Document 1-Presentation

MASTER PROFESSIONNEL
EN AUDIT INTERNE
INSTITUTE
M.P.A.I
Module 8
GESTION DES RISQUES

Enjeu stratégique pour l’entreprise
Mr. BENMANSOUR
Mohammed El Bachir
26-28 Janvier 2020
MTI Institute
[email protected]
Tél : 023 30 33 33 - 0560 90 05 03
MINI CV DU CONSULTANT
CURSUS
Diplômes obtenus
 Licence es Sciences Economiques –Université d’Alger 1972

 Licence es Sciences Financières – Université d’Alger 1984
 Diplôme d’Etat d’Expert Comptable – Ecole Supérieure de
Commerce en 1989
 Diplômé DPAI ‐IFACI Paris – 2009 (Diplôme Professionnel de
l’Audit Interne)
Emplois précédemment occupés:
 Economiste à la société Nationale S.N.E.R.I (1969)

 Chargé d’Etudes au Ministère de l’Industrie et de l’Energie (1971/1972)
 Attaché de Cabinet à la Wilaya d’Alger (1973/1974)
 Cadre à la SONELGAZ (1974/1985)
 Magistrat, Conseiller à la Cour des Comptes (1985/1989)
 Expert Comptable, installé en Cabinet depuis mars 1990
 Commissaire aux Comptes de sociétés depuis mars 1990
EXPERIENCE EN CABINET
Depuis sa création en 1990, le Cabinet s’est vu confier un nombre important de missions de :
 Mandats de Commissariat aux Comptes
 Expertise et audit des comptes
 Evaluation d’entreprises
 Evaluation des apports de sociétés
 Conseil d’entreprises
F OR M A T E U R
En ma qualité d’expert comptable, commissaire aux comptes j’ai exercé en qualité de :
- Maître de Conférence à l’Ecole Nationale d’Administration d’Alger en 1989 et 1990
- Professeur associé à l’Institut Supérieur de Gestion et Planification d’Alger de 1990 à 1994 :
j’ai participé à la formation des premiers Auditeurs Internes en Algérie et enseigné durant
cette période la matière AUDIT et plus spécialement, les modules :
o Introduction à l’Audit
o Les Rapports
o Mise en place d’une Cellule d’Audit
- Consultant Formateur à l’Ecole EGIC Ibn Sina d’Oran à partir de 2000.
- Formateur en Audit avec l’AACIA en partenariat avec l’Institut Français des Auditeurs et
Contrôleurs Interne (IFACI) depuis 2010.
GESTION DES RISQUES : ENJEU STRATEGIQUEPOUR L’ENTREPRISE
SOMMAIRE
Introduction
I-CONTROLE INTERNE ET MANAGEMENT DES RISQUES
1.1 Définition
1.2 Objectifs du contrôle interne
1.3 Composantes du contrôle interne
1.3.1 Environnement de contrôle
1.3.2 Evaluation des risques
1.3.3 Activités de contrôle
1.3.4 Information et communication
1.3.5 Pilotage
II- RISQUES
2.1 Définition
2.2 Mesure du risque
2.3 Quelques faits illustrant les risques à travers le temps
2.4 Quelques notions de risques
 Fraude
 Détournements d’actifs
 Fraude comptable
 Corruption
 Cybercriminalité
 Risques informatique
2.5 Normes et MPA relatives à la gestion des risques
2.6 Typologie de risques : exemple d’une société d’assurance
 Risques endogènes
 Risques exogènes
‐ Risques avérés
‐ Risques potentiels
‐ Risques non identifiés ou risques ignorés
 Trois niveaux de risques
‐ Niveau 1 : six familles de risques
 Risques financiers
 Risques d’assurance
 Risques opérationnels
 Risques comptables
 Risques de pilotage
 Risques externes
‐ Niveau 2 : trente et une catégorie de risques
‐ Niveau 3 : 164 risques -degré de détail supplémentaire
 Deux catégories de risques
‐ Risque brut : mesure le risque sans aucun élément de maîtrise
‐ Risque résiduel : mesure le risque après mise en place des
éléments de maîtrise
2
 Granularité : niveau de détail sur lequel peut se construire une

cartographie :
‐ Métier
‐ Domaine
‐ Processus
‐ Opération
‐ Tâche élémentaire
2.7 Exemple du processus de souscription du contrat automobile
III- CONTRÔLE
IV- AUDIT INTERNE ET PREVENTION DES RISQUE

4.1 Définition
4.2 Rôle de l’Audit Interne
V- ETHIQUE ET TRANSPARENCE : DEUX PILIERS D’UNE BONNE

GOUVERNANCE
VI- GOUVERNEMENT D’ENTREPRISE ET MANAGEMENT DES RISQUES

6-1 Mise en place d’un processus de management des risques
6.2 Le cycle de management des risques
6.3 Management des risques selon COSO 2
6.4 Les éléments du management des risques COSO 2
6.4.1 Environnement Interne
6.4.2 Fixation des objectifs
6.4.3 Identification des évènements
6.4.4 Evaluation des risques
6.4.5 Traitement des risques
-Evitement
-Réduction
-Partage
-Acceptation
6.4.6 Activités de contrôle
6.4.7 Information et communication
6.4.8 Pilotage
3
VII- DISPOSITIF GLOBAL DES RISQUES : LES TROIS LIGNES DE MAITRISE

(ERM)
7.1 Préambule : ERM, dispositif de gestion des risques
7.2 La première ligne de maîtrise : opérationnels
7.3 La deuxième ligne de maîtrise : fonctions transverses
7.4 La troisième ligne de maîtrise : audit interne
VIII- ACTEURS DE LA GESTION DES RISQUES : RÖLES ET
RESPONSABILITES
8.1 Le Conseil
8.2 Le Management
8.2.1 Le Directeur Général
8.2.2 Les managers
8.2.3 Les fonctions transverses
8.3 Le Directeur des Risques
8.4 Le Directeur Financier
8.5 Les Auditeurs internes
8.6 Les autres collaborateurs
8.7 Les Auditeurs externes
8.8 Le Législateur et le Régulateur
8.9 Les autres tiers extérieurs
IX- FIABILISER LA STRATEGIE PAR UNE GESTION ORGANISEE DES
RISQUES
Pour les managers, le pilotage des activités de l’entreprise est efficace. Quels
avantages supplémentaires, alors, aurons-ils à déployer et à maintenir un
système organisé de gestion des risques ?
9.1 Les catégories d’objectifs
9.2 Les grandes phases du Processus de Management
des Risques (ERM)
9.3 Passage obligé par la cartographie des processus
X- LA CARTOGRAPHIE DES RISQUES, ELEMENT CLE DU DISPOSITIF DE

MANAGEMENT DES RISQUES
10.1 Définition et objectifs d’une cartographie
Comment identifier des risques majeurs ? Ou comment passer des « risques
opérationnels identifiés » (inhérents aux modèles) aux « risques majeurs » ?
10.2 Exemples de risques majeurs en
environnement industriel et commercial
10.2.1 Perte d’image
10.2.2. Rupture d’approvisionnements
10.2.3 Risques liés au système d’informations
4
10.2.4 Risque de positionnement

10.2.5 Risque d’expansion
10.2.6 Risque légal
10.2.7 Risque social
10.2.8 Risque sécuritaire
10.2.9 Risque concurrentiel
10.2.10 Risque d’arrêt de production
10.2.11 Risque organisationnel
10.2.12 Risque de fraude
10.3 Cartographie des risques : utilisation de deux approches
complémentaires : Top Down et Bottom Up
10.3.1 L’approche Top Down
10.3.2 L’approche Bottom Up
10.3.3 Etapes de la construction d’une cartographie des
Risques
‐ Définir les objectifs
‐ Répertorier les processus
‐ Identifier les risques
‐ Evaluer les risques
‐ Eviter les écueils
10.4.4 Positionnement des opérationnels au cœur
du dispositif de maîtrise des risque
10.4.5 Communication à tous les niveaux
10.4.6 Actualisation régulière
XI- LA NORMES ISO 31000 : MANAGEMENT DES RISQUES
11-1 Principes de la Norme ISO 31000

11.2 Cadre organisationnel de la norme ISO 31000
5
INTRODUCTION
Le risque zéro n’existe pas : jusqu’où faut-il investir dans des dispositifs de
maîtrise des risques et de contrôle interne ?
La prise de risque est naturelle, courante et souhaitable dans toute organisation. L’objectif
d’un dispositif organisé de maîtrise des risques n’est pas uniquement de réduire les risques
mais de permettre à l’organisation de bien les identifier et de décider quels risques elle
souhaite prendre.
I- CONTROLE INTERNE ET MANAGEMENT DES RISQUES
Chaque entreprise est responsable de son organisation propre et donc de son contrôle
interne, lequel devrait s’inscrire dans le cadre d’une bonne gouvernance.
Pourquoi un contrôle interne ?
Les performances des entreprises peuvent être gravement impactées par les contraintes et
les menaces de toutes natures qui vont du réglementaire au droit international en
touchant, également, les domaines, technique, normatif ou sécuritaire.
Un contrôle interne efficace et efficient reste orienté sur l’atteinte des objectifs majeurs de
l’entreprise. Son étroite imbrication avec le management des risques peut en faire un
puissant outil de pilotage stratégique.
Il est important, de donner une définition du contrôle interne, de ses objectifs et de ses
cinq (5) composantes.
Le Contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité et qui comprend un ensemble de moyens, de comportements, de procédures
et d’actions.
1.1 Définition du contrôle interne :
« Le contrôle interne est un processus mis en œuvre par le Conseil, le Management et les
collaborateurs d’une entité ou organisation, destiné à fournir une assurance raisonnable
quant à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité »
définition donnée par l’Institut Français des Auditeurs et Contrôleurs Internes (IFACI).
Cette définition met l’accent sur les aspects suivants du Contrôle Interne :
‐ réalisation d’objectifs liés aux opérations, aux informations et reporting et à la

conformité.
‐ il s’agit d’un processus qui repose sur la mise en œuvre de tâches et d’activités
continues.
‐ il repose sur un ensemble de règles et de manuels de procédures, de documents et
de systèmes, assurés par des personnes œuvrant à tous les niveaux de l’organisation
de l’entreprise.
6
‐ il offre une certaine souplesse d’application pour l’ensemble de l’entreprise, une

filiale, une unité opérationnelle ou un processus métier.
Un système de contrôle interne efficace nécessite une forte adhésion du management et du
personnel aux politiques et aux procédures qui encadrent toutes les opérations de la
société. Il aide les entreprises à réaliser leurs principaux objectifs, à maintenir et à
améliorer leurs performances. Il permet, aussi, aux entités de s’adapter de manière efficace
et efficiente aux évolutions de l’environnement économique et opérationnel et vise à
maitriser les risques en les ramenant à des niveaux acceptables.
La forme la plus aboutie du contrôle interne devrait permettre d’évaluer :
-les performances internes de chaque processus, métier ou support, c’est-à-dire qu’il
s’exécute de façon répétable et efficace sous le contrôle des différents niveaux
hiérarchiques du processus ;
-les performances externes de chaque processus qui doit fournir un niveau cohérent avec
celui des autres processus pour atteindre les objectifs stratégiques et opérationnels fixés
par la Direction de la société.
1.2 Objectifs du contrôle interne :

Selon le COSO version 2004, le contrôle interne se définit par ses objectifs qui sont de trois
catégories :
Objectifs liés aux opérations : ils concernent l’efficacité et l’efficience des
opérations. Il s’agit, notamment des performances,
opérationnelle et financière.
‐ Objectifs liés au reporting : ils concernent le reporting interne et externe, financier
ou autre. Ils visent la fiabilité de l’information, le respect des délais et la
transparence des opérations.
‐ Objectifs liés à la conformité : ils visent le respect des lois, règlements, normes
et procédures applicables à l’entreprise.
1.3 Composantes du contrôle interne :

Le contrôle interne repose sur cinq (5) composantes tels présentées par le schéma suivant :
7
1.3.1- Environnement de contrôle :

Il est constitué de l’ensemble des normes, des processus et des structures qui constituent le
socle de la mise en œuvre du contrôle interne. L’environnement de contrôle englobe
l’intégrité et les valeurs éthiques de l’organisation et les normes de conduite attendues du
management et des personnels des différents niveaux d’organisation qui doivent y adhérer.
Il vise, en cela, à ancrer la culture d’entreprise dans le comportement de la ressource
humaine et à consolider, ainsi, son image.
1.3.2 Evaluation des risques :
Toute entité ou organisation est exposée à des risques dans la réalisation de ses opérations
et actions. L’évaluation des risques implique un processus dynamique d’analyse des
risques susceptibles d’affecter la réalisation des objectifs
L’évaluation des risques nécessite que le management tienne compte de l’impact
d’éventuelles évolutions dans l’environnement externe et dans sa propre stratégie
économique susceptibles de rendre le contrôle interne inefficace.
1.3.3- Activités de contrôle :
Elles désignent les actions définies par les règles et procédures qui visent à apporter
l’assurance raisonnable que les instructions du management, pour maîtriser les risques,
sont mises en œuvre.
Les activités de contrôle sont réalisées à tous les niveaux de l’organisation et aux divers
stades des processus métiers. Elles sont, également, mises en œuvre par l’intermédiaire des
systèmes d’information intégrant des contrôles préventifs ou détectifs incluant des
activités automatisées, telles les autorisations et approbations, des vérifications, des
rapprochements.
8
1.3.4- Information et communication

