Gestion des risques et

contrôle interne
Séance 1
1. La gestion du risque en entreprise :
concept, acteurs.
1. Concept du risque
2. Types de risques : stratégiques, opérationnels & juridiques,
environnementaux, financiers
3. Stratégies de gestion du risque
4. Acteurs de la gestion du risque en entreprise

2. L’approche par les risques

1. La gestion du risque en entreprise :
concept, acteurs.
1. Concept du risque
2. Types de risques : stratégiques, opérationnels & juridiques,
environnementaux, financiers
3. Stratégies de gestion du risque
4. Acteurs de la gestion du risque en entreprise
C’est quoi un « risque » ?
• Larousse : « Possibilité, probabilité d'un fait, d'un événement considéré comme
un mal ou un dommage ».

• Vient du mot italien « risco ». Dérivé du latin médiéval resecare qui signifie «
couper » ou de l’arabe rizq qui signifie « provision ou don de dieu ».
C’est quoi un « risque » ?
Dans l’entreprise, le risque c’est :

• la probabilité qu’un évènement indésirable survienne et qu’il ai pour

conséquence de poser des obstacles à la poursuite des objectifs de l’entreprise.

• Un évènement potentiel qui peut détruire de la valeur (erreur, dommage,

perte…) et qui peut augmenter de la valeur (si l’appétence au risque est contrôlée
et alignée avec la stratégie de l’entreprise).
Les objectifs d’une entreprise
Les objectifs de l’entreprise sont définis par les actionnaires et un mandat est donné au CEO pour
qu’il les réalise.

1. Objectifs économiques : CA, rentabilité, cash flow, etc.

Danone : accélérer la croissance organique afin de renouer avec la création de valeur durable

2. Objectifs environnementaux : émissions, pression sur l’environnement, circularité, etc…

AirFrance-KLM : -30% de C02 /passager/km à l’horizon 2030 (par rapport à 2019)

3. Objectifs sociaux : bien-être au travail, fidélisation des travailleurs, D&I, etc.

AirFrance-KLM : 40 % de femmes parmi les 10 % de postes à plus haute responsabilité

4. Objectifs sociétaux : participer au tissu économique local, sponsor & charity, etc.
AirFrance-KLM : soutenir le développement de PME en France (création d’un guichet de l’innovation,
participation à des incubateurs et des projets spécifiques comme la Lab’Line for the future)
Exemples
 Le risque brut
Impact / amplitude (I)

Sévérité

Fréquence (F)

Risque brut
Le risque brut : fréquence

Niveau Fréquence Probabilité d’occurrence

Très probable 5 > 75%
Tout à fait possible 4 < 75%
Possible 3 < 50%
Ne pas écarter 2 < 20%
Très peu probable 1 < 2%
Impossible 0 0%
 Le risque brut : impact
Impact 1 2 3 4 5
Amplitude Mineur Faible Moyen Majeur Catastrophique
Met en jeu la
Incident de Impacte les Impacte
survie de
Incident mineur parcours sur le résultats sur une l’entreprise
l’entreprise sur le
plan financier année durablement
plan financier
Impact
financier x1 < Pertes < x2 M€ x2 < Pertes < x3 M€ x3 < Pertes < x4 M€ Pertes > x4 M€
Pertes < x1 M€ Pertes en % de CA, Pertes en % de CA, Pertes en % de CA, Pertes en % de CA,
Pertes en % de CA, marge ou résultat : marge ou résultat : marge ou résultat : marge ou résultat :
marge ou résultat : y2% y3% y4% y5%
y1%
 Le risque brut : impact

Impact 1 2 3 4 5
Amplitude Mineur Faible Moyen Majeur Catastrophique
Court-terme :
LT : local
Court-terme régional ou LT: régional ou local LT : transfrontalier
CT : transnational
national

