Cahier de La Recherche Processus Management Et Carto Des Risques

Étude du Processus de Management et de Cartographie des Risques
L E S C A H I E R S D E L A R E C H E R C H E
GUIDE D’AUDIT
L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte à
tous les adhérents, est l’expression du caractère associatif de l’Institut et
concrétise notre devise : « Le Progrès par le Partage ».
La Recherche s’organise autour de groupes de travail qui mettent en
commun et formalisent leurs réflexions et leurs pratiques sur un thème ou
un sujet propre à un secteur d’activité.
Les travaux de ces groupes sont destinés à être diffusés sous de multiples
formes auprès du plus grand nombre.
Étude
Telle est précisément la vocation de la Collection : du Processus
« Les Cahiers de la Recherche »
qui met à la disposition des auditeurs quatre types d’outils :

de Management
• les « Prises de Position » publiées par des instances professionnelles, et de Cartographie
• les « Notes Professionnelles » qui explicitent et commentent ces prises
de position,
• les « Meilleures Pratiques », en France ou à l’international,
des Risques
• les « Guides d’Audit » qui définissent un cadre pratique pour la conduite
des missions.
Conception,
mise en place et évaluation
Groupe Professionnel
Industrie et Commerce
Institut de
l'Audit Interne
l'Audit Interne
Institut de
12 bis, place Henri Bergson – 75008 Paris – Tél. : 01 40 08 48 00 – Fax : 01 40 08 48 20

Web : www.ifaci.com – E-mail : institut@ifaci.com
Institut Français de l’Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069
Institut de
The Institute of Internal Auditors l'Audit Interne
GUIDE D’AUDIT
Étude
du Processus
de Management
et de Cartographie
des Risques
Conception,
Institut de
l'Audit Interne
ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES
2 GUIDE D'AUDIT
REMERCIEMENTS
L’IFACI tient tout particulièrement à remercier les participants du groupe Industrie et

Commerce qui ont conçu et rédigé ce cahier :
Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ;

Frédéric Bel, Chef du Département Qualité/Audit Interne, Primagaz ;
Florence Bergeret, Responsable de la Recherche, IFACI ;
Pierre de Magnitot, Audit Manager, Giat Industrie ;
Rick Floore, Internal Audit Manager, Sodexho Alliance ;
Alain Hocquet, Risk Manager, France Telecom ;
Christian Lesné, Consultant, IFACI ;
Rosa Mendes, Auditrice Interne, Michelin ;
Marzio Panelli, Auditeur Interne, Michelin ;
Thomas Puissant, Audit Implementation Manager, Rhodia ;
Catherine Veillet-Michelet, Directrice de l’Audit Interne, Bayard Presse ;
Christian Zerbi, Responsable de l’Audit Interne, Metro Cash and Carry France.
Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total,
pour sa relecture avisée, ainsi qu’à Emmanuel Du Moulin, Directeur de l’Audit Interne de
Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric Robert,
Auditeur Interne de Renault, pour leur participation aux échanges ayant conduit à
l’élaboration de ce cahier.
Louis Vaurs
Délégué Général
IFACI – Paris – Décembre 2003

ISBN : 2-915051-02-X
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de
ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représen-
tation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal.
GUIDE D'AUDIT 3
4 GUIDE D'AUDIT
SOMMAIRE
Résumé ............................................................................................................................................................................................................ 7
Introduction ........................................................................................................................................................................................... 9
1. Le processus de management des risques (PMR) ............................................... 10
1.1. Les objectifs du PMR ..................................................................................................................................................................... 10

1.2. Les grandes phases du PMR .................................................................................................................................................. 11
2. Les acteurs du PMR ...................................................................................................................................................... 12
3. Le rôle de l’audit interne dans le PMR ................................................................................... 18
3.1. En présence d’un PMR ................................................................................................................................................................ 18

3.2. En l’abscence d’un PMR ............................................................................................................................................................. 22
4. La cartographie des risques, élément clé du PMR ............................................ 24
4.1. Définition et objectifs d’une cartographie ................................................................................................................. 24
4.2. Exemples de risques majeurs en environnement industriel et commercial ............................ 25

4.3. Exemple : Approche Bottom-up ............................................................................................................................................ 27
4.4. Exemple : Approche Top-down .............................................................................................................................................. 32
4.5. Une démarche d’auto-évaluation ...................................................................................................................................... 37
4.6. La communication de la cartographie des risques ........................................................................................... 40
Conclusion – Gérer les risques liés à la mise en place d’un PMR ....... 41
GUIDE D'AUDIT 5
Annexes :
Annexe 1 – Exemples de processus de management des risques ....................................................................... 44