La communication est le processus continu et itératif par lequel l’information utile et
nécessaire est fournie, partagée et obtenue. Elle est le vecteur par lequel l’information est
diffusée dans toute l’organisation, en amont, en aval et de façon transversale.
1.3.5- Pilotage :
L’organisation procède à des évaluations continues ou ponctuelles pour s’assurer que
chacune de ces composantes du contrôle interne et les principes qui leur sont associés sont
mis en place et fonctionnent.
Les évaluations continues qui sont intégrées dans les processus métiers permettent de
disposer d’informations en temps voulu. Les évaluations ponctuelles, réalisées
périodiquement, varient généralement en termes de fréquence et de périmètre en fonction
de l’évaluation des risques et de leur occurrence.
En définitive, l’efficacité du contrôle interne, présuppose que ses cinq composantes et les
objectifs qui s’y rattachent :
- soient mis en place, fonctionnent correctement et sont pris en considération dans la
conception et la mise en œuvre du dispositif de contrôle interne ;
-contribuent collectivement à ramener l’organisation à un niveau acceptable des risques.
QUIZ « METHODOLOGIE »
1 - LES RISQUES (CONCEPT et MANAGEMENT)
Qu’est-ce qu’un risque ?
« Le RISQUE est un concept signifiant la possibilité´ que la combinaison d’un

évènement incertain et d’un mode de fonctionnement aléatoire ait pour
conséquence la non atteinte d’un objectif ».
9
Pour pallier les risques quels sont les mesures qui constituent des éléments du dispositif de
contrôle interne à mettre en place :
2– LE COSO I
Le contrôle Interne est un processus mis en œuvre par le Conseil d’administration, les
dirigeants et le personnel d’une organisation destiné à fournir une assurance raisonnable
quant à la réalisation des objectifs suivants :
– Réalisation et optimisation des opérations. – Fiabilité des informations.

– Respect des règlementations. »
Le contrôle interne est traditionnellement schématisé sous la forme d’une pyramide à cinq
composantes.
10
3 – LE MANAGEMENT DES RISQUES LE COSO II
En matière de management des risques, le modèle COSO « ERM » (Committee Of

Sponsoring Organizations of the Treadway Commission, « Enterprise Risk Management
»), dit COSO II (2005) constitue une référence internationale pour sa mise en œuvre.
Ce modèle est traditionnellement représenté par un cube :
4 – LE « REFERENTIEL AMF »
Le contrôle interne est défini à travers cinq composantes de base, elles-mêmes se déclinant
ensuite en items détaillés :
11
• Une organisation comportant une définition claire des responsabilités, disposant des
ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur
des procédures ou modes opératoires, des outils et des pratiques appropriées.
• La diffusion en interne d’informations pertinentes, fiables, dont la

connaissance permet à chacun d’exercer ses responsabilités.
• Un système visant à recenser, analyser les principaux risques identifiables au

regard des objectifs de la société et à s’assurer de l’existence de procédures de gestion de
ces risques.
• Des activités de contrôle proportionnées aux enjeux propres à chaque processus,

et conçues pour s’assurer que les mesures nécessaires sont prises en vue de maîtriser les
risques susceptibles d’affecter la réalisation des objectifs.
• Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un
examen régulier de son fonctionnement. Cette surveillance, qui peut utilement s’appuyer
sur la fonction d’audit interne de la Société´ lorsqu’elle existe, peut conduire à l’adaptation
du dispositif de contrôle interne. La Direction Générale ou le Directoire apprécient les
conditions dans lesquelles ils informent le Conseil des principaux résultats des
surveillances et examens ainsi exercés.
5 - LA DEFINITION DE L’AUDIT INTERNE
Donnez la définition française de l’audit interne datée du 21 mars 2000 et approuvée par le
conseil d’administration de l’IFACI – Institut Français de l’Audit et du Contrôle Internes.
« L'Audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maitrise de ses opérations, lui
apporte ses conseils pour les améliorer, et contribue à créer de la valeur
ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une

approche systématique et méthodique, ses processus de management des
risques, de contrôle, et de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacité ».
Il s’agit de la traduction de la définition internationale approuvée par l'IIA le 29 juin

1999.
Les mots clés de la définition de l’audit interne à connaitre sont les suivants :
 Activité
 Indépendante et objective / impartiale
 Valeur ajoutée
 Assurance et conseils
12
 Aide à atteindre objectifs

 Approche systématique et méthodique
 Évaluation et amélioration
 Processus de management des risques, de contrôle et de gouvernement d’entreprise.
6 - UNE PROFESSION NORMEE
Quels sont les principes normatifs internationaux sur lesquels l’auditeur

interne s’appuie ?
II- RISQUES
L’importance des risques dans le domaine de la gestion est de plus en plus reconnue. Cette
situation reflète les mutations profondes du monde dans lequel nous vivons et notamment
:
•L’incidence croissante des risques créés par l’homme ainsi que des risques technologiques
et sociaux ;
• l’amélioration des connaissances et, en particulier, la modification du rythme
d’acquisition des connaissances, l’évolution de leurs fondements et de notre vision du
monde extérieur ;
• la complexité et l’interdépendance sans cesse croissantes du monde ;
13
• l’intensification de la concurrence et notamment l’émergence de marchés mondiaux de

consommation en rapide expansion ;
Un certain nombre de facteurs ont contribué à placer le risque au cœur des préoccupations
des cadres dirigeants et des auditeurs, tant externes qu’internes. À commencer par la
vague des faillites et de scandales qui ont marqué ces dernières années : Polly Peck,
Maxwell, et Barings, pour ne ENROLL, PARMALATE, WORLDCOM pour ne citer que
quelques exemples.
Selon le rapport du COSO (Committee of Sponsoring Organizations of the Treadway
Commission),organisme privé américain créé en 1985, toutes les entreprises sont
confrontées, à tous les niveaux, à des risques d’origine externe et interne qui peuvent
affecter le potentiel des entreprises dans les domaines suivants :
 Continuité d’exploitation ;
 Capacité à bien se positionner face à la concurrence ;
 Situation financière et image de marque ;
 Qualité du personnel, des produits et des services rendus aux clients
Toute activité commerciale comporte des risques qui, à défaut d’être correctement gérés et
maîtrisés, peuvent mettre en péril l’existence
même des entreprises et la réputation des responsables du gouvernement d’entreprise.
2.1 Définitions
« Le risque est la possibilité que se produise un événement qui aura un
impact défavorable sur la réalisation des objectifs.
Il se mesure en termes d’impact et de probabilités »
Cette définition est celle donnée par le Committee Of Sponsoring Organizations Of the
Treadway Commission (COSO), organisation volontaire américaine relevant du secteur
privé, qui s'emploie à améliorer les performances organisationnelles et la gouvernance des
entreprises
L’organisation Internationale de Normalisation ISO définit, quant à elle, le risque comme

« l’effet de l’incertitude sur les objectifs ».
De ces définitions peuvent se dégager quelques points clés :
 Le risque est inhérent à la formulation de la stratégie et à la fixation des objectifs et

les risques correspondent aux obstacles susceptibles d’affecter la réalisation de ces
objectifs.
 Le risque ne représente pas une estimation à un moment précis mais plutôt un

éventail de risques possibles.
L’idée d’éventail c’est ce qui crée l’incertitude lorsqu’on cherche à comprendre et à
évaluer les risques.
14
La notion de risques renvoie à la volonté d’empêcher que des évènements négatifs

ne surviennent (Maîtrise des risques).
 Partout où il y a de l’incertitude existe un ou plusieurs risques.

Cette multitude de risques pouvant entraver l'atteinte des objectifs de l’organisation, il
apparaît nécessaire de disposer d’un processus qui permette de comprendre et de gérer
efficacement les risques dans l’ensemble
2.2 Mesure du risque
Le risque se mesure en termes d’impact et de probabilité d’occurence.
Risque
Cause
(Probabilité de
survenance)
Manifestations
Impacts
En termes conséquences (impacts) :

• Quelle est la conséquence si le risque se concrétise ?
Les différentes conséquences peuvent se décliner en grandes catégories, à savoir :
• perte financière (baisse des revenus ou hausse des coûts), directe ou indirecte, immédiate
ou à terme ;
• responsabilité civile et/ou pénale ;
• sanctions légales et/ou professionnelles ;
• dégradation de l’image.
En termes de probabilité (occurrence):
• Quelle est la probabilité de survenance du risque ? C’est la possibilité plus ou moins forte
de subir les conséquences de l’événement considéré, à tout moment ou dans le temps, on
parlera alors de fréquence de survenance.
Seule la combinaison de ces deux composantes permet d’estimer raisonnablement le
niveau de risque.
2.3 Quelques faits illustrant les risques à travers le temps :

Erreurs de gestion, escroqueries, malversations ou simples maquillages des comptes, les
scandales financiers ne cessent d’éclabousser régulièrement le monde économique.
Si la fraude de Bernard MADOFF à qui on impute 47,8 milliards d’euros ou les prises en
position de Gérard KERVIEL en sont les épisodes les plus récents, ces affaires sont aussi
anciennes que le capitalisme.
15
Calixte (247 après J.‐C.), était un Romain qui a monté, d’une certaine façon, la première
escroquerie sur du financier. Il a été mis en prison.
Il était chrétien et comme – ainsi que le voulait à l’époque la religion catholique – on
pardonnait les offenses, il est devenu pape. Et c’est lui qui, le premier, a proclamé
l’interdiction aux catholiques de faire des prêts à gage.
PONZI (1920) et son système de cavalerie ; STAVISKY (1930), prince de l’escroquerie.
Aucun des deux n’a rien inventé. MADOFF, aussi, n’a rien inventé. C’est une très vieille
histoire toujours revisitée. C’est tout simplement faire payer par des nouveaux clients les
sommes que l’on doit aux anciens.
Le principe est simple, il est basé sur la crédulité : on croit que l’on va faire une bonne
affaire. On croit la personne qui vous propose des placements exceptionnels, « mais
surtout, ne le répétez pas, puisque ce sont des placements qui ne concernent qu’une élite. »
(Gouvernance et Maîtrise du risque de Fraude –IFACI actes du Colloque du 17 novembre
2009)
Rappelez-vous l’affaire de la Banque KHALIFA et de ses taux d’intérêts qu’elle servait pour
les placements (17% par rapport aux autres banques qui donnaient jusqu’à 5%).
De fait, l’environnement du contrôle de l’entreprise est chargé de risques de fraudes :
 Manipulation des états financiers.

