3-2-2- Risques
L'identification et l'analyse des risques constituent un
processus itératif continu, ce sont les facteurs clés d'un
système de Contrôle Interne efficace. Il est donc
nécessaire que le management identifie de manière minutieuse les
risques encouru par l'entité à tous les niveaux et qu'il prenne
les mesures adéquates afin des les limiter.
3-2-2-1- Identification des risques
L'entreprise étant confrontée à des
facteurs internes et externes ses performances peuvent être
menacées. Ces facteurs influent sur les objectifs fixés par
l'entité qu'ils soient explicites ou implicites. Les risques augmentent
donc en fonction des différences constatées entre les objectifs
fixés et les performances réalisées.
L'entreprise se doit alors de procéder à une
indentification et une évaluation de tous les risques même
potentiels. Cette identification des risques entre dans le cadre de la
planification. C'est un processus répétitif, mais il est utile
d'étudier les risques d'une vue nouvelle et ne pas se basé
uniquement sur des études antérieurs.
1Pricewaterhouse, IFACI, 2004.La pratique du Contrôle
Interne.Paris, édition d'organisation, pp 57-58.
a) Les risques à l'échelle de
l'entreprise
Les technique d'identification des risques, effectuées
généralement par les auditeurs internes et externes,
correspondent à des techniques quantitatives ou qualitatives
destinées à identifier les activités comportant le plus de
risques et à les classées par ordre de priorité. D'autres
pratiques, tel que les études périodiques traitant des facteurs
économiques et industriels ainsi que les réunions de la direction
entre aussi dans le cadre des techniques visant à l'identification des
risques. Ces risques peuvent être identifiés au cours (grâce
à) des prévisions à court ou à long termes ou lors
du processus de planification stratégiques. La prise en compte, de la
part des dirigeants, des facteurs pouvant contribués à
l'apparition d`un risques ou à son aggravation est essentielle pour
procéder à une évaluation efficace des risques. On peut
citer les facteurs suivants : la non réalisation des objectifs par le
passé; la compétence du personnel, les changements au niveau de
la concurrence, de la réglementation, du personnel ou autres, ayant un
impact sur l'entreprise; la dispersion géographique des
activités, internationale principalement; l'importance que revêt
une activité pour l'entreprise ; la complexité d'une
activité.
b) Les risques au niveau des
activités
Les risques doivent être également
identifiés au niveau des activités et les gérer permet
d'axer l'évaluation des risques sur les principales divisions ou
fonctions (fonction commerciale, la production, le marketing...) afin de
maintenir un niveau de risque acceptable.
Les raisons pour lesquelles un objectif n'a pas
été atteint peuvent être plus ou moins évidentes, et
les conséquences plus ou moins importantes. C'est pourquoi, les risques
ayant un impact significatif sur l'entreprise doivent être
identifiés et leurs procédures distinctes de celles consistant
à évaluer leur survenance.
Un tel processus comporte tout de même des limites d'ordre
pratique et il est souvent difficile de déterminer jusqu'où il
est raisonnable d'aller.1
3-2-2-2- Analyse des risques
Après identification des risques au niveau de
l'entreprise et de chaque activité, il est nécessaire de
procéder à une analyse des risques. Cette analyse se fait de
différentes façons. Mais généralement, le processus
plus au moins formel se décompose de la manière suivante :
1 Coopers, Lybrand, 2002. La nouvelle pratique du Contrôle
Interne.Paris, édition d'organisation, pp 58-61.
a) Evaluation de l'importance du
risque
Le management est conforté à un certain nombre
de risques qui peuvent avoir un impact significatif ou non sur la
réalisation des objectifs fixés. Entre ces deux extrêmes,
l'analyse des risques s'avère difficile et l'évaluation de leur
importance également. Quoi qu'il en soit, on peut les classées
selon leur importance en risques : «élevé »,
«moyens » ou « faibles ».
b) Evaluation de la probabilité (ou
fréquence) de survenance du risque
Le management doit également évaluer la
probabilité de survenance d'un risque et voir si celle-ci est faible ou
conséquente, pour connaître si l'évaluation
nécessite une analyse approfondie ou pas, sans oublier de prendre le
facteur «importance du risque » lors de l'analyse.
c) Evaluation des mesures qu'il convient de prendre
(Gestion des risques)
Une fois les risques évalués, la
hiérarchie détermine quels traitements appliquer à chacun
de ces risques en fonction de son niveau (élevé, moyen ou
faible), lequel représente la combinaison entre le niveau de
gravité ou de conséquence et la probabilité de
survenance.
Les différentes solutions possibles de traitements
sont:
+ Eviter le risque: le risque est jugé
comme trop élevé et aucune réponse identifiée n'a
permis de réduire l'impact et la probabilité d'occurrence
à un niveau acceptable. La décision consiste à cesser
l'activité à l'origine du risque;
+ Transférer le risque : diminuer la
probabilité ou l'impact d'un risque en le transférant ou le
partageant. Parmi les techniques courantes, citons l'achat de produits
d'assurances, les opérations de couverture ou l' externalisation d'une
activité;
+ Limiter le risque : mise en place par les
responsables hiérarchiques de mesures et contrôles
spécifiques afin de réduire à un niveau acceptable la
probabilité d'occurrence ou l'impact du risque, ou les deux à la
fois;
+ Accepter le risqué : aucune action
n'est entreprise face à un risque jugé acceptable, excepté
son suivi.
En fonction de la solution retenue, il convient de
considérer son effet en termes de probabilité et d'impact, de
coûts et bénéfices ainsi que d'identifier les
opportunités potentielles. Le choix du traitement doit porter sur une
solution
ramenant le risque global en deçà du seuil de
tolérance souhaité par la hiérarchie. 1
«Il faut noter qu'il existe une différence de
nature entre l'évaluation des risques qui fait partie intégrante
du Contrôle Interne, et les plans, programmes et mesures en
découlant jugés nécessaires par le management dans le
cadre de la gestion des risques ».
Il existe également des procédures permettant
aux dirigeants de suivre la mise en oeuvre des mesures de gestion des risques
et leur efficacité, pour instaurer si nécessaire des
procédures supplémentaires.
«Le management doit par ailleurs tenir compte de
l'existence vraisemblable des risques résiduels, non seulement du fait
des contraintes de moyens, mais également en raison d'autres limites
inhérentes à tout système de Contrôle Interne
».
L'analyse des risques est une étape-clé sur la
voie de la réussite. Elle doit mettre l'accent sur les domaines dans
lesquels l'activité étudiée est dépendante d'autres
fonctions ou unités, en identifiant par exemple la provenance des
données, l'endroit où elles sont stockées, la façon
dont elles sont converties en informations utiles et les personnes qui les
utilisent.2
| 
