L E S C A H I E R S D E L A R E C H E R C H E
GUIDE D’AUDIT
L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte à
tous les adhérents, est l’expression du caractère associatif de l’Institut et
concrétise notre devise : « Le Progrès par le Partage ».
La Recherche s’organise autour de groupes de travail qui mettent en
commun et formalisent leurs réflexions et leurs pratiques sur un thème ou
un sujet propre à un secteur d’activité.
Les travaux de ces groupes sont destinés à être diffusés sous de multiples
formes auprès du plus grand nombre.
Étude
Telle est précisément la vocation de la Collection : du Processus
« Les Cahiers de la Recherche »
Groupe Professionnel
Industrie et Commerce
Institut de
l'Audit Interne
l'Audit Interne
Institut de
GUIDE D’AUDIT
Étude
du Processus
de Management
et de Cartographie
des Risques
Conception,
mise en place et évaluation
Groupe Professionnel
Industrie et Commerce
Institut de
l'Audit Interne
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
2 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
REMERCIEMENTS
Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total,
pour sa relecture avisée, ainsi qu’à Emmanuel Du Moulin, Directeur de l’Audit Interne de
Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric Robert,
Auditeur Interne de Renault, pour leur participation aux échanges ayant conduit à
l’élaboration de ce cahier.
Louis Vaurs
Délégué Général
GUIDE D'AUDIT 3
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
4 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
SOMMAIRE
Résumé ............................................................................................................................................................................................................ 7
Introduction ........................................................................................................................................................................................... 9
Conclusion – Gérer les risques liés à la mise en place d’un PMR ....... 41
GUIDE D'AUDIT 5
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Annexes :
6 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
RÉSUMÉ
Selon la dernière enquête de l’IFACI menée en France, près des deux tiers des entreprises
ayant répondu ont mis en place un processus de management des risques, mais les pra-
tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans
d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa-
rate, il nous a semblé nécessaire d’écrire un guide aidant à la réflexion puis à l’élaboration
d’un processus de management des risques adapté à un environnement industriel et
commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine
d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener
sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques au
processus de management des risques.
La première partie met en lumière les objectifs et la démarche d’un processus de manage-
ment des risques :
• Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques ;
Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la
deuxième partie : le Conseil, la direction générale, les comités spécialisés du Conseil,
l’audit interne, le risk management, le management et les opérationnels, le contrôleur de
gestion et, en tant que prestataires externes, les commissaires aux comptes.
Parmi ces acteurs, l’audit interne se distingue par son rôle fondamental dans le processus
de management des risques. En effet, dans le cadre de leurs activités courantes, on attend
des auditeurs internes qu’ils identifient et évaluent les risques significatifs. La vision d’en-
semble qu’ils ont de l’entreprise et de ses processus les y aide nécessairement.
Ce rôle est approfondi dans la troisième partie à l’aide de questions clés liées aux éléments
du processus les plus importants. En l’absence d’un processus de management des
risques, quelques orientations sont données pour l'initier (prendre conscience des risques
et de l’importance du contrôle interne, promouvoir la démarche, aider l’entreprise à
identifier et évaluer les risques et faire évoluer le processus).
(1) Par direction générale, on entend également comité exécutif, directoire, comité de direction, …
(2) Par Conseil, on entend conseil d’administration, conseil de surveillance, …
GUIDE D'AUDIT 7
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
La construction de la cartographie des risques, abordée dans la quatrième partie, est une
étape clé du processus. En fonction de la culture et de l’environnement de l’entreprise,
deux approches peuvent être adoptées pour élaborer une cartographie des risques :
– l’approche bottom up, ou remontée des risques opérationnels vers les risques
majeurs,
– l’approche top-down, à partir des risques majeurs identifiés pour les différentes
parties prenantes.
Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dans
un grand groupe, il peut y avoir plusieurs cartographies des risques, indépendantes les
unes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe qui
a des activités ou des implantations géographiques très différentes n’établira pas une
cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération-
nelles sont proches ou semblables, il est certain que des risques de même nature seront
identifiés et alors agrégés au niveau de la direction générale, avec l’enrichissement apporté
par la vision plus large de celle-ci.
La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d’établir la cartographie des risques
majeurs en se basant, certes sur les informations qui lui remontent des opérationnels, via
les reporting traditionnels, mais également sur des informations en provenance de
l’environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soient
ensuite déclinés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils don-
nent lieu à des reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk
manager ou de l’auditeur interne, doit s’assurer de l’harmonisation de ces cartographies.
Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et les
plans d’actions dans l’entreprise.
8 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
INTRODUCTION
• Selon l’enquête sur l’audit interne menée par l’IFACI en novembre 2002, en partenariat
avec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis en
place un processus de management des risques. Il convient d’être prudent dans
l’acception donnée à « Processus de management des risques » ; en effet, les échanges au
sein du groupe de recherche de l’IFACI ont révélé des pratiques très diverses allant de
processus peu ou non formalisés à des processus déjà très aboutis.
Face à une littérature traitant abondamment de ce thème, mais parfois de façon dispa-
rate, il nous a paru nécessaire d’écrire un guide aidant à la réflexion puis à la construc-
tion d’un processus de management des risques, adapté à un environnement industriel
et commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine
d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de
mener sa propre réflexion autour des thèmes suivants :
• le rôle des divers acteurs qui y sont impliqués, notamment celui de l’audit interne,
acteur majeur du processus de management des risques, dont les missions varient
en fonction de l’existence ou de l’absence d’un processus de management des
risques ;
• l’initiation de la démarche en :
GUIDE D'AUDIT 9
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Les principaux objectifs d’un processus de management des risques sont les suivants (3) :
• identification et hiérarchisation rapide des risques découlant des stratégies, des activi-
tés de l’organisation et de l’environnement externe ;
• maintien d’un niveau de qualité des reportings interne et externe. Ceci implique
des enregistrements appropriés et des processus générant, en temps utile, une infor-
mation pertinente et fiable.
Le processus de management des risques peut également avoir pour objectif, complémen-
taire, d’alimenter le plan d’audit interne.
(3) Les phrases en italique sont issues de la Modalité Pratique d’Application 2110-1 des Normes Professionnelles de
l’Audit Interne de l'IIA/IFACI.
10 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
• Traiter les risques : il s’agit d’obtenir des propriétaires de risques qu’ils évaluent les
différentes options de traitement des risques, qu’ils sélectionnent la meilleure
combinaison (supprimer, accepter, transférer, couvrir/financer) et qu’ils conduisent
les plans d’actions adéquats, notamment la mise en place de plans de gestion de
crise.