Impact Affecte faiblement

Affecte sévèrement la Conséquences
humain et Aucune
la santé de Affecte la santé de
santé de plusieurs préoccupantes majeures
quelques membres plusieurs membres du
envtal conséquence pour membres du personnel. sur la santé de l’ensemble
du personnel. personnel. Aucune
le personnel, la Conséquences du personnel. De la
Aucune conséquence sur la
population, l’envt importantes sur la population et dégradation
conséquence sur la population et l’envt
population et l’envt de l’envt
population et l’envt
 Le risque brut : impact

Impact 1 2 3 4 5
Amplitude Mineur Faible Moyen Majeur Catastrophique
Court-terme : LT : local Long-terme :
Court-terme : local Long-terme
régional CT : transnational national
Perte de confiance. Très fort discrédit de
Impact sur Atteinte sévère à l’entreprise. Image
l’image Perte de crédibilité.
Publicité négative l’image et à la très abîmée.
Aucun impact notable Déficit d’image
réputation de Confiance très
l’entreprise entamée
 Le risque brut
Catastrophique Inacceptable
I
Tolérable avec mitigation
m
Majeur
Acceptable
p
a Moyen
c
t Faible
(

Mineur
I
)

Très peu Peu probable Possible Probable Très probable

probable

Fréquence (F)
 Le risque net
Impact / amplitude (I)

Sévérité

Fréquence (F)

Risque brut

Maîtrise des risques (M)

Risque net
Risque brut vs risque net
Criticité des risques nets
Sévérité

Critique
Prioritaire: risques critiques Maîtrise: risques critiques
avec faible maîtrise avec forte maîtrise

Surveillance: risques à
impact faible mais Vigilance: risques à impact
moyennement ou faiblement faible avec forte maîtrise
Faible
maîtrisés
Modéré
Maîtrise

Très faible Excellente

1. La gestion du risque en entreprise :
concept, acteurs.
1. Concept du risque
2. Types de risques : stratégiques, opérationnels & juridiques,
environnementaux, financiers
3. Stratégies de gestion du risque
4. Acteurs de la gestion du risque en entreprise
 4 types de risques
Risques
Risques
Opérationnels & juridiques :
stratégiques :
Risques liés à la façon dont l’entreprise opère son métier.
Risques mettant en danger Risques susceptibles de prévenir la capacité de l’entreprise
la capacité de l’entreprise, à à gérer au quotidien son activité et à créer de la valeur.
définir, orienter et mettre Risques associés à la survenance de litiges commerciaux,
en œuvre sa stratégie. sociaux, administratif, etc.

Risques liés à
l’environnement : Risques financiers :

Risques mettant en danger la

Risques générés par des causes
capacité de l’entreprise à
externes et qui ont une influence sur
s’autofinancer.
son résultat.
Les risques stratégiques
Risques liés :
 aux choix de l’entreprise afin respecter les attentes des actionnaires et des clients, assurer la croissance
des profits et l’amélioration des services et produits;
 Risques liés aux choix d’une entreprise pour construire et développer son business model et son
portefeuille d’activités

Souvent, assez peu diversifiables

Air France Total

Perte de créneaux d’atterrissages Transformation digitale
Choix d’innovations technologiques
 Les risques opérationnels
& juridiques
Évènement indésirable qui fait irruption dans un cycle de gestion (achat, production, distribution) :
• Risque d’approvisionnement
• Risque SI
• Risque commercial
• Risque juridique
• Risque HSE

Moyennement diversifiables mais prévention du risque possible

Air France Total Société Générale

Catastrophe aérienne Catastrophe industrielle Risques de contrepartie
GDPR Ethique des affaires Risque de trading
GDPR
Les risques environnementaux
Risques créés par des conditions externes et qui ont une incidence sur l’activité de l’entreprise.

Peu ou pas diversifiables et évitables. Un travail sur la préparation au risque est nécessaire.

