Cartographie Risques [Link]

Ceci est la version HTML du fichier [Link]

Lorsque G o o g l e explore le Web, il crée automatiquement une version HTML des documents récupérés.

cartographie des risques DES MINISTERES

A.S.C.E
26-27 février 2013
Moussa YAZI

ObjecƟfs
Cerner les concepts de contrôle interne, de risque et de
cartographie des risques.
Savoir dérouler une mission de cartographie des risques.

Contenu
1. Introduction: le contrôle interne.
2. Définition et classification des risques.
3. Définition, objectifs et utilité de la
cartographie des risques.
4. Démarche de cartographie des risques.

1 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

.1.
Introduction
5

Le contrôle interne
« Le contrôle interne est un système (ensemble de dispositifs),
un processus (ensemble d’activités) mis en œuvre par les
organes, les dirigeants et le personnel d’une organisation,
destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants :
1. la protection et la sauvegarde du patrimoine;
2. la maîtrise des risques;

3. la réalisation et l’optimisation des opérations;

4. la qualité des informations;

5. la conformité aux lois, aux réglementations, aux

procédures… en vigueur » (Adapté du COSO).

6

Les éléments du système de contrôle interne

ObjecƟfs du contrôle interne

Bonne image auprès des parƟes prenantes:
1. Maîtrise des risques.
2. ProtecƟon du patrimoine.

3. Qualité de l’informaƟon.

4. AmélioraƟon des performances.

5. Conformité aux lois, règlements, direcƟves, procédures…

Les composantes du contrôle interne

2 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

Environnement de contrôle
Management des risques (définiƟon des objecƟfs, idenƟficaƟon des
événements, évaluaƟon des risques, traitement des risques)
AcƟvités de contrôle
InformaƟon et communicaƟon
Pilotage.

Les principes du contrôle interne

OrganisaƟon, intégraƟon,
permanence, universalité, indépendance, informaƟon, harmonie ou
d’adéquaƟon,
prévision, qualité du personnel

Les principes du contrôle interne

7

1. Le principe d’organisation
2. Le principe d’intégration

3. Le principe de permanence

4. Le principe d’universalité

5. Le principe d’indépendance

6. Le principe d’information

7. Le principe d’harmonie ou d’adéquation

8. Le principe de prévision

9. La qualité du personnel

Composantes du contrôle interne/Management des risques

8

Selon le COSO 1: ICIF

1. Environnement de contrôle
2. Évaluation des risques

3. Activités de contrôle

3 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

4. Information et communication
5. Pilotage.

Selon le COSO 2: ERM

1. Environnement de contrôle
2. Définition des objectifs

3. Identification des risques/événements;

4. Evaluation des risques

5. Traitement des risques

6. Activités de contrôle

7. Information et communication

8. Pilotage.

.2.
Définition et classification des risques
DéfiniƟon du risque
Risque: tout événement, comportement ou situation
susceptible de provoquer un dommage non négligeable
à l’organisation et/ou de l’empêcher de réaliser ses
objectifs ou de maximiser ses performances ou de
saisir une opportunité.
Risque: l’occurrence d’un fait imprévisible ou plus ou
moins certain susceptible d’affecter les membres, le
patrimoine, l’activité de l’organisation et de modifier
son patrimoine et/ou ses résultats.
Risque: évènement (externe ou interne) résultant d’une
action ou d’une inaction, d’une opportunité, susceptible

4 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

de se produire et de nature à avoir un impact surtout

négatif sur la réalisation des objectifs d’une entité.

10

Le risque opéraƟonnel
Risque de perte directe résultant d’une inadéquation ou
d’une défaillance attribuable à des personnes, des
procédures, des systèmes mis en place et à des
évènements extérieurs.

11

Ce qui donne 4 sources de risques:

Défaillance due aux processus.
Défaillance due aux personnes.
Défaillance due aux systèmes d’information.
Défaillance due aux événements extérieurs

Eléments clés des définiƟons

Facteurs ou sources de risques : internes (processus,
ressources humaines, systèmes d’information) ou externes
(opportunités à saisir, menaces à gérer).
Ces facteurs imprévisibles sont plus ou moins
certains : notion de probabilité.
Et ont des conséquences diverses :
incapacité/impossibilité à saisir une opportunité,
impact sur l’efficacité, le patrimoine, etc. : notion
d’impact.

