II. Evaluation des risques
1) Définition des objectifs
La fixation des objectifs constitue une condition
préalable à l'évaluation des risques. Ces objectifs
doivent être clairs et compréhensibles par les membres de
l'organisation. Une communication de ces objectifs est par conséquent
nécessaire.
Le management doit se fixer des objectifs avant d'identifier
les risques susceptibles d'avoir un impact sur leur réalisation et
prendre les mesures nécessaires.
L'établissement des objectifs représente donc
une étape clé de la conduite des affaires. Bien que
n'étant pas un élément du contrôle interne, cette
phase constitue une condition préalable permettant d'assurer le
contrôle interne. En se fixant des objectifs généraux, une
entreprise est en mesure d'identifier des facteurs clés de
réussite, c'est-à-dire des événements qui doivent
se produire ou des conditions qui doivent exister pour que les objectifs
puissent être atteints. (2)
2) L'évaluation des risques
En raison de l'évolution permanente de l'environnement
ainsi que du contexte réglementaire, les sociétés doivent
mettre en place des méthodes pour recenser, analyser et gérer les
risques d'origine interne ou externe auxquels elles peuvent être
confrontées et qui réduiraient la probabilité d'atteinte
des objectifs.(3)
2-1-La notion de risque
Dans le lexique des mots de l'audit, l'IFACI définit le
risque comme étant« un ensemble d'aléas susceptibles d'avoir
des conséquences négatives sur une entité et dont le
contrôle interne et l'audit ont notamment pour mission d'assurer autant
que faire se peut la maîtrise »(4)
L'évaluation des risques est le processus qui consiste
à identifier et à analyser les risques pertinents susceptibles
d'affecter la réalisation des objectifs de l'organisation, et à
déterminer la réponse à y apporter.
Elle implique les éléments suivants:
(a) Identification des risques
o liée aux objectifs de l'organisation;
o exhaustive;
o qui prend en compte les risques dus à des facteurs
externes et internes, à la fois au niveau de l'organisation et à
celui des activités;
Le processus d'identification et d'analyse du risque est un
élément clé d'un système de contrôle interne
efficace. Le management doit, à tous les niveaux, identifier
minutieusement les risques et prendre les mesures adéquates afin de les
limiter. Les performances d'une entreprise peuvent être menacées
par des facteurs internes ou externes. Il est essentiel que tous les risques
soient identifiés.
L'identification des risques doit constituer un processus
continu et itératif et est souvent intégrée au processus
de planification. Il est souvent utile de partir d'une «feuille
blanche» plutôt que de se borner à examiner
l'évolution des risques par rapport à la précédente
étude. (1)
Pour limiter les risques, il vaut mieux que cette
procédure d'identification soit distincte de celle consistant à
évaluer leur probabilité de
survenance.(2)
(b) Analyse des risques (évaluation)
Il est nécessaire de procéder à une
analyse des risques une fois que ceux-ci ont été
identifiés, à la fois au niveau de l'entreprise et de chaque
activité. Les risques identifiés doivent être
évalués en fonction essentiellement de deux critères
:(3)
v' leur probabilité d'occurrence ; et v' leur impact.
> Mesure de la probabilité du
risque
Pour les risques où on dispose de fréquence
d'occurrence, il est aisé de calculer une probabilité et de
définir des seuils, mais il faut aussi pouvoir déterminer une
probabilité pour les risques qui ne se sont jamais encore
réalisés.
> Mesure de l'impact du risque
L'impact du risque affectait l'atteinte des objectifs de
l'entreprise ou de l'entité dans laquelle celui-ci se
matérialisait. De ce fait, il est toujours préférable de
situer l'analyse de
1Fr. VANSTAPEL, op-cit, p25.
2Préface de Louis Vaurs, op-cit, pp70-71.
3Ibid, p73.
l'impact sur l'ensemble des processus de l'entreprise
plutôt que de se limiter à l'impact local au niveau d'une
chaîne de production ou d'une activité opérationnelle.
(1)
La méthodologie de l'analyse des risques peut varier,
surtout parce que de nombreux risques sont difficiles à quantifier (par
exemple, risques portant sur la réputation de l'organisation), tandis
que d'autres se prêtent facilement à une analyse chiffrée
(particulièrement les risques financiers).
L'évaluation des risques reste difficile : on peut les
décrire au mieux comme étant « forts», « moyens
» ou « faibles ». Elle joue un rôle crucial dans la
sélection des activités de contrôle appropriées
à entreprendre. Mais on perçoit bien que le préalable
idéal est l'existence d'une cartographie.
2-2-La cartographie des risques
Véritable inventaire des risques de l'organisation, la
cartographie permet d'atteindre trois objectifs :(2)
v' inventorier, évaluer et classer les risques de
l'organisation ;
v' informer les responsables afin que chacun soit en mesure d'y
adapter le management de ses activités ;
v' permettre à la direction générale, et
avec l'assistance du risk manager, d'élaborer une politique de risque
qui va s'imposer à tous :
- aux responsables opérationnels dans la mise en place de
leur système de contrôle interne ;
- aux auditeurs internes pour élaborer leur plan
d'audit, c'est-à-dire fixer les priorités.
Il est nécessaire de prendre en considération
à la fois les risques inhérents et résiduels pour
déterminer le degré d'aversion au risque.
> Le risque inhérent est
celui auquel une organisation est confrontée en l'absence de toute
action du management susceptible d'influencer sa probabilité de
survenance ou son impact.
> Le risque résiduel est
celui qui reste après que le management ait pris des mesures pour
répondre au risque. (3)
3) GESTION DES RISQUES
Une fois l'importance et la probabilité de survenance
du risque évaluées, le management doit étudier la
façon dont il doit être géré. Pour cela, il doit
faire appel à son jugement, en se basant sur certaines hypothèses
concernant les risques et sur une analyse raisonnable des coûts qu'il
serait nécessaire d'engager pour les
réduire.(4)
1Jacques Walter et Philippe Noirot ; Contrôle
interne; Des chiffres porteurs de sens, Afnor éditions,2010 ; p55.
2Jacques Renard ; Théorie et pratique de l'audit interne,
op-cit ; p157.
3Fr. VANSTAPEL, op-cit, pp28,29.
4ibid, op-cit, p30.
Les mesures de réponse au risque peuvent être
subdivisées en quatre catégories :
a. l'acceptation
On ne fait rien, c'est-à-dire que l'on accepte de
courir le risque. Choix opportun s'il correspond à la stratégie
et aux limites de tolérance définies par celle-ci. Mais choix
catastrophique s'il n'est que le résultat du hasard ou du manque
d'information.
b. le partage (transfert)
La meilleure réponse à certains risques peut
consister à les transférer. Ce transfert peut revêtir la
forme d'une assurance conventionnelle, ce qui revient à
rémunérer un tiers pour qu'il assume le risque autrement, ou par
le biais de clauses contractuelles.
c. L'évitement On fait
disparaître le risque en cessant l'activité qui le fait
naître.
d. la réduction
On prend les mesures nécessaires pour réduire la
probabilité ou l'impact. C'est-à-dire que l'on améliore le
contrôle interne. Faire intervenir les auditeurs internes, c'est choisir
cette solution. On peut observer que le partage est de même nature. Il
peut d'ailleurs résulter d'une recommandation de l'audit
interne.(1)
Le traitement n'a pas nécessairement pour objectif
d'éliminer totalement le risque, mais plutôt de le
maîtriser. Les procédures mises en place par une organisation en
vue de gérer le risque sont appelées activités de
contrôle interne.
| 