 Détournement d’actifs.
 Comptabilisation inappropriée du chiffre d’affaires.
 Comptabilisation inappropriée des charges.
 Maquillage d’informations financières.
 Dissimulation de recettes ou de dépenses non autorisées.
 Dissimulation d’acquisition ou de cession d’actifs non autorisés.
 Emission de faux remboursements de frais.
 Paiement de salaires fictifs.
 Etc...
2.4 Quelques Notions de risques
•Fraude : acte intentionnel réalisé par un salarié (fraude interne) ou un tiers (fraude
externe) de manière à retirer un avantage généralement financier selon un procédé
illicite.
Selon l’Association of Certified Fraud Examiners (ACFE), américaine les types de fraude
les plus courants sont la corruption (27% des cas) et la facturation frauduleuse (24%).
Triangle de la Fraude ou Triangle de Cressey (1986) se compose de trois éléments : la
perception d’un besoin/pression, la perception d’une opportunité et la justification
rationnelle du comportement frauduleux
•Détournement d’actifs : transfert illégal d’un bien du patrimoine de l’entreprise à celui
d’un salarié, d’un tiers ou d’une autre entreprise : liquidités- stocks- matières premières et
le matériel mais aussi des actifs incorporels (données confidentielles relatives au
personnel, à la clientèle ou des plans et secrets commerciaux
16
•Fraude comptable : manipulation intentionnelle des comptes dans le but d’en donner
une image plus flatteuse. Ne procure pas nécessairement au fraudeur un gain financier
personnel.
•Corruption : acte par lequel un individu exerce une influence indue (délit d’initié, pot-
de-vin, ou conflit d’intérêt par exemple) lors d’une transaction commerciale afin d’en tirer
un avantage pour lui-même ou pour quelqu’un d’autre, en violation de ses obligations vis-
à-vis de son employeur ou des droits de qu’qu’un d’autre.
Donc, offrir, donner, recevoir ou solliciter quelque chose de valeur pour influencer une
décision ou obtenir un avantage généralement financier constitue de la corruption.
La corruption est l’un des fléaux les plus néfastes et les plus complexes de notre époque, et
en dépit des efforts mis en œuvre aux niveaux national et international pour la contrer, elle
continue à sévir.
•La cybercriminalité devient un risque majeur. Elle se place au 4ème rang du

classement des principaux types de fraude (PWC –enquête 2011)
Quelques exemples de cyber-risques et l’impact sur les entreprises :
- Le géant américain TARGET a annoncé la cyber-attaque dont il a été victime vers 2013 lui
aura coûté 200 millions de dollars.
- en juin 2017 la cyber-attaque NotPetya a coûté à St Gobins près de 250 millions d’euros
de chiffre d’affaires et 80 millions de résultat net.
- a société Equifax va perdre plus d’un quart de sa valeur boursière suite à l’annonce d’une
fuite de données en août 2017.
Aussi, les conséquences observées au niveau sociétal sont une baisse de la confiance client
par rapport aux activités commerciales en ligne.
• les risques liés au système d’information

Aujourd’hui, les systèmes d’information sont un des éléments clés des processus des
entreprises et constituent la base des activités de contrôle qui est la quatrième composante
du contrôle interne.
Les logiciels de traitement de l’information financière intègrent des contrôles automatisés
(contrôles embarqués) et sont codés dans des applications qui retranscrivent les logiques
métiers. Pour que le contrôle interne soit efficace il est nécessaire de vérifier que ces
contrôles automatisés :
- sont pertinents, adaptés et correctement implémentés ;
- ne peuvent être contournés au moyen d’utilitaires que ce soit au niveau des bases de
données ou du système d’exploitation.
Aussi, les objectifs relatifs aux systèmes d’information doivent :
- être conçus et mis en œuvre dans le but de traiter et délivrer en temps voulu et en toute
circonstance une information fiable et adaptée aux besoins du management.
- assurer la protection des informations contre l’altération ;
- permettre de reconstituer les opérations effectuées (cheminement de l’information).
Le niveau des contrôles est déterminé en fonction des niveaux de risques estimés.
17
2.5 Normes et Modalités Pratiques d’Application relatives à la Gestion des

Risques édictées par le Cadre de Référence des Bonnes Pratiques
Professionnelles (CRIPP)
Le CRIPP a prévu des dispositions pertinentes en matière de normes encadrant la Gestion
des Risque s:
Norme 2010 – Planification
Norme 2100 – Nature du travail
Norme 2120 – Management des risques
MPA 2010-1 – Prise en compte des risques et des menaces pour
L’élaboration d’un plan d’audit
MPA* 2210-A1-1Evaluation des risques dans la planification de la mission
(*) MPA=Modalité Pratique d’Application
2.6-Typologie des risques : exemple d’une société d’assurances
En préalable, il convient de préciser que la typologie des risques ne porte pas sur les
risques acceptés et garantis dans le cadre du métier de l’assurance, par exemple, mais sur
ceux découlant de la mise en œuvre opérationnelle de ce métier.
Le risque est inhérent à l’activité de l’entreprise. Deux catégories majeures de risques sont
alors rencontrées :
• les risques endogènes, propres à l’activité de l’entreprise, qui sont liés à ses processus,
son organisation, son système d’information, son management, etc. ;
• les risques exogènes dont l’origine provient de l’environnement de l’entreprise : les
clients, les fournisseurs, les sociétaires ou actionnaires, les concurrents, les marchés
financiers, les catastrophes naturelles, l’entreprise ayant peu de prise sur cette dernière
catégorie de risques.
Dans ces deux grandes catégories, les risques se déclinent en :

• risques avérés, c’est à dire qui se sont déjà concrétisés dans le passé ;
• risques potentiels, c’est à dire qui sont connus mais qui ne se sont pas encore
concrétisés ;
• risques non identifiés ou risques ignorés.
Cette modélisation a conduit à définir trois niveaux de risques complémentaires pour le

métier des assurances permettant ainsi un degré de finesse satisfaisant :
• le niveau 1, qui concerne les grandes familles de risques (financiers, opérationnels…) ;
• le niveau 2, qui permet de mieux cerner dans quelle catégorie de risques on se situe au
sein d’une même famille (exemple pour les risques financiers : liquidité, marchés, crédit…)
;
• le niveau 3, qui offre un degré de détail supplémentaire au sein de ces catégories
(exemple pour le risque financier de crédit : Règlement livraison, défaut émetteur….).
18
La démarche de modélisation des risques ainsi mise en œuvre a conduit à les désigner par
leur cause, c’est à dire l’origine première du phénomène dont il résulte :
Les risques de niveau 1 ont été déclinés en 6 familles :
• risques financiers : risques de gestion de bilan ou financière ;
• risques d’assurance : risques spécifiques aux activités d’assurance ;
• risques opérationnels : risques provenant directement de la mise en place et de la
mise en œuvre des moyens et procédures de fonctionnement
• risques comptables : risques relatifs au domaine comptable ;
• risque de pilotage : risques relatifs au management d’entreprise ;
• risques externes : risques générés par l’environnement de l’entreprise.
Chacune de ces 6 familles a ensuite été déclinée en risques de niveau 2, au nombre de 31,
lesquels ont été à leur tour déclinés en risques de niveau 3, au nombre de 164.
Ainsi, selon le niveau auquel l’entreprise souhaite descendre, elle peut travailler sur un
nombre plus ou moins grand de risques, permettant alors un degré de finesse variable dans
la vision des risques encourus.
Seule la combinaison de ces deux composantes permet d’estimer raisonnablement le
niveau de risque.
Enfin, il faut préciser à quel niveau de risque on se situe, risque brut ou risque résiduel,
dans la mesure où il convient de tenir compte de l’existence d’éléments visant justement à
réduire les conséquences de sa survenance :
• le risque brut mesure le risque sans aucun élément de maîtrise : absence de
procédures, absence de contrôle interne, absence de système informatique,…
Le risque brut peut être résumé selon l’équation suivante :
Risque brut = impact prévisible x fréquences d’occurrence
Le risque brut est rarement celui effectivement supporté par l’organisation,
car il supposerait une attitude complètement passive de cette dernière.
Il s’agit, en effet, de son impact avant intervention des éléments de protection,
éléments qui conduisent à maîtriser totalement ou partiellement le risque pour le
contenir dans des zones acceptables en termes de conséquences.
Ces éléments de protection ou de maîtrise transforment donc le risque brut en un risque
résiduel.
• le risque résiduel ou le risque net mesure le risque après mise en place des éléments
de maîtrise : contrôle interne, couverture financière, transfert du risque…
• Granularité :
On entend par granularité le niveau de détail sur lequel peut se construire une
cartographie.
Plus le niveau de détail est fin, et plus le travail correspondant d’identification des risques
est important. Elle impacte donc l’élaboration de la cartographie et sa maintenance
ultérieure. Choisir le bon niveau de granularité est également important afin de calibrer la
démarche aux moyens disponibles et au planning souhaité.
Ainsi, cinq niveaux complémentaires de granularité, du plus large au plus particulier, ont
été identifiés pour le métier des assurances :
• le métier : IARD, Vie, Assistance, Réassurance… ;
• le domaine : pour le métier IARD : Habitat, Auto, transport aérien… ;
19
• le processus : pour les particuliers : processus souscription, processus sinistres,

processus prestations…. Elle impacte donc l’élaboration de la cartographie et sa
maintenance ultérieure. Choisir le bon niveau de granularité est également important afin
de calibrer la démarche aux moyens disponibles et au planning souhaité.
• l’opération : pour le processus prestations : enregistrement, règlement du sinistre… ;
• la tâche élémentaire : pour l’opération règlement du sinistre : envoi du chèque.
2.7 Exemple du processus de souscription de contrat automobile
Ce processus offre un double avantage, celui d’être partagé par le plus grand nombre
d’entreprises et d’être facilement appréhendable par les non spécialistes, ces derniers ayant
pour la plupart des voitures à assurer à titre personnel.
La démarche s’est réalisée en deux temps, le premier consistant à valider les niveaux de
granularité, puis la typologie des risques.
La structuration du processus a été retenue comme suit, selon la nomenclature suivante :
- Processus : Niveau 3,
- Opération : Niveau 4,
- Tâche élémentaire : Niveau 5.
Le processus « Souscription automobile » peut alors être découpé en éléments suivants (le
chiffre entre parenthèse correspondant au niveau de granularité) :
1. Vente Contrat Auto (3)
- Collecte d’informations (4)
-Relevé d’informations (5)
- Emission Devis (4)
2. Souscription (3)
- Acceptation (4)
- Enregistrement (4)
- Emission de police (4)
3. Encaissement de la prime (3)
- Emission de quittance (4)
- Enregistrement (4)
- Encaissement (4)
-Remise du chèque (5),
-Virement (5).
28
20
III- CONTROLE
Le contrôle se définit par toute mesure prise par le management, le Conseil et d'autres
parties afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés
seront atteints.
Les managers planifient, organisent et dirigent la mise en œuvre de mesures suffisantes
pour donner une assurance raisonnable que les buts et objectifs seront atteints.
IV- AUDIT INTERNE ET PREVENTION DES RISQUES

Le processus de création de valeur et les capitaux qui lui sont associés relève du périmètre
de l'audit interne tel que défini par l'IFACI :
« L’audit interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle, et de
gouvernance d’entreprise, et en faisant des propositions pour renforcer leur efficacité ».
En tant que tel, l'audit interne dispose d'un périmètre étendu, non restreint au seul capital
financier.
La contribution efficace de l'audit interne au processus de création de valeur dépend des
pouvoirs et des ressources dont il dispose :
 Un positionnement adapté lui permettant d'être utile aux organes de

gouvernance. « Afin d’atteindre un degré d’indépendance nécessaire et suffisant à
l’exercice de ses responsabilités, le responsable de l’audit interne doit avoir un accès
direct et non restreint à la direction générale et au Conseil. »
 Un périmètre large et un accès illimité aux informations nécessaires. Et, lorsque

ces éléments existent, la prise en compte de la cartographie des parties prenantes et
de l'analyse des seuils de matérialité définis par l'organisation.
 Des compétences adéquates (internes, partiellement ou intégralement

externalisées) permettant d'aboutir à des conclusions raisonnables pour chaque
catégorie de capitaux et à propos de leurs effets combinés (Les capitaux identifiés
dans le Cadre de Référence CRIPP sont de type financier, manufacturier,
intellectuel, humain, social et sociétal, et environnemental).
 Un plan d'audit interne reflétant la stratégie de l'organisation à court,

moyen et long terme. Cela pourrait entraîner un changement de paradigme, car les
auditeurs internes, sont traditionnellement, centrés sur le risque, sont également à
même d'adopter une approche fondée sur les opportunités.
 Une définition claire du rôle de l'audit interne concernant les autres lignes de
maîtrise.
21
L’activité d’audit interne aide cette organisation à atteindre ses objectifs :
 en évaluant, par une démarche systématique et méthodique, ses processus de

management des risques, de contrôle et de gouvernement d’entreprise ;
 et en faisant des propositions pour renforcer leur efficacité".
Aujourd’hui, Il est important pour un dirigeant d’entreprise « de pouvoir s’appuyer sur
une fonction d’audit interne forte et capable de remonter les enjeux de manière
pertinente… C’est l’ensemble des risques, incluant les risques opérationnels, qui sont
susceptibles d’être couverts par l’audit interne.» Marc DUCHEVET, Associé au Cabinet
ERNST&YOUNG.
Les performances d’une structure d’audit interne sont, essentiellement, basées sur la
qualité des auditeurs chargés d’examiner et d’évaluer le contrôle interne, l’efficience
opérationnelle et la conformité à la réglementation mais aussi de l’application d’une
démarche méthodologique pertinente et d’outils d’analyse et d’évaluation performants.
Avec le développement de l'audit interne, les entreprises ont perçu l'intérêt que
présenterait, pour elles, une expression d'une opinion sur des informations autres
que l'information comptable et financière. Chaque fonction de l'entreprise, chaque
type d'opération et à la limite chaque information devient ainsi un objet potentiel d'audit ;
par exemple : l'audit des achats, de la production, des ventes, l’audit informatique, l’audit
juridique, fiscal etc…
Par ailleurs, les entreprises ont de plus en plus recours, dans la mise en œuvre de leurs
activités, à l’externalisation et à la sous-traitance de certaines opérations pour se recentrer
sur leur métier de base.
L’intégration des prestataires dans la chaîne de valeurs des entreprises a impliqué la mise
en place de clauses d’auditabilité, synonymes, pour l’audit interne, de champs
d’intervention nouveaux.
Un autre phénomène, la fraude, est venu fragiliser l’entreprise et est devenu un véritable
fléau qui ternit son image et peut mettre en péril son existence. Les tendances de l’audit
interne pour l’avenir proche s’étendent déjà à la fraude, mais aussi à la cybercriminalité et
à la numérisation, l’informatique irriguant tous les processus de l’entreprise.
De fait, les principaux impacts attendus sur la pratique de l’audit interne sont de :
 Jouer un rôle de plus en plus important dans l’évaluation des dispositifs de contrôle
interne des activités externalisées ou sous-traitées et dans la détermination des
périmètres de risques de ces activités.
 -Comprendre et intégrer les attentes de l’entreprise en matière de contrôle interne
vis-à-vis des prestataires (plans d’audit interne).
 Apprendre à intervenir dans des environnements peu familiers.
Les auditeurs internes peuvent planifier efficacement une mission s’ils ont compris la
mission, la vision, les objectifs, les risques, l’appétence pour le risque, environnement de
22
contrôle, la structure de gouvernance et le processus de management des risques du