12

ClassificaƟon des risques selon leur nature

5 sur 19 09/04/2018 à 20:20
Cartographie Risques [Link]

1. Risque inhérent (environnement).

2. Risque de non contrôle (dispositifs de contrôle interne).

3. Risque de non détection ou d’audit (procédures d’audit).

4. Risque résiduel (gestion des risques).

5. Risque cible (niveau acceptable/tolérable).

13

Risques inhérents
1. Risque client/produit.
2. Risque d’image.

3. Risque accidentel (risque d’insécurité physique).

4. Risque terroriste.

5. Risque de malversation (risque de détournement, de

collusion ou de vol).
6. Risque de traitement des opérations (risque opérationnel).

7. Risque réglementaire (risque fiscal, juridique).

8. Risque déontologique (risque lié au non respect des règles

déontologiques).
14

Risques inhérents
10. Risque stratégique (risque de politique générale).
11. Risque d’insuffisance fonctionnelle (risque lié à

l’organisation).
12. Risque sur la gestion du personnel (risque humain, social).

13. Risque ergonomique (risque lié aux conditions de travail).

14. Risque environnemental.

15. Risque d’externalisation (risque de dépendance ou de

sous-traitance).
16. Risque de dépendance technologique.

17. Risque de communication.

6 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

Adapté de Maders & Masselin (2006: 10-18)

15

16

.3.
Définition, objectifs et utilité de la
cartographie des risques
Définition de la cartographie des
risques
La carte des risques est un document permettant de
recenser les principaux risques d’une organisation et de
les présenter synthétiquement sous une forme
hiérarchisée pour assurer une démarche globale
d’évaluation et de gestion des risques.
17

La cartographie des risques

La cartographie des risques est à la
fois un outil :
de gestion des risques,
de gestion des ressources,
et de communication.

18

Objectifs de la cartographie des risques

Il s’agit:

7 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

1. d’évaluer les risques identifiés en termes de

connexité, d’importance et de probabilité ;
2. de calculer le score de chaque risque ;

3. de classer, de comparer et de hiérarchiser les

risques entre eux;

4. de définir un plan d’action de management des

risques en fonction des ressources disponibles;

5. d’en assurer le suivi ;

6. de communiquer les informations sur les risques de

l’organisation aux dirigeants.

19

MoƟvaƟon pour cartographier les risques

1. Plan d’audit: pilotage de la gestion des risques en
identifiant les domaines d’actions prioritaires,
programmation/rationalisation des missions d’audit.
2. Référentiel d’analyse des risques.

3. Communication/reporting en matières de risques.

4. Règlementation professionnelle: approche par les

risques.
5. Pressions de la gouvernance et du Comité

d’audit.

UƟlité de la cartographie des risques

La carte des risques sert de référenƟel pour :
L’établissement des plans d’audit/contrôle (plan
pluriannuel, plan annuel et planning annuel des missions).
L’établissement de plans (stratégiques et opéraƟonnels)
de gesƟon globale de risques.
L’allocaƟon stratégique des ressources, en foncƟon des
risques prioritaires.

8 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

La déterminaƟon des axes de communicaƟon interne et

externe relaƟve à la gesƟon des risques.
RéférenƟel d’analyse permeƩant de choisir la démarche à
adopter en maƟère de gesƟon des risques.
21

22

.4.
Elaboration de la carte des risques
Aperçu de la démarche d’élaboraƟon d’une cartographie des
risques
23

ELABORATION D’UNE CARTOGRAPHIE DES RISQUES

Préparation du projet de cartographie des risques

Description des processus
Identification des risques opérationnels
Evaluation des risques opérationnels
Formalisation de la carte des risques

24

Phase 1.
Préparation du projet de cartographie

9 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

des risques
Phase 1:

PréparaƟon du projet de cartographie des

risques
Tâches
01 – Définition du périmètre de la cartographie.
02 – Analyse des facteurs de spécificité de la
cartographie.
03 – Conception de la démarche d’élaboration de la
cartographie des risques.
25

Etape 1- Préparation d’une mission d’élaboration de la cartographie

des risques.

