l’entité et des différents domaines de l’organisation (processus, fonction, projet,
entité,…).

 La restitution de la cartographie des risques fait souvent l’objet de confusion avec le processus de
cartographie des risques. Par exemple, la matrice de criticité (voire diapo suivante) est assimilée à à
une cartographie des risques mais en réalité elle n’est qu’une modalités de restitution du processus
de cartographie des risques.
II.9 RESTITUTION DE LA CARTOGRAPHIE DES RISQUES : LES MATRICES
DE CRITICITÉ
‒ Les risques sont hiérarchisés selon leur criticité (produit de leur gravité moyenne et de leur
probabilité d’occurrence moyenne) et présentés sous forme de TOP 10/15. Ensuite, les risques
sont positionnés sur des matrices de criticité permettant de déterminer le profil de risques de
l’entreprise et d’en fournir une cartographie à l’instant t.

MATRICE DE CRITICITÉ SIMPLE MATRICE DE CRITICITÉ CONSOLIDÉE


(NUAGE DE POINTS) (PAR FONCTION OU PROCESSUS –
GRAPHIQUE PAR BULLE)
Pro b a b ilité d ’o c c u rre n c e
Pro b a b ilité d ’o c c u rre n c e
Probabilité d’occurrence
+ 10

+ 10 + PO9.01
9

8 P09.12
P09.05
8
P09.02
7
7 P09.03
P09.04
6
6
P09.11

5
5
P09.06

4
4
G ra v ité d e s c o n sé q u e n c e s

G ra v ité d e s c o n sé q u e n c e s
P09.07
P09.10
3 3

Gravité des conséquences


2 2

P09.08
1
- 1

0
- 0 1 2 3 4 5 6 7 8 9 10 - 0
0 1 2 3 4 5 6 7 8 9 10
- +

- + - +
II.9 RESTITUTION DE LA CARTOGRAPHIE DES RISQUES : LE RADAR

La graphique en RADAR permet d’analyser la vulnérabilité d’une organisation sur différents sujets ou axes. Le schéma
ci-dessous révèle un niveau satisfaisant sur le « gardiennage et les moyens humains » et une faiblesse sur les
« Moyens d’intervention ».

EXEMPLE DE RESTITUTION GRAPHIQUE : LE RADAR

SECURITE Conception des bâtiments

100%
SURETE Conception de lieux et protection physique passive SECURITE Moyens de détection

50%

SURETE Formation et sensibilisation SECURITE Moyens d'intervention

0%

SURETE Systèmes électroniques SECURITE Formation et sensibilisation

SURETE Gardiennage et moyens humains SECURITE Contrôle des risques et usages

SECURITE Organisation et prévision de la sécurité


II.9 RESTITUTION DE LA CARTOGRAPHIE DES RISQUES : AUTRES
RESTITUTIONS POSSIBLES

Secteur : Répartition des risques sur les Histogramme : Nombre de risques par processus
processus (en %)

80
80 71
70
4%
60
49
Diriger l’entreprise
50
30% 21% 40
Piloter l’amélioration 25
continue 30
20
Acquérir les ressources 9
humaines 10

11% Gérer les ressources 0


humaines
Acquérir les biens et
services
34%

(*) ERM : Entreprise Risk Management Framework


Youssouf M. Diagana
almamydiagana@gmail.com
+ 221 77 612 70 39

Vous aimerez peut-être aussi