domaine ou processus audité.
Généralement, les auditeurs internes évaluent si les risques sont gérés à un niveau
acceptable grâce aux processus de gouvernance, de management des risques et de contrôle.
A cette fin, une enquête préliminaire pourra s’avérer utile.
Le développement d’une matrice de risques et de contrôles
C’est une pratique habituelle pour identifier les risques pouvant avoir un impact sur les
objectifs, les ressources, et/ou les activités du domaine ou du processus audité.
La matrice de risques et de contrôles peut donner des informations essentielles sur les
principaux risques identifiés et les dispositifs de maîtrise concernés. Elle permet également
d’identifier les objectifs clés des sous-processus au sein du domaine ou du processus
audité.
Généralement, les auditeurs internes évaluent si les risques sont gérés à un niveau
acceptable grâce aux processus de gouvernance, de management des risques et de contrôle.
Dans une interview donnée au journal Les Echos de la semaine du 17 mai 2011, le
secrétaire général du comité de Bâle, Stéphane Walter affirmait que « nous continuons à
vivre dans un monde dangereux avec un horizon chargé de risques ». Il aurait pu ajouter
que ces risques sont de plus en plus imprévisibles a renchéri Louis VAURS Conseiller du
président de l’IFACI. On constate en effet que des risques, qui ont un impact élevé mais un
potentiel jugé faible, finissent de plus en plus par se concrétiser, avec des conséquences
dévastatrices pour les organisations.
En analysant les deux catastrophes industrielles majeures qui ont marqué l’année 2011, la
marée noire du golfe du Mexique et l’accident nucléaire de Fukushima, Antoine de
BOISSIEU note dans un récent article :
 que l’enchaînement qui a causé chacune de ces catastrophes n’avait pas été envisagé ;
 que les dispositifs de lutte étaient déficients ;
 que la couverture du risque par les assurances était insuffisante.
A la question de savoir si l’on peut avoir une idée de la prochaine crise, Stéphane Walter a
répond par la négative « car par définition, une crise n’est pas anticipée »
23
V- ETHIQUE ET TRANSPARENCE : LES DEUX PILIERS D’UNE BONNE

GOUVERNANCE
La gouvernance d’entreprise ou Corporate Governance, désigne un système permettant à

l’entreprise de gérer ses affaires non seulement de façon efficace mais également en
respectant certaines recommandations éthiques.
La notion d’éthique apparaît explicitement au sein même de la définition de la
gouvernance d’entreprise, ce qui indique l’importance de celle-ci en tant que composante
d’une bonne gouvernance.
Vue comme un résultat, la bonne gouvernance découle de l’application des principes

d’éthique et de transparence que ce soit au niveau de l’entreprise ou au niveau de
l’Etat et de l’Administration. Il est évident que le cadre légal et réglementaire d’un pays a
une grande influence sur le comportement en termes d’éthique et de transparence des
entreprises et des individus. En effet, les pays traditionnellement marqués par une opacité
de l’information, une instabilité politique et une corruption érigée en système, affichent
des scores négatifs concernant les indices de bonne gouvernance, ce qui entraîne une
mauvaise performance économique. Ainsi, vu comme un processus, le respect des
principes de bonne gouvernance explique en partie la bonne performance économique
d’un pays.
VI- GOUVERNEMENT D’ENTREPRISE ET MANAGEMENT DES RISQUES
Le management des risques suscite de plus en plus d’intérêt avec la multiplication des
menaces qui pèsent sur l’organisation et nécessitent des réponses adéquates à leur
réduction et à leur anticipation.
Au Conseil d’administration incombe la fixation des objectifs globaux et la détermination
des processus à mettre en œuvre pour les réaliser.
Les administrateurs et les cadres dirigeants de l’entreprise, par délégation d’une partie des
fonctions concernées, exercent ces responsabilités dans le cadre du processus de
management.
Les dirigeants efficaces s’interrogent sur l’origine des risques et sur leur impact éventuel
pour l’entreprise, puis ils s’efforcent de les réduire grâce à une gestion dynamique. Ils
savent que la réduction des risques ou de leur impact a pour effet d’accroître le potentiel de
rentabilité et les chances de réussite. Le risque est, alors, perçu comme un facteur qui, sous
réserve d’un management et d’un contrôle efficaces, permet aux profits latents liés aux
opportunités de se concrétiser.
Le contrôle interne fait partie intégrante du processus de management des

risques et découle de la façon dont les administrateurs et cadres dirigeants gèrent
l’entreprise.
Le processus de management des risques comprend deux parties :
 l’analyse ou l’évaluation des risques qui inclut l’identification, l’estimation et
l’évaluation des risques.
24
 La gestion ou management des risques qui englobe l’élaboration des plans

prévisionnels ainsi que les opérations de suivi et de contrôle fondées sur les
informations obtenues dans le cadre de l’évaluation des risques.
Le Risk Management, ou management des risques correspond à une étape du processus

qui consiste à gérer les risques préalablement identifiés.
L’élaboration d’un plan prévisionnel est l’une des pierres angulaires du processus de
management. L’on admet habituellement, par hypothèse, que le plan reflète ce que les gens
vont faire. Et que si le plan est bien conçu, si l’on s’y conforme et s’il est exécuté avec
efficacité, les objectifs seront atteints
Le vrai management des risques commence par la reconnaissance des incertitudes que
comporte le plan lui-même. Les vraies raisons d’être d’un plan prévisionnel sont les
suivantes :
• il sert de support aux prises de décisions ultérieures et aux correctifs apportés aux
activités concernées ;
• l’élaboration d’un plan prévisionnel est le meilleur moyen de s’assurer que, selon toute
vraisemblance, les activités seront exercées selon les modalités les plus efficaces ;
• il facilite l’identification des risques.
Les dirigeants doivent s’efforcer d’anticiper et de contrôler les
éléments de nature à compromettre la réalisation des objectifs.
6.1 Mise en place d’un processus de management des risques
Le management des risques n’est efficace que s’il s’inscrit dans le cadre d’un dispositif mis
en place au niveau de l’entreprise. À défaut, les risques ne peuvent être analysés, divulgués,
comparés et gérés d’une façon cohérente et efficace à tous les niveaux de l’entreprise.
Les éléments clés d’un dispositif de management des risques sont les suivants :
• Des procédures et des normes claires et cohérentes en matière de management des
risques, comprenant une définition claire des types et des niveaux de risques qui sont
considérés comme étant inacceptables.
25
• Il est tout aussi important que le risque figure à l’ordre du jour des réunions de la
direction, dans les domaines qui comportent des risques et des incertitudes considérables,
tels que la gestion stratégique ou la gestion de projet…
• Une définition claire des responsabilités et des pouvoirs en matière d’acceptation et de
management des risques, et leur attribution à des personnes clés. Les procédures de
délégation des responsabilités et des pouvoirs liés au management des risques doivent être
clairement définies au sein de l’entreprise. Elles doivent reposer sur le concept de «
propriété » ou de responsabilité liée aux risques (« risk ownership »).
Le management des risques doit être pratiqué dans toute l’entreprise, du haut en bas de la
hiérarchie. En effet, les risques varient selon les fonctions assumées :
 Au niveau du siège social, les principales préoccupations concernent l’évolution et
les objectifs de l’entreprise ainsi que la stratégie adoptée pour y parvenir.
 Au niveau des services commerciaux ou des services responsables de la mise en
place de programmes, l’activité qui consiste à transformer la stratégie en plans
d’actions tactiques, entraîne des conflits d’intérêts, des problèmes liés à l’octroi
d’avantages et à des changements non demandés, etc.
 La gestion opérationnelle consiste notamment à exécuter quotidiennement les plans

des dirigeants, grâce à l’exploitation continue des systèmes et des services en place,
et à livrer les produits et les services requis. Les facteurs qui influent sur la qualité
et sur les dates de livraison sont souvent critiques et les défaillances fréquentes.
Les risques interagissent les uns sur les autres, tant sur le plan vertical que sur le plan
horizontal, au sein des entreprises.
6.2 Le cycle de management des risques

Le management des risques suit un processus continu et répétitif qui doit être intégré au
processus de gestion.
Le cycle de management des risques comprend :
• l’analyse du contexte et des perspectives,
• l’identification des risques et la constitution d’une documentation sur les risques,
• l’analyse des risques, leur quantification et leur classement par nature,
• l’évaluation des risques et la mise en œuvre de modèles,
• la mise au point de stratégies permettant d’atténuer ou de maîtriser les risques,
• l’obtention de ressources et la désignation de responsables,
• la réduction, la compensation et/ou l’optimisation des risques,
• le suivi et la revue des risques.
Il comprend, aussi, deux phases principales :
• la première qui consiste à bien identifier les risques les plus importants,
• la deuxième qui tend à s’assurer que des stratégies sont bien en place pour les gérer, ce
qui implique de bien comprendre qui peut agir et comment, sur chaque risque.
26
Le management des risques n’est pas seulement une technique qui peut s’acquérir de
façon mécanique. C’est, aussi, une attitude d’esprit qui repose sur l’acquisition de
connaissances et d’une expérience pratique, et qui consiste à avoir conscience de ses
limites.
Il est évident d’avoir conscience que le management des risques a des limites. De fait, il
n’existe pas de solution idéale permettant de résoudre tous les problèmes.
6.3 Management des risques selon le référentiel international COSO 2

Créée à l'origine en 1985, COSO (Committee of Sponsoring Organizations of the Treadway
Commission) est une organisation volontaire relevant du secteur privé, qui s'emploie à
améliorer les performances organisationnelles et la gouvernance des entreprises grâce à
un contrôle interne efficace, à la gestion des risques de l'entreprise et à la dissuasion de la
fraude.
Le nouveau Cadre, maintenant intitulé -Enterprise Risk Management (ERM) -
intégrant la Stratégie et la Performance, conserve et s'appuie sur les points forts de la
publication originale de 2004.
La publication officielle de ce nouveau cadre a été annoncée officiellement par COSO le 6
septembre 2017.
Les progrès technologiques ont créé de nouvelles opportunités étonnantes pour les
entreprises et les gouvernements, ainsi que pour toute une nouvelle catégorie de risques
de cybercriminalité.
Le cadre mis à jour répond à ces types de changements et fournit un outil qui permet non
seulement aux organisations d'améliorer la gestion des risques mais aussi de mieux
comprendre l'impact du risque sur les performances.
Ce nouveau cadre a permis aux auditeurs de changer de paradigme en passant d’un
contrôle basé sur le risque préventif à un processus de contrôle axé sur les opportunités et
découvrir ainsi comment la gestion des risques peut créer, préserver et réaliser la qualité et
la valeur pour l’entreprise.
Le COSO définit le management des risques de l’entreprise comme suit :
« Processus mis en œuvre par le Conseil d’administration, la Direction Générale, le
management et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans
l’élaboration de la stratégie ainsi que dans.toutes les activités de l’organisation. Il est
conçu pour identifier les évènements potentiels susceptibles d’affecter l’organisation et
pour gérer les risques dans les limites de son appétence pour les risques.
Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de
l’organisation. »
Selon cette définition, le management des risques de l’entreprise :
 est un processus permanent qui irrigue l’organisation ;
 est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de
l’organisation ;
 est pris en compte dans l’élaboration de la stratégie ;
27
 est mis en œuvre à chaque niveau et dans chaque structure et processus de

l’organisation ;
 permet d’obtenir une vision globale de l’exposition aux risques à l’échelle de
l’entreprise ;
 est destiné à identifier les évènements potentiels susceptibles d’affecter
l’organisation ;
 permet de gérer les risques en fonction de l’appétence pour le risque de
l’organisation
 donne à la direction générale et au conseil d’administration une assurance
raisonnable quant à la réalisation des objectifs ;
 est orienté vers l’atteinte des objectifs appartenant à une ou plusieurs catégories
indépendantes susceptibles de se recouper.
Il est légitime d’attendre du processus de management des risques une assurance
raisonnable quant à l’atteinte des objectifs de fiabilité du reporting et à la conformité aux
lois et aux règlements dont l’organisation a le contrôle. Par contre, l’atteinte des objectifs
stratégiques et opérationnels peut dépendre parfois d’évènements extérieurs qui peuvent
échapper au contrôle de l’organisation.
6.4 Les éléments du management des risques selon COSO 2