Définir le périmètre:
Tout le ministère (cartographie globale), quelques uns de
ses démembrements (cartographie sectorielle ou
thématique), ou uniquement un projet pilote?
tous types de risques ou des risques spécifiques?

26

ConsƟtuer une équipe

chef de mission ;
autres membres de l’équipe ;
comité de suivi ;

10 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

rôle de chacun.

27

Formaliser la commande sous forme de projet

partager les termes de référence pour l’élaboration de la
cartographie des risques avec l’équipe;
définir des objectifs;
préparer un planning détaillé;
préciser la forme et le contenu de la carte des risques;
préparer un budget;
établir l’ordre de mission.
28

Facteurs de spécificité d’une démarche de

cartographie des risques
1. L’activité de l’organisation (risques inhérents).
2. Les objectifs de l’organisation ou de l’activité (risques

pouvant compromettre l’atteinte des objectifs).

3. L’aversion aux risques/niveau de tolérance des risques

(niveaux/risques acceptables).
4. les motivations de la cartographie des risques (utilisations).

5. le périmètre (délimitation) de la cartographie des risques

(globale, sectorielle, projet pilote…).

6. Les méthodes d’identification et d’évaluation des risques à

mettre en œuvre.
7. Le système existant de contrôle des risques…

30

Phase 2.

11 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

Description du processus
Phase 2
DescripƟon du processus
Tâches
01 – Cibler les processus.

02 – Choisir la méthode de description des processus.

31

Etape 1- Préparation de la description des processus.

Phase 2
DescripƟon du processus
Tâches
01 – Description du processus.
02 – Description de l’identité des processus.
03 - Collecte des données «entrées» du processus à décrire
04 – Collecte des données «sorties» du processus à décrire
04 - Collecte des données «marche» du processus à décrire
05- Collecte des données «pilotage» du processus à décrire
06 – Harmonisation des liaisons entre les processus.

32

Etape 2- Description détaillée des processus.

L’approche processus

12 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

De nos jours, l’audit (et donc la cartographie des risques).

Le processus est un ensemble d’activités qui s’enchaînent
pour un objectif à atteindre et qui se traduisent par un
résultat.
Dans toute organisation, l’on peut identifier:
les processus de réalisation ou métiers;
les processus de support (soutien technique);
les processus de pilotage (soutien administratif).
33

Processus – acƟvités - tâches

34

Processus
Activités
Tâches

Méthodes de descripƟon des processus

la méthode du plus grand au plus petit qui consiste à
partir des processus pour aboutir aux tâches en passant
par les activités
La méthode du plus petit au plus grand : plus difficile
que la première, elle consiste à regrouper les tâches
homogènes en activités, puis les activités en processus.

35

DescripƟon des processus

La notion de processus est relative car elle dépend du
niveau de détails recherchés. En effet, l’équipe a la
possibilité de faire une décomposition multi-niveaux.
Méga processus

13 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

Processus élémentaire
Sous processus
Macro-acƟvités
AcƟvités
Tâches
OpéraƟons.
36

DescripƟon narraƟve des processus

Décrire le processus, de façon narrative, selon la méthode
de description retenue, en faisant ressortir les activités
séquentielles (ou étapes principales du processus).
Décrire les tâches constitutives de chaque activité.
Etablir le dictionnaire des activités
37

Formaliser les fiches des processus

Identité du processus
Données « Entrées »
Données « Sorties »
Données « Marche »
Données « Pilotage ».
38

39

Phase 3.
Identification des risques

14 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

Phase 3
IdenƟficaƟon des risques
Tâches
01 – Choisir la combinaison des techniques la plus
appropriée

02 –Choisir et concevoir les outils d’identification des

risques.
03 – Identifier les risques.

