CESAG

DESCOGEF

AUDIT INTERNE

Présenté par : Fatou SY, CFE

 CESAG

AUDIT INTERNE

MODULE 4
GESTION DES RISQUES
 POINTS ABORDES DANS CE MODULE

1. Définitions et généralités sur la gestion des risques

2. Classiffication des risques
3. Analyse du contexte de l’organisation
4. Appétence, tolerance et profil de risque
5. Focus sur le risqué de fraude
6. Evaluation des risques
7. Hiérarchisation des risques
8. Réponses aux risques et modalités de traitement
9. Rôle de l’audit interne dans la gestion des risques
DEFINITIONS ET GENERALITES
SUR LA GESTION DES RISQUES
 DEFINITION

 Management des risques

Le management des risques est un processus mis en œuvre par
le conseil d’administration, la direction générale, le management
et l'ensemble des collaborateurs de l’organisation.

Il est pris en compte dans l’élaboration de la stratégie ainsi que

dans toutes les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles d’affecter
l’organisation et pour gérer les risques dans les limites de son
appétence. Il vise à fournir une assurance raisonnable quant à
l'atteinte des objectifs de l'organisation.
 DEFINITIONS

DEFINITION

 CARTOGRAPHIE DES RISQUES

La cartographie des risques est un outil de pilotage qui a pour objectif
de consolider l’ensemble des risques répertoriés et de leurs attribuer
un score de criticité. A cette criticité est associé un niveau de contrôle
ainsi que des actions de maîtrise à mettre en œuvre.

Les risques identifiés et évalués sont positionnés dans une zone de la

cartographie suivant la valeur du couple de donnée probabilité / Impact.

La zone sur laquelle ils se positionnent définit alors leur criticité au

travers d’un chiffre allant de un à n, selon l’échelle retenue.
 DEFINITIONS
 Risque : événement susceptible de compromettre, remettre en
cause la réalisation d’un objectif. Un risque décrit l’incertitude de
réalisation d’un objectif et se caractérise par une probabilité de
survenance et ses conséquences (impact).

 Risque potentiel : il s’agit d’un risque dont le caractère avéré

n’est pas confirmé et qui n’est jamais survenu. Des facteurs
observés au niveau de l’environnement interne ou externe
confirment des possibilités de survenance.
 Risque omniprésent : type de risque présent dans tout
l’environnement
 DEFINITIONS

 Evènement : Incident ou circonstance résultant de sources

internes ou externes et qui affecte la mise en œuvre d’une
stratégie ou la réalisation d’objectifs.
 Incertitude : situation dans laquelle le résultat ne peut être
qu’estimé
 Opportunité : dans le cadre du risque, évènement incertain
ayant des conséquences positives.
 Risques avérés : risques qui se sont déjà concrétisés dans le
passé
 DEFINITIONS
 Impact : résultat, conséquence ou effet d'un risque.

 Probabilité : possibilité qu'un risque se produise.

 Criticité ou mesure du risque : évaluation de l’amplitude

du risque. Produit de l’impact et de la probabilité. Il traduit le
niveau d’exposition ou de vulnérabilité de l’organisation ou
d’une de ses composantes issues de la nomenclature de la base
de données des risques.

 Risque d’audit : risque que les auditeurs arrivent aux

mauvaises conclusions et à des opinions erronées à partir du
travail réalisé.
 DEFINITIONS

 Risque inhérent ou brut ou absolu : risque généré par

l’environnement, en l'absence des effets d’atténuation des
contrôles internes.
 Risque résiduel : risque qui subsiste après que la direction a
pris des mesures pour réduire l’impact et la probabilité d’un
évènement défavorable, notamment les mesures de contrôle en
réponse à un risque.
 Risque résiduel cible ou acceptable : niveau de risque qu'une
entité préfère assumer dans la poursuite de sa stratégie et de ses
objectifs opérationnels, sachant que la direction mettra en œuvre
ou a mis en œuvre des mesures directes ou ciblées pour modifier
la criticité du risque.
 DEFINITIONS

 Insuffisance de contrôle : situation justifiant une attention

particulière en tant que point faible potentiel ou réel, pouvant
présenter un risque excessif pour une organisation

 Risque de contrôle : possibilité que les activités de contrôle

échouent à atténuer le risque maîtrisable jusqu’à un niveau
acceptable.

 Processus de contrôle : règles, procédures et activités

(manuelles et automatisées) faisant partie d’un cadre de
contrôle interne, conçues et mises en œuvre pour s’assurer que
les risques sont contenus dans les limites que l’organisation est
disposée à accepter.
 DEFINITIONS

 Contrôle adéquat : niveau de contrôle présent si la

gestion est planifiée et organisée (élaborée) de manière
à garantir de manière raisonnable que les risques
encourus par l’organisation sont gérés efficacement et
que ses objectifs seront atteints de manière efficiente
et rentable.
 Appétence pour le risque : niveau de risque global
et types de risque qu’une organisation accepte de
prendre pour répondre à son objectif de création de
valeur.
 DEFINITION

 Tolérance au risque : niveau de variation acceptable

dans l’atteinte d’un objectif. C’est une fourchette de
variation qui permet une meilleure garantie quant à
l’atteinte des objectifs de l’organisation.