• Suivre l’évolution des risques : les propriétaires des risques sont responsables du
suivi de l’évolution des risques au cours du temps. Ils doivent fournir les informa-
tions de reporting correspondantes et adapter les mesures nécessaires.
(4) En annexe 1, sont présentés deux exemples de processus de management des risques : le premier est déployé dans
un grand groupe multi-filiales et multi-établissements et le second dans un groupe de presse de taille moyenne.
GUIDE D'AUDIT 11
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Les acteurs du processus étant nombreux, il est indispensable que leurs activités et actions
dans le processus de management des risques soient coordonnées. Le tableau ci-après
reprend ce que peuvent être leurs principales responsabilités qui sont ensuite développées
plus largement. Ces rôles se positionnent dans le contexte français. Ils peuvent différer
dans d’autres pays, en fonction de la réglementation applicable (notamment les rôles de la
direction générale, du Conseil ou des comités qui en émanent).
: se coordonne avec
Comités
spécialisés du Conseil Conseil
Commissaires
aux comptes
Direction générale
Audit
Interne Management
et opérationnels
Risk Contrôle
management de gestion
12 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 13
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
(comité d’audit/ • vérifient que les processus et procédures en matière financière sont
comité des mis en œuvre et sont efficaces ;
comptes, comité • dirigent et coordonnent la prévention et la maîtrise des risques liés
des risques, aux opérations de l’entreprise.
comité des
rémunérations, Chacun de ces comités peut être chargé de traiter un domaine parti-
comité culier du PMR, mais c’est principalement le comité d’audit qui doit
stratégique,…) jouer un rôle moteur ainsi que le préconise le Rapport Bouton
(cf. encadré ci-après). L’existence et le rôle des divers comités est très
variable d’une entreprise à l’autre (cf exemple d’un groupe de spécia-
lités chimiques ci-après).
Auditeur interne L’auditeur joue un rôle majeur dans le PMR. En effet, il identifie
(Rôle développé et évalue les risques significatifs dans le cadre de ses activités
en partie III) courantes.
14 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 15
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
16 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Le Rapport Bouton « Pour un meilleur gouvernement des entreprise cotées » paru en sep-
tembre 2002 précise le rôle attendu du comité d’audit en matière de contrôle des risques :
Les rôles confiés aux comités spécialisés du Conseil sont variables d’une entreprise à l’au-
tre. Voici, ci-après, l’exemple d’un groupe de spécialités chimiques fortement interna-
tionalisé :
– Le comité des comptes examine les comptes bien sûr, mais surtout « il vérifie que les
processus et procédures en matière financière sont mis en œuvre et efficaces ». Le
comité est donc « spécialisé » de par sa mission sur le traitement des risques finan-
ciers (reporting, financement, change, taux etc.).
– Le comité des risques dirige et coordonne la prévention et la maîtrise des risques liés
aux opérations de l’entreprise, reposant sur une analyse spécifique au secteur
d’activité et/ou au « métier » exercé par l’entreprise.
Les deux ensembles ne travaillent pas isolément l’un de l’autre, certains de leurs mem-
bres étant communs. De plus, le Directeur de l’Audit interne est le Secrétaire des deux
comités, ce qui assure une appropriation rapide par le service d’audit des sujets perti-
nents traités lors des comités.
GUIDE D'AUDIT 17
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Quelle que soit la forme du PMR et « qui que ce soit qui définisse la nomenclature et la
liste des risques, l’audit interne doit aller vérifier, chaque fois qu’il y a un risque significa-
tif que ce risque est couvert sur la totalité du périmètre de l’entreprise et sur la totalité de
son extension géographique » (extrait d'une interview de M. Peyrelevade, Président du
comité d’audit de Suez).
L’audit interne doit s’assurer que les objectifs du PMR tels que définis dans la Partie I sont
couverts :
Identification
18 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Validation du PMR
1.19 Le PMR fait-il l'objet d'une procédure de validation ?
1.20 La direction générale est-elle impliquée dans la procédure
de validation (directement ou par délégation) ?
1.21 Les risques identifiés ont-ils tous un propriétaire ?
Niveau d’acceptabilité
1.22 Des seuils de niveau d’acceptabilité des risques ont-ils été
définis par le management ?
Risques résiduels
2.2 Ces données sont-elles transmises à la direction générale ?
GUIDE D'AUDIT 19
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Contrôle
3.3 Le responsable du PMR a-t-il procédé à un inventaire des
différentes évaluations réalisées (par l’audit interne, les
commissaires aux comptes, les risk managers,…) ?
3.4 La périodicité de contrôle du PMR (par l'audit interne ou
d’autres fonctions) est-elle définie et adaptée ?
3.5 Cette périodicité prévoit-elle la prise en compte de change-
ments importants survenus en interne ou en externe à l’entre-
prise ?
4. Communication à la Élaboration
direction générale, au
4.1 La direction générale est-elle impliquée dans l’élaboration du
comité d'audit et au
PMR ?
Conseil des résultats du
PMR et de son évaluation 4.2 Le comité d'audit et/ou le Conseil donne-t-il son avis sur le
PMR ?
Reporting
20 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Afin de répondre à ces questions, l’audit interne peut rechercher et examiner des docu-
ments de référence et des informations d’ordre général sur les méthodes de management
des risques afin d’apprécier si le processus mis en œuvre par l’entreprise est approprié et
s’inspire des meilleures pratiques du secteur. Voici ce que préconise la Modalité Pratique
d’Application 2110-1 des Normes Professionnelles de l’Audit Interne.
GUIDE D'AUDIT 21
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
L’existence d’un PMR apporte une certaine assurance quant à la capacité de l’entreprise à
répondre rapidement et de manière appropriée aux risques émergents, plus particulière-
ment dans un environnement fluctuant et imprévisible.
La production ponctuelle d’une cartographie des risques ne permet pas d’assurer une
réactivité optimale face à de nouveaux risques. Il est donc nécessaire de prévoir des méca-
nismes permettant de l’adapter en permanence en fonction des évolutions de l’entreprise
et de l’environnement.
Si un processus de management des risques n’existe pas dans l’entreprise, une des
premières contributions de l’audit interne à la création d’un tel processus peut être d’aider
cette dernière à identifier et évaluer ses risques.