1.1. Grand groupe multi-filiales et multi-établissements ........................................................................ 44
1.2. Groupe de presse de taille moyenne ..................................................................................................................... 45
Annexe 2 – Exemple de Business Process Model et de questionnaire de description
de processus ............................................................................................................................................................................ 49
2.1. Business Process Model ................................................................................................................................................... 49
2.2. Questionnaire de description de processus................................................................................................... 50
Annexe 3 – Exemples de guide d’audit du processus achat.................................................................................... 53
3.1. En milieu industriel.............................................................................................................................................................. 53
3.2. En milieu commercial ......................................................................................................................................................... 61
Annexe 4 – Risque industriel : la directive Seveso ......................................................................................................... 83
Annexe 5 – Glossaire .................................................................................................................................................................................... 85
Annexe 6 – Bibliographie ......................................................................................................................................................................... 86
6 GUIDE D'AUDIT
RÉSUMÉ
Selon la dernière enquête de l’IFACI menée en France, près des deux tiers des entreprises
ayant répondu ont mis en place un processus de management des risques, mais les pra-
tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans
d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa-
rate, il nous a semblé nécessaire d’écrire un guide aidant à la réflexion puis à l’élaboration
d’un processus de management des risques adapté à un environnement industriel et
commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine
d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener
sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques au
processus de management des risques.
La première partie met en lumière les objectifs et la démarche d’un processus de manage-
ment des risques :
• Les risques de l’entreprise sont identifiés ;
• La direction générale (1) et les opérationnels déterminent le niveau de risques

acceptable ;
• Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques ;
• Un suivi permanent est effectué, en particulier pour réévaluer périodiquement les

risques et l’efficacité des contrôles internes ;
• Le Conseil (2) et la direction générale sont informés périodiquement des résultats et

enseignements du processus de management des risques.
Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la
deuxième partie : le Conseil, la direction générale, les comités spécialisés du Conseil,
l’audit interne, le risk management, le management et les opérationnels, le contrôleur de
gestion et, en tant que prestataires externes, les commissaires aux comptes.
Parmi ces acteurs, l’audit interne se distingue par son rôle fondamental dans le processus
de management des risques. En effet, dans le cadre de leurs activités courantes, on attend
des auditeurs internes qu’ils identifient et évaluent les risques significatifs. La vision d’en-
semble qu’ils ont de l’entreprise et de ses processus les y aide nécessairement.
Ce rôle est approfondi dans la troisième partie à l’aide de questions clés liées aux éléments
du processus les plus importants. En l’absence d’un processus de management des
risques, quelques orientations sont données pour l'initier (prendre conscience des risques
et de l’importance du contrôle interne, promouvoir la démarche, aider l’entreprise à
identifier et évaluer les risques et faire évoluer le processus).
(1) Par direction générale, on entend également comité exécutif, directoire, comité de direction, …
(2) Par Conseil, on entend conseil d’administration, conseil de surveillance, …
GUIDE D'AUDIT 7
La construction de la cartographie des risques, abordée dans la quatrième partie, est une
étape clé du processus. En fonction de la culture et de l’environnement de l’entreprise,
deux approches peuvent être adoptées pour élaborer une cartographie des risques :
– l’approche bottom up, ou remontée des risques opérationnels vers les risques
majeurs,
– l’approche top-down, à partir des risques majeurs identifiés pour les différentes
parties prenantes.
Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dans
un grand groupe, il peut y avoir plusieurs cartographies des risques, indépendantes les
unes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe qui
a des activités ou des implantations géographiques très différentes n’établira pas une
cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération-
nelles sont proches ou semblables, il est certain que des risques de même nature seront
identifiés et alors agrégés au niveau de la direction générale, avec l’enrichissement apporté
par la vision plus large de celle-ci.
La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d’établir la cartographie des risques
majeurs en se basant, certes sur les informations qui lui remontent des opérationnels, via
les reporting traditionnels, mais également sur des informations en provenance de
l’environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soient
ensuite déclinés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils don-
nent lieu à des reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk
manager ou de l’auditeur interne, doit s’assurer de l’harmonisation de ces cartographies.
Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et les
plans d’actions dans l’entreprise.
8 GUIDE D'AUDIT
INTRODUCTION
• Selon l’enquête sur l’audit interne menée par l’IFACI en novembre 2002, en partenariat
avec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis en
place un processus de management des risques. Il convient d’être prudent dans
l’acception donnée à « Processus de management des risques » ; en effet, les échanges au
sein du groupe de recherche de l’IFACI ont révélé des pratiques très diverses allant de
processus peu ou non formalisés à des processus déjà très aboutis.
Face à une littérature traitant abondamment de ce thème, mais parfois de façon dispa-
rate, il nous a paru nécessaire d’écrire un guide aidant à la réflexion puis à la construc-
tion d’un processus de management des risques, adapté à un environnement industriel
et commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine
d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de
mener sa propre réflexion autour des thèmes suivants :
• la notion de « processus de management des risques » : processus élaboré et main-