 Réponse au risque : mesures prise pour gérer un risque

 Hiérarchisation des risques : Classement des risques,

d’une façon formelle ou informelle, du plus élevé au plus
faible.
CLASSIFICATION DES
RISQUES
 CLASSIFICATION DES RISQUES

 Classification du risque : rattachement du risque à

une catégorie homogène (exemples : risques financiers,
opérationnels, stratégique, de réputation…)
 CLASSIFICATION DES RISQUES

CONFORMITE
FINANCIER

STRATEGIQUE
OPERATIONNEL
 LES RISQUES STRATEGIQUES

Les risques stratégiques sont les risques qui peuvent influer sur la capacité
de l’entreprise à atteindre ses objectifs généraux.

Les risques stratégiques peuvent résulter de :

 Changements technologiques
 Concurrence avec d’autres entreprises
 Changements dans les demandes et attentes des clients
 Augmentations du coût des matières premières…

Le management du risque stratégique vise l’intégration de la planification

stratégique, l’établissement d’objectifs organisationnels et l’identification de
risques avec le processus de management des risques de l’organisation.
 LES RISQUES STRATEGIQUES

LES RISQUES STRATEGIQUES

EXEMPLES

 Risques liées à la présence sur le marché, au partage ou

à la position : risque portant sur le positionnement,
l'expansion et la concurrence dans l'environnement.

 Risques de réputation : Non-application des principes

déontologiques pouvant porter atteinte à l’honorabilité
et à l’image de marque de l'entreprise.

 Risque qu’un plan d’affaire ne puisse pas être couronné

de succès en raison du manque d’acceptation sur le
marché…
 LES RISQUES FINANCIERS

Les risques financiers font référence aux incertitudes

découlant des marchés financiers.

Les trois principales sources de risques financiers sont :

 L’exposition aux variations des prix du marché
 Les actions et les transactions avec d’autres organisations
 Les actions internes et échecs organisationnels
 LES RISQUES FINANCIERS

LES RISQUES FINANCIERS

EXEMPLES
 Risque de marché : risque pour la banque de subir des pertes financières
consécutives aux variations des prix des instruments financiers (actions,
obligations…), des taux de change, des taux d’intérêt (risque de taux,
risque de liquidité, risque de change)
 Risque de souscription : pertes financières ou de changement défavorable
de la valeur des engagements du bancassureur en raison d’hypothèses
inadéquates en matière de tarification et de provisionnement (risque vie,
risque non vie, risque santé).
 Risque de crédit, de contrepartie : risque qu'un emprunteur ne
rembourse pas tout ou une partie de son crédit aux échéances prévues par
le contrat signé entre lui et l'organisme préteur (généralement une
banque).
 LES RISQUES DE NON CONFORMITE

Le risque de non conformité fait référence à l’exposition de

l’organisation à des pertes matérielles et à des pénalités légales en
cas de non respect des lois applicables.

Les risques de non conformités comprennent :

 Les risques environnementaux : les activité de l’organisation ont le potentiel
d’endommager les organismes vivants ou l’environnement.
 Les pratiques corrompues : nuisance à des individus ou la communauté.
 Qualité : produits et services de moindre qualité, ne répondant pas aux
attentes et pouvant mener à la violation des lois et règlements
 Les risques pour la santé et la sécurité au travail : concernent la santé et la
sécurité sur le lieu de travail. Son principal objectif est la prévention des
risques.
 LES RISQUES OPERATIONNELS

Le risque opérationnel fait référence aux pertes résultant :

 d’une inadéquation ou d’une défaillance des procédures (non-

respect, contrôle absent ou incomplet),

 de son personnel (erreur, malveillance et fraude),

 des systèmes internes (panne informatique…)

 d’évènements exogènes (inondation, incendie…).

Il peut être considéré comme le risque de ne pas atteindre les

résultats attendus.
COSO COSO
2 1
STRATEGIE ET
EVALUATION DES
DEFINITION DES
RISQUES
OBJECTIFS

6. Analyser le contexte 6. Définir des objectifs

de l’organisation appropriés

7. Définir l’appétence
7. N/A
pour le risque

8. Évaluer les
8. N/A
stratégies alternatives

9. Définir les objectifs

9. N/A
opérationnels
ANALYSE DU CONTEXTE DE L’ORGANISATION
 ANALYSER LE CONTEXTE DE L’ORGANISATION

Il est important de comprendre le contexte organisationnel de

l’organisation car :
 Le management des risques a lieu dans le contexte des
objectifs et des activités de l’organisation.
 Les facteurs organisationnels peuvent être une source de
risque.
 La finalité et le domaine d’application du processus de
management des risques peuvent être corrélés aux objectifs
de l’organisation dans son ensemble.
.
 OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

Plusieurs modèles ont été développés pour analyser et

comprendre le contexte stratégique d’une organisation. Les plus
fréquemment utilisés sont les suivants :
 L’analyse SWOT (forces, faiblesses, opportunités, menaces)
 L’analyse PESTEL (politique, économique, social,
technologique, environnemental, légal)
 L’analyse des 6 forces de Porter
 OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