Air France Total Société Générale

Flight-shaming Mesure protectionnistes Taux d’intérêt des banques
Epidémie Prix du pétrole centrales
Changement légal de Croissance économique
protection des passagers Guerre et sanctions
Les risques financiers
Risque de crédit : risque d’impayés de créances des clients mais aussi des filiales. Il est géré par le
département crédit de l’entreprise;

Risque d’action : Risque lié à la fluctuation des marchés boursiers avec un impact sur les participations
détenues par le groupe;

Risque de liquidité : risque de défaut de l’entreprise (actif courant < passif courant);

Risque de taux : risque d’évolution défavorable des taux d’intérêt dans une intervalle de temps court;

Risque de change : Risque pour les groupes implantés à l’étranger et importants/exportants.

Air France Total Société Générale

Liquidité Change Risque de liquidité
Change Taux d’intérêt
Taux d’intérêt
1. La gestion du risque en entreprise :
concept, acteurs.
1. Concept du risque
2. Types de risques : stratégiques, opérationnels & juridiques,
environnementaux, financiers
3. Stratégies de gestion du risque
4. Acteurs de la gestion du risque en entreprise
Stratégies de gestion des risques
Le risque Zéro n’existe pas, l’entreprise doit vivre avec :
• Les prises de risque doivent être rémunérées;
• Les risques indésirables matériels doivent être couverts;
• La gestion du risque ne doit pas coûter plus que la value at risk.

Le risque peut être menace ET une opportunité :

RISQUE DE TENSION SUR LE MARCHE DU GAZ
MENACE OPPORTUNITE
• Consommateur de gaz • Producteurs de gaz
• Sociétés qui sont « hedgées »
 Stratégies de gestion des risques
Quelques questions à se poser avant de déterminer la stratégie de gestion d’un risque :

Quelle est l’appétence au risque de l’organisation ?

• Quelle degré d’exposition au risque l’organisation permet-elle ?

Quel est le coût de la gestion du risque ?

• Gérer le risque n’excède t’il pas la perte associée à la survenue du risque ?

Quelle est la fréquence et la sévérité du risque ?

Quelle est le degré de maitrise du risque de l’organisation ?

• Si le risque se réalise, l’organisation aura-t-elle la capacité d’intervenir afin de réduire ou éviter l’impact ?
• Quels sont les process en place dans l’organisation ? Sont-ils robustes ?
Stratégies de gestion des risques
Acceptation (auto-assurance): conserver son exposition au
risque en s’assurant par ses propres moyens

Prévention (réduction) : agir sur la probabilité d’occurrence

ou sur l’impact du risque

Transfert (partage): mécanismes d’assurance ou de couverture

pour compenser les pertes en cas de survenance de risques

Évitement : refus de l’exposition au risque

 Stratégies de gestion des risques
Acceptation (auto-assurance): conserver son exposition aux risques en
s’assurant par ses propres moyens

Acceptation du risque  « Subir »  Exposition totale

Auto-assurance: provisions, réserves, couverture

Gestion de crise: Continuity operation plan, crisis management

Renforcement des process et contrôles internes : Duplication, sauvegarde, séparation des activités et des
fonctions, mise en place de contrôles

Renforcement du comité d’audit

 Stratégies de gestion des risques

Prévention (réduction) : agir sur la probabilité d’occurrence

ou sur l’impact du risque
Réduction de l’amplitude du risque  « Combattre »  Exposition limitée

Renforcement des process et contrôles internes : Duplication, sauvegarde, séparation des

activités et des fonctions, mise en place de contrôles, contrôles bloquants ERP, mise en place d’indicateurs
d’alerte, cartographie

Suivi permanent des indicateurs et correction immédiate

Tests : stress tests
Rotation sur les postes clés
 Stratégies de gestion des risques
Transfert (partage): mécanismes d’assurance ou de
couverture pour compenser les pertes en cas de survenance de
risques
Transfert du risque  « transférer »  Exposition limitée

Police d’assurance
Titrisation
 Stratégies de gestion des risques

Évitement : refus de l’exposition au risque

Éloignement du risque  « Fuir »  Non-exposition

Désinvestissement: liquidation, cession, spin-off, recentrage, prohibitions d’activités, de transactions ou

d’expositions à des opérations risquées.