tenu par le Conseil, la direction ou les opérationnels, déployé dans toute l’entreprise
et destiné à identifier des évènements potentiels susceptibles d’affecter la vie de
l’entreprise, à gérer ses risques et à fournir une assurance raisonnable que ses
objectifs seront atteints ;
• le rôle des divers acteurs qui y sont impliqués, notamment celui de l’audit interne,
acteur majeur du processus de management des risques, dont les missions varient
en fonction de l’existence ou de l’absence d’un processus de management des
risques ;
• l’initiation de la démarche en :
– identifiant les risques majeurs en environnement industriel et commercial ;
– proposant deux approches différentes d’élaboration d’une cartographie

des risques, composante essentielle d’un processus de management des
risques. Ces deux approches ne prétendent pas offrir une méthode exhaus-
tive et infaillible d’identification des risques mais des pistes d’orientation
pour construire sa propre cartographie.
GUIDE D'AUDIT 9
1. LE PROCESSUS DE MANAGEMENT DES RISQUES (PMR)
1.1. Les objectifs du PMR
Les principaux objectifs d’un processus de management des risques sont les suivants (3) :
• identification et hiérarchisation rapide des risques découlant des stratégies, des activi-
tés de l’organisation et de l’environnement externe ;
• détermination par la direction générale et les opérationnels d’un niveau de risques

acceptable pour l’organisation, en tenant compte des risques liés à la mise en œuvre des
plans stratégiques de l’organisation et de leurs conséquences potentielles ;
• définition et mise en œuvre de mesures d’atténuation et de maîtrise des risques (mise

en place d’un contrôle interne adapté, transfert, financement,…) afin de réduire ou de gérer
les risques, compte tenu des seuils jugés acceptables par la direction générale et le Conseil.
Il s’agit ici de répondre de manière appropriée à tous les risques susceptibles
d’empêcher la réalisation des objectifs de l’entreprise. Ceci inclut la sauvegarde du
patrimoine de tout risque d’utilisation inappropriée, de perte et de fraude et
implique de s’assurer que les dettes/pertes sont identifiées et prises en compte.
• suivi permanent des activités afin :
– de réévaluer périodiquement les risques et l’efficacité des contrôles pour

permettre de les gérer et pour veiller à l’émergence de risques nouveaux ;
– d’assurer une cohérence globale de la méthode de gestion des risques

d’une activité à l’autre (ou d’une entité à l’autre) ;
• information périodique du Conseil et de la direction générale sur les résultats

des processus de management des risques. Dans le cadre d’un bon gouvernement
d'entreprise, le Conseil et la direction générale doivent en effet assurer une vigilance
(et rendre compte vis-à-vis des parties prenantes) à l’égard des risques, des straté-
gies liées aux risques, et des contrôles ;
• maintien d’un niveau de qualité des reportings interne et externe. Ceci implique
des enregistrements appropriés et des processus générant, en temps utile, une infor-
mation pertinente et fiable.
Le processus de management des risques peut également avoir pour objectif, complémen-
taire, d’alimenter le plan d’audit interne.
De manière générale, le processus de management des risques offre l’avantage de

promouvoir ou renforcer une culture de risques au sein de l’entreprise et de partager les
meilleures pratiques en apportant des outils et des méthodes aux managers pour les aider
à identifier, évaluer et traiter leurs risques.
(3) Les phrases en italique sont issues de la Modalité Pratique d’Application 2110-1 des Normes Professionnelles de
l’Audit Interne de l'IIA/IFACI.
10 GUIDE D'AUDIT
1.2. Les grandes phases du PMR
• Identifier et évaluer les risques, notamment en veillant à l’émergence de risques

nouveaux. Il s’agit de connaître ses risques, d’en mesurer l’impact et la probabilité,
et de les hiérarchiser au travers de cartographies.
• Traiter les risques : il s’agit d’obtenir des propriétaires de risques qu’ils évaluent les
différentes options de traitement des risques, qu’ils sélectionnent la meilleure
combinaison (supprimer, accepter, transférer, couvrir/financer) et qu’ils conduisent
les plans d’actions adéquats, notamment la mise en place de plans de gestion de
crise.
• Suivre l’évolution des risques : les propriétaires des risques sont responsables du
suivi de l’évolution des risques au cours du temps. Ils doivent fournir les informa-
tions de reporting correspondantes et adapter les mesures nécessaires.
• Garantir la maîtrise des risques : des revues indépendantes et objectives de la per-

tinence et de l’efficacité des traitements sont assurées par l’audit interne, le risk
management, l’audit externe ou les équipes qualité pour donner à la direction
générale une image consolidée des risques majeurs de l’ensemble de l’entreprise et
de leur maîtrise.
Au-delà de ces considérations générales, il convient d’adapter le processus de manage-