SWOT
Ce modèle est utilisé pour effectuer une analyse approfondie
des forces, des faiblesses, des opportunités et des menaces
d’une organisation. L’analyse est faite dans le but de formuler
des options politiques et de déterminer où l’organisation
devrait investir ses ressources :
 Profiter des opportunités?
 Réduire les faiblesses?
 Faire face aux menaces?
OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

Forces Faiblesses

Opportunités Menaces
 OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

PESTEL
L’analyse PESTEL permet à l’organisation d’analyser les forces du
marché et les opportunités dans les domaines suivants :
 Politique
 Économique
 Social
 Technologique
 Environnemental
 Légal (juridique)
 OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

PESTEL
 Domaine Politique : ces événements englobent l’élection de
nouveaux responsables politiques ayant des priorités différentes, la
promulgation de nouvelles lois et réglementations pouvant par
exemple restreindre l’accès aux marchés étrangers ou se traduire
par une hausse ou une baisse des impôts.
 Domaine Environnemental : ces événements incluent les
inondations, incendies ou séismes pouvant endommager les usines
ou les bâtiments, compromettre l’accès aux matières premières ou
provoquer des pertes humaines.
 OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

 Domaine Social : ces événements incluent les évolutions

démographiques, les coutumes sociales, les structures familiales,
l’équilibre entre priorités professionnelles et familiales ou bien la
recrudescence d’actes de terrorisme. Ils se traduisent par une
modification de la demande en produits et services, de nouvelles
habitudes d’achat et des difficultés en matière de ressources
humaines.

 Domaine Technologique : il s’agit notamment des nouveaux

modes de commerce électronique, qui permettent d’accéder à un
plus grand nombre d’informations, de réduire les coûts
d’infrastructure et qui engendre une hausse de la demande de
services basés sur la technologie.
 OUTILS D’ANALYSE DE L’ENVIRONNEMENT EXTERNE

LES 6 FORCES DE PORTER

Cette approche analyse le niveau de compétitivité des organisations en
utilisant les six facteurs qui influencent l’environnement des affaires au sein
d’une industrie. Ces six forces comprennent :
 L’intensité de la rivalité entre les concurrents
 Le pouvoir de négociation des clients
 La menace de nouveaux venus sur le marché
 Le pouvoir de négociation des fournisseurs
 Les menaces de produits de remplacement
 Les pouvoirs publics
L’ENVIRONNEMENT INTERNE
 L’ENVIRONNEMENT INTERNE

En analysant l’environnement interne, il est nécessaire d’identifier les

structures comprenant les différents corps et les relations entre eux
(hiérarchique et fonctionnelle). Ceux-ci comprennent la répartition des
tâches, des responsabilités, de l’autorité et de la communication au sein de
l’organisation qui devrait être étudiées. Les fonctions sous traitées doivent
également être identifiées.
La structure de l’organisation peut être de différents types :
 Structure divisionnaire : chaque division est placée sous l’autorité d’un
directeur de division responsable des décisions stratégiques,
administratives et opérationnelles au sein de cette unité.
 Structure fonctionnelle : l’autorité fonctionnelle est exercée sur les
procédures, la nature du travail et parfois les décisions ou la planification.
 L’ENVIRONNEMENT INTERNE

L’organigramme est un excellent outil pour

comprendre l’environnement interne. Il montre, en
utilisant un schéma, la structure de l’organisation. Cette
représentation montre les liens de subordination et de
délégation d’autorité, mais aussi de dépendances.
 L’ENVIRONNEMENT INTERNE

Le contexte interne peut inclure :

 La gouvernance, l’organisation, les rôles et responsabilités.

 Les politiques, les objectifs et les stratégies mises en place
pour atteindre ces derniers.
 Les capacité, en terme de ressources et de connaissance
(capital, temps, personnels, processus, systèmes et
technologies).
 L’ENVIRONNEMENT INTERNE

EXEMPLES

 Infrastructure : ces événements comprennent l’ensemble des

facteurs d’ordre matériels (insuffisance, inadéquation aux besoins,…)
susceptibles de perturber le déroulement normal d’une activité.

 Personnel : il s’agit des accidents du travail, des activités frauduleuses

et de l’expiration des accords collectifs pouvant se traduire par un
déficit de personnel, des préjudices financiers, des atteintes à la
réputation de l’organisation et des interruptions de production.
 L’ENVIRONNEMENT INTERNE

 Processus: ces événements englobent une modification des

processus non accompagnée d’un changement des protocoles de
management, des erreurs dans l’exécution des processus, une
externalisation de la livraison aux clients insuffisamment contrôlée,
provoquant une perte de part de marché, une inefficacité, une
insatisfaction de la clientèle, et une perte d’activité récurrente.
 Technologie: ces événement comprennent une augmentation des
ressources pour gérer la volatilité des volumes, une violation de la
sécurité, une interruption potentielle des systèmes provoquant une
baisse des commandes, des transactions frauduleuses et une
incapacité à poursuivre l’exploitation.
 L’ENVIRONNEMENT INTERNE

 Actionnariat : la nature de l’actionnariat est de nature à affecter

profondément et durablement la culture d’entreprise, sa
performance, sa stabilité, etc. Certaines sociétés à participation
majoritaire de l’Etat son caractérisé par une culture de la
performance différente et un style de management spécifique
induisant des vulnérabilités (gabegie, sureffectif, qualité de service,
etc.).
 L’ENVIRONNEMENT INTERNE

 Organisation : La problématique organisationnelle couvre

essentiellement : la redondance de tâches entre deux services
(problème de délimitation), cumul de tâches incompatibles, déficit
de supervision ou d’encadrement, existence de tâches
« orphelines » (non prise en charge), etc.

