2.3.2.2. L'élaboration d'une cartographie des
risques
L'élaboration d'une cartographie des risques peut se faire
de manière itérative. Elle peut être
décomposée en trois étapes :
- l'identification et l'analyse des risques ; -
hiérarchisation et mesure des risques ;
- l'établissement de la matrice des risques.
2.3.2.2.1. Identification et analyse des
risques
Selon SALVIAC & al (2008 : 150), il s'agit en s'appuyant
sur les entretiens réalisés avec les acteurs, d'être en
mesure de déterminer les risques de l'organisation en rapport avec le
périmètre défini. MOHAMED (2002 : 34), abonde dans le
même sens en disant que l'auditeur, tout en conservant son
indépendance, est appelé à participer à
l'identification des zones de risques pouvant affecter la
sécurité. La démarche d'identification des risques
implique l'utilisation d'outils et techniques qui varient selon les auteurs.
L'identification peut être soit :
- basée sur les Check-lists : cette méthode
consiste à lister l'ensemble des éventuels risques en fonction
des activités ou des opérations. Elle à l'avantage de
dresser une liste exhaustive des risques (NGÜYEN, 1999 : 156 ; ROUFF, 2001
: 15) ;
- basée sur l'atteinte des objectifs de
l'entité, dans ce cas on identifie au préalable les objectifs de
l'activité afin d'en déterminer les risques probables. Dans la
pratique comme BAPST (2003 : 3), cette méthode est complexe du fait
qu'elle élargie le champ d'investigation ;
- basée sur les actifs créateurs de valeur ;
- basée sur l'analyse historique (le passé).
En outre, l'auditeur apprécie l'aptitude des
dispositifs de gestion et de contrôle mis en place pour atteindre les
objectifs de contrôle interne. D'après D MARSCHALL (2003 : 9),
« le risque est classiquement évalué sous forme d'une
combinaison des facteurs de probabilité et de gravité ».
Cette étape s'appuie sur un ensemble de techniques quantitatives et
qualitatives.
2.3.2.2.2. Hiérarchisation et mesure des
risques
La hiérarchisation des risques permet de les classer
par ordre de gravité. Le classement des risques se fait sur la base des
scores obtenus lors de leur évaluation tout en faisant attention au
seuil de tolérance que l'organisation lui accorde. Les risques
évalués et hiérarchisés, l'auditeur doit pouvoir
déterminer le traitement approprié à chaque risque.
D'après RENARD (2010 : 161), ces meures sont :
- l'acceptation : c'est-à-dire que l'on fait rien et on
accepte de courir le risque (appétence pour le risque);
- le partage : c'est de réduire le risque en souscrivant
une assurance ou en mettant au point une joint-venture avec un tiers ;
- l'évitement : c'est-à-dire que l'on fait
disparaître le risque en cessant l'activité qui le fait
naître ;
- la réduction : c'est-à-dire que l'on prend les
mesures nécessaires pour réduire la probabilité ou
l'impact.
2.3.2.2.3. Matrice des risques
La matrice des risques est une simple présentation des
risques et leurs causes dans un tableau. Elle est le résultat des
étapes précédentes de l'élaboration de la
cartographie des risques. La matrice des risques met en évidence les
risques et facilite la prise de décision pour leur prise en charge
(SALVIAC, 2008 : 158).
| 