Les entretiens seront menés par les auditeurs internes à l’aide de questionnaires adaptés
aux processus étudiés et en fonction de la connaissance des processus et des risques qu'ils
ont acquise au travers des missions d’audit interne. Il sera également demandé aux mana-
gers de donner une mesure du risque identifié en quantifiant :
– l’impact (6) du risque (ou matérialité),
– la probabilité d’occurrence,
– Niveau de maîtrise/de contrôle (6)
(5) Se reporter au Cahier de la Recherche « Management des risques », issu d’une prise de position de l’IIA UK –
cf. bibliographie en annexe 6.
(6) cf. glossaire (Annexe 5).
22 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Ainsi qu’il l’a été souligné précédemment, la probabilité d’occurrence peut ne pas être
un critère de mesure pertinent dans les cas de risques majeurs (tels que l’explosion d’une
usine, un accident grave de personne,…). On ne peut établir de statistiques de survenance
pour ces risques qui, heureusement, restent excessivement rares. On ne peut alors retenir
pour mesurer le risque que les critères d’impact et de niveau de maîtrise/de contrôle.
La multiplication des critères donne le caractère critique du risque et tous les risques iden-
tifiés pourront alors être classés par degré d’importance pour une mise en évidence des
risques majeurs.
Les risques ainsi identifiés, classés et mesurés sont alors communiqués dans l’entreprise
aux niveaux appropriés à même de mettre en place les mesures pour les couvrir. En aucun
cas, l’audit interne ne doit s’impliquer dans cette gestion des risques : ce n’est pas à
l’audit interne de décider du mode de traitement du risque. Il doit cependant tenir compte
de la cartographie des risques ainsi constituée pour bâtir son plan d’audit.
L’audit interne peut se voir confier la responsabilité de gérer le processus global et de coor-
donner les actions des divers acteurs du processus. À ce titre, il peut être appelé à partici-
per aux comités des risques, aux activités de suivi, etc. Il n’en devient pas pour autant le
propriétaire du processus.
Cette situation, bien que prévue dans les Normes, ne saurait être que provisoire. On per-
çoit bien, pour un audit interne qui remplit ces rôles, les dangers d’altération de son indé-
pendance. Les Normes Professionnelles de l’Audit Interne apportent un garde-fou en pré-
cisant que :
– Ce rôle ne rend pas pour autant l’audit interne responsable du Management des Risques.
Cette responsabilité demeure assumée par le management. « Pour éviter de se voir attri-
buer la responsabilité des risques, les auditeurs internes doivent obtenir du management
la confirmation que ce dernier veille à l’identification, à l’atténuation et au suivi des
risques et qu’il en assume la responsabilité » (Extrait de la Modalité Pratique
d’Application 2100-4 des Normes Professionnelles de l’Audit Interne).
GUIDE D'AUDIT 23
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
La cartographie des risques est un outil clé du PMR qui permet de répondre aux trois
premières phases du PMR (cf partie 1.2.), à savoir :
– identifier et évaluer les risques ;
– traiter les risques ;
– suivre leur évolution.
Après avoir proposé une définition de la cartographie des risques, de ses principaux objec-
tifs et une liste indicative de risques majeurs en milieu industriel et commercial, cette par-
tie est consacrée à deux approches différentes d’élaboration d’une cartographie : une
approche bottom-up et une approche top-down par partie prenante. Ces deux approches ne
prétendent pas offrir une méthode d’identification des risques exhaustive et infaillible
mais un certain nombre de pistes pour construire sa propre cartographie.
Il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs car-
tographies des risques, indépendantes les unes des autres et qui, de ce fait, ne sont pas
obligatoirement consolidables. Un groupe qui a des activités ou des implantations géo-
graphiques très différentes n’établira pas une cartographie mais plusieurs. En revanche,
dans le cas où les activités et entités opérationnelles sont proches ou semblables, il est cer-
tain que des risques de même nature seront identifiés et alors agrégés au niveau de la
direction générale, avec l’enrichissement apporté par la vision plus large de celle-ci.
La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d’établir la cartographie des risques majeurs
en se basant, certes sur les informations qui lui remontent des opérationnels, via les repor-
ting traditionnels, mais également sur des informations en provenance de l’environne-
ment extérieur. Bien entendu, il est essentiel que ces risques majeurs soient ensuite décli-
nés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils donnent lieu à des
reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk manager ou de
l’auditeur interne, doit s’assurer de la cohérence de ces cartographies. Ceci est une condi-
tion préalable à une bonne cohérence entre la stratégie, les objectifs et les plans d’actions
dans l’entreprise.
• Définition d’une cartographie des risques : Positionnement des risques majeurs selon
différents axes, tels que l’impact potentiel, la probabilité de survenance ou le niveau actuel
de maîtrise des risques.
L’établissement d’une cartographie des risques peut être motivé par deux natures de fac-
teurs :
24 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Ces quelques exemples n’incluent pas, volontairement, les risques financiers pour lesquels
une documentation importante existe déjà. Il ne s’agit pas, bien entendu, d’une liste
exhaustive.
GUIDE D'AUDIT 25
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
✔ Le risque de positionnement
• Usure sur le long terme liée à un positionnement (offre produit, politique de
prix…) incohérent ou peu lisible par le client ;
• Portefeuille de produits qui ne répond pas à la demande des clients (par exemple,
du fait d’une mauvaise évaluation des besoins des clients, d’une mise sur le mar-
ché du produit trop prolongée, d’efforts de recherche insuffisants, …) ;
• Monoproduit.
✔ Le risque d'expansion
• Ouverture de surfaces de ventes dans des zones à potentiel insuffisant ou dans des
pays à risques.
✔ Le risque légal
• Risque fiscal et interventions de la DGCCRF (Direction Générale de la
Concurrence, de la Consommation et de la Répression des Fraudes) ;
• Évolution de la législation concernant la distribution.
✔ Le risque social
• Perte de la culture d'entreprise et/ou de l'expérience en raison d'un taux de turn-
over élevé ;
• Conflits sociaux entraînant des perturbations durables de l'activité (fermeture des
surfaces de vente…) ;
• Personnel insuffisamment formé ;
• Difficultés de recrutement.
✔ Le risque sécuritaire
• Accident grave (incendie, destruction du site…) sur la surface de vente lors de la
présence de clients ;
• Manque de protection de la santé ou de la sécurité des employés et des riverains
(utilisation de produits chimiques dangereux pour la santé ou hautement explo-
sifs…).
✔ Le risque concurrentiel
• Politique commerciale agressive de la concurrence ;
26 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
✔ Risque organisationnel
• Echec de projets importants pour l’entreprise (par exemple, réorganisation des
systèmes d’information, croissance externe) ;
• Mauvaise gestion des compétences du personnel conduisant à une perte d’exper-
tise dans un domaine clé pour l’entreprise.