ment des risques à l’entreprise : en fonction de sa taille, structure, culture, activité,… Une
variété de situations peut alors être rencontrée. (4)
(4) En annexe 1, sont présentés deux exemples de processus de management des risques : le premier est déployé dans
un grand groupe multi-filiales et multi-établissements et le second dans un groupe de presse de taille moyenne.
GUIDE D'AUDIT 11
2. LES ACTEURS DU PMR
Les acteurs du processus étant nombreux, il est indispensable que leurs activités et actions
dans le processus de management des risques soient coordonnées. Le tableau ci-après
reprend ce que peuvent être leurs principales responsabilités qui sont ensuite développées
plus largement. Ces rôles se positionnent dans le contexte français. Ils peuvent différer
dans d’autres pays, en fonction de la réglementation applicable (notamment les rôles de la
direction générale, du Conseil ou des comités qui en émanent).
Légende du schéma ci-après :
: se coordonne avec
: donne des orientations
Comités
spécialisés du Conseil Conseil
Commissaires
aux comptes
Direction générale
Audit
Interne Management
et opérationnels
Risk Contrôle
management de gestion
12 GUIDE D'AUDIT
Acteurs Responsabilités dans le processus

de management des risques
Conseil • veille à ce que un/des processus de management des risques

approprié(s), suffisant(s) et efficace(s) soit/soient en place ;
• est informé périodiquement des résultats du PMR ;
• s’assure que le PMR fait l’objet d’évaluations régulières ;
• veille à ce que les actions nécessaires aient été menées rapidement

afin de pallier toute défaillance ou faiblesse importantes.
Direction • fait partager à toute l’entreprise la vision d’une gestion du risque

générale rigoureuse et efficace, donne l’impulsion, crée les conditions de
mise en œuvre du PMR au sein de l’entreprise ;
• est responsable de la conception, de la mise en place et du pilotage

du PMR ;
• définit les orientations stratégiques qui généreront, éventuellement,

des risques majeurs à prendre en compte ;
• détermine le niveau de risques majeurs acceptable ;
• fixe, au sein de l’entreprise, les responsabilités liées aux risques.

Il lui appartient de définir officiellement les rôles précis de
chacun des acteurs du processus de management des risques (qui
en tireront leur légitimité) et de s’assurer que chaque acteur
comprenne les responsabilités qui lui incombent. Ceci est parti-
culièrement vrai pour l’audit interne dont le rôle, tel qu’il sera
abordé ci-après dans la partie trois, est protéiforme et, de ce fait,
doit être précisé dans la charte d’audit interne. La direction
générale doit, à ce titre, débloquer les ressources humaines et
financières nécessaires à la mise en œuvre, au suivi et à l’évalua-
tion du PMR ;
• fournit à tous les acteurs intervenant dans le PMR les informations

qu’elle serait la seule à connaître sur les risques de l’entreprise ;
• suit et apprécie les résultats du PMR et de ses évaluations réali-

sées par l’audit interne, éventuellement en s’assurant que des
plans de continuité des opérations sont mis en place afin de main-
tenir la continuité d’exploitation et de réduire les pertes en cas
d’interruption critique de l’activité ;
• prend en compte ces résultats dans les décisions et orientations

stratégiques ;
• présente au Conseil les résultats du PMR.
GUIDE D'AUDIT 13

Comités • examinent les risques et engagements hors bilan significatifs,
spécialisés entendent le responsable de l’audit interne, sont destinataires
du Conseil de son programme de travail et de ses rapports d’audit interne ;
(comité d’audit/ • vérifient que les processus et procédures en matière financière sont
comité des mis en œuvre et sont efficaces ;
comptes, comité • dirigent et coordonnent la prévention et la maîtrise des risques liés
des risques, aux opérations de l’entreprise.
comité des
rémunérations, Chacun de ces comités peut être chargé de traiter un domaine parti-
comité culier du PMR, mais c’est principalement le comité d’audit qui doit
stratégique,…) jouer un rôle moteur ainsi que le préconise le Rapport Bouton
(cf. encadré ci-après). L’existence et le rôle des divers comités est très
variable d’une entreprise à l’autre (cf exemple d’un groupe de spécia-
lités chimiques ci-après).
Auditeur interne L’auditeur joue un rôle majeur dans le PMR. En effet, il identifie
(Rôle développé et évalue les risques significatifs dans le cadre de ses activités
en partie III) courantes.
En présence d’un PMR :

• l'évalue et contribue à son amélioration (mission prioritaire) ;
• rend compte de cette évaluation à la direction générale et au comité
d’audit ;
• aide à identifier et évaluer les risques ;
• peut apporter un soutien actif et continu au PMR, en participant par
exemple à des comités de surveillance et de suivi des risques ;
• peut apporter la méthodologie.
En l’absence d’un PMR :