Le dispositif de management des risques du COSO 2 comprend huit éléments, qui
traduisent la façon dont l’organisation est gérée, et sont intégrés au processus de gestion :
6.4.1- L’environnement interne
Il est influencé par l’histoire et la culture de l’organisation. Il englobe de nombreux
éléments, dont :
 La culture du risque
 L’appétence pour le risque
 L’intégrité et les valeurs éthiques
 L’engagement de compétences
 La structure organisationnelle, infrastructure permettant de planifier, d’exécuter, de
contrôler et de faire un suivi des activités
 La délégation de pouvoirs et de responsabilités qui autorise et incite les individus et
les équipes à prendre des initiatives pour aborder et résoudre les problèmes dans la
limite de leurs pouvoirs
 La politique de ressources humaines qui englobe le recrutement et la gestion des
carrières, la formation, l’évaluation des carrières, la promotion, la rémunération
6.4.2- La fixation d’objectifs
 Objectifs liés à la stratégie

 Objectifs liés aux opérations : efficacité et efficience
 Objectifs liés au reporting
 Objectifs liés à la conformité
28
Ces objectifs sont alignés sur l’appétence pour le risque de l’entreprise qui détermine le
niveau de risque qu’elle accepte
6.4.3.- L’identification des évènements
6.4.3.1 Le COSO identifie plusieurs facteurs externes et des évènements qui leur sont
liés :
- Facteurs économiques : fluctuations de prix, disponibilité des capitaux
- Facteurs environnementaux : inondations, incendies, séismes…
- Facteurs politiques : promulgation de nouvelles lois et règlements
- Facteurs sociaux : évolution démographique, coutumes sociales…
- Facteurs technologiques tels les nouveaux modes de commerce électronique, de stockage
(Cloud) ou de traitement.
6.4.3.2 Le COSO cite également des facteurs internes :

- Infrastructure comme par exemple les capitaux alloués à la prévention ou aux centres
d’appels.
- Personnel : Accidents de travail, expiration d’accords collectifs
-Processus : modification des processus, erreurs d’exécution ou l’externalisation
- Technologie : violations de la sécurité ou interruption des systèmes
6.4.4 Evaluation des risques : le management évalue la probabilité d’occurrence et

l’impact des évènements à la fois au plan des risques inhérents et des risques résiduels,
c’est-à-dire les risques « bruts » comme les risques « nets »
6.4.5- Traitement des risques :

Selon COSO 2, une fois les risques évalués, le management détermine quels traitements
appliquer à chacun :
-L’évitement : cesser les activités à l’origine du risque )
-La réduction : : prise de mesures pour réduire la probabilité d’occurrence (manifestation)
-Le partage : diminuer l’impact du risque en le transférant ou en le partageant- achat de
produits d’assurance, opération de couverture ou externalisation.
-L’acceptation : accepter le risque plutôt que de dépenser des ressources financières pour
appliquer l’une des autres modalités
6.4.6- Activités de contrôle

Elles sont présentes partout dans l’organisation et sont constituées des politiques et des
procédures qui permettent de s’assurer que les traitements des risques souhaités par la
Direction ont été mis en place :
-Revues de management : examen et respect du budget, actualisation des prévisions…
- Supervision directe d’une activité ou d’une fonction : contrôles exécutés par les
responsables de fonctions ou d’activités spécifiques
-Traitement de l’information : contrôles pour vérifier l’exhaustivité, et la validation des
transactions, par exemple contrôles généraux des infrastructures tels que la sécurité
physique et logique, mise en œuvre des systèmes, les évolutions de versions…
29
-Contrôles physiques : décompte physique des espèces en caisse, des titres, des stocks, du
matériel….
-Indicateurs de performance : analyse et suite donnée aux écarts observés par rapport aux
normes de performance ciblées et attendues.
-Séparation des tâches : tâches incompatibles d’autorisation, d’exécution d’enregistrement
et de contrôle dont le cumul est interdit.
6.4.7-Information et communication
Les informations pertinentes sont identifiées, saisies et communiquées dans un format
(liasse de reporting) et des délais permettant à chacun de s’acquitter de ses responsabilités.
Le COSO précise que l’information doit être :
-appropriée et aussi détaillée que possible
-disponible dès que nécessaire
-actualisée reflétant les données les plus récentes
-exacte et fiable
-Accessible à ceux qui en ont besoin.
6.4.8- Pilotage
Le dispositif de management des risques fait l’objet d’un pilotage qui repose sur
l’évaluation de l’existence et du fonctionnement de ses éléments au fil du temps.
La nature, l’étendue et la fréquence des évaluations spécifiques dépendent,
principalement, de l’appréciation par le management des risques sous-jacents et de
l’efficacité des procédures de pilotage existantes.
Les déficiences relevées grâce à ce pilotage sont remontées à la hiérarchie et pour les
menaces les plus graves sont remontées à l’attention de la direction générale et du conseil
d’administration.
En définitive, ces huit éléments représentent les huit composantes du management des
risques selon COSO 2 qui a introduit par rapport aux objectifs du Contrôle interne du
COSO 1 e » 2004, trois composants nouveaux dans le CUBE du management des risques :
-Fixation des objectifs
-Identification des évènements
-Traitement des risques
Cette mise à jour du COSO de 2017 souligne l'importance de la gestion des risques
de l'entreprise dans la planification stratégique. Il met également l'accent sur
l'intégration de l'ERM dans toute l'organisation, car le risque influence la stratégie et les
performances dans l'ensemble de l'organisation.
30
VII- DISPOSITIF DE MAITRISE GLOBALE DES RISQUES : LES TROIS

LIGNES DE MAITRISE (E.R.M)
La maîtrise des risques est essentielle au développement de l’entreprise et en son absence

sa survie peut être menacée. Pour les dirigeants il est, en effet, indispensable de concourir
à la croissance, à la performance et à la pérennité de leur entreprise. Pour cela il est
nécessaire de répondre à des problématiques cruciales :
‐ Comment les objectifs de l’organisation sont-ils déclinés et mis en cohérence avec

ses missions ?
‐ Les risques significatifs sont-ils identifiés et évalués ?
‐ Les réponses aux risques sont-elles appropriées et alignées avec l’appétence aux
risques ?
‐ Les contrôles pour éviter ou limiter les risques sont-ils adéquats et efficaces ?
‐ Les informations utiles sur les risques sont-elles recueillies et communiquées en
temps utile à l’ensemble de l’organisation ?
Les fonctions dédiées comme la gestion des risques, le contrôle et l’audit interne
représentent des moyens appropriés pour répondre à ces questions
Le processus d’identification des risques doit pouvoir se dérouler à la fois au niveau de la

Direction Générale et au niveau opérationnel, dans l’objectif d’assurer l’atteinte de leurs
objectifs stratégiques et opérationnels dans les meilleures conditions de conformité et
d’efficacité.
Sans coordination entre les activités de management des risques, d’assurance et de
supervision, les activités perdent en efficacité. Les bonnes pratiques nécessitent de
déléguer et de coordonner les fonctions essentielles de gestion des risques.
7.1 Objectifs du dispositif e management des risques
Les objectifs du management des risques peuvent se résumer dans les actions suivantes :
 Identifier, évaluer et classer les risques par ordre de priorité (criticité)
 Développer des stratégies pour mesurer les risques (évaluation)
 Elaborer des politiques et des procédures pour atténuer les risques (réduction)
 Mettre en œuvre les contrôles et attribuer les responsabilités
(responsabilisation)
 Tester l'efficacité du processus et évaluer les résultats (contrôle)
 Amender les politiques et procédures dès que nécessaire (amélioration)
7.2 Dispositif Global de Management des Risques : ERM
Le dispositif global de la gestion des risques, appelé par les Anglos Saxons « Enterprise.wid
Risk Management » (ERM), a pour objet de hiérarchiser les risques en fonction de leur
corrélation avec les objectifs et les ressources de la société mais aussi de leur impact
31
potentiel sur ses performances (seuils de criticité). Ce modèle structure les processus en
trois lignes de maîtrise des risques induisant une approche pertinente des rôles et
responsabilités des managers opérationnels, des fonctions transverses et de l’Audit interne.
Le dispositif couvre l’ensemble des processus stratégiques et opérationnels qui donne à la
Direction Générale une vision claire des risques.
Le schéma illustrant les trois lignes de maîtrise des risques est représenté, ainsi :
7.2.1 La première ligne de maîtrise des activités se rattache aux opérationnels,

managers de processus métiers, qui se doivent de connaître les risques pouvant menacer
leurs activités et de mettre en place les moyens et actions utiles pour réduire leur impact et
les maîtriser. Aussi, il est nécessaire que tous les contrôles intégrés aux processus
(contrôles d’activités), soient régulièrement réalisés.
Cette première ligne permet la maîtrise des activités au jour le jour en mettant en œuvre
les pratiques les plus efficaces de gestion des risques au niveau de chaque processus et en
communiquant les informations appropriées à la deuxième ligne de maîtrise.
7.2.2 La deuxième ligne de maîtrise des risques regroupe les processus supports et
transverses et des fonctions dédiées à l’animation du Dispositif Global de Maîtrise des
Risques telles les structures en charge de la Gestion des Risques, du Contrôle Interne, de la
Conformité et les structures transverses que sont la DRH, la DSI, le Juridique, le SMQ, la
DFC...
32
Ces services disposent en effet d’une expertise et d’un savoir-faire uniques pour l’analyse
des organisations et de compétences essentielles en matière d’activités de contrôle.
Cette ligne prend en charge l’élaboration des procédures et modes opératoires.
Elle a pour objectif la structuration et la maintenance du dispositif de maîtrise des activités
de l’organisation, notamment en :
 assistant les opérationnels dans l’identification et l’évaluation des principaux
risques relevant de leur domaine d’expertise ;
 proposant des politiques et des procédures de groupe par domaine d’activité ;
 contribuant avec les opérationnels à la conception des contrôles les plus pertinents ;
 développant les meilleurs pratiques et les échanges (benchmarks) ;
 observant et en rendant compte du fonctionnement effectif des processus.
L’efficacité de cette ligne de maîtrise passe par la définition préalable des rôles et
responsabilité de chaque fonction qui concoure à la définition et à la maintenance du
dispositif global de maîtrise des risques.
7.2.3 La troisième ligne de maîtrise des activités est celle de l’Audit Interne qui
fournit, à travers une démarche fondée sur les risques, une assurance globale à la Direction
Générale, au Conseil d’administration et au Comité d’Audit quand il existe.
Cette assurance globale couvre l’efficacité des deux premières lignes de maîtrise et de la
gouvernance de l’organisation. Elle englobe tous les éléments du cadre de maîtrise des
risques : des processus d’identification et d’évaluation au dispositif de contrôle interne
pour atténuer les risques.
La démarcation et le champ d’action de chacune des lignes de maîtrise des risques est
claire, notamment en ce qui concerne trois fonctions essentielles dans le processus de
gestion global des risques :
-La Direction Financière et comptable et la fonction de Gestion des Risques qui font partie
de la deuxième ligne de maîtrise où figurent les fonctions transverses qui reportent à la
Direction Générale.
-La Direction de l’Audit Interne qui incarne la troisième ligne de maîtrise, qui évalue les
sécurités de contrôle interne et leur efficacité dans la prévention des risques et reporte à la
fois à la Direction Générale et au Conseil d’Administration, et, quand il existe, au Comité
d’Audit,
Ce Dispositif de Maîtrise des Risques couvre l’ensemble des processus stratégiques et
opérationnels qui donnent à la Direction Générale, au conseil d’administration et au
comité d’audit une assurance raisonnable sur la fiabilité des informations financières et
extra-financières, et notamment celles qui sont communiquées aux actionnaires, au
marché et aux autres parties prenantes.
La conduite efficace des activités repose sur une prise de risque maîtrisée.
En définitive, « il s’agit de prévenir et non de subir » : le but du dispositif de maîtrise

des risques est de savoir réagir aux situations prévues comme celles qui ne l’ont pas été.
33
Mêmes si les risques majeurs ne se réalisent pas exactement comme ils avaient été
anticipés ou imaginés, l’étude de scénarios de risques permet à l’organisation de prévoir
l’activation de mécanismes de protection et de les tester.
Un dispositif de maîtrise des risques efficace permet d’identifier les signes avant-coureurs
et de réagir dès la première manifestation de l’incident pour en minimiser l’impact
M. Abdessatar KRIMI, dans sa contribution sur le COSO 2, version 2017, affirme « que le
nouveau cadre du COSO, en plus d’avoir transformé la vision de la prévention du risque en
un processus proactif axé sur les opportunités et comment la gestion des risques peut
créer, préserver et réaliser la valeur pour l’entité , a traité de l’évolution du dispositif de
l’« ERM » et des avantages qui peuvent être obtenus par les organisations d’un processus
efficace de management des risques. A cet effet, le COSO 2 dans sa deuxième partie est
organisé en cinq composantes interdépendantes et essentielles à un « ERM » réussi :
 Gouvernance et culture
 Stratégie et fixation d’objectifs
 Performance
 Examen et révision
 Information, communication et reporting
La gestion des risques sera une partie importante de la manière dont l’entreprise gère et
prospère à travers le temps même si de nombreux risques deviennent de nature plus
globale et plus interconnectés. De fait, les entreprises continueront, sans nul doute, à faire
face à un avenir plein de volatilité, de complexité et d’ambiguïté.
VIII- LES ACTEURS DE LA GESTION DES RISQUES : RÔLES ET