 Style de management : le style de management d’une

organisation peut impacter un système de management des risques
soit en générant la survenance de nouveaux risques ou en
accentuant la criticité de risques existants.
 L’ENVIRONNEMENT INTERNE

 Éthique et déontologie : l’absence de système de valeurs ou le

non respect de celui est un élément générateur de risque
notamment en terme de fraude interne ou de malversation.
L’analyse des valeurs, de l’éthique, des pratiques déontologiques et
du sens moral

 Mode de gouvernance : une gouvernance forte permet de

réduire les risques de dérapages du management exécutif
(Direction générale & autres directions opérationnelles). Un
modèle de gouvernance lacunaire est potentiellement générateur
de risques pour l’organisation et de « déviation » par rapport aux
objectifs assignés.
APPETENCE,TOLERANCE POUR LE RISQUE ET
PROFIL DE RISQUE
 Mettez vous à la place de la
souris et demandez vous
jusqu’où êtes vous prêts à
aller pour atteindre l’objectif
(« le bout de fromage ») !!!
L’entreprise fait face à ce type
de dilemme au quotidien !!!
 DEFINIR L’APPETENCE POUR LE RISQUE

L’appétence pour le risque est le niveau de risque global et les types

de risque qu’une organisation accepte de prendre pour répondre à
son objectif de création de valeur.
 Il reflète la culture de l’organisation en matière de risque.
 L’appétence pour le risque est pris en compte dans la
définition de la stratégie, les résultats de la stratégie devant
être en ligne avec l’appétence de l’organisation pour le risque.
 Le management des risques aide l’organisation à définir une
stratégie en ligne avec son appétence pour le risque.
 APPETENCE AUX RISQUES

TOLERANCE AUX RISQUES ET LES LIMITES FIXEES PAR

L’ENVIRONNEMENT DE CONTRÔLE

La tolérance aux risques traduit, pour les risques quantifiables, un

certain degré de flexibilité autour d’une valeur cible qui découle du
cadre fixé par l’appétence aux risques.

 Opérer dans les limites de la tolérance au risque permet de

s’assurer que l’entreprise agit en cohérence avec son
appétence aux risques.
 APPETENCE AUX RISQUES

 La différence entre appétence et tolérance s’illustre

notamment pour les risques jugés inacceptables par
l’entreprise comme par exemple les risques liés à la santé,
sécurité et à la corruption.
 Le risque « zéro » n’existant pas, sauf à supprimer l’activité à
son origine, la tolérance aux risques permet de reconnaitre le
fait que des évènements peuvent survenir malgré les
dispositifs de prévention en place.
 APPETENCE AUX RISQUES

LE PROFIL DE RISQUE DE L’ENTREPRISE

Le profil de risque de l’entreprise est généralement établi à l’aide de
la cartographie des risques. Il reflète les risques auxquels l’entreprise
est exposée, identifiés au moment où la cartographie est réalisée.
 La cartographie des risques repose sur une échelle d’impacts
propre à l’entreprise qui, lorsque l’entreprise n’a pas encore
défini son appétence aux risques, constitue un indicateur de
cette appétence.
 Lorsque l’entreprise a défini son appétence aux risques, le
Risk manager propose une échelle d’impacts en cohérence
avec l’appétence.
 COSO COSO COSO
2 1 1

EVALUATION DES ACTIVITES DE

PERFORMANCE
RISQUES CONTRÔLE
10. Sélectionner et
10. Identifier les risques 6. N/A développer des activités de
contrôle

11. Sélectionner et
11. Évaluer la criticité des 7.Identifier et analyser les
développer des contrôles
risques risques
généraux informatiques

12. Déployer les activités de

8. Évaluer le risque de
12. Prioriser les risques contrôle par le biais de
fraude
règles et de procédures

13. Mettre en œuvre les

modalités de traitement des 9. N/A
risques

14. Développer une vision

globale du portefeuille de
risques
IDENTIFICATION DES
RISQUES
 IDENTIFIER LES RISQUES

 L’organisation identifie de nouveaux risques, des

risques existants ou émergents qui sont
susceptibles d’impacter la mise en œuvre de la
stratégie et la réalisation des objectifs
opérationnels.
 Cela passe par un inventaire des risques.
 La mise à jour de la cartographie des risques
s’effectue périodiquement afin de s’assurer de
l’exhaustivité de l’inventaire des risques.
 IDENTIFIER LES RISQUES

IDENTIFICATION DES OPPORTUNITES

L'identification des opportunités est inhérente à

l'identification des risques. Des opportunités émergent
parfois du risque. Lorsque des opportunités sont
identifiées, elles sont communiquées via l’organisation
pour être prises en compte dans le cadre de la
définition de la stratégie et des objectifs de
l’entreprise.
 FAITS GENERATEURS DE RISQUES