✔ Risque de fraude
• Organisation par certains employés de systèmes de « pots de vin », corruption,
ententes, vols de produits.
GUIDE D'AUDIT 27
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
28 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 29
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
30 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 31
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
32 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
2e étape : Pondérer les risques majeurs pour ne conserver que les plus importants
Par exemple :
• Mauvaise image ;
• Non respect des lois et réglementations ;
• Investissements non rentables ;
• Perte de compétitivité ;
• Non fiabilité des livraisons.
Les risques doivent être pondérés par rapport aux objectifs de l’entreprise : par exemple
l’impact sur le profit, l’impact sur les hommes, le cours de l’action en bourse, la réputation
de l’entreprise, et d’autres critères qui sont jugés pertinents pour l’entreprise.
3e étape : Rattachement des processus clés de l’entreprise aux risques opérationnels et aux
risques majeurs
Par exemple :
GUIDE D'AUDIT 33
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
risk managers, les contrôleurs de gestion, les auditeurs externes, il devra arriver à classi-
fier les risques majeurs en fonction de leur impact, de leur probabilité d’occurrence si elle
est pertinente ou de leur niveau de maîtrise.
Ce qui augmente la crédibilité de cette cartographie, c’est un chiffrage et une quantifica-
tion des risques. Pour cela, une étude plus poussée est nécessaire, mais cette étude sera un
bon investissement car un reporting sur la qualité du management des risques peut être
basé sur cette quantification. Par exemple, il est possible de mesurer combien l’entreprise
a perdu en raison de livraisons tardives et incomplètes. Le renforcement des dispositifs de
contrôle interne permettra une maîtrise de ces pertes.
34 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Remarques :
✔ Cet outil n’est pas scientifique et fait largement appel au jugement et à la perception
du risque par le propriétaire. Il s’agit d’éléments « déclaratifs » : même si une tenta-
tive de quantification est réalisée, il n’y a pas nécessairement de fondements objec-
tifs à ces estimations. Toutes ces estimations doivent être ensuite reprises pour
confirmer ou non les niveaux annoncés. Un travail important reste donc à faire, celui
de la validation des risques.
✔ Le risk manager, l’auditeur interne ou la personne qui consolidera au final toutes les
évaluations doit impérativement prendre du recul pour hiérarchiser tous les risques
au regard des objectifs de l’entreprise. Il doit mettre en présence les différents
acteurs opérationnels afin de confronter leur point de vue et parvenir à un consen-
sus. En effet, le niveau de contrôle, pour un même risque, ne sera pas nécessairement
apprécié de la même manière par deux acteurs concernés par ce risque et interrogés.
✔ Par expérience, ce travail est bien perçu par les propriétaires des risques, à condition
de communiquer régulièrement l’avancement des travaux, y compris lorsque leurs
entretiens sont terminés. La communication régulière et pertinente est un facteur
clef de succès dans la construction d’une cartographie des risques dans une appro-
che « participative ».
• Construction de la cartographie
La cartographie ci-après est un exemple ; d’autres critères de mesure et d’autres échelles
peuvent être utilisés.
GUIDE D'AUDIT 35
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Fréquence
Se produit
Perte
plusieurs de Mauvaise
fois par Élevée compétitivité réputation
an par
pays/zone
S’est produit
Mauvaise Informations
plusieurs qualité des
fois par an Moyenne produits
– non fiables
dans
l’entreprise Non
fiabilité des
livraisons
S’est produit
dans Parfois
l’entreprise
Litiges
S’est produit
dans Faible
l’industrie
Impact
Très faible Faible Moyen Elevé
Hommes Dommage Dommage Dommage Fatalité
minime mineur majeur
Résultat net < EUR 500 000 < EUR 1 M EUR 1 M< < 5 M > EUR 5 M
Actifs < EUR 1 M < EUR 10 M EUR 10 M< < 20 M > EUR 20 M
Cours d’action 1-3 % < 10 % 10 % > 10 %
Réputation Site Locale/ Nationale Internationale
Régionale
36 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Achat 2 3 2 2 24
Vente 3 3 3 3 81
Production 2 1 2 1 4
RH 2 1 2 3 12
Finance 3 2 3 1 18
Informatique 3 1 2 1 6
Etc.
Ce schéma permet de déterminer la fréquence des audits sur les processus (ou les filiales) :
un score de 24 et plus : chaque année, entre 12 et 24 : tous les deux ans, entre 8 et 12 : tous
les trois ans, un score de 4 ou 6 : tous les 4 ans et les scores plus bas : tous les 5 ans. Un
plan d’audit sur 5 ans peut être établi avec les résultats de cette analyse. La fréquence des
audits est aussi déterminante pour la taille de l’équipe d’audit interne.
GUIDE D'AUDIT 37
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
– pour les opérationnels : mieux identifier les risques liés à l’atteinte de leurs objectifs et
mieux piloter leur activité ;
– pour les auditeurs internes : alléger ou orienter le plan d’audit en s’appuyant sur les
résultats de l’auto-évaluation (après avoir évalué la qualité de la démarche d’auto-
évaluation) et identifier des risques et éléments exceptionnels mis en évidence par celle-
ci ; améliorer leur connaissance des processus de l’entreprise ;
Toutefois, avant de se lancer dans une démarche aussi ambitieuse qui nécessite un
véritable changement des mentalités concernant l’approche même de l’activité de contrôle,
il est important de respecter un certain nombre d’étapes.
– S’appuyer sur la cartographie des risques (ou le modèle de risques ou encore le référen-
tiel de contrôle interne) si elle existe ;
38 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
– Sinon, procéder à une définition des processus clés, puis des risques susceptibles
d’affecter l’activité et identifier les points de contrôle les plus importants.
La démarche est entièrement centrée sur l’évaluation des risques, l’analyse de leur
maîtrise, et sur la recherche d’actions correctrices, l’objectif étant de jouer un rôle décisif,
préventif de la « destruction de valeur ».
✔ Organisation d’ateliers
Des « ateliers » organisés regroupent des experts métier de chaque activité concernée et
différents niveaux hiérarchiques au sein des activités afin d’entamer des réflexions concer-
nant les points de contrôle clefs à respecter si l’on veut conserver une maîtrise raisonnable
des activités. Les dispositifs de contrôle interne seront sélectionnés en fonction d’un
certain nombre de critères tels que : le coût, le temps nécessaire afin d’effectuer le contrôle,
sa complexité, la fréquence de vérification souhaitable. Ces travaux en ateliers peuvent
même aller jusqu’à la formulation des questions.
