FORMATION PRATIQUE AU METIER

DE L’AUDITEUR INTERNE

MODULE 5 : CARTOGRAPHIE DES RISQUES

Cours préparé par :

Félix Dizama BOULOUFEI

SOMMAIRE
1. Définition et importance de la cartographie des risques.......................................................................3
1.1. Notion de risque...........................................................................................................................3
1.2. Les bénéfices ou importance du projet d’une cartographie des risques.......................................4
2. Identifier les risques.............................................................................................................................5
3. Développer une stratégie de mesure des risques..................................................................................6
4. Évaluer et Prioriser les risques.............................................................................................................6
5. Etablir la cartographie des risques.......................................................................................................6
 1. Définition et importance de la cartographie des risques

1.1. Notion de risque

Entre autres définitions du risque, celle donnée par l’IIA 1 et l’IFACI2 a retenu notre attention : le risque,
c’est la possibilité que se produise un événement susceptible d’avoir un impact sur la réalisation des
objectifs. Par conséquent, il n’y a de risque que par rapport à l’atteinte d’un objectif défini.

On distingue des risques d’ordre interne et externe.

Sur le plan interne de l’organisation, les risques peuvent provenir :

 de l’organisation,
 des processus,
 des produits,
 des finances,
 des collaborateurs,
 du management.

Sur le plan externe, les risques sont liés :

 à la législation,
 aux formateurs d’opinion,
 aux bailleurs de fonds,
 aux concurrents,
 aux fournisseurs,
 aux clients.

En ce qui concerne la gestion des risques, les enjeux sont de passer :

 d’une approche négative à une approche positive,

 d’une approche réactive à une approche proactive,
 d’une approche basée sur les coûts à une approche basée sur la valeur,
 d’une approche cloisonnée à une approche axée sur les processus,
 d’une approche fragmentée à une approche intégrée,
 d’une approche de bricolage à une approche permanente.

Les raisons de la mise en place d’un management des risques sont :

 réduire la variabilité non maîtrisée des risques,

 aligner et intégrer les vues différentes sur les risques et leur gestion,
 construire la confiance des investisseurs et des parties prenantes,
 renforcer la gouvernance,
 répondre avec succès aux changements de l’environnement,

1
IIA : Institute of Internal Audit

2
IFACI : Institut Français de l’Audit et du Contrôle Interne
  aligner la stratégie avec la culture.

Le management des risques doit être un processus continu et transversal à l’organisation, basé sur une
stratégie élaborée pour anticiper plutôt que de réagir, couvrant toutes les activités de l’entreprise
(changements dans l’organisation et dans les comportements des acteurs) pour atteindre les objectifs.
Comprendre les objectifs de l’organisation permet de comprendre les risques que celle-ci accepte de
prendre et ceux qu’elle décide d’éviter.

1.2. Les bénéfices ou importance du projet d’une cartographie des risques

 Réduire les impacts financiers et non financiers liés aux risques

En déterminant des actions adéquates pour les risques menaçants les objectifs ou les actifs de votre
organisation à court ou moyen terme, vous améliorez rapidement votre capacité à les anticiper et à les
gérer. Vous réduisez ainsi vos risques de défaillances et les coûts financiers qui en découlent tout en
améliorant le dispositif de contrôle interne, source de protection de valeur pour votre organisation.

 Renforcer la culture du risque de votre organisation

L’analyse historique des incidents majeurs au sein des organisations montre que la défaillance humaine
est l’une des causes majeures de risques. En réalisant une cartographie des risques en mode projet et en
impliquant des managers et des opérationnels dans la démarche, vous favorisez l’émergence d’une culture
partagée des risques et la création d’un langage commun. La sensibilisation et la responsabilisation des
opérationnels à la maîtrise de leurs risques demeure l’une des mesures les plus efficaces de prévention des
risques.

 Disposer d’un outil indispensable pour les différents acteurs de l’organisation

La cartographie des risques est un outil indispensable pour les garants de la bonne maîtrise des risques de
l’organisation : la Direction Générale pour formaliser sa vision des risques et pour contribuer à renforcer
le dispositif de corporate governance le Risk Manager pour renforcer le dispositif de prévention des
risques de son périmètre l’Audit Interne pour construire et/ou aligner le plan d’audit avec les risques
majeurs la Direction Financière pour structurer et sécuriser la communication de l’entreprise vis-à-vis des
marchés financiers en termes de gestion des risques

Le Responsable du Contrôle Interne en lui fournissant un outil et des actions permettant de renforcer le
dispositif de contrôle interne

 Améliorer le dispositif de gestion globale des risques – réconcilier performance et maîtrise

La cartographie est une phase clé du processus de gestion des risques. Elle permet de dresser un
inventaire formalisé de ceux-ci.

