Contrôle Interne et

Réglementation

- La cartographie des risques -

Virginie Beauvisage_Mise à jour 01/2025 1

 Le processus de gestion globale des risques

✓ Rappel des différentes étapes du processus ERM

Etape 1 : Identification des risques

Le processus
Etape 2 : Evaluation des risques
ERM
Etape 3 : Traitement des risques

Etape 4 : Pilotage des risques

Etape 5 : Communication des risques

2
 La cartographie des risques
La

cartographie Les 2 premières étapes du processus de gestion globale des

risques, l’identification des risques et leur évaluation,
des risques consistent à établir la cartographie des risques de
l’organisation.

3
 Qu’est-ce que la cartographie des risques ?

C’est :

La • L’inventaire des risques auxquels l’organisation est exposée ;

• L’outil d’identification et d’évaluation des risques ;

cartographie • Un outil commun à l’ensemble des acteurs du risque ;

• Un outil couvrant toutes les activités de l’organisation ;

des risques
• Un outil fournissant une vision globale mais aussi très détaillée
des risques, identifiés tels des scénarios ;

• Un outil où chaque risque est évalué en fonction de sa probabilité

d’occurrence et de son impact.

4
 Qu’est-ce que la cartographie des risques ?

Ce n’est pas :

La • Un document établi une fois pour toutes.

cartographie Mais c’est :

des risques • Un outil mis à jour de manière régulière, au fil de l’évolution des
risques.

5
 Les objectifs de la cartographie des risques

Globalement, la cartographie des risques remplit quatre objectifs :

La
➢ Inventorier, évaluer et classer les risques de l’organisation ;

cartographie ➢ Informer les responsables afin que chacun soit en mesure d’y
adapter le management de ses activités ;
des risques : ➢ Permettre à la direction générale, le cas échéant avec
l’assistance du risk manager, d’élaborer une politique de risques
ses objectifs qui va s’imposer à tous ;
/ ➢ Permettre aux auditeurs internes d’élaborer leur plan d’audit,
ses acteurs c’est-à-dire de fixer les priorités (en ciblant les zones de
risques majeurs).

6
 Comment identifier les risques de l’organisation ?

Situation n°1 :
L’identification
On vous demande d’identifier l’ensemble des risques
des risques auxquels votre entreprise est exposée.

➢ Comment pratiquez-vous ?

7
 Les outils d’identification des risques

L’identification Les 3 principaux outils d’identification des risques sont :

des risques : ➢ L’audit documentaire ;

➢ Les entretiens ;
les outils
➢ Les visites de sites.

8
 L’audit documentaire
Certains documents, états, notes de procédures … sont utiles pour
connaître l’entreprise, son activité, son organisation … et par
conséquent, identifier les risques auxquels elle est exposée.

L’identification Celui qui élabore la cartographie des risques collecte donc les
documents utiles, les analyse et en déduit des risques.

des risques :
➢ Par exemple, il sera possible de faire ressortir certains risques de la

les outils lecture des documents suivants :

- Les principaux contrats,

- Les tableaux de bord, les états financiers,

- Les notes de procédures,

- Les expertises techniques …

9
 L’audit documentaire

Par exemple, en examinant le contrat du principal client de

l’entreprise, votre analyse vous permet de déceler les
L’identification caractéristiques suivantes :

- La durée du contrat est de 1 an, sans clause de tacite

des risques : reconduction ;

- Le prix annuel de la prestation réalisée pour ce client représente

les outils 75% du chiffre d’affaires de l’entreprise.

Cet audit documentaire permet ainsi d’identifier un risque client

critique, celui de la dépendance.

10
 Les entretiens
Les entretiens avec les opérationnels s’avèrent être une technique
essentielle d’identification des risques.

Un tel entretien se déroule en 2 volets :

L’identification - D’une part, il consiste en une analyse du passé ;

- D’autre part, il donne lieu à une projection dans le futur.

des risques :
Alors, il s’agit d’étudier les incidents, sinistres ou situations de crise

les outils ayant affecté, les dernières années, l’activité dont l’opérationnel
interrogé est en charge. Puis la question est de savoir si ces risques
« réalisés » sont toujours d’actualité.

Quant à se projeter dans le futur, en se plaçant dans les pires

scénarios, cela permet d’identifier les risques potentiels de manière
exhaustive.
11
 Les entretiens
Mais la réalisation de ces entretiens avec les opérationnels prend
beaucoup de temps !