Les questionnaires doivent aborder les risques et points de contrôle essentiels et il est
important de ne conserver qu’un nombre raisonnable de questions.
Pour faciliter l'exploitation des questionnaires et la consolidation des risques, il est recom-
mandé de retenir une démarche commune dans leur élaboration quel que soit le proces-
sus. Il est par exemple possible d'organiser chaque questionnaire en 5 chapitres à partir de
la classification retenue par la COSO : l'environnement de contrôle, l'identification et
l’évaluation des risques, les dispositifs de contrôle interne, l'information et la communica-
tion et, enfin, le pilotage du contrôle interne.
Les questions doivent être rédigées de telle sorte qu'une réponse négative soit la traduc-
tion d'une faiblesse.
Un tel système ne peut fonctionner à grande échelle que s’il existe un outil informatique
en mesure d’agréger les informations au niveau central, d’en effectuer le traitement ainsi
que de proposer des améliorations concernant les dysfonctionnements constatés. Le
support utilisé peut être l’intranet de l’entreprise. Il offre le maximum de convivialité et
permet de garantir le maximum d’efficacité dans le système de reporting.
GUIDE D'AUDIT 39
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
En outre, la mise en place d’une démarche d’auto-évaluation amène l’audit interne à des
activités de formation, de facilitation et d’animation ce qui lui procure un regain de
visibilité auprès des opérationnels.
Chaque niveau dans l’entreprise a besoin d’une information adaptée à ses responsabilités
en matière de processus de management des risques (cf Partie II). Dans tous les cas, la
communication des résultats de la cartographie des risques doit être exacte, objective,
claire, concise, constructive, complète et émise en temps utile.
Cette communication peut provenir de l’audit interne qui restitue le résultat de ses
évaluations et également des directions opérationnelles, qui rendent compte de la bonne
mise en œuvre (ou non) des contrôles internes permettant de sécuriser les opérations et
qui, éventuellement, font remonter les nouveaux risques susceptibles d’apparaître. Un
tableau de bord comportant les indicateurs pertinents, sélectionnés par les directeurs
opérationnels et répondant aux attentes de la direction générale, est l’outil le plus efficace.
Des informations et réactions sur des risques existants ou potentiels peuvent également
émaner de partenaires externes (fournisseurs, clients, actionnaires, partenaires,
législateur,…). Ces informations peuvent être précieuses et révélatrices de déficiences de
l’entreprise dans la maîtrise de ses activités.
Vers l’extérieur et en vue d’une plus grande transparence, l’entreprise peut reporter
régulièrement vers les parties prenantes ses politiques de management de risques et les
résultats atteints. De plus en plus, les parties prenantes cherchent à connaître la perfor-
mance de l’entreprise dans des domaines autres que financiers, tels que l’environnement,
la sécurité, les ressources humaines,… etc.
40 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
CONCLUSION
GUIDE D'AUDIT 41
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXES
GUIDE D'AUDIT 43
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXE 1
EXEMPLES DE PROCESSUS DE MANAGEMENT DES RISQUES
À la fin de l’année 2002, le processus de management des risques est en émergence dans
le Groupe avec des situations contrastées selon les domaines d’activité ou les filiales :
• Le déploiement d’un processus complet est acté et lancé dans deux filiales avec un comité
des risques institué pour piloter le processus et notamment le traitement des risques.
• Des pratiques locales de traitement du risque existent dans certains secteurs du Groupe,
fondées sur les savoir-faire développés par les métiers, notamment :
– Les risques de change, de taux et de marché dans le domaine de la trésorerie et du
financement ;
– Les risques assurables et la sinistralité dans le secteur des assurances ;
– Les risques liés à la permanence du service dans le domaine des réseaux ;
– Les risques de défaillances et de malveillances dans le domaine des systèmes d’infor-
mation ;
– La sécurité des personnes dans le domaine des ressources humaines ;
– Le réseau des contrôleurs de gestion ;
– Les démarches qualité et de certification.
Situation antérieure :
• Une fonction de risk management située au sein de la Direction de l’Audit, dont les mis-
sions sont de :
L’audit interne fonctionne selon les normes applicables à une entreprise sans processus
explicite de risk management.
44 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
• Des fonctions de risk management situées à divers niveaux, couvrant divers périmètres
et répondant à des schémas d’animation divers :
– Hygiène et sécurité ;
– Risque incendie ;
– Trésorerie.
• Des processus de risk management opérant dans plusieurs filiales avec plus ou moins
d’ancienneté et d’exhaustivité.
• Focalisation sur le traitement des risques et non plus sur le seul reporting :
– Répartition des rôles entre les diverses sources d’évaluation des risques en cours dans
le cadre du « disclosure comittee » ;
Dans une structure de la taille d’une grosse PME, dans le secteur de la communication, à
faible culture de procédures, l’Audit Interne a été créé en 1997. Les seuls risques suivis
auparavant l’étaient par le biais des assurances, directement à la direction juridique. Il n’y
a pas de PMR (Processus de Management des Risques), le mot n’est pas connu.
GUIDE D'AUDIT 45
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
– Une appréciation par l’Audit des risques sur les « grandes » activités de l’entreprise :
Les missions successives menées par l’audit interne ont permis de préciser les risques sur
les points majeurs de fonctionnement de l’entreprise (achat de matière première, concep-
tion-réalisation, relation avec les principaux sous-traitants de la chaîne…).
Au fur et à mesure des missions, se sont enchaînés l’élaboration des process des métiers
de l’entreprise, l’identification des risques majeurs, le suivi de la mise en place des recom-
mandations, avec la couverture de ces risques.
La petite taille de l’équipe permet à tous d’être au courant de toutes les missions, de tout
ce qui est fait… Il y a peu de déperdition d’informations. Chacun se souvient des process
déjà étudiés et peut s’y référer.
Une mission sur le Plan de Reprise d’Activité a permis d’approfondir les processus et de
vérifier leur exhaustivité. Elle a conduit à approfondir tout ce qui concerne les risques sou-
dains extérieurs (feu, eau, accès), mais aussi à identifier les points sensibles de chaque pro-
cessus et les mesures de couverture nécessaires.
46 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 47
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Ces schémas illustrent un texte reprenant le descriptif des risques, de leurs impacts, de leur
couverture actuelle, de leur « propriétaire ». Ils sont complétés d’un avis sur la possibilité
ou non de les transformer en sujet d’audit.