Les risques proviennent généralement :

 d'un changement d'objectifs : l'entité adopte une nouvelle
stratégie s'appuyant sur de nouveaux objectifs ou modifie un
objectif existant, par exemple.
 d’un changement de contexte : des changements dans les
préférences des consommateurs pour des produits
écologiques ou biologiques susceptibles d’avoir une incidence
défavorable sur les ventes des produits de la société.
 FAITS GENERATEURS DE RISQUES

• d’une nouvelle règlementation : par exemple, un changement de

réglementation entraînant de nouvelles obligations pour l'entité
(respect des mesures barrières dans le contexte du COVID 19).
• d’évènements ignorés : certains risques peuvent rester inconnus.
Il s’agit de risques qui ne sont pas encore perçus ni gérés par les
professionnels du risque. Ces risques ignorés sont généralement
liées à des changements dans le contexte environnemental. Par
exemple, conflit social, fraude, terrorisme, guerre.
• d’une évolution de l’appétence pour le risque : par exemple, une
augmentation positive des prévisions de ventes attendues
affectant la capacité de production (expansion).
 Méthodes d’identification

PROCESSUS D’IDENTIFICATION DES RISQUES

1. Référentiels d’identifications des risques

Analyse passive

2. Retour d’expérience interne

3. Retour d’expérience et analyses externes 1

4. Retour d’expérience des projets en cours

5. Analyse dysfonctionnelle des processus (WCGW ?)

+
6. Entretiens avec les différents responsables
Analyse active

7. Entretiens avec les experts et ressources clés

8. Entretiens avec clients / partenaires / prestataires 2

9. Brainstorming

BD
1 + 2 = Globale
 FORMULATION

 Les risques doivent être formulés de manière précise de

façon à être compréhensible par tous.
 C’est la raison pour laquelle les organisations sont
encouragées à décrire les risques en utilisant une
structure de phrase standard.
 Une formulation de risque est constitutive des trois
composantes : constat ou évènement, causes,
conséquences.
 Une formulation de risque peu être courte ou longue. Il
est négatif et redouté et ne doit pas être défini comme
une défaillance du dispositif de prévention ou de
protection du risque.
 QUELLE EST LA FORMULATION CORRECTE DES
RISQUES LISTES CI DESSOUS?

 Absence de fiabilité grave du reporting financier

 Absence de fiabilité du reporting financier
 Risque image
 Amplification médiatique d'un incident
 Optimisation des ressources humaines
 Inadéquation des ressources humaines
 Vol de données critique par Monsieur Konaté
 Vol de données critiques
 Contrôle défaillant sur les chèques
 Détournement financier
 Contraintes réglementaires
 Pénalité suite à une non-conformité réglementaire
 FORMULATION

CONSEQUE
CONSTAT CAUSE(s) NCE (s)
RISQUE

Activité

Processus

Evènement
Anomalie
Facteurs de risque
Incident Financier
Interne
Non-conformité Non financier
Externe
dysfonctionnement

typologie de
risque
 FORMULATION

Objectif
Réduire les délais de prise en charge des patients

Facteur + Anomalie + Conséquence

Augmentation Baisse de la
Sous effectif
du délai de performance
du personnel + +
prise en de
d’accueil et
charge des l’établissemen
d’orientation
patients t
FOCUS SUR LE RISQUE DE
FRAUDE
 EVALUER LE RISQUE DE FRAUDE

DÉFINITION

La fraude consiste à tromper délibérément autrui pour obtenir

un bénéfice illégitime, ou pour contourner des obligations
légales ou des règles de l’organisation. Un comportement
frauduleux suppose donc un élément factuel et intentionnel
ainsi qu’un procédé de dissimilation de l’agissement non
autorisé.

Source : Cahier de recherche IFACI ’La fraude, comment mettre en place et renforcer un dispositif de
lutte anti-fraude’
 EVALUER LE RISQUE DE FRAUDE

L’évaluation du risque de fraude est une activité critique dans

l'établissement des bases de la conception et de la mise en
œuvre de programmes anti-fraude et d'activités de contrôle des
risques.
Trois conditions doivent exister pour que la fraude ait lieu :
 le motif
 l'opportunité
 la rationalisation

Lorsque ces conditions sont réunies on parle du « triangle de

fraude ».
 EVALUER LE RISQUE DE FRAUDE

TRIANGLE DE
LA FRAUDE

Source : cahier de recherche IFACI - La fraude Comment mettre en place et renforcer un dispositif de lutte anti-fraude ?
 TRIANGLE DE LA FRAUDE

MOTIF

La pression ou l'incitation représente un besoin qu'une personne tente de

satisfaire en commettant une fraude.
 Souvent, la pression vient d'un problème ou d'un besoin financier urgent.
Cela peut être le besoin de conserver son travail ou de gagner une prime.
 Dans les entreprises cotées en bourse, il peut y avoir la pression de
réaliser ou de renverser les prévisions des analystes. Ainsi, il est possible
de gagner une grosse prime ou autre récompense financière en fonction
de la réalisation de certains objectifs de performance.
 Le fraudeur a un désir de conserver sa position dans l'organisation et de
garder un certain niveau de vie pour rivaliser avec ses pairs tels qu'il les
perçoit.
 TRIANGLE DE LA FRAUDE