RESPONSABILITES DANS LE CADRE DU MANAGEMENT DES RISQUES DE
L’ENTREPRISE
La montée en puissance de la gestion des risques comme discipline autonome à l’égal de

l’audit interne, observée dans tous les secteurs d’activités, doit être considérée comme une
chance pour une plus grande maîtrise des activités des organisations et l’amélioration de
leur performance.
Encore faut-il bien comprendre le rôle de chacun, bien appréhender leur différence et
jouer sur la complémentarité des auditeurs et des risk managers pour apporter plus de
valeur aux organisations.
La montée en puissance de la gestion des risques comme fonction autonome à l’égal de
l’audit interne, observée dans tous les secteurs d’activités dans les entreprises occidentales,
doit être considérée comme une chance pour une plus grande maîtrise des activités des
organisations et l’amélioration de leur performance.
Encore faut-il bien comprendre le rôle de chacun, bien appréhender leur différence et
jouer sur la complémentarité des auditeurs et des risk managers pour apporter plus de
valeur aux organisations. C’est tout l’enjeu de de la gestion globale des risques.
Il est certain que ces deux fonctions sont très liées, d’une part parce que l’audit s’appuie sur
la cartographie des risques pour établir son plan d’audit, d’autre part parce qu’il apporte
34
un certain nombre d’éclairages au risk managers pour l’élaboration de la cartographie des

risques.
Le Conseil d’administration, la direction générale, le management, les directeurs des

risques, les directeurs financiers, les auditeurs internes de même que les personnes au sein
d’une organisation contribuent à l’efficacité du management des risques.
Les rôles et les rôles et responsabilités de chacune de ces catégories sont les suivants :
8.1 Le Conseil : sa mission est de surveiller et diriger la direction générale de
l’entreprise. Il joue également un rôle dans la définition de la stratégie, la
formulation des objectifs, l’affectation globale des ressources et la création de
l’environnement éthique.
Pour avoir une vue globale du dispositif de management des risques de l’entreprise,
le COSO précise que le Conseil doit :
 avoir une connaissance des limites de l’efficacité du dispositif de gestion des risques
et de leur maîtrise ;
 avoir connaissance et accepter l’appétence de l’entreprise aux risques ;
 être informé des principaux risques et savoir que le management les gère de façon
appropriée.
Le Conseil exerce ses responsabilités via différents comités à l’instar du Comité
d’audit, du Comité de nomination et du Comité de gouvernance.
8.2 Le Management : il est responsable de toutes les activités de l’entreprise y
compris le management des risques.
Les responsabilités du management varient suivant le niveau hiérarchique :
8.2.1 Le Directeur Général a la responsabilité ultime de l’efficacité et de l’efficience
du management des risques et veille à l’existence d’un environnement interne
propice. Il exerce un leadership et définit les orientations aux managers. Il pilote
l’ensemble des activités liées aux risques en fonction de l’appétence pour les risques
définie par l’organisation.
8.2.2 Les managers, en charge des différentes unités, activités sont responsables de
la gestion des risques liés aux objectifs spécifiques de leur unité ou activité dont ils
sont les propriétaires des risques.
Ils traduisent la stratégie globale en activités relatives aux opérations courantes,
identifient les évènements présentant un risque potentiel, évaluent son impact
probable et y apportent un traitement. Ils délèguent aux managers des processus
fonctionnels la responsabilité de certaines procédures de management des risques.
8.2.3 Les fonctions transverses, telles les ressources humaines, la comptabilité, la
gestion de conformité ou les services juridiques jouent un rôle de soutien important
dans la conception et l’exécution des pratiques efficaces de management des risques
de l’entreprise.
Ces fonctions peuvent concevoir et aider à la mise en œuvre de programmes
permettant de gérer certains des principaux risques dans toute l’organisation.
8.3 Le Directeur des Risques : il travaille avec les managers opérationnels pour
coordonner et faciliter le management des risques. Il dispose de ressources
35
nécessaires à la gestion du management des risques dans l’ensemble des filiales,

services, fonctions et activités.
Le COSO décrit ses responsabilités spécifiques :
-définir des politiques de management des risques y compris les rôles et
responsabilités et les objectifs de mise en œuvre ;
-délimiter les personnes ayant la responsabilité du dispositif du management des
risques.
-promouvoir la compétence en matière de management des risques en développant
un savoir-faire et une expertise
-aider à intégrer le dispositif de management des risques dans les activités de
planification et de management.
-faciliter le développement par les managers de protocoles de reporting et
superviser le processus de reporting.
-rendre compte au directeur général des progrès et améliorations
8.4 Le Directeur Financier : les cadres rattachés à la Direction financière et
leurs équipes s’occupent d’activités qui concernent toute l’organisation. Ils
participent à l’établissement des budgets et plans à l’échelle entreprise et suivent et
analysent leur exécution.
Ils jouent un rôle majeur dans la prévention et la détection du reporting frauduleux
et influent sur la conception, la mise en œuvre et le pilotage du système de contrôle
interne relatif au reporting financier
8.5 Les auditeurs internes : ils occupent une place importante dans l’évaluation
de l’efficacité du management des risques de l’entreprise et dans la formulation de
recommandation pour son amélioration. Selon l’IIA « le périmètre des activités de
l’audit interne doit englober la gouvernance, la gestion des risques et les systèmes
de contrôle. Dans l’exercice de leurs responsabilités, les auditeurs internes assistent
la direction générale et le Conseil d’administration par l’examen, l’évaluation, le
reporting et les recommandations visant à améliorer l’adéquation et l’efficacité de la
gestion des risques de l’entreprise.
8.6 Les autres collaborateurs : la gestion des risques de l’entreprise relève de la
responsabilité de l’ensemble des collaborateurs et devrait donc faire partie
intégrante du descriptif de chaque poste de façon explicite (fiche de poste) pour
deux raisons :
-Tous jouent un rôle dans le management des risques allant de la production
d’informations utiles pour l’identification ou l’évaluation des risques à la mise en
œuvre des actions nécessaires à la gestion des risques.
-Tous les collaborateurs sont responsables des flux d’informations et de
communication inhérents au management des risques.
8.7 Les auditeurs externes peuvent fournir à la direction générale et au conseil
un point de vue éclairé, indépendant et objectif sur la gestion des risques qui
peuvent contribuer à la réalisation des objectifs de l’entreprise liés au reporting
financier externe.
8.8 Le Législateur et le Régulateur exercent une influence sur le management
des risques de nombreuses organisations soit en leur imposant la mise en place de
36
mécanismes de gestion des risques ou de contrôle interne (la loi SOX aux USA en
2001) soit en soumettant certaines entités à un examen effectué par des inspecteurs
d’Etat (IGF par exemple).
8.9 Les autres tiers extérieurs : peuvent influer sur des activités relatives au
management des risques
-Les clients, fournisseurs, banques, partenaires ayant une relation d’affaires avec
l’entreprise peuvent constituer une source importante d’informations à utiliser dans
le cadre du management des risques.
-Les prestataires de services externalisés permettent aux entreprises de déléguer de
plus en plus la gestion quotidienne de certaines fonctions non essentielles. Ces tiers
extérieurs peuvent influencer directement les activités de management des risques.
Aussi le management ne peut se décharger de sa responsabilité quant à la gestion
des risques y afférents et doit instaurer un programme de pilotage des activités
externalisées.
De nombreuses entreprises n’ont pas encore mis en œuvre un dispositif de management

des risques mais ont de plus en plus tendance à appliquer quels grands principes.
Le COSO 2017 énumère les avantages potentiels d’un tel dispositif :
 Aligner la stratégie de l’organisation avec son appétence pour le risque ;
 Renforcer les modes de traitement du risque ;
 Diminuer les incidents et les pertes opérationnelles ;
 Identifier et gérer les risques transverse ;
 Traiter de manière intégrée les risques multiples ;
 Saisir les opportunités ; améliorer l’utilisation du capital.
IX - FIABILISER LA STRATEGIE PAR UNE GESTION ORGANISEE DES RISQUES
Pour les managers Le pilotage des activités de l’entreprise est efficace. Quels
avantages supplémentaires, alors, aurons-ils à déployer et à maintenir un
système organisé de gestion des risques ?
La conduite efficace des processus d’une entreprise repose sur une prise de risque
maîtrisée.
Dans cet esprit, un système organisé de maîtrise des risques, au cœur duquel se trouve la
Direction Générale, permet de :
 définir le cadre de la gestion des risques, ses limites, les acteurs et leurs rôles ; les
liens existant avec le Contrôle Interne, le Juridique, les Assurances, mais aussi les
opérations et toutes les fonctions ;
 diffuser le processus nécessaire à l’évaluation des risques et à la mise en œuvre par
les opérationnels des traitements les plus efficaces ;
 prendre des risques maîtrisés en ajustant les activités de contrôle correspondantes ;
 faciliter la consolidation d’informations fiables et pertinentes ;
 partager les expériences des opérationnels, faire émerger les meilleures pratiques et
les consolider au niveau stratégique ;
37
En définitive, l'utilisation d'un système organisé de maîtrise des risques permet

d'optimiser la performance de l’organisation en donnant aux managers un cadre, une
latitude, un champ de responsabilité, des outils et, parallèlement, en l‘ajustant des
dispositifs de traitement à la prise de risque souhaitée.
9.1 Les grandes phases du Processus de Management des Risques (ERM)
• Identifier et évaluer les risques, notamment en veillant à l’émergence de risques

nouveaux. Il s’agit de connaître ses risques, d’en mesurer l’impact et la probabilité, et de les
hiérarchiser au travers de cartographies.
• Traiter les risques : il s’agit d’obtenir des propriétaires de risques qu’ils évaluent les
différentes options de traitement des risques, qu’ils sélectionnent la meilleure combinaison
(supprimer, accepter, transférer, couvrir/financer) et qu’ils conduisent les plans d’actions
adéquats, notamment la mise en place de plans de gestion de crise.
• Suivre l’évolution des risques : les propriétaires des risques sont responsables du
suivi de l’évolution des risques au cours du temps. Ils doivent fournir les informations de
reporting correspondantes et adapter les mesures nécessaires.
• Garantir la maîtrise des risques : des revues indépendantes et objectives de la
pertinence et de l’efficacité des traitements sont assurées par l’audit interne, le Risk
management, l’audit externe ou les équipes qualité pour donner à la Direction Générale
une image consolidée des risques majeurs de l’ensemble de l’entreprise et de leur
maîtrise.
Au-delà de ces considérations générales, il convient d’adapter le processus de management
des risques à l’entreprise : en fonction de sa taille, structure, culture, activité,… Une variété
de situations peut alors être rencontrée.
9.2 Passage obligé par la cartographie des processus
Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :
simple modélisation des processus, migration d’un système d’information vers un autre,
harmonisation des processus après fusion d’entreprises… Mais il en est au moins une qui la
rend indispensable à l’élaboration de la cartographie des risques.
D’une façon générale, nous retrouvons trois grandes catégories de processus :
• les processus métiers, ou processus opérationnels, ou processus de réalisation : vente,
souscription, production, sinistres… ;
• les processus managériaux ou de pilotage : stratégie, plans d’actions, budget… ;
• les processus supports : ressources humaines, finances, comptabilité, informatique,
logistique…
38
X- LA CARTOGRAPHIE DES RISQUES, ELEMENT CLE DU DISPOSITIF DE

MANAGEMENT DES RISQUES
10.1 Définition et objectifs d’une cartographie
• Définition d’une cartographie des risques : Positionnement des risques majeurs

selon différents axes, tels que l’impact potentiel, la probabilité de survenance ou le niveau
actuel de maîtrise des risques.
• Objectifs d’une cartographie des risques :

L’établissement d’une cartographie des risques peut être motivé par deux natures de
facteurs :
- des facteurs internes :