Une synthèse permet de hiérarchiser les différents risques relevés pour l’ensemble du
groupe.
Tous les risques repérés ne peuvent se traduire par une mission d’audit, en particulier les
sujets trop subjectifs (éthique) ou trop précis.
Mais cela permet de réfléchir à de nouveaux sujets d’audit sous un angle différent, d’ « uti-
lité » ou d’« efficacité » maximale pour l’entreprise. De nouvelles missions ont ainsi été
identifiées et ont été lancées.
La cartographie des risques ainsi décrite est avant tout un outil de l’Audit Interne, pour
communiquer avec la Direction Générale, base de présentation et discussion.
48 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXE 2
EXEMPLE DE BUSINESS PROCESS MODEL
ET DE QUESTIONNAIRE DE DESCRIPTION DE PROCESSUS
Project Management
GUIDE D'AUDIT 49
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Définition du Processus :
Process Definition :
What are the main stages of the development of the activity (major processes) ?
Describe them.
50 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Quelles sont les entrées (flux d’information, flux de matière, flux financier,
ressources…) ?
What are the inputs (flow of information, flow of material, cash flow, resources,…) ?
Who is going to launch the carrying out of the tasks which make up the process ?
Quelles sont les sorties (flux d’information, flux de matière, produit semi-
fini ou fini, service … ) ?
What are the outputs (flow of information, flow of material, finished good or semi-
finished product, service … )
Quels sont les facteurs clefs de bon déroulement de cette activité (notam-
ment en termes de ressources humaines / compétences et de système d’in-
formation) ?
What are the key factors insuring the good development of this activity (and spe-
cially when we talk about human resources / skills and system of information) ?
GUIDE D'AUDIT 51
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
What are the strategic objectives sought : target to be reached, strategies to succeed,
key success factors to reach these objectives ?
What are the external constraints (market, competition) and the regulatory obliga-
tions ?
Quelles sont les attentes des différentes parties prenantes : externes (client,
fournisseur, groupe…) et internes (Conseil d’Administration, Direction
Générale, Salariés) ?
What are the expectations of the bodies involved : outside the company (customer,
supplier, lobby…) and inside the company (Board, Management Committee,
Employees) ?
52 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXE 3
EXEMPLES DE GUIDE D’AUDIT
DU PROCESSUS ACHAT
GUIDE D'AUDIT 53
Entity
54
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Define sourcing strategy 01 – Undefined, unapproved, outda- Unreliable information Meetings organized to explain Strategy
ted and/or strategy not applied sourcing strategy to buyers
Unreliable information Indicator on the amount of Monitoring
purchases for TMM, for each SBU
and for each segment
Unreliable information Responsibility defined for writing, Organization
approving and disseminating the
sourcing strategy
02 – Sourcing strategy not in line Unreliable information Procedure for validating sourcing Procedures
with TMM global strategy strategy with TMM global strategy
Unreliable information Validation of sourcing strategy by Supervision
Excom
Find potential suppliers 01 – Absence or no respect of selec- Competitive disadvantage / public Responsibility defined for selecting Organization
tion criteria or customer dissatisfaction vendors
Competitive disadvantage / public Procedure for formalizing vendor Procedures
or customer dissatisfaction selection
Competitive disadvantage / public Procedure for determining and dis- Procedures
or customer dissatisfaction seminating selection criteria
Competitive disadvantage / public Supervision on respect of vendor Supervision
or customer dissatisfaction selection criteria
02 – Missed reliable and cost effecti- Competitive disadvantage / public Responsibility definded for Organization
ve vendors or customer dissatisfaction negotiating and bidding
Competitive disadvantage / public Procedure for negotiating and Procedures
or customer dissatisfaction committing TMM for certain
Competitive disadvantage / public segments Supervision
or customer dissatisfaction Supervision on negotiation and
committment
GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Entity
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
GUIDE D'AUDIT
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Find potential suppliers 03 – Experts (internal / external) not Competitive disadvantage / public List of experts defined and Strategy
(continued) involved in vendor selection or customer dissatisfaction disseminated
Competitive disadvantage / public Procedure to implicate experts at an Procedures
or customer dissatisfaction early stage
04 – Sourcing department not invol- Excessive costs Objective of % of material covered Objectives
ved in selection for major vendors by sourcing department
Excessive costs Indicator on % of material covered Monitoring
by sourcing department
Excessive costs Procedure for involving sourcing Procedures
department in vendor selection at an
early stage
05 – Insufficiently trained buyers Excessive costs Objective of training days per buyer Objectives
Excessive costs Training lan for buyers Strategy
Excessive costs Indicator of training days per buyer Monitoring
06 – Too many / too few vendors Excessive costs Objective of number of agreed ven- Objectives
dors per segment
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
55
Entity
56
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Find potential suppliers 07 – Unjustified or unapproved Excessive costs Responsibility defined for Make or Organization
(continued) Make or Buy decision Buy decisions
Excessive costs Procedure for Make or Buy decision Procedures
Excessive costs Supervision on Make or Buy deci- Supervision
sions
08 – Non-existent or insufficient Excessive costs Procedure for implicating end-users Procedures
implication of end-users, particularly in vendor pre-selection and selection
in formalizing their need in details
Excessive costs Procedure to define specifications at Supervision
the beginning of the sourcing project
Excessive costs Supervision on clear description of Supervision
needs
Plan, execute and administrate 01 – Undefined / unapproved Unreliable information Responsibility defined for Organization
purchasing operations sourcing planning formalizing the sourcing planning
Unreliable information Procedure for establishing and Procedures
approving sourcing plan
02 – Contract terms and conditions Non compliance with regulations Existence of standardized sourcing Strategy
not well defined / contrary to TMM contract
interest / in conflictwith law
Non compliance with regulations Responsibility defined within the Organization
legal department for validating
sourcing contracts
Non compliance with regulations Procedure for validating sourcing Procedures
contract by legal department
Non compliance with regulations Supervision on deviation from pre- Supervision
defined sourcing contract terms and
conditions
03 – Fraud, bribery Loss of assets Objective for rotation of buyers for Objectives
high value segments
GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Entity
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
GUIDE D'AUDIT
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Plan, execute and administrate 03 – Fraud, bribery Loss of assets Secured access to vendor database Strategy
purchasing operations (continued)
(continued) Loss of assets Standards of business conducts Strategy
Loss of assets Pre-numbered purchase requests Strategy
and purchase orders
Loss of assets Indicator on rotation of buyers for Monitoring
high value segments
Loss of assets Responsibility separated for placing Organization
a PO, for receiving goods, for
registering and for paying
Loss of assets Procedure for acceptance of gifts, Procedures
entertainment or favors from vendors
04 – Unauthorized purchase Excessive costs List of authorized people to commit Strategy