• fait la promotion de la démarche : attire l’attention de la direction
générale sur la nécessité de mettre en place un PMR et formule des
suggestions sur ce point ;
• initie la démarche, à la demande de la direction générale ;
• gère et coordonne le processus.
Ce rôle varie de manière significative d’une entreprise à l’autre
et selon qu’il existe, ou non, un processus de management des
risques.
Il est largement développé dans la partie III du présent cahier de la
recherche.
14 GUIDE D'AUDIT

Il convient de souligner que, quel que soit ce rôle :
• il doit être défini par la direction générale et le Conseil ;
• il doit être clairement précisé dans la Charte de l’audit interne et

dans celle du comité d’audit ;
• l’audit interne ne devient pas, de ce fait, responsable des risques,

cette responsabilité incombant à la direction générale et aux direc-
tions opérationnelles.
Risk manager • explique le PMR aux opérationnels ;

• aide la direction générale à définir la stratégie du management des
risques ;
• réalise éventuellement des analyses économiques d’opportunité en
prenant en compte les coûts potentiels liés aux risques ;
• identifie, en concertation avec les directeurs opérationnels et l’audit
interne, les risques majeurs de l’entreprise et anticipe les nouveaux
risques émergents ;
• évalue les risques ;
• assiste la direction générale et les directeurs opérationnels dans la
formulation d’une réponse aux risques :
– prendre le risque,
– traiter le risque,
– transférer le risque,
– supprimer le risque ;
• coordonne, en liaison avec les managers opérationnels :
– le programme d’assurance de l’entreprise (en relation avec les
courtiers et assureurs) ;
– les systèmes de financement du risque (en lien avec les
financiers) ;
– les dispositifs de crise et les plans de secours, en étroite
collaboration avec les responsables sécurité physique et
systèmes d’information.
GUIDE D'AUDIT 15

Directions Chaque manager est propriétaire de ses propres risques ; il :

opérationnelles et • choisit le traitement à appliquer au risque, en collaboration avec le
fonctionnelles risk-manager ;
• détermine le niveau de risque acceptable dans son domaine confor-
mément à la politique de l’entreprise (pour les risques majeurs, ce
rôle est dévolu à la direction générale) ;
• peut être, sous délégation de la direction générale, responsable de
l’acceptation des risques résiduels ;
• est responsable du déploiement dans son activité/entité/service de
la cartographie des risques ;
• est responsable de l’identification, l’évaluation, l’atténuation, le
suivi des risques au jour le jour de son activité/entité/service ;
• rend compte à la direction générale des nouveaux risques identifiés
ou des faiblesses/lacunes du PMR.
Contrôleur de • a une vision transversale de l’entreprise et aide ainsi au déploie-

gestion ment de la cartographie ;
• contribue à la lisibilité des objectifs à tous les niveaux hiérarchiques
et sur tous les processus de l’entreprise ;
• assure le lien entre la stratégie définie par la direction générale ou
par la direction de la stratégie, et l’activité opérationnelle, en élabo-
rant les plans à court et moyen terme et les budgets. Cette
connexion est, bien entendu, fondamentale pour la déclinaison des
risques stratégiques en risques opérationnels ;
• suit les coûts et valeurs, ce qui permet de prévenir d’éventuelles
pertes ou destructions de valeur ou, a contrario, d’identifier des
couples risques/opportunités intéressants pour l’entreprise ;
• aide au suivi des actions engagées pour prévenir ou réduire les
risques, en fournissant, notamment, des indicateurs chiffrés.
16 GUIDE D'AUDIT

Commissaire aux • peut apporter des modèles de cartographie, des méthodologies ou
comptes/auditeur des outils d’analyse des risques ;
externe • dans le cadre de sa mission légale de certification des comptes, pro-
cède à une identification et une évaluation des risques sur lesquelles
il fonde son plan d’intervention, à l’instar des auditeurs internes.
Les risques (et les processus) auxquels il s’intéresse sont plus parti-
culièrement ceux qui sont susceptibles d’avoir une incidence sur les
comptes de l’entreprise. Cependant, l’obligation qui lui est faite de
se prononcer sur la continuité d’exploitation de l’entreprise l’amène
également à se pencher sur l’ensemble des risques, même ceux qui
ne trouveront pas une traduction comptable immédiate.
Comités spécialisés du Conseil :
Le Rapport Bouton « Pour un meilleur gouvernement des entreprise cotées » paru en sep-
tembre 2002 précise le rôle attendu du comité d’audit en matière de contrôle des risques :
Rôle du comité d’audit/comité des comptes – Extrait du Rapport Bouton