Aussi est-il envisageable de procéder par administration de

L’identification questionnaires : l’auteur de la cartographie élabore une fiche d’auto-
évaluation, reprenant quelques questions efficaces concernant les
des risques : risques potentiels, ceux qui se seraient déjà réalisés et qui seraient
toujours d’actualité, ainsi qu’une évaluation de leur criticité. Il demande

les outils alors à chaque responsable de la remplir concernant son activité.

Sur la base de l’analyse de ces fiches renseignées, il ne reste à

programmer que les entretiens nécessaires : pour compléter une
information insuffisante ou pour approfondir le sujet des risques
identifiés les plus critiques de l’entreprise.
12
 Les visites de sites

En audit, c’est la technique de l’observation.

L’identification En effet, une visite de site permet d’observer, par exemple :

des risques :
- Les comportements des collaborateurs en matière de respect des
consignes de sécurité ;

les outils - Des dysfonctionnements ou des anomalies concernant l’organisation,

qui pourraient générer des dommages potentiels.

Donc l’observation sur le terrain permet aussi d’identifier des risques.

13
 L’étude de la sinistralité antérieure

Enfin, dans le cadre des entretiens ou/et de l’audit documentaire, on

peut aussi mener une étude de la sinistralité antérieure.

Elle consiste à analyser les sinistres ayant fait l’objet de déclarations

L’identification au cours des 5 années écoulées, afin d’identifier d’éventuelles

tendances structurelles (par Ex. : une concentration d’accidents du

des risques travail sur un site donné).

Les sinistres sont analysés tant en termes de gravité (ou impact) que
de fréquence (ou probabilité).

De même, si une procédure interne de déclaration des incidents est

mise en place, une analyse des incidents des dernières années peut
aussi être réalisée, afin d’identifier les risques correspondants.
14
 L’identification des risques

➢ Retenez :

L’identification • Que l’identification des risques doit être menée en portant un

regard à la fois sur le passé et sur le futur ;

des risques :
• Qu’une identification exhaustive des risques est le fruit d’une
la conclusion collaboration entre l’auteur de la cartographie et les
opérationnels, chacun apportant son approche et son
expertise des risques et de l’activité.

15
 Comment élaborer la cartographie des risques ?

La cartographie Situation n°2 :

des risques : On vous demande d’élaborer la cartographie des risques de

votre entreprise.
son élaboration

➢ Comment pratiquez-vous ?

16
 Le centre de risques

Les questions que vous vous posez alors sont : comment présenter le

La document ? Comment construire la cartographie des risques ?

Construire une cartographie des risques, c’est faire l’inventaire des

cartographie risques.

Or, les risques sont générés par différents facteurs. Lesquels ?

des risques :
• Les activités (secteur, produits ou services, processus …) ;

son élaboration • L’organisation (type, effectifs, prestations externalisées …) ;

• Les outils utilisés (système d’information …) ;

• L’implantation géographique (présence internationale …).

Donc les caractéristiques de l’entreprise sont des facteurs de risques !

17
 Le centre de risques

Si les caractéristiques ou spécificités de l’entreprise sont des facteurs de

La risques, alors les lister permettra d’en déduire les risques correspondants.
Autrement dit dresser l’inventaire des risques passe par la description
préalable, détaillée de l’entreprise.
cartographie
Mais il existe différentes façons de décrire l’entreprise. Alors tout l’enjeu
est de la présenter sous la forme la plus appropriée pour détecter le plus
des risques : grand nombre de risques, autrement dit faire correspondre la construction
de la cartographie à la réalité, au type d’organisation, à ses spécificités.
son élaboration
➢ Vous allez donc choisir le centre de risques : l’unité de construction,
représentative des spécificités de l’entreprise.

Par exemple, vais-je décrire l’entreprise par service, par processus, par
activité ?
18
 Le centre de risques

Le centre de risques doit être adapté aux caractéristiques propres de

La l’entreprise, car une présentation qui mettra le mieux en exergue ses

spécificités favorisera l’identification des risques.

cartographie
Pour illustrer cette notion de centre de risques, vous allez vous interroger

des risques : sur l’intérêt qu’il y a à décrire une entreprise en choisissant pour centre
de risques :

son élaboration • La business unit / branche d’activité ;

• La zone géographique ;

• L’entité juridique ;

• Le processus .
19
 Le centre de risques

Eléments de réponses :

La ➢ Le centre de risques = la business unit

Chaque branche d’activité possède des caractéristiques propres (en termes

cartographie de processus, métiers, clients, fournisseurs, produits ...), nécessitant une
analyse spécifique. Analyser les risques au niveau des business units est

des risques : intéressant en cas de stratégie de diversification (Ex. de Bouygues actif

dans le BTP et la téléphonie).

son élaboration ➢ Le centre de risques = la zone géographique

Chaque zone peut présenter des risques spécifiques (politique, humain,

réglementaire, de change ...) nécessitant une analyse spécifique puis une
adaptation forte des dispositifs de gestion des risques.