TMM by placing a purchase order
and/or by concluding an
Excessive costs agreement - Organization
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
57
Entity
58
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Plan, execute and administrate 05 – Unchallenged purchasing cost Excessive costs Indicator on reduction of purchasing Monitoring
purchasing operations (continued) cost – periodic measurement /
(continued) reporting
Excessive costs Responsibility separated for defining Organization
needs, initiating a tendering process,
negotiating and preparing the
06 – Purchase from non agreed ven- Excessive costs Procedure for purchasing from Procedures
dor agreed vendors or from non agreed
vendors in certain segments
Excessive costs Supervision on purchasing from non Supervision
agreed vendors
07 – Incorrect posting in ledger Unrelieable information Centralization of registration of Strategy
invoices received from vendors
Unrelieable information Procedure for registering purchases Procedures
/ liabilities
Unrelieable information Supervision on purchasing posting Supervision
(P&L/payables)
08 – Invoice not in line with receipt Loss of assets Responsibility defined for compa- Organization
goods and with contract tariffs, ring invoice, goods receipt and
terms and conditions sourcing contract
Loss of assets Procedures of regularization of Procedures
variances between invoice, good
receipt and sourcing contracts tariffs,
Loss of assets Supervision on regularization of Supervision
variances between invoice, good
receipt and sourcing contract
09 – Unauthorized payment / Loss of assets Responsibility defined for paying Organization
double payment invoices
GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Entity
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
GUIDE D'AUDIT
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Plan, execute and administrate 09 – Unauthorized payment / double Loss of assets Procedure of authorization of Procedures
purchasing operations payment payment
(continued) (continued) Loss of assets Supervision on payments to vendors Supervision
Maintain relation with supplier 01 – Conflict / litigation with vendor Business interruption Responsibility defined for handling Organization
conflict with vendor
Business interruption Procedure for handling conflict with Procedures
vendor
02 – Loss of key vendor Business interruption List of key vendors Strategy
Business interruption Indicator on number of key vendors Monitoring
losses
Business interruption Responsibility defined for Organization
maintaining specific and privileged
relationships with key vendors
03 – Confidential information disclo- Business interruption Existence of Non-Disclosure Strategy
sed by vendors Agreement with vendor
Business interruption Existence of a confidentiality policy Strategy
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
59
Entity
60
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Maintain relation with supplier 04 – Unrelieable / too costly vendor Excessive costs Indicator on % of satisfaction of Monitoring
(continued) (continued) internal customers regarding current
vendors
Excessive costs Responsibility defined for maintai- Organization
ning the logbook of problems
encountered with vendors
Excessive costs Procedure for re-negotiating Procedures
sourcing contract every x years
05 – Material shortage Business interruption Existence of sourcing long-term Strategy
contracts with strategic vendors
Business interruption Dual vendor policy Strategy
Business interruption Supervision on material supply Supervision
operations
06 – Unreliable sourcing contract Unreliable information Existence of a sourcing contract Strategy
register register / database
Unreliable information Responsibility defined for Organization
maintaining the sourcing contract
register / database
Unreliable information Procedure for contract administration Procedures
Unreliable information Supervision of correct register / Supervision
database maintenance
07 – Vendor bankruptcy Business information Responsibility defined for evaluating Organization
vendors
Business information Procedure for evaluating the vendor Procedures
solvability periodically
08 – Sleeping vendor Excessive costs Objective of vendor turnover per Objectives
segment
Excessive costs Indicator or vendor turnover per Monitoring
segment
GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Un bon Contrôle Interne de la fonction Achats est ainsi d'autant plus nécessaire que ses
missions sont généralement formalisables.
La fonction Achats n'est pas seulement une fonction amont, c'est une fonction carrefour
entre les divers utilisateurs qu'elle doit satisfaire dans l'entreprise et l'ensemble des four-
nisseurs potentiels.
Elle doit agir de façon à assurer aux utilisateurs un approvisionnement en matériels, ser-
vices et fournitures qui soient :
• obtenues dans des conditions compétitives de coût net, compte tenu des opérations qui
affecteront ces approvisionnements dans l'entité et donc les charges qu'ils engendreront,
• disponibles dans la forme, et les conditions nécessaires, sans rupture de la continuité des
approvisionnements.
À long terme, on peut dire que la finalité de la fonction Achats est de rendre la relation
avec les fournisseurs la plus favorable possible à l'entreprise. Chaque fois que la situation
le permet, les acheteurs doivent chercher à rester les donneurs d'ordre, maintenir un rap-
port de force avec les fournisseurs.
À court terme, elle a pour mission de répondre aux besoins des utilisateurs en obtenant les
approvisionnements définis, au meilleur coût, suivant les spécifications, et dans les délais
requis auprès des fournisseurs retenus pour leur standing et la qualité de leurs services.
GUIDE D'AUDIT 61
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
62 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
produits
GUIDE D'AUDIT 63
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
Les processus relatifs au traitement des factures fournisseurs ne sont pas abordés lors de
cette analyse.
La fonction achats
64 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 65
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
66 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 67
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
68 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 69
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
70 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 71
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
72 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 73
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
74 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 75
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
76 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 77
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
78 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 79
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
80 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
GUIDE D'AUDIT 81
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
82 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXE 4
RISQUE INDUSTRIEL : LA DIRECTIVE SEVESO
Les activités humaines créent des risques technologiques divers : industriel, nucléaire, bio-
logique, de rupture de barrage, de transport de matières dangereuses, etc.
Le risque industriel est soit chronique soit accidentel. Les risques chroniques résultent des
différentes formes de pollutions susceptibles d’avoir un impact sur la santé des popula-
tions et l’environnement, telles que les émissions de métaux toxiques, de composés orga-
niques volatils ou de substances cancérigènes.
Les principaux risques industriels sont, selon la nature des produits et de l’activité, l’explo-
sion, l’incendie et la dissémination de produits toxiques dans l’environnement. Les consé-
quences de ces événements sont plus ou moins dramatiques, depuis les dégâts matériels,
qui concernent une majorité d’accidents, jusqu'à la mort ou la blessure grave de personnes.