« Le comité des comptes a généralement une compétence couvrant à la fois les comptes,
les risques et le suivi de l’audit interne mais, dans certaines sociétés, peuvent
co-exister un comité spécialisé chargé des comptes et un comité d’audit plus spéciale-
ment orienté sur le contrôle des risques ». En outre, ce Rapport recommande que
« S’agissant de l’audit interne et du contrôle des risques, les comités devraient exami-
ner les risques et engagements hors bilan significatifs, entendre le responsable de l’au-
dit interne, donner leur avis sur l’organisation de son service et être informés de son
programme de travail. Ils devraient être destinataires des rapports d’audit interne ou
d’une synthèse périodique de ces rapports ».
Les rôles confiés aux comités spécialisés du Conseil sont variables d’une entreprise à l’au-
tre. Voici, ci-après, l’exemple d’un groupe de spécialités chimiques fortement interna-
tionalisé :
– Le comité des comptes examine les comptes bien sûr, mais surtout « il vérifie que les
processus et procédures en matière financière sont mis en œuvre et efficaces ». Le
comité est donc « spécialisé » de par sa mission sur le traitement des risques finan-
ciers (reporting, financement, change, taux etc.).
– Le comité des risques dirige et coordonne la prévention et la maîtrise des risques liés
aux opérations de l’entreprise, reposant sur une analyse spécifique au secteur
d’activité et/ou au « métier » exercé par l’entreprise.
Les deux ensembles ne travaillent pas isolément l’un de l’autre, certains de leurs mem-
bres étant communs. De plus, le Directeur de l’Audit interne est le Secrétaire des deux
comités, ce qui assure une appropriation rapide par le service d’audit des sujets perti-
nents traités lors des comités.
GUIDE D'AUDIT 17
3. LE RÔLE DE L’AUDIT INTERNE DANS LE PMR
3.1. En présence d’un PMR

L’évaluation du PMR est un des objectifs prioritaires de l’audit interne. Il peut prendre
des formes très diversifiées d’une entreprise à l’autre et doit être adapté à la culture, au
style de management, à la taille, la structure et aux objectifs de l’entreprise. Il peut englo-
ber plusieurs niveaux de cartographies des risques.
Quelle que soit la forme du PMR et « qui que ce soit qui définisse la nomenclature et la
liste des risques, l’audit interne doit aller vérifier, chaque fois qu’il y a un risque significa-
tif que ce risque est couvert sur la totalité du périmètre de l’entreprise et sur la totalité de
son extension géographique » (extrait d'une interview de M. Peyrelevade, Président du
comité d’audit de Suez).
L’audit interne doit s’assurer que les objectifs du PMR tels que définis dans la Partie I sont
couverts :
OBJECTIFS DU PMR POINTS D’AUDIT
1. Risques identifiés, hié- Intervenants

rarchisés et détermination 1.1 Existe-t-il un/des responsable(s) du PMR ?
d’un niveau de risques
1.2 A-t-il/ont-ils un positionnement hiérarchique en rapport
acceptable par le manage-
avec sa/leur mission ?
ment
1.3 La fonction est-elle clairement définie ?
1.4 Permet-elle de couvrir toute l'entreprise ?
1.5 Le Management fait-il partie intégrante de l'élaboration du
PMR ?
Identification
1.6 A-t-on l'assurance raisonnable que le PMR a permis d'iden-

tifier tous les risques majeurs en s'assurant notamment que :
– les objectifs (objectifs liés aux opérations, objectifs liés aux
informations financières et objectifs de conformité – classifica-
tion COSO) et les buts de l'entreprise seront atteints ?
– tous les domaines de l'entreprise sont intégrés dans le PMR ?
1.7 L'identification des risques a-t-elle été faite par le manage-
ment de l'entreprise ? A-t-il évoqué ses sujets de préoccupation ?
1.8 Existe-t-il une démarche d'auto-évaluation des risques par
les managers ?
1.9 Les préoccupations du Conseil ou du comité d'audit ont-
elles été intégrées dans l'analyse ?
1.10 A-t-on fait appel à des prestataires externes (assureurs,
conseils …) pour une approche globale du PMR ?
18 GUIDE D'AUDIT

1. Risques identifiés, hié- 1.11 Existe-t-il :
rarchisés et détermination – une documentation appropriée sur les risques,
d’un niveau de risques
– une formalisation de la cartographie des risques,
acceptable par le manage-
ment (suite) – une synthèse des éléments constitutifs de la cartographie ?
1.12 Cette cartographie s'appuie-t-elle sur une hiérarchisation
des risques ?
1.13 L'entreprise a-t-elle une culture de risque étendue à tous
ses métiers ?
Évaluation des risques

