3.3.3. Outils de la gestion des
risques
La gestion des risques nécessite l'utilisation de
certains outils, ces outils peuvent être utilisés par le
contrôleur interne comme par l'auditeur, quand ce dernier
évalué les risques de l'organisation.
a. Cartographie des risques
La cartographie des risques permet de représenter et
d'hiérarchiser des risques majeurs selon différents
critères, tels que l'impact potentiel, la probabilité de
survenance ou le niveau actuel de maîtrise des risques. C'est un outil
clé du processus de management des risques qui permet de(IFASI, 2003, p.
24) :
- identifier et évaluer les risques ;
- traiter les risques ;
- suivre leur évolution.
Figure 7 : La cartographie des risques
Source : Causse Béatrice, Cartographie des risques de
l'entité et matrice des risques de l'auditeur, sd, p. 2
· Objectif de la cartographie des risques
Les objectifs de la cartographie des risques par rapport
à l'entreprise se résument comme suit (IFACI, 2003, p.14)
:
- Mettre en place un contrôle interne ou un processus de
maîtrise des risques adéquat ;
- Aider le management dans l'élaboration de son plan
stratégique et sa prise de décisions ; il s'agit alors d'un outil
de pilotage interne ;
- Apporter les informations sur la maîtrise des risques
au comité d'audit ;
- Orienter le plan d'audit interne en mettant en
lumière les processus/activités où se concentrent les
risques majeurs ;
- Ajuster les programmes d'assurances fondés sur les
risques majeurs identifiés dans la cartographie des risques (risk
management) ;
- Améliorer ou développer une culture de
management des risques dans une entreprise grâce à
l'établissement, notamment, d'outils d'auto-évaluation ;
- Prévenir la destruction de valeur ou accroître
la valeur en utilisant le couplerisques/opportunités.
· Caractéristiques de la cartographie des
risques
La cartographie des risques présente trois
caractéristiques(AFA, 2017, p. 1) :
- Elle doit être exhaustive et précise
c'est-à-dire qu'elle couvre l'ensemble des processus managériaux,
opérationnels et support mis en oeuvre par les organisations dans le
cadre de leurs activités ;
- Elle doit être formalisée et accessible
c'est-à-dire qu'elle prend la forme d'une documentation écrite,
structurée et synthétique, établie sur la base
d'indications quantifiées ;
- Elle est évolutive eu égard à la
nécessité de réévaluer les risques de
manière périodique, en particulier chaque fois qu'évolue
un élément de l'organisation ou un processus.
· Étapes de construction de la
cartographie des risques
La construction d'une cartographie des risques se fait en six
étapes (Nogueira, 2016, p. 11):
1. Décrire le processus :
- Décrire les différentes étapes du
processus avec les professionnels concernés ;
- Vérifier la pertinence du processus ;
- Représenter le processus.
2. Identifier les défaillances, leurs
effets et les causes possibles à chaque étape du
processus :
- Identifier les défaillances potentielles à
partir des fiches d'évènements indésirables, des plaintes
et réclamations, des rapports d'experts ou de bibliothèques
existantes... ;
- Compléter avec des enquêtes et des
brainstormings... ;
- Pour chaque défaillance potentielle, identifier leurs
effets et les causes possibles.
3. Identifier les barrières de
sécurité en place
Pour chaque défaillance, identifier les
barrières de sécuritéen place
4. Evaluer les risques
Pour chaque défaillance évaluer :
- La gravité : importance du dommage, niveau de
conséquence, impact ;
- La probabilité d'occurrence du dommage, ou
fréquence, ou vraisemblance ;
- Le niveau de maîtrise du risque, ou niveau de
sécurité existant : estimation de la maitrise du risque en
fonction des actions déjà mises en place. Ce qui permet de
pondérer la criticité du risque.
5. Hiérarchiser les risques
Pour chaque risque, calculer la criticité :
- Criticité du risque initiale (C1) ; C1 =
Gravité * Occurrence
- Criticité du risque pondérée () ;
= Criticité initiale * Niveau de Maîtrise
6. Engager les actions de maîtrise de
risque
- Le choix du plan d'action résulte d'un compromis
entre la criticité du risque à traiter, le point de vue des
différents acteurs, les contraintes réglementaires,
budgétaires, sociales, politiques,...
- Les orientations sont validées par la direction
- La mise en oeuvre repose sur la capacité de
l'institution à mobiliser les acteurs concernés
b. Le questionnaire d'évaluation du
contrôle interne relatif à la gestion des risques
Ce questionnaire est composé de deux parties ; la
première est un ensemble de questions concernant les mécanismes d
''identification des risques issus de facteurs externes ou internes et sur le
processus d'évaluation des risques. La deuxième partie concerne
le traitement de tous les risques identifiés.
Tableau 6 : Fiche
d'évaluation des risques
|
Service :
|
Préparé par :
|
Date :
|
Visa :
|
|
Questions
|
Résultats/Commentaires
|
Mesures à prendre
|
Responsable de la mise en
oeuvre/délai
|
|
Les mécanismes mis en place pour identifier les risques
issus de facteurs externes suivants sont-ils suffisants ?
· Politique
· Économique
· Environnemental
· Social
· Légal
· Une combinaison des facteurs susmentionnés
|
|
|
|
|
Les mécanismes mis en place pour identifier les risques
issus de facteurs internes suivants sont-ils suffisants ?
· Ressources humaines
· Structure organisationnelle
· Logistique
|
|
|
|
|
Les risques majeurs susceptibles d'avoir un impact sur la
réalisation des objectifs liés aux activités ont-ils
été identifiés ?
|
|
|
|
|
Le processus d'évaluation des risques est-il
formalisé ?
|
|
|
|
|
L'évaluation des risques est-elle
réalisée avec la participation des responsables concernés
?
|
|
|
|
|
L'évaluation des risques est-elle un processus
continu ?
|
|
|
|
Source : Département des finances du
canton de Genève, (2006), Le Manuel de Contrôle interne, Suisse,
p66-67
Tableau 7: Traitement des
risques
|
Service :
|
Préparé par :
|
Date :
|
Visa :
|
|
Questions
|
Résultats/Commentaires
|
Mesures à prendre
|
Responsable de la mise en
oeuvre/délai
|
|
Tous les risques identifiés font-ils l'objet d'une
catégorisation en vue de leur traitement ?
· Eviter
· A transférer
· A minimiser
· Acceptable
|
|
|
|
Source : Département des finances du
canton de Genève, (2006), Le Manuel de Contrôle interne, Suisse,
p68.
| 