La prévention des risques (industriels) est un processus itératif, basé sur l'analyse de l’im-
pact et le niveau de contrôle/de maîtrise. La probabilité d'occurrence de défaillances pou-
vant conduire à un accident majeur est en effet toujours difficile, voire impossible à déter-
miner. Cette évaluation permet à l'exploitant de valider la conception de ses installations
en la comparant à l'état de l'art, de dimensionner les barrières de sécurité visant à réduire
le risque à la source (réduction du potentiel de danger, de la probabilité d'occurrence d'un
accident majeur) et de définir des mesures de limitation des effets d'éventuels accidents.
La sécurité repose d'abord sur la qualité de l'évaluation initiale des risques. Cependant, les
installations ou leurs conditions d'exploitation peuvent ensuite être modifiées, ou être
affectées par des incidents. Ces éléments qui caractérisent la vie de nombreuses unités
industrielles, sont autant de motifs de réactualisation de cette étude initiale. En outre, les
connaissances techniques évoluent et les exigences de sécurité des populations s'accroissent
légitimement.
GUIDE D'AUDIT 83
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
La directive Seveso
La directive Seveso 2 vise à maîtriser les risques industriels présentés par les établisse-
ments renfermant des substances dangereuses. Leur exploitation est soumise à autorisa-
tion, après la réalisation notamment d'une étude de danger dont le but est de quantifier et
de limiter les nuisances causées. Seveso 2 impose que l'évaluation des dangers soit réalisée
tous les cinq ans. Les plans d'urgence en découlant sont réexaminés tous les trois ans.
La directive est transposée en droit français dans le cadre de la législation sur les installa-
tions classées qui reprend et renforce ces exigences. Il incombe aux exploitants de mettre
en place les mesures de prévention permettant d'assurer la sûreté de leurs établissements
et des riverains. De ce fait, ils sont les premiers responsables de la prévention et en cas
d'accident. Mais l'État a le devoir de contrôler régulièrement les dispositifs exigés. Son rôle
est d'assurer la sécurité des personnes et de l'environnement.
Des milliers de français vivent à proximité des quelques 1 239 usines classées Seveso 2. La
prévention reste la meilleure des stratégies. Elle est à la base de trois axes principaux :
– faire en sorte que les usines classées soient les plus sûres possible : contrôles des DRIRE ;
– mettre en place des plans d'urgence et de secours (plan interne à l'entreprise et plan
particulier d'intervention à l'extérieur) lors de la survenue d'accidents. En effet, il est
malheureusement impossible d'exclure totalement d'éventuelles défaillances techniques
ou humaines, voire des actes de malveillance ;
84 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXE 5
GLOSSAIRE
Auto-évaluation : Revue par les managers de leur dispositif de management des risques, au sein
de groupes de travail, sous la conduite d’un animateur expérimenté dans le domaine concerné.
Critères d’impact : Critères choisis pour exprimer les conséquences d’un risque (en terme d’image,
de finance…).
Facteurs de risque : Ce sont les critères pour identifier l'importance relative des événements qui
pourraient se produire et qui auraient des conséquences néfastes sur l'entreprise.
Impact : Résultat ou effet d’un événement. Il peut y avoir une série d’impacts possible associés à
un événement. L’impact d’un événement peut être positif ou négatif en fonction des objectifs de
l’entreprise. L’impact se mesure en termes de coût, qualité, réputation,…
Management des risques : Activités coordonnées visant à diriger et piloter un organisme vis-à-
vis du risque. Le management des risques inclut généralement l’identification et l’évaluation du
risque, la réponse apportée au risque (traitement, acceptation,…) et la communication relative au
risque.
Processus de management des risques (PMR) : Processus élaboré et maintenu par le conseil
d’administration, le management ou les opérationnels, déployé dans toute l’entreprise et destiné à
identifier des évènements potentiels susceptibles d’affecter la vie de l’entreprise, à gérer ses risques
et à fournir une assurance raisonnable que ses objectifs seront atteints.
Propriétaire de risque : Personne chargée de s’assurer que les risques liés aux activités dont il est
responsable sont correctement traités, conformément aux modalités définies dans le PMR. Il doit
également anticiper l’évolution de ces risques.
Risque : Possibilité que se produise un événement susceptible d’avoir un impact sur la réalisation
des objectifs. Le risque se mesure en termes de conséquences et de probabilité.
Risque inhérent : Risque existant en l’absence de toute action prise par le management en vue de
diminuer la probabilité d’occurrence ou l’impact.
Risque résiduel : Risque restant après que le management ait entrepris des actions visant à dimi-
nuer la probabilité d’occurrence ou l’impact du risque.
GUIDE D'AUDIT 85
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
ANNEXE 6
BIBLIOGRAPHIE
1. Ouvrages
– COSO Report – La pratique du contrôle interne
– Integrated risk management : techniques and strategies for managing corporate risks
(IIA – 2000)
2. Revue Audit
– Avril 1999 : « Maîtrise des Risques »
– Juin 2000 : « Audit interne et risk management : deux activités spécifiques et complé-
mentaires »
– Septembre 2001 : « Pour une approche des risques en liaison avec les objectifs »
– October 2002 : « Lock down risk – Crucial to ERM, effective knowledge sharing begins
with the internal auditor »
(12) Encore au stade de projet et non traduit en français au moment de l’impression de ce cahier.
86 GUIDE D'AUDIT
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
N° 1 : – Notion de risque
– Rapport Turnbull
N° 2 : – Risques et probabilités
– Analyse des micro tendances dans un secteur d’activité afin de gérer le risque de
récession
– Produits défectueux
N° 6 : – E-risques, e-économie
N° 7 : – Risque financier
– Value at Risk
GUIDE D'AUDIT 87
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
N° 8 : – Risque écologique
N° 9 : – Risques pays
– Risques politiques
– Corruption
– Ethique
88 GUIDE D'AUDIT
Étude du Processus de Management et de Cartographie des Risques
L E S C A H I E R S D E L A R E C H E R C H E
GUIDE D’AUDIT
L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte à
tous les adhérents, est l’expression du caractère associatif de l’Institut et
concrétise notre devise : « Le Progrès par le Partage ».
La Recherche s’organise autour de groupes de travail qui mettent en
commun et formalisent leurs réflexions et leurs pratiques sur un thème ou
un sujet propre à un secteur d’activité.
Les travaux de ces groupes sont destinés à être diffusés sous de multiples
formes auprès du plus grand nombre.
Étude
Telle est précisément la vocation de la Collection : du Processus
« Les Cahiers de la Recherche »
Groupe Professionnel
Industrie et Commerce
Institut de
l'Audit Interne
l'Audit Interne
Institut de