40

Etape 1 - Choix des techniques et des outils appropriées

d’identification des risques.
Les approches d’identification des risques
1. La démarche top-down
Auditeurs, Risk managers Opérationnels
2. La démarche bottom-up
Opérationnels Auditeurs, Risk managers
3. La démarche combinée
Combinaison des deux premières démarches.
4. Approche par le benchmarking :
Collecte des meilleures pratiques en matière de gestion des
risques. Elle permet d’avoir une idée générale des risques à
prendre en compte

41

15 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

Approches retenues?
42

Approche Retenue?
Top-down
Bottom-Up
Combinée
Benchmarking

Les techniques d’identification des risques

1. Identification basée sur les actifs créateurs de valeurs
(risques associés aux actifs intangibles = qu’on ne doit pas
altérer, modifier, entamer ).( les valeurs, les relations,
l’image, le code déontologique, code d’éthique,
l’organisation, les schémas informatisé….
2. Identification basée sur l’atteinte des objectifs (un

risque peut empêcher l’atteinte des objectifs; ces derniers

sont d’abord définis, avant de leur associer les menaces
pesant sur eux): SMART=Spécifique, Mesurable,
Atteignable, Réaliste situé dans le Temps.
3. Identification basée sur les check-lists: liste déjà

préconçue qui énumère l’ensemble des risques possibles

afin de voir si chaque risque concerne l’entité ou pas.

43

Les techniques d’identification des risques

4. Identification par analyse historique: identification en se
basant sur les risques opérationnels déjà survenus au sein
de l’entité.
5. Identification basée sur l’analyse de l’environnement

16 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

(menaces de l’environnement économique,

technologique…).
6. Identification par analyse des activités: décomposition

des processus en activités identification des risques

associés (conséquences potentielles de la non/mauvaise
exécution des tâches.

44

Choix des techniques d’idenƟficaƟon des

risques dans le cadre de la présente mission
Techniques d’identification des risques Retenue?
Identification basée sur les actifs créateurs de
valeurs
Identification basée sur l’atteinte des objectifs
Identification basée sur les check-lists
Identification par analyse historique
Identification basée sur l’analyse de
l’environnement
Identification par analyse des activités

45

Typologie des risques inhérents

1. Risque client/produit (risque sur le lancement de produit ou
risque concurrentiel;
2. Risque de stratégie (risque sectoriel, risque lié à la

stratégie de positionnement);
3. Risque d’image commerciale (risque de politique

commerciale);

17 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

4. Risque accidentel (risque d’insécurité physique);

5. Risque terroriste;

6. Risque de malversation (risque de détournement, de

collusion ou de vol);
7. Risque de traitement des opérations (risque opérationnel);

46

Risques inhérents
10. Risque réglementaire (risque fiscal, pénal);
11. Risque déontologique (non respect des règles

déontologiques);
12. Risque stratégique (risque de politique générale)

13. Risque d’insuffisance fonctionnelle (lié à l’organisation);

14. Risque sur la gestion du personnel (risque humain, social);

15. Risque ergonomique (risque lié aux conditions de travail);

16. Risque environnemental;

17. Risque d’externalisation (risque de dépendance ou de

sous-traitance);
18. Risque de dépendance technologique;

19. Risque de communication (Maders & Masselin, 2006:

10-18)

47

Choisir les ouƟls d’idenƟficaƟon des risques

le questionnaire;
l’entretien individuel ;
l’entretien de groupe (focus group);
le brainstorming;
les tableaux d’identification des risques.

48

18 sur 19 09/04/2018 à 20:20

Cartographie Risques [Link]

IdenƟficaƟon des risques

Inventorier les risques (avec les outils retenus selon les
techniques d’identification choisies).
En faire la synthèse.
Eliminer les risques les moins pertinents et les
redondances.
Catégoriser éventuellement les risques.
Codifier les risques à l’aide de code alphanumérique.
Exemple : R01, R02…
Valider et établir la liste finale des risques par processus.
49

Modèle de tableau d’idenƟficaƟon des

risques
50

Tableau d’identification des risques

Activités (ou étapes Risques ou
principales) problèmes
Processus 1

19 sur 19 09/04/2018 à 20:20