OPPORTUNITÉ
L'opportunité est la capacité de commettre une fraude sans être repéré.
 L'opportunité est créée par la faiblesse des contrôles internes, la
médiocrité de la gestion ou l'absence de supervision de la part du conseil
et/ou par l'utilisation de l'autorité et de la position d'une personne pour
contourner les contrôles.
 L'incapacité à établir des procédures adéquates pour la détection
d'activités frauduleuses augmente également les possibilités qu'une fraude
soit commise. Un processus peut être conçu comme il le faut pour des
conditions classiques ; toutefois, une occasion peut se présenter, créant
des circonstances qui entraînent l'échec du contrôle.
 Il est possible que des personnes occupant des positions d'autorité
puissent créer des occasions de contourner les contrôles existants car
des subordonnés ou des contrôles faibles leur permettent de contourner
les contrôles.
 TRIANGLE DE LA FRAUDE

RATIONALISATION
La rationalisation est la capacité d'une personne à justifier une fraude, une
composante cruciale dans la plupart des fraudes.

 Elle implique une personne conciliant son comportement (p. ex. le vol)
avec les notions communément admises de décence et de confiance.
 Par exemple, le fraudeur fait passer son bien-être en priorité
(égocentrisme) par rapport au bien-être de l'organisation ou de la société
dans son ensemble.
 La personne peut penser que commettre la fraude est justifié quand il
s'agit de sauver un membre de sa famille ou un être cher pour payer des
soins médicaux onéreux. Parfois, la personne qualifie simplement le vol «
d'emprunt » et a l'intention de rembourser ultérieurement l'argent volé.
 TYPOLOGIES DE FRAUDE

Il existe plusieurs typologies de fraude :

 Communication d’informations frauduleuses (sous évaluation d’actifs ou

de revenus, surévaluation d’actifs ou de revenus).

 Détournement d’actifs (actifs financiers : vol, dépenses non autorisées,

détournements – actifs physiques : utilisation non autorisée,
appropriation).

 Corruption et comportements non éthique (conflit d’intérêt, cadeaux

illicites, extorsion de fonds, commissions frauduleuses).
 COMPOSANTES D’UN DISPOSITIF ANTI FRAUDE

Source : cahier de recherche IFACI - La fraude Comment mettre en place et renforcer un dispositif de lutte anti-fraude ?
EVALUATION DES RISQUES
 EVALUATION DE LA CRITICITE DU RISQUE

L’évaluation du risque s’effectue à travers la mesure de :

 L’impact: résultat ou effet d'un risque. Il peut y avoir

une gamme d'impacts possibles associés à un risque.
L'impact d'un risque peut être positif ou négatif par
rapport à la stratégie ou aux objectifs de l'entreprise.

 La probabilité : possibilité qu'un risque se produise.

Ceci peut être exprimé en termes de probabilité ou de
fréquence. La probabilité peut être exprimée de
différentes manières (qualitative (Faible), quantitative
(20%), fréquence (hebdomadaire)).
 EVALUATION DE LA CRITICITE DU RISQUE

Le produit de l’évaluation de la probabilité et de

l’impact correspond à la notion de criticité.

Il traduit le niveau d’exposition ou de vulnérabilité

de l’organisation ou d’une de ses composantes
issues de la nomenclature de la base de données
des risques.

Le risque est évalué par son propriétaire et/ou un

groupe d’évaluateurs.
 LES METHODES D’EVALUATION

Les approches d’évaluation des risques sont généralement

constituées d’une combinaison de techniques qualitatives et
quantitatives.

 Qualitative : «La possibilité qu’un risque lié à un événement ou à

une circonstance potentiel et aux impacts associés sur un objectif
commercial spécifique est faible. »

 Quantitative: « La possibilité qu’un risque lié à un événement ou à

une circonstance potentiel et aux impacts associés sur un objectif
commercial spécifique dans un horizon temporel défini est de 80%. »
 LES METHODES D’EVALUATION QUALITATIVE

PROBABILITE D’OCCURRENCE
et GRAVITE DES CONSEQUENCES
Échelle #1 Échelle #2 Échelle #3 Échelle #4
1 1 1 1

 Exemples d’échelles de 2 2 2 2

cotation qualitative par 3

4
3
4
3
4
3
4
hiérarchisation : 5 5 5

avantages et inconvénients 6 6 6
7 7
8 8
9
10

 Avantage : facilite l’évaluation grâce à  Avantage : donne un degré de finesse

un nombre réduit de niveaux important à la cartographie des risques
 Inconvénient : manque de finesse dans  Inconvénient : complexifie l’évaluation
l’évaluation et réduit l’intérêt de la à cause d’un grand nombre de niveaux
cartographie des risques
 LES METHODES D’EVALUATION QUALITATIVE

PROBABILITE
D’OCCURRENCE
Exemple Correspondance
d’échelle
qualitative GRAVITE
1 Très peu probable Exemple Correspondance
d’échelle
2 Peu probable qualitative
3 Moyennement probable 1 Très peu grave
4 Très probable 2 Peu grave