Ciblage: réallocations tactiques, redéfinition des stratégies

Stratégie de gestion des risques
Exposition augmentée Possibilité de renégociation des termes
de la vente en notre faveur
Augmentation des ventes vers le client

Acceptation
Maintient « normal » des ventes

Diminution
Baisse des ventes au client

Couverture
Assurance impayés

Transfert
Factoring

Evitement/élimination
Arrêt des ventes au client
Risque d’impayés sur les ventes à un client en difficulté
Stratégie de gestion des risques
Acceptation
Ne rien mettre en place dans la
prévention/détection incendie

Diminution
Réduire la probabilité : interdire de
fumer
Réduire l’impact : mise en place
d’extincteurs

Couverture
Assurance incendie

Evitement/élimination
Construire la maison en matériaux
ignifuges
Risque d’incendie de votre habitation
Stratégie de gestion des risques
Impact Sévérité des risques
Amplitude

Très
Fort
Evitement Assurance
Fort

Moyen
Auto-assurance Prévention

Faible
Fréquence
Peu Probable Très
Rare probable probable
1. La gestion du risque en entreprise :
concept, acteurs.
1. Concept du risque
2. Types de risques : stratégiques, opérationnels & juridiques,
environnementaux, financiers
3. Stratégies de gestion du risque
4. Acteurs de la gestion du risque en entreprise
Les objectifs de l’ERM
L’Enterprise Risk Management (ERM) est le cadre de la gestion des
risques de l’entreprise. C’est un process qui permet à l’entreprise de
traiter les principaux risques afin qu’elle puisse atteindre ses objectifs.
Identifier les causes et effets d’évènements porteurs de risques

Évaluer leur impact sur les objectifs, le patrimoine et la

performance de l’entreprise

Proposer des mesures adaptées afin de gérer au mieux ces

risques
 Les objectifs de l’ERM
Identifier => évaluer => traiter => monitorer les risques

ERM est ERM n’est pas

1. Conçu pour identifier et prévenir les risques majeurs 1. Conçu pour prévenir tous les risques
2. Un process continu 2. Un process ponctuel
3. Un système conçu pour répondre aux objectifs de l’entreprise 3. Un système standardisé, automatisé
4. Un système cross-fonctionnel 4. Limité au département RM
5. Un ensemble vivant, évolutif 5. Un ensemble figé
 Les acteurs de l’ERM
Risk management committee : Risk Management function
CEO, CFO, Head of Strategy, head of Cartographier les risques, mettre en
functions, heads of business units œuvre des réponses aux risques et
suivre l’évolution des risques
S’assurer que les risques sont identifiés
et correctement traités

Operations teams:
Prévenir le risque dans les opérations
ERM
day-to-day et traiter le risque lorsqu’il
survient.

Audit committee : Internal Audit

Independent supervisors Revoir le fonctionnement de l’entreprise
afin de détecter et évaluer les risques de
Surveiller l’audit interne/externe, vérifier l’entreprise
la fiabilité du système de gestion des
risques
 Les acteurs de l’ERM
Risk management committee : Risk Management function
• Evoque l’évolution de la stratégie • Maintient une cartographie
de l’entreprise et l’impact sur les • Avec les directeurs de business, de
risques fonctions, update la cartographie :
• Détermine le niveau de risque • Existence des risques
acceptable • Sévérité des risques
• Est informé des désastres, litiges,
échecs, pertes…

ERM
Operations teams: • Update la maitrise des risques grâce
• Communique les incidents et aux conclusions des contrôles
risques identifiés internes
• Effectue des opérations de contrôle
interne
• Traite le risque lorsqu’il survient

Audit committee : Internal Audit

• Suit les travaux d’audit externe, • Présente les principaux risques
interne et les résultats du contrôle identifiés lors des audits
interne • Présente son opinion sur le niveau de
• Benchmark l’industrie et challenge contrôle testé lors des audits
3 layers of defense principle