• mettre en place un contrôle interne ou un processus de maîtrise des risques adéquat ;
• aider le management dans l’élaboration de son plan stratégique et sa prise de décisions ;
il s’agit alors d’un outil de pilotage interne ;
• apporter les informations sur la maîtrise des risques au comité d’audit ; l’examen des
risques significatifs et de leur couverture par le comité d’audit est en effet l’une des
recommandations du Rapport Bouton ;
• orienter le plan d’audit interne en mettant en lumière les processus/activités où se
concentrent les risques majeurs ;
• ajuster les programmes d’assurances fondés sur les risques majeurs identifiés dans la
cartographie des risques (Risk Management) ;
• améliorer ou développer une culture de management des risques dans une entreprise
grâce à l’établissement, notamment, d’outils d’auto-évaluation ;
• prévenir la destruction de valeur ou accroître la valeur en utilisant le couple
risques/opportunités.
- des facteurs externes :

• respecter les lois ou les bonnes pratiques en matière de gouvernement d’entreprise
(Sarbanes-Oxley Act, Combined Code anglais et Rapport Bouton par exemple) ;
• répondre à l’attente des marchés et fournir des informations aux actionnaires (dans le
rapport annuel, document de référence en France) ;
• s’adapter à un environnement de plus en plus concurrentiel, nécessitant une bonne
maîtrise de ses risques/opportunités. Cet objectif relève plus généralement du
processus de management des risques, la cartographie des risques étant un des moyens de
l’atteindre ;
• veiller à la bonne image de l’entreprise.
Cartographie des risques : La liste des risques identifiés et évalués se représente
ensuite sous forme d’une « cartographie des risques » suivant un axe « fréquence » et un
axe « impact potentiel ».
39

10.2 Exemples de risques majeurs en environnement industriel et

commercial
Ces quelques exemples qui vont suivre n’incluent pas les risques financiers pour lesquels
une documentation importante existe déjà. Il ne s’agit pas, bien entendu, d’une liste
exhaustive :
✔ Le risque de perte d'image

• Défaut de conception d’un produit menant au décès d’un utilisateur ou à un accident ;
• Empoisonnement par la vente de produits alimentaires contaminés ou impropres à la
consommation ;
• Mauvaise gestion des rappels de produits et de la communication l’entourant ;
• Atteinte à l’environnement.
✔ Le risque de rupture des approvisionnements

• Dysfonctionnement de la chaîne d’approvisionnement entraînant un arrêt de production,
des retards de livraisons et ruptures en rayon ;
• Liquidation ou difficultés d’un fournisseur qui est la seule source d’approvisionnement
d’une matière première ou de prestation de services pour l’entreprise dans un marché très
concentré.
✔ Les risques liés au Système d'information
• Dysfonctionnement majeur du système d'information (panne…) ;
• Perte de fiabilité du système d'information (non d'exhaustivité, perte d'intégrité des
données…) ;
40
• Inexistence ou défaillance de plans de reprise d’activité pour les applications

informatiques majeures (gestion des commandes provenant des clients, facturation…) ;
• Mauvaise protection des informations.
✔ Le risque de positionnement
• Usure sur le long terme liée à un positionnement (offre produit, politique de prix…)
incohérent ou peu lisible par le client ;
• Portefeuille de produits qui ne répond pas à la demande des clients (par exemple, du fait
d’une mauvaise évaluation des besoins des clients, d’une mise sur le marché du produit
trop prolongée, d’efforts de recherche insuffisants, …) ;
• Mono produit.
✔ Le risque d'expansion
• Ouverture de surfaces de ventes dans des zones à potentiel insuffisant ou dans des pays à
risques.
✔ Le risque légal
• Risque fiscal et interventions de la DGCCRF (Direction Générale de la
Concurrence, de la Consommation et de la Répression des Fraudes) ;
• Évolution de la législation concernant la distribution.
✔ Le risque social
• Perte de la culture d'entreprise et/ou de l'expérience en raison d'un taux de turnover
élevé ;
• Conflits sociaux entraînant des perturbations durables de l'activité (fermeture des
surfaces de vente…) ;
• Personnel insuffisamment formé ;
• Difficultés de recrutement.
✔ Le risque sécuritaire
• Accident grave (incendie, destruction du site…) sur la surface de vente lors de la présence
de clients ;
• Manque de protection de la santé ou de la sécurité des employés et des riverains
(utilisation de produits chimiques dangereux pour la santé ou hautement explosifs…).
✔ Le risque concurrentiel
• Politique commerciale agressive de la concurrence ;
• Perte d’informations confidentielles (notamment tout ce qui touche au secret industriel).
✔ Risque d’arrêt de la production
• Destruction totale ou partielle d’une usine (explosion, incendie…) conduisant à un arrêt
de production (risque aggravé si la production est mono-source).
✔ Risque organisationnel
• Echec de projets importants pour l’entreprise (par exemple, réorganisation des systèmes
d’information, croissance externe) ;
• Mauvaise gestion des compétences du personnel conduisant à une perte d’expertise dans
un domaine clé pour l’entreprise.
✔ Risque de fraude
41
• Organisation par certains employés de systèmes de « pots de vin », corruption, ententes,

vols de produits.

10.3 Cartographie des risques : utilisation de deux approches

complémentaires : Top Down et Bottom Up
Cette partie reprend les grandes séquences de chaque méthode, discute des avantages et
des inconvénients de chacune et indique les écueils à éviter.
Ce travail doit être fait régulièrement afin d’assurer une actualisation de la cartographie et
la prise en compte des nouveaux risques.
Dans le cadre d’une démarche de cartographie, il est possible de distinguer parmi les
nombreuses méthodes possibles deux grandes approches.
- La première est basée sur un recensement des risques par le Comité de Direction. (Top
Down)
- La seconde consiste à partir des processus pour identifier les différents risques de
l’entreprise (Bottom Up)
Métier
Top Down
Domaine
Processus
Opérations
Tâches élémentaires Bottom Up
Ces deux possibilités ne s’opposent pas mais se complètent :

Cette approche se décline en sept étapes :
• Modélisation des processus de l’entreprise (business process model) ;
• Identification des risques inhérents ;
• (Auto-) évaluation des risques résiduels et identification des risques majeurs ;
• Identification des risques liés à la stratégie ;
• Mixage des risques majeurs / risques stratégiques ;
• Gestion du portefeuille des risques et opportunités ;
• Pilotage et communication.
42
10.3.1 L’approche Top Down

Trois étapes jalonnent la construction de cette méthode de construction d’une cartographie
des risques :
Première étape : l’analyse des risques

Dans cette démarche, le risque est appréhendé dans une vision globale de l’entreprise.
L’approche consiste à faire identifier les risques majeurs par les membres du Comité de
Direction. Ainsi, les dangers sont recensés au regard de la stratégie suivie par l’entreprise.
Une autre approche consiste à identifier les risques par les parties prenantes (salariés,
actionnaires, clients, etc.) afin de recenser les menaces qui pèsent sur l’entreprise. Cette
dernière approche a été testée, mais elle ne s’est toutefois pas avérée opérationnelle.
Deuxième étape : le rattachement des risques aux processus

Au cours de cette phase, il s’agit de remplir le double objectif de mise en cohérence des
risques identifiés avec les activités de l’entité et d’exhaustivité de la cartographie. En effet,
les risques mis en évidence au niveau de la démarche Top-Down doivent être rattachés aux
processus de l’activité.
Ce rapprochement a également pour effet bénéfique de s’assurer de la complétude de
l’analyse.
Troisième étape : l’évaluation et la hiérarchisation des risques
Les risques d’une Compagnie d’Assurance sont analysés en approche « Top-Down »
avec la Direction générale, en s’appuyant sur une représentation graphique
bidimensionnelle (fréquence/impact) sous forme de matrice de criticité.
La finalité d’une telle approche est de schématiser le profil de risques propre à la
compagnie, et de déterminer un ordre de priorité des risques majeurs pour leur traitement.
Les niveaux de criticité en impact (perte potentielle en unités de valeur) pourront
correspondre à des seuils fixés dans le cadre de la gestion des fonds propres (ceux de la
société mère et ceux de la filiale concernée) et dans le cadre de la réassurance (réassurance
des événements catastrophiques, réassurance par sinistre).
Les niveaux de criticité en fréquence (nombre de survenances possibles d’un risque en une
année), pourront être faibles (inférieurs à un seuil très bas pouvant correspondre à celui
recommandé par BALE II), moyens, élevés et certains (c’est à dire avec survenance
certaine plusieurs fois dans l’année).
La matrice de criticité pourra enfin être représentée sous trois versions :
- les risques bruts,
- les risques résiduels acceptés
- et les risques résiduels réels.
Enfin une méthodologie peut être développée afin d’appuyer l’évaluation des risques
majeurs sur le niveau de qualité du contrôle interne et de la maîtrise des risques.
43
Matrice des risques
10.3.2 L’approche Bottom Up

Cette deuxième méthode utilisée pour la construction d’une cartographie se déroule en
trois phases :
Première étape : l’identification des processus

Le recensement des processus de l’entreprise constitue le point de départ de cette
démarche.
Un niveau de détail approprié doit être choisi en fonction des objectifs de la cartographie.
Ce niveau doit être suffisamment fin pour identifier de façon pertinente les risques
significatifs mais ne doit pas conduire à lister l’ensemble des sous processus de
l’entreprise.
Ce choix permet ensuite de déterminer le niveau hiérarchique d’interlocuteur à rencontrer
afin de collecter les informations.
Une fois le contexte de cette démarche rappelé aux personnes interrogées, l’entretien peut
se dérouler de deux manières distinctes. Il peut être basé sur un questionnaire ou se
dérouler de façon ouverte, permettant ainsi une plus grande liberté dans l’expression de la
vision des processus et des risques de la part des opérationnels.
Les informations recueillies au cours de cette étape sont ensuite classées afin d’établir une
nomenclature des processus majeurs.
Ils sont à la base de l’établissement de la cartographie des risques et peuvent être classés en
3 grandes familles :
 Les processus relatifs à la production quotidienne (processus métiers),
 ceux relatifs aux activités permettant le bon fonctionnement de l’entreprise
(processus supports)
 et ceux concernant les activités de management (processus managériaux).
44
Deuxième étape : l’identification des risques

Une première identification des risques est réalisée au cours des entretiens avec les
opérationnels.
Comme pour le recensement des processus, la description des risques peut se faire soit sur
la base d’un questionnaire soit de manière ouverte, facilitant ainsi l’identification de
risques.
Cette première identification est construite conjointement par le management de l’activité
opérationnelle et les équipes en charge de la cartographie.
Le recensement des risques étant réalisé à partir de différentes activités prises isolément, il
apparaît important d’identifier également les risques liés aux interrelations entre ces
activités.
Ce n’est qu’une fois cette étape franchie, que ces risques pourront être classés. Plusieurs
possibilités sont alors offertes : l’entreprise peut faire le choix d’une typologie spécifique à
l’entreprise, en fonction du domaine d’activité et des objectifs définis pour la démarche.
Troisième étape : l’évaluation et la hiérarchisation des risques