Elle favorise une mise en cohérence des dispositifs de maîtrise des risques et de contrôle interne de
l’entreprise. Elle constitue un tableau de bord pour la Direction Générale et servira à définir des
indicateurs pertinents de suivi permanent du niveau de risque.
MATRICE DES RISQUES

La matrice est présentée dans un tableau qui met en évidence : L’identification et la mesure du risque, la
mesure du risque et les actions pour réduire le risque. Ainsi, l’impact du risque et le niveau de couverture
(contrôle interne) seront particulièrement mis en évidence.

2. Identifier les risques

La méthodologie d’identification des risques

Un risque peut s’analyser en fonction de ses causes ou de ses conséquences et la démarche générale
d’identification du risque consiste à identifier un acteur agissant sur un processus (suite de tâches) avec
un risque (généré par les tâches) entraînant un impact (commercial, financier, juridique, de gestion…).

Dans une première approche, on distingue deux facteurs principaux de risques :

1) les facteurs liés aux forces de la nature,

2) les facteurs liés aux forces humaines :
 la vie en société (marchés, politique, réglementation, secteurs, …)
 l’homme lui-même (l’expérience, le sérieux, la déficience physique, la moralité, …)

Comment identifier les risques

• Synthèse des faiblesses par une auto évaluation

• Implication de toutes les fonctions de la société ;

• Validation des résultats par le CCI

3. Développer une stratégie de mesure des risques

4. Évaluer et Prioriser les risques

Pour arriver à prioriser les risques, il a été nécessaire de les évaluer.

La classification des risques vise à convertir sous forme d’indicateurs numériques (la probabilité et
l’incidence) les informations sur les risques recueillies au cours de l’étape de l’identification. Une fois
cette analyse complétée, il sera alors possible, sur la base des résultats obtenus, d’évaluer s’il y a lieu de
développer une stratégie de prévention et de correction pour chaque risque et de définir les mesures
appropriées.

En utilisant les valeurs numériques attribuées à la probabilité et à l’impact (ou les conséquences).

Ainsi, l’évaluation du risque inhérent est effectuée en calculant la sévérité du risque par l’équation :

(Probabilité) x (Impact ou incidence du risque)

• Suite à l’évaluation des attributs de chaque risque, notamment sa probabilité et son impact, il est
possible de consolider et de classifier les risques identifiés afin de définir un ensemble de mesures
cohérentes pour les gérer. Il sera, par la suite, possible d’ordonnancer les risques en fonction de
leur priorité afin d’être en mesure de déterminer quels risques seront abordés en premier.

• Le résultat de l’analyse des risques peut servir à produire un profil de risque qui donne une note
d’importance à chaque risque et permet ainsi de déterminer les risques qui requièrent un effort de
traitement prioritaire. C’est la cartographie des risques.

5. Etablir la cartographie des risques

COTATION

Le niveau de risque identifié est coté de 0 à 5 :  

• 0à2 = faible,

• 2,5 à 3,5 = modéré

• 4à5 = élevé 

La couverture ou niveau de contrôle interne est coté de 0 à 5 : 

• 0à2 = insuffisant,

• 2,5 à 3,5 = moyen

• 4à5 = satisfaisant

Ainsi, la matrice des risques sera exprimée sous la forme Ryx ; avec x représentant le niveau de risque et y
le niveau de couverture.

INTERPRETATION
 • *Si R13 : signifie que le risque est élevé et que le niveau de couverture est très faible ;

• *Si R33 : signifie que le risque est élevé, mais entièrement couvert par le contrôle interne ;

• *Si R31 : signifie que le risque est faible et les moyens mis en œuvre pour assurer la couverture du
risque sont trop élevés donc, trop de contrôles inappropriés. 

• Lorsque pour un même niveau d’activité (exemple : agence) le risque est élevé et que la
couverture faible, ce niveau d’activité est cartographié rouge (agence sur la liste rouge) ;

• Lorsque pour un même niveau d’activité (exemple : service formation) le risque est élevé et que
la couverture moyenne, ce niveau d’activité est cartographié jaune (service sur la liste jaune) ;

• Lorsque pour un même niveau d’activité (exemple : Direction Informatique) le niveau de risque
est élevé et que la couverture satisfaisante, ce niveau d’activité est cartographié bleu (Direction
sur la liste bleue) ;

3.5
Cartographie des risques MEC XYZ

2.5

1.5

0.5

0
1.8 2 2.2 2.4 2.6 2.8 3 3.2

Chapitre 5 : Définir les actions pour réduire les risques

Exemple de cartographie