1
Operation teams (sales, IT, HR, production…)

2
Risk Management functions (RM, compliance, quality
assurance…)

3
Internal Audit, Audit committee
Risk management et Internal Audit dans
l’organisation

Direction
Financière

Stratégie Contrôle
Trésorerie
M&A financier

Comm. Cash Consolidation et Comptabilité

financière Juridique SI
management normes analytique

Risk Credit Comptabilité

Reporting Fiscalité
Management management générale

Contrôle et Capex et Coûts et

audit interne financement budgets
2. L’approche par les risques
 Concept de l’approche par les risques
Catastrophique Inacceptable
I
Tolérable avec mitigation
m
Majeur
Acceptable
p
a Moyen
c
t Faible
(

Mineur
I
)

Très peu Peu probable Possible Probable Très probable

probable

Fréquence (F)
Concept de l’approche par les risques
La gestion des risques a un coût :
• Coût des fonctions risk management et internal audit
• Coût du temps dépensé par les salariés à la mise en œuvre des contrôles et à leur documentation
• Coût associé au temps dédié au contrôle interne dans les processus internes

Ce coût doit être affecté de manière efficace, grâce l’approche par les risques.

Organisation Effectifs Cout salarial Overhead Cout total (K

moyen (K EUR) EUR)
Département 5 100 30 650
Risk Mgmt
Département 15 100 30 1.950
Internal Audit
Suivi des 15 30 10 600
contrôles
Total 3.200
 Concept de l’approche par les risques
Le principe de matérialité : Niveau à partir duquel le jugement exercé et les décisions prises peuvent être
influencées.

Travailler avec le principe de matérialité permet :

• Dépenser du temps/de l’argent sur des éléments qui apportent de la valeur
• Cibler les éléments les plus problématiques afin de les corriger.
Concept de l’approche par les risques
L’approche par les risques permet d’identifier les zones où des risques significatifs résident. Elle
permet d’orienter un travail d’analyse.

1. Récolter des données

Les données récoltées doivent être fiables, complètes, comparables

2. Etablir une situation consolidée

Les données doivent pouvoir être additionnées afin d’établir un ensemble cohérent

3. Définir un critère de sélection et de détermination du risque

Le critère doit être pertinent et répondre à l’objectif de l’analyse

4. Définir un seuil de matérialité

Le seuil doit être pertinent afin de répondre à l’ambition de l’analyse
L’approche par les risques dans le risk
management
Impact Sévérité des risques
Amplitude

Très
Fort
Evitement Assurance
Fort

Moyen
Auto-assurance Prévention

Faible
Fréquence
Peu Probable Très
Rare probable probable
L’approche par les risques en audit externe
L’audit externe a pour but de fiabiliser l’information financière en la vérifiant et en émettant un opinion. Les
ISA (International Standards on Auditing) émettent des standards à respecter pour les auditeurs :
 La prise en considération du risque de fraude et d’anomalies significatives
 Procédure d’alerte relevant de la on-going concern
 La prise en considération des risques associés aux comptes consolidés

L’auditeur vérifie les caractéristiques de chaque information à travers 7 assertions d’audit :

• Existence
• Occurrence
• Accuracy
• Completeness
• Valuation
• Rights and obligations
• Classification
• Cut-off
 L’approche par les risques en audit externe
Risque d’audit = risque inhérent + risque lié au contrôle + risque de non-détection

Le risque d’audit apprécié, l’auditeur peut alors identifier les FSLIs avec les risques d’anomalies significatives et
effectuer un programme de travail.
Cas Carrefour (pages 278 – 295)
1. Tout le monde : lire pages 278, 279, 280
1. Que comprenez vous du « Dispositif de prévention et gestion des risques » page
278 ?
2. Choisissez un risque et lisez plus en détail sur ce risque (pages 281 -> 294)
1. Quel est la description/nature du risque ?
2. Quels sont les impacts et leurs forces ?
3. Dans quelle catégorie le risque est-il classifié ? Qu’en pensez-vous ?
4. Quels sont les mesures d’atténuation mentionnées ? Quelle est la stratégie du
traitement de risques ? Qu’en pensez-vous ?