Il convient de définir, au préalable, un certain nombre de principes structurants tels que
les méthodes d’évaluation des risques avant de se lancer dans cette étape.
Ces méthodes sont différentes selon qu’il s’agit de répondre à une question de stratégie ou
d’analyse de type rentabilité/risque ou opportunité/menace
Les risques sont évaluables quantitativement par les informations recueillies dans le cadre
de l’analyse des processus. Ce sont :
 soit des données déjà existantes : statistiques et tableaux de bord, bases incidents,
comptes techniques, … ;
 soit des données constituées pendant la démarche d’identification des risques :
comptage d’opérations et d’anomalies, mise en place de statistiques d’observation,
etc.
De même que pour la démarche « Top Down», il est préférable que ce travail soit réalisé
avant tout par les opérationnels concernés, propriétaires des risques
En résumé, l’évaluation pourra être soit qualitative et être établie sur la base de rapports de
l’audit interne ou d’avis d’experts, soit semi-quantitative et basée sur un système de
notation du couple fréquence/impact, soit quantitative quand un chiffre de perte
probable est associé à un risque
La construction de la cartographie
Cette phase est essentielle dans la démarche de cartographie dans la mesure où elle permet
de s’assurer de la meilleure identification des risques de l’entreprise. En effet,
l’identification des risques inhérents aux processus opérationnels de l’entreprise ne permet
pas de prendre en compte certains dangers dits stratégiques.
Par exemple, le risque d’image ou bien le risque légal (responsabilité des dirigeants)
pourrait être omis sans la réalisation de cette étape.
Pour répondre à ce besoin, ces risques stratégiques doivent être étudiés et rapprochés de la
cartographie obtenue par l’analyse des processus.
45
Selon les résultats d’un groupe de travail qui ont entrepris une démarche de cartographie
au sein de leur entreprise, la construction s’effectue en référence permanente avec la
typologie des risques afin de veiller à ne pas oublier certains risques. Ce rapprochement
permet, également, l’élaboration de tableaux de cartographie.
10.3.3 Etapes de la construction d’une cartographie des risques
Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la démarche d’élaboration
d’une cartographie des risques passe par les cinq étapes ci-dessous sont franchies :
 Définir les objectifs
Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne.
Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise,
en fonction de son organisation : par métier, par zone géographique, par segment de
marché…?
Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, de
marge technique, de qualité de service client, de produits financiers, de résultat
d’exploitation… ?
 Répertorier les processus
Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte des
objectifs ?
Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, décomposer les
macro-processus en sous-processus (ou processus spécialisés) mais aussi veiller à ne pas
descendre à un niveau trop fin (granularité : les tâches élémentaires, par exemple), ce qui
rendrait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveau
des processus supposés porteurs de risques significatifs.
 Identifier les risques
Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus,
il est indispensable de procéder à l’identification des risques, au sens d’événements venant
perturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes
appropriées. Mais s’arrêter à la seule identification des risques serait, néanmoins,
insuffisant.
 Evaluer les risques
Aussitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard des
deux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), là
aussi en utilisant les approches méthodologiques les plus adaptées, telles que la matrice de
criticité.
46
Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque
résiduel, résultant de la mise en œuvre des éléments de maîtrise.
 Eviter les écueils
Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenir
compte dès le début de la mise en œuvre de la cartographie.
Le recensement des processus et des risques inhérents ne doit pas descendre, en matière
de granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivité
des risques peut conduire à un long travail d’identification ; certains de ces risques
s’avérant, in fine, non significatifs ou non pertinents.
L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre la
consolidation et l’exploitation des informations difficiles.
Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une
identification partielle des risques, l’opérationnel rencontré étant cantonné à un cadre
délimité par des questionnaires ou cartographies de référence.
De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’une
approche trop inquisitrice, installant de fait un climat moins propice aux échanges et à
l’expression spontanée des risques.
Concernant l’évaluation, il s’agit bien de s’assurer de l’adéquation des méthodes utilisées
avec les objectifs assignés à la démarche de cartographie. Une approche quantitative peut
en effet s’avérer inappropriée dans certains cas. En revanche, le recours à des méthodes
purement qualitatives ne permet pas toujours d’évaluer avec justesse l’importance des
mesures de contrôle à mettre en œuvre ; l’entreprise pouvant renoncer à des couvertures
jugées trop coûteuses sur la base de risques évalués grâce à une échelle de notation.
16
Avantages, inconvénients, écueils à éviter
La méthode Bottom-up présente des avantages à 3 niveaux :

• L’approche par les processus permet d’obtenir une bonne connaissance des activités de
l’entreprise et les résultats peuvent ensuite être utilisés à d’autres fins, dans le cadre d’une
réorganisation ou à l’occasion d’une démarche qualité.
• L’analyse dans le détail des activités permet un recensement exhaustif des risques.
• La consultation des opérationnels pour la réalisation de la cartographie permet d’obtenir
une implication satisfaisante de leur part.
En revanche, c’est une démarche consommatrice de temps dans la mesure où elle requiert
la tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs, elle
peut s’avérer coûteuse en termes de compétences et de systèmes car la collecte des données
nécessite souvent le recours à des outils adaptés.
Quant à l’approche Top-down, elle permet une mise en œuvre plus légère puisque les
entretiens nécessaires sont moins nombreux et ne nécessitent pas une analyse des
processus.
47
L’examen des risques stratégiques permet également de s’assurer de la prise en compte

plus immédiate des processus transversaux ou managériaux, ce qui peut être plus en
adéquation avec les attentes de la Direction générale.
Cependant, elle présente l’inconvénient d’être moins précise, tant dans l’identification des
risques que dans leur quantification. Par ailleurs, les opérationnels n’étant pas associés, ils
peuvent avoir du mal à s’approprier la démarche.
Ces deux démarches sont considérées comme complémentaires et c’est pourquoi il est
recommandé, dans la mesure du possible, de les combiner en fonction des moyens et des
délais accordés.
En effet, ces deux approches, non seulement ne s’opposent pas, mais sont
complémentaires.
Elles peuvent être conduites soit de façon successive, soit de façon simultanée, la question
du choix pouvant se poser lors du démarrage d’un projet de cartographie.
L’approche Top Down facilite la fixation de priorités d’actions dans ce qui remonte de
l’approche Bottom Up, et cette dernière permet de valider et de compléter les éléments
ressortis dans l’approche Top Down.
Ces deux méthodes ont ainsi naturellement vocation à alimenter et faire vivre la
cartographie.
Enfin, quelles que soient la ou les méthodes utilisées, il ne peut, jamais, être certain de
couvrir l'exhaustivité des risques.
10.4.4 Positionnement des opérationnels au cœur du dispositif de maîtrise

des risque
On entend ici par opérationnels, l’ensemble des collaborateurs qui agissent dans
l’entreprise : les commerciaux (qu’ils soient salariés ou mandataires), les gestionnaires
(tant en production qu’en sinistres ou prestations), mais aussi tous les collaborateurs
fonctionnels d'un Siège : comptables, chargés d’études, gestionnaires paie….
L’encadrement de proximité fait partie intégrante des opérationnels.
Chaque opérationnel, chaque manager de proximité est propriétaire de ses
risques.
Ils doivent s’approprier la démarche et être les premiers consultés, quelles que soient les
méthodes mises en œuvre, que celles-ci reposent sur des questionnaires individuels, des
ateliers ou des interviews.
10.4.5 Communication à tous les niveaux
Si l’impulsion, en terme de communication, doit aussi être donnée par la Direction

Générale, il appartient à chaque Directeur, cadre supérieur, cadre de proximité de relayer
cette communication et ce, sur deux registres.
D’abord, par le canal classique hiérarchique, communication :
• entre la Direction Générale et les Directeurs ;
• entre le Directeur et son encadrement supérieur ;
48
• entre l’encadrement supérieur et l’encadrement de proximité ;

• entre l’encadrement de proximité et les opérationnels ;
en étant vigilant sur les risques de déperdition d’information entre les différents niveaux.
Mais la communication doit aussi fonctionner de façon transversale :

• entre les Directions opérationnelles ;
• entre les Directions fonctionnelles ;
• entre les Directions opérationnelles et les Directions fonctionnelles,
chacune des Directions étant presque toujours intégrée dans un macro-processus, tour à
tour client puis fournisseur des autres Directions.
10.4.6 Actualisation régulière
Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielle
dans la mise en œuvre du dispositif de contrôle interne.
Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant
régulièrement.
A défaut, et compte tenu de la rapidité de l’évolution de la vie de l’entreprise et de son
environnement, cette cartographie deviendrait rapidement inopérante et l’entreprise
perdrait le bénéfice de l’investissement réalisé au départ. Mais, là aussi, cela nécessite
d’allouer un minimum de ressources à la maintenance de cet outil.
Par ailleurs, cette actualisation sera facilitée s'il existe notamment :
• un Comité des Risques au niveau de l'entreprise ;
• un Responsable des Risques au sein de chaque entité opérationnelle.
Enfin, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les
incertitudes croissantes liées à l'environnement, rendent indispensables cette
actualisation.
En conclusion :
Cette cartographie des risques est un outil essentiel pour le conseil d’administration et le
comité d’audit dans l’exercice d’une de ses missions : s’assurer de la maîtrise des risques
par le management.
XI- LA NORME ISO 31000 : management des risques

En 2009, l’Organisation Internationale de Normalisation a publié la Norme ISO 31000-
2009, la première norme relative à la gestion des risques reconnue à l’échelle mondiale.
11-1 Principes de la norme ISO 31000

Cette norme fournit onze principes que l’Organisation ISO juge nécessaires pour mettre en
œuvre un management des risques efficaces :
 Le management des risques crée la valeur et la préserve ;
 Fait partie intégrante des processus organisationnels ;
 Est un élément de prise de décision
49
 Traite explicitement de l’incertitude

 Est systématique, structuré et en temps utile ;
 S’appuie sur la meilleure information disponible ;
 Est adapté ;
 Tient compte des facteurs humains et culturels ;
 Est transparent et participatif ;
 Est dynamique, itératif et réactif au changement ;
 Facilite l’amélioration continue de l’organisation.
11-2 Cadre organisationnel de la norme ISO 31000

Les éléments de ce cadre sont les suivants :
 Mandat et engagement du Conseil et de la direction générale afin de garantir
l’alignement avec les objectifs de l’entreprise ;
 Conception du cadre organisationnel du management du risque : ceci
implique de prendre les mesures suivantes :
‐ Comprendre l’organisation ;
‐ Définir une politique de management des risques ;
‐ Déléguer les pouvoirs et le devoir de rendre compte ;
‐ Intégrer le management des risques aux processus organisationnels ;
‐ -Allouer les ressources nécessaires ;
‐ Mettre en place des mécanismes de reporting et de communication internes et
externes.
 Mise en œuvre du processus et du cadre organisationnel du
management des risques afin d’aider l’organisation à atteindre ses objectifs.
 Surveillance du cadre organisationnel, afin d’évaluer son efficacité en
permanence.
 Surveillance du cadre organisationnel, afin de garantir sa pérennité.
50

Document 1-Presentation

Transféré par

Droits d'auteur :

Formats disponibles

Document 1-Presentation

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Document 1-Presentation

Transféré par

Droits d'auteur :

Formats disponibles

MASTER PROFESSIONNEL

GESTION DES RISQUES

26-28 Janvier 2020

 Licence es Sciences Economiques –Université d’Alger 1972

Emplois précédemment occupés:

 Economiste à la société Nationale S.N.E.R.I (1969)

 Granularité : niveau de détail sur lequel peut se construire une

IV- AUDIT INTERNE ET PREVENTION DES RISQUE

V- ETHIQUE ET TRANSPARENCE : DEUX PILIERS D’UNE BONNE

VI- GOUVERNEMENT D’ENTREPRISE ET MANAGEMENT DES RISQUES

VII- DISPOSITIF GLOBAL DES RISQUES : LES TROIS LIGNES DE MAITRISE

X- LA CARTOGRAPHIE DES RISQUES, ELEMENT CLE DU DISPOSITIF DE

10.2.4 Risque de positionnement

10.4.6 Actualisation régulière

XI- LA NORMES ISO 31000 : MANAGEMENT DES RISQUES

11-1 Principes de la Norme ISO 31000

I- CONTROLE INTERNE ET MANAGEMENT DES RISQUES

‐ réalisation d’objectifs liés aux opérations, aux informations et reporting et à la

‐ il offre une certaine souplesse d’application pour l’ensemble de l’entreprise, une

1.2 Objectifs du contrôle interne :

1.3 Composantes du contrôle interne :

1.3.1- Environnement de contrôle :

1.3.4- Information et communication

1 - LES RISQUES (CONCEPT et MANAGEMENT)

Qu’est-ce qu’un risque ?

« Le RISQUE est un concept signifiant la possibilité´ que la combinaison d’un

– Réalisation et optimisation des opérations. – Fiabilité des informations.

3 – LE MANAGEMENT DES RISQUES LE COSO II

En matière de management des risques, le modèle COSO « ERM » (Committee Of

Ce modèle est traditionnellement représenté par un cube :

• La diffusion en interne d’informations pertinentes, fiables, dont la

• Un système visant à recenser, analyser les principaux risques identifiables au

• Des activités de contrôle proportionnées aux enjeux propres à chaque processus,

5 - LA DEFINITION DE L’AUDIT INTERNE

Il aide cette organisation à atteindre ses objectifs en évaluant, par une

Il s’agit de la traduction de la définition internationale approuvée par l'IIA le 29 juin

 Aide à atteindre objectifs

6 - UNE PROFESSION NORMEE

Quels sont les principes normatifs internationaux sur lesquels l’auditeur

• l’intensification de la concurrence et notamment l’émergence de marchés mondiaux de

L’organisation Internationale de Normalisation ISO définit, quant à elle, le risque comme

De ces définitions peuvent se dégager quelques points clés :

 Le risque est inhérent à la formulation de la stratégie et à la fixation des objectifs et

 Le risque ne représente pas une estimation à un moment précis mais plutôt un

La notion de risques renvoie à la volonté d’empêcher que des évènements négatifs

 Partout où il y a de l’incertitude existe un ou plusieurs risques.

2.2 Mesure du risque

Le risque se mesure en termes d’impact et de probabilité d’occurence.

En termes conséquences (impacts) :

2.3 Quelques faits illustrant les risques à travers le temps :

De fait, l’environnement du contrôle de l’entreprise est chargé de risques de fraudes :

 Manipulation des états financiers.

2.4 Quelques Notions de risques

•La cybercriminalité devient un risque majeur. Elle se place au 4ème rang du

• les risques liés au système d’information

2.5 Normes et Modalités Pratiques d’Application relatives à la Gestion des

(*) MPA=Modalité Pratique d’Application

2.6-Typologie des risques : exemple d’une société d’assurances

Dans ces deux grandes catégories, les risques se déclinent en :

Cette modélisation a conduit à définir trois niveaux de risques complémentaires pour le