5 Extrêmement probable 3 Moyennement grave

6 Quasiment certain 4 Très grave

5 Extrêmement grave
6 Crise majeure
 DU RISQUE INHERENT AU RISQUE RESIDUEL

Ce schéma d’évaluation s’effectue en trois temps :

 Étape 1 – Détermination du Niveau de risque brut Il
est demandé à l’évaluateur de se prononcer respectivement
sur le niveau de probabilité et de gravité du risque sans
tenir compte des dispositifs de contrôle mis en place.
Cette évaluation permet à l’organisation de connaitre ce
que serait son niveau d’exposition et de vulnérabilité si
aucun effort n’était réalisé en matière de contrôle interne
et de maîtrise des risques.
 DU RISQUE INHERENT AU RISQUE RESIDUEL

 Etape 2 – Identification & analyse des contrôles

Il lui est demandé à l’évaluateur de renseigner tous les
dispositifs de contrôle et d’apprécier leur niveau de
maturité conceptuelle et ce, sur une base déclarative. La
prise en compte d’un dispositif obéit à 3 conditions :
Existence – Mise en œuvre – Mise à jour.
L’objectif, à ce stade de la démarche, n’est pas d’effectuer des
tests sur les contrôles (tâche dévolue à l’audit).
 EXEMPLE DE GRILLE D’EVALUATION DES CONTRÔLES

NIVEAU
CRITERE D'EVALUATION DE LA MATURITE Inexistant Informel Opérationnel Standardisé
1 2 3 4
Correctement conçu X X X
Mis en œuvre X X X
Formalisation dans une procédure ou automatisé X X
Supervision du contrôle X X
Utilisation d'un outil de documentation standardisé X X
Formalisation et archivage la preuve de réalisation du contrôle X X
Formalisation des tests du contrôle X X
Communication des tests d'efficacité au management X X
Formation et communication autour du contrôle X
Amélioration en continue du contrôle par le management X
 DU RISQUE INHERENT AU RISQUE RESIDUEL

 Étape 3 – Détermination du niveau de

risque résiduel réel
Sur la base de la criticité brute et de l’efficacité des
contrôles mis en place, l’équipe projet ou le risk
manager établit le niveau de risque résiduel sur la base
des principes de détermination du risque résiduel
préalablement établi (par exemple, un contrôle
détectif ou curatif impacte la Gravité, un contrôle
préventif impacte la Probabilité).
 DU RISQUE INHERENT AU RISQUE RESIDUEL

La criticité du risque passe de 16 à 2, avec une incidence sur la probabilité et la

gravité, du fait de la prise en compte des dispositifs maîtrise.
PRIORISATION DES RISQUES
 MODALITES DE HIERARCHISATION DES RISQUES

 Numérique : selon le contexte de l’activité, les mesures quantitatives

du risque peuvent être exprimées en termes monétaires ou en
pourcentage, en mentionnant l’intervalle de confiance. Exemple chiffre
d’affaires par client exprimé en pourcentage du chiffre d’affaires global
lié au risque de concentration de la clientèle.

 Graphique : cette modalité correspond à la méthode des vagues de

traitement. Elle se construit à partir de la matrice d’appétence. La
matrice d’appétence se fait sur la base du choix d’un critère, la criticité
en général (Probabilité x Gravité). Un classement par ordre décroissant
est ensuite réalisé afin de mettre en évidence les risques à plus forte
criticité.
 REPRESENTATION DES RESULTATS DE L’EVALUATION

 Les risques évalués pour un objectif opérationnel donné

sont positionnés sur la « carte thermique » en utilisant les
mesures de gravité sélectionnées par l'entité pour un niveau
de probabilité donné.

 Les différentes combinaisons de probabilité et d'impact

(mesures de criticité), en fonction de l’appétence pour le
risque, sont codées par couleur afin de refléter un profil de
risque particulier.
MATRICE DES PROFILS DE RISQUE (PROBABILITE/IMPACT)

IMPACT 6 6 12 18 24 30 36

5 5 PROTECTION
10 15 20 PACIFICATION
25 30

4 4 8 12 16 20 24

3 3 6 9 12 15 18

2 2 PRECAUTION
4 6 8 PREVENTION
10 12

1 1 2 3 4 5 6

1 2 3 4 5 6
PROBABILITE
 MODALITES DE HIERARCHISATION DES RISQUES

 EXEMPLE DE REPRESENTATION GRAPHIQUE : MATRICE DE CRITICITE ET

PROFIL DE RISQUE

RISQUES PROCESSUS
Probabilité d’occurrence Probabilité
Probabilité d’occurrence
d’occurrence
10 + 10

+ + 9
PO9.01
9

8 P09.12
8 P09.05

P09.02
7
7
P09.03
P09.04
6 6

P09.11

5 5
P09.06

des conséquences
4 4
Gravité des conséquences

P09.07
P09.10
3 3

des conséquences
2 2

Gravité
P09.08
1 - 1
-

Gravité
-
0 0
0 1 2 3 4 5 6 7 8 9 10 0 1 2 3 4 5 6 7 8 9 10
- - + +
- +
REPONSE AUX RISQUES ET
MODALITES DE
TRAITEMENT
METTRE EN ŒUVRE LES MODALITES DE TRAITEMENT DES
RISQUES