20
 Le centre de risques

Eléments de réponses :

La ➢ Le centre de risques = l’entité juridique

L’existence d’une multitude de statuts juridiques au sein d’un groupe est

cartographie génératrice de risques liés au statut, à la responsabilité des mandataires ...

des risques : ➢ Le centre de risques = le processus

son élaboration
Le processus est par définition la clé de voûte de la cartographie des
risques, car ce centre de risques permet de traiter différents aspects
(métier, acteurs, outil ...), qui sont autant de facteurs de risques.

21
 Le centre de risques

La
Bien souvent, il s’agit de combiner plusieurs centres de risques : vous
pourriez analyser les risques exposant les processus d’une usine implantée
cartographie dans tel pays.

des risques :
En résumé, le centre de risques est le niveau d’analyse opérationnel des

son élaboration risques.

22
 L’essentiel à retenir : la cartographie des
risques est élaborée SUR MESURE !

La

cartographie On « prend les mensurations » de l’entreprise.

des risques :

son élaboration
La cartographie des risques est comme une robe haute-couture
dessinée et confectionnée aux mensurations de l’entreprise à un
instant T. Alors il convient de la réajuster régulièrement.

23
 Comment élaborer la cartographie des risques ?

La cartographie Situation n°2 :

des risques : On vous demande d’élaborer la cartographie des risques de

votre entreprise.
son élaboration

➢ Comment pratiquez-vous ensuite ?

24
 Comment élaborer la cartographie des risques ?

Les méthodes sont multiples.

En effet, comme tout outil, la cartographie répond à des besoins. Or,

La cartographie selon qui est son auteur, les besoins peuvent varier et influencer le
format même du document.

des risques : Cet outil commun à plusieurs acteurs internes du risque correspond :

- Pour l’auditeur, à un outil de planification des missions à réaliser (Cf.

son élaboration cours d’audit interne) ;

- Pour le responsable du contrôle interne, à un outil de pilotage du

dispositif de contrôle interne (Cf. exemple de cartographie, slide 31).

C’est pourquoi, si l’on vous charge de dresser une cartographie des

risques, la question à vous poser est : quels sont les besoins ?
25
 Comment élaborer la cartographie des risques ?

Toutefois, s’il existe des variantes au format de la cartographie, il

existe également des constantes, que je tâche de reprendre dans une

La cartographie méthode que je vous propose :

➢ Une méthode d’élaboration de la cartographie des risques, en 3

des risques : étapes successives :

1/ Description détaillée de chaque centre de risques (processus,

son élaboration fonction ou ligne métier …) ;

2/ Identification de tous les risques potentiels par centre de

risques ;

3/ Évaluation de chaque risque en fonction de son impact et de sa

probabilité.
26
 Une méthode d’élaboration de la cartographie des risques

1/ Description détaillée de chaque centre de risques (processus,

fonction ou ligne métier …)

La cartographie La cartographie des risques couvrant l’ensemble de l’organisation et de

ses activités, il convient de choisir, dans un premier temps, le centre

des risques : de risques qui la structure. Cela revient à choisir un découpage, une
présentation de l’entreprise, soit par processus, soit par fonction, soit
par ligne métier … ou tout autre centre de risques.
son élaboration
Dans le cas pratique à suivre, vous opterez pour une présentation par
fonction (financière, RH …), simple et exhaustive, puisque la structure
de la cartographie se base sur les organigrammes de la société et les
informations recueillies auprès des responsables, concernant les tâches
réalisées au sein des services dont ils ont la charge.
27
 Une méthode d’élaboration de la cartographie des risques

Il est impératif de décrire de façon très détaillée chaque centre de

risques, afin d’identifier les risques correspondants facilement et de

La cartographie manière exhaustive.

2/ Identification de tous les risques potentiels par centre de risques

des risques : Pour chaque tâche identifiée à l’étape 1 (à un niveau fin), on identifie le ou
les risque(s) potentiel(s). On envisage alors l’ensemble des scénarios

son élaboration possibles.

3/ Évaluation de chaque risque en fonction de son impact et de sa

probabilité

Chaque risque (ou scénario) identifié est ensuite évalué en fonction de son
impact et de sa probabilité.

28
 Une méthode d’élaboration de la cartographie des risques

L’évaluation des risques peut être chiffrée dans certains cas, quand il
est possible notamment d’effectuer des calculs de probabilité. C’est le
cas du risque de crédit.
La cartographie
Mais d’une manière plus générale, l’auteur de la cartographie évalue le
risque selon une échelle de cotation, dont il définit lui-même les niveaux :
des risques : 1-faible à 5-critique par Ex.

son élaboration La cartographie qui suit (slide 31) utilise 3 échelles de cotation, afin de
mesurer chaque composante du risque (son impact et sa probabilité), ainsi
que le risque lui-même, dont la mesure correspond au produit des facteurs
impact et probabilité :

Évaluation globale du risque = évaluation de son impact x évaluation de sa

probabilité
29
 À suivre, SLIDE 31 :

Exemple d’un autre format de cartographie des risques,

établie par un responsable du contrôle interne

La cartographie ➢ Vous pourrez observer que :

- Le centre de risques retenu est le processus, dont chaque étape est

des risques : détaillée ;

- Chaque risque identifié correspond à un scénario potentiel ;

exemple
- La cartographie est élaborée et utilisée en tant qu’outil de pilotage :
l’auteur y intègre les mesures de couverture des risques (dispositif
de contrôle interne), afin d’aboutir à une évaluation
résiduelle/nette des risques (après prise en compte de ces mesures
de couverture).
30
 Etape du Criticité de Criticité de la Résultat de la Risque Risque
Description du risque Mesure(s) de couverture du risque
processus l'impact probabilité criticité brut résiduel

Exécution de
l'opération de La demande d'annulation de l'opération Procédure d'exécution des opérations de
virement par le donneur d'ordre n'est pas prise virement et de contestation de l'ordre de 3 1 3 Faible Faible
en compte. virement.

Exécution de
l'opération de Procédure d'exécution des opérations de
virement Le bénéficiaire ne reçoit pas le
virement et de contestation de l'ordre de 3 1 3 Faible Faible
virement.
virement.

Exécution de
l'opération de L'opération ne parvient pas au
Procédure d'exécution des opérations de
virement bénéficiaire mais à une tierce
virement et de contestation de l'ordre de 2 4 8 Moyen Faible
personne, suite à une erreur de saisie
virement.
du client.

Exécution de
l'opération de Le virement (entrant) est annulé, Procédure d'exécution des opérations de
virement générant une opération débitrice sur virement et de contestation de l'ordre de 3 1 3 Faible Faible
le compte de paiement du client. virement.

Exécution de
l'opération de
virement L'IBAN saisi par le client est erroné, Procédure de mise en suspens de l'opération
3 2 6 Moyen Faible
risque d'envoi à une personne tierce. ; contrôle automatique de la clé du virement.
 Exemple de cartographie des risques, établie par un
responsable du contrôle interne

➢ Grille de cotation utilisée pour mesurer chaque composante du

risque
La cartographie Echelle Criticité de l’impact Criticité de la probabilité
1 La réalisation du risque n’a pas de conséquence Evénement extrêmement peu
remarquable. probable

des risques : 2 La réalisation du risque a un impact sur les activités,

qui ne les met pas en péril.
Evénement très improbable

3 La réalisation du risque a un impact sur les activités, Evénement improbable

exemple
qui ne les met pas en péril à court et moyen terme.

4 La réalisation du risque impacte fortement les Evénement probable

activités, et les met en péril.

5 L’équilibre de la structure est menacé, la réalisation Evénement possible courant

du risque pouvant mener à une cessation d’activité
immédiate.

32
 Exemple de cartographie des risques, établie par un
responsable du contrôle interne

➢ Grille de cotation utilisée pour mesurer chaque risque

La cartographie
Entre 1 et 5 Risque faible

Entre 6 et 10 Risque normal

des risques :
Entre 11 et 15 Risque moyen

Entre 16 et 20 Risque élevé

Entre 21 et 25 Risque critique

exemple
➢ Définitions

Le risque brut est le risque avant prise en compte des mesures de

traitement/couverture des risques ;

Le risque résiduel est considéré après avoir pris en compte le dispositif de

maîtrise des risques.
33
 La cartographie des risques

➢ Retenez que :

• La cartographie des risques est élaborée « sur mesure », en

La cartographie fonction :

- des caractéristiques propres de l’entité (organisation,

des risques : outils, activités, implantation géographique, dispositif

de contrôle interne …),

la conclusion - d’une réalité à un instant donné ;

• À chaque étape, l’auteur de la cartographie sollicite la

participation des opérationnels ;

• Constamment, et au minimum chaque année, la cartographie

des risques doit être actualisée : revue, adaptée, améliorée.
34