Une fois les risques identifiés et évalués, il s’agit

pour le management de décider de leur traitement.
Cela implique une analyse basée sur le niveau actuel
de criticité du risque, le coût engendré par la
réduction du niveau de criticité du risque à un
niveau résiduel ne dépassant pas les limites
d’appétence et de tolérance acceptées.
ARBRE DE DECISION DE LA REPONSE AUX
RISQUES
 RÉPONSE AUX RISQUES
EVITER OU REFUSER LE RISQUE PARTAGER OU TRANSFERER LE RISQUE
Le Management n’accepte pas le risque tel quel et
Le Management réduit la probabilité de survenance
décide de stopper l’activité porteuse du risque, de
ou l’impact du risque en transférant le risque ou en
modifier une activité ou un ensemble d'activités liées
partageant une partie du risque.
au risque.
- Se défaire d'une unité, d'une ligne de produit ou d'un
- Assurer les pertes significatives prévues
secteur géographique
- Décider de ne pas s'impliquer dans de nouvelles
initiatives/ activités qui pourraient donner lieu à un - Conclure un nouveau partenariat
risque
- Couvrir les risques par des instruments financiers
Sous traiter des processus
Partager les risques par la conclusion de contrats avec
des clients, fournisseurs ou partenaires.

REDUIRE OU TRAITER LE RISQUE ACCEPTER OU MAINTENIR LE RISQUE

Le Management n’accepte pas le risque tel quel et Le Management décide d'accepter le niveau du risque
juge nécessaire d’engager des moyens pour le résiduel. Lorsque que le risque est accepté, les parties
contenir, en réduisant sa probabilité de survenance prenantes doivent en être informées et accepter le
ou son impact, ou les deux. risque.
- S'appuyer sur la compensation naturelle des pertes au
- Diversifier l'offre de produits
sein d'un portefeuille
- Accepter le risque s'il est déjà en ligne avec la tolérance au
- Etablir des limites opérationnelles
risque.
- Etablir des processus efficaces
- Accroitre l'implication du management dans la
surveillance des prises de décision
- Rééquilibrer le portefeuille d'actifs pour réduire
l'exposition à certains types de pertes
- Réaffecter le capital entre les différentes unités
opérationnelles
LE PLAN DE TRAITEMENT DES RISQUES

 Une fois la stratégie de réponse au risque sélectionnée, le

management met en place un plan de traitement des
risques.
 Ce plan de traitement des risques est l’état consolidé des
traitements à mettre en œuvre pour ramener l’ensemble
des risques à un niveau acceptable, en adéquation avec le
niveau de risque résiduel souhaité.
 Le plan de traitement doit être conçus et mis en œuvre
dans une logique d’efficience, c’est à dire à un coût qui
n’excède pas le coût du risque.
ROLE DE L’AUDIT INTERNE DANS
LA GESTION DES RISQUES
RÔLE DE L’AUDIT INTERNE DANS L’ERM

Source : Évaluer l’adéquation du Management des risques en utilisant la norme iso 31000 – Guide pratique IIA, IFACI 2010
 TRAVAIL DE GROUPE
1. Sélectionner une entreprise. Présenter ses activités, son organisation.

2. Choisir deux fonctions et leur assigner à chacune trois objectifs : opérationnels,

reporting et conformité.

3. Pour chaque objectif, identifier trois (3) risques.

4. Pour chaque risque identifié, évaluer la probabilité de survenance et l’impact

Hypothèse : la politique de gestion des risques prévoit une échelle d’évaluation
sur 6 niveaux.

5. Calculer la criticité brute de chaque risque.

6. Prioriser les risques du plus critique au moins critique

7. Identifier le Top 5 des risques les plus critiques

8. Calculer la criticité moyenne de chaque fonction ainsi que la criticité globale de

l’entreprise
 TRAVAIL DE GROUPE

7. Elaborer la matrice criticité. La politique de gestion des risque prévoit les intervalles
ci après pour la détermination des profils de risque :

• Criticité <= 6 : profil de risque Faible

• 6<Criticité<=16 : profil de risque Moyen

• Criticité>16 : profil de risque Elevé

8. Elaborer la cartographie des risques bruts

9. Pour chaque risque absolu, identifier une activité de contrôle.

10. Indiquer la fonction de l’activité de contrôle ainsi identifiée (préventif, détectif,

correctif)
 TRAVAIL DE GROUPE

11. Evaluer l’activité de contrôle selon une échelle à 3 niveaux : inexistant (1), informel(2),
opérationnel(3) (pour les besoins de l’exercice, utiliser la formule Excel Aléa entre borne)

12. Déterminer le niveau de criticité résiduelle.

13. Elaborer la cartographie des risques résiduels.

14. Selon la politique de gestion des risques mise en place, l’entreprise est prêt à accepter
tout risque dont le niveau de criticité ne dépasse pas 6. Rapprocher la criticité résiduelle
réelle à la criticité résiduelle cible. Conclure.

15. Pour chaque profil de risque, sélectionner la stratégie de réponse aux risque à adopter.

16. Proposer un plan de traitement pour les risques dont le niveau de criticité est jugé
élevé.
 Fatou SY
[email protected]
00 221 77 639 95 42