1.14 Y a-t-il une valorisation des impacts éventuels des risques ?
1.15 Une probabilité d’occurrence est-elle définie (pour cer-
tains risques majeurs, graves, déterminer une probabilité d’oc-
currence n’est pas pertinent) ?
1.16 A-t-on et exploite-t-on des indicateurs de mesure des
risques (incidents, défaillances, accidents …) ?
1.17 Mesure-t-on le niveau de maîtrise/de contrôle des risques ?
1.18 Les risques sont-ils évalués en fonction des trois critères
ci-dessus (impact, probabilité d’occurrence, niveau de maîtrise/
de contrôle) ?
Validation du PMR
1.19 Le PMR fait-il l'objet d'une procédure de validation ?
1.20 La direction générale est-elle impliquée dans la procédure
de validation (directement ou par délégation) ?
1.21 Les risques identifiés ont-ils tous un propriétaire ?
Niveau d’acceptabilité
1.22 Des seuils de niveau d’acceptabilité des risques ont-ils été
définis par le management ?
2. Mesures de traitement Rattachement

des risques
2.1 Pour chacun des risques identifiés, a-t-on mis en place l’une
des mesures de traitement suivantes :
– acceptation,
– réduction,
– élimination,
– assurance/transfert ?
Risques résiduels
2.2 Ces données sont-elles transmises à la direction générale ?
GUIDE D'AUDIT 19

2. Mesures de traitement 2.3 Existe-t-il un plan d'action sur les risques qui nécessitent
des risques (suite) d'être réduits ?
2.4 Si oui, la responsabilité de mise en œuvre de ce plan est-elle
définie ?
2.5 La mise en œuvre de ce plan est-elle suivie ?
3. Suivi permanent des Périodicité de mise à jour

activités : réévaluer pério-
3.1 La périodicité de mise à jour du PMR est-elle définie ?
diquement les risques et le
contrôle interne 3.2 Est-elle respectée ?
Contrôle
3.3 Le responsable du PMR a-t-il procédé à un inventaire des
différentes évaluations réalisées (par l’audit interne, les
commissaires aux comptes, les risk managers,…) ?
3.4 La périodicité de contrôle du PMR (par l'audit interne ou
d’autres fonctions) est-elle définie et adaptée ?
3.5 Cette périodicité prévoit-elle la prise en compte de change-
ments importants survenus en interne ou en externe à l’entre-
prise ?
4. Communication à la Élaboration
direction générale, au
4.1 La direction générale est-elle impliquée dans l’élaboration du
comité d'audit et au
PMR ?
Conseil des résultats du
PMR et de son évaluation 4.2 Le comité d'audit et/ou le Conseil donne-t-il son avis sur le
PMR ?
Reporting
4.3 Le PMR et les résultats de son évaluation font-ils l'objet

d'une présentation en Comité de Direction/ à la direction
générale ?
4.4 S’il y a plusieurs PMR dans l’entreprise, sont-ils consolidés ?
Cette consolidation est-elle pertinente (non pertinente dans le
cas d’activités ou de zones géographiques très diversifiées) ?
4.5 Le PMR et les résultats de son évaluation sont-ils diffusés :
– à la direction générale,
– au comité d'audit,
– à la direction de l'audit ?
4.6 La liste des risques forts acceptés est-elle :
– approuvée par la direction générale ?
– communiquée au comité d'audit/Conseil ?
20 GUIDE D'AUDIT

5. Plan d'audit 5.1 Le plan d'audit est-il élaboré en s'appuyant notamment sur
les risques identifiés dans le cadre du PMR ?
5.2 Les risques significatifs, identifiés lors des missions d'audit,

sont-ils communiqués au Responsable du PMR ?
Afin de répondre à ces questions, l’audit interne peut rechercher et examiner des docu-
ments de référence et des informations d’ordre général sur les méthodes de management
des risques afin d’apprécier si le processus mis en œuvre par l’entreprise est approprié et
s’inspire des meilleures pratiques du secteur. Voici ce que préconise la Modalité Pratique
d’Application 2110-1 des Normes Professionnelles de l’Audit Interne.
Extrait : L’auditeur interne peut recourir aux procédures décrites ci-après :

• Rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évolution
récente et les tendances, ainsi que toute autre source d’information appropriée, afin de détermi-
ner les risques susceptibles d’affecter l’organisation et les procédures de contrôle utilisées pour
gérer, suivre et réévaluer ces risques.
• Examiner les procédures de la société ainsi que les procès-verbaux des délibérations du Conseil
et du comité d’audit afin de déterminer les stratégies de l’organisation, son approche du mana-
gement des risques, son attirance pour le risque et son acceptation des risques.
• Examiner les rapports d’évaluation des risques précédemment établis par le management, les
auditeurs internes ou externes et, le cas échéant, par tout autre intervenant.
• Organiser des entretiens avec les responsables opérationnels et leurs managers afin de détermi-
ner les objectifs de chaque branche d’activité, les risques correspondants, et les mesures de suivi,
de contrôle et d’atténuation des risques prises par le management.
• Recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du processus de
suivi, de communication et d’atténuation des risques, et des activités de contrôle correspondantes.
• Déterminer si les informations ou rapports relatifs au suivi des risques sont adressés au niveau
hiérarchique approprié.
• Vérifier si les rapports concernant les résultats du management des risques sont diffusés selon
des modalités et dans des délais appropriés.
• S’assurer du caractère exhaustif de l’analyse des risques effectuée par le management et des
mesures prises pour résoudre les points soulevés dans le cadre du processus de management des
risques, et proposer des améliorations.
• Apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management, au
moyen d’observations et de tests sur les procédures de suivi et de contrôle testant l’exactitude
des informations utilisées dans le cadre des opérations de suivi, et par d’autres techniques
appropriées.
• Examiner les signes de faiblesse éventuels du dispositif de management des risques et, le cas
échéant, les analyser avec le management, le comité d’audit et le Conseil. S’il estime que le
management a accepté un niveau de risques non compatible avec la stratégie et les procédures
de l’entreprise en matière de management des risques, ou jugé inacceptable pour l’organisation,
l’auditeur doit se référer à la Norme 2600 relative à l’acceptation des risques par le manage-
ment, et à toute orientation complémentaire.
GUIDE D'AUDIT 21
3.2. En l’absence d’un PMR (5)
Les missions de l’audit interne peuvent être diverses :
• Faire prendre conscience des risques et de l’importance du contrôle interne
• Promouvoir la démarche du PMR
En l’absence d’un Processus de Management des Risques, l’analyse du risque de chaque

mission d’audit conduit à augmenter la sensibilisation aux risques de l’entreprise. Cela
permet de constituer petit à petit le matériau nécessaire à une première cartographie,
certes sommaire et quelque peu incomplète. L’audit interne la constitue avec l’expérience
acquise au fil des missions et est le garde-fou de la méthode.
L’audit interne doit convaincre la direction générale de constituer un véritable processus

de management des risques. Parfois, la direction générale demandera à l’audit interne
d’initier cette démarche et de l’aider à identifier et évaluer les risques. L’audit interne,
par la mise à jour de risques non formalisés par la direction générale par exemple, ne
pourra que plus facilement la convaincre de la nécessité de s’approprier cette démarche.
L’existence d’un PMR apporte une certaine assurance quant à la capacité de l’entreprise à
répondre rapidement et de manière appropriée aux risques émergents, plus particulière-
ment dans un environnement fluctuant et imprévisible.
La production ponctuelle d’une cartographie des risques ne permet pas d’assurer une
réactivité optimale face à de nouveaux risques. Il est donc nécessaire de prévoir des méca-
nismes permettant de l’adapter en permanence en fonction des évolutions de l’entreprise
et de l’environnement.
• Aider l’entreprise à identifier, évaluer les risques
Si un processus de management des risques n’existe pas dans l’entreprise, une des
premières contributions de l’audit interne à la création d’un tel processus peut être d’aider
cette dernière à identifier et évaluer ses risques.
L’audit interne peut organiser complètement cette identification et cette évaluation au

travers d’entretiens avec les principaux managers de l’entreprise, ces derniers étant les
plus à même de connaître les risques qui touchent leurs opérations et de les mesurer. Ces
managers seront choisis de telle sorte que tous les processus de l’entreprise soient cou-
verts : recherche et développement, industrialisation, vente, … et donc qu’aucun risque
majeur ne soit écarté.
Les entretiens seront menés par les auditeurs internes à l’aide de questionnaires adaptés
aux processus étudiés et en fonction de la connaissance des processus et des risques qu'ils
ont acquise au travers des missions d’audit interne. Il sera également demandé aux mana-
gers de donner une mesure du risque identifié en quantifiant :
– l’impact (6) du risque (ou matérialité),
– la probabilité d’occurrence,
– Niveau de maîtrise/de contrôle (6)
(5) Se reporter au Cahier de la Recherche « Management des risques », issu d’une prise de position de l’IIA UK –
cf. bibliographie en annexe 6.
(6) cf. glossaire (Annexe 5).
22 GUIDE D'AUDIT
Ainsi qu’il l’a été souligné précédemment, la probabilité d’occurrence peut ne pas être
un critère de mesure pertinent dans les cas de risques majeurs (tels que l’explosion d’une
usine, un accident grave de personne,…). On ne peut établir de statistiques de survenance
pour ces risques qui, heureusement, restent excessivement rares. On ne peut alors retenir
pour mesurer le risque que les critères d’impact et de niveau de maîtrise/de contrôle.
La multiplication des critères donne le caractère critique du risque et tous les risques iden-
tifiés pourront alors être classés par degré d’importance pour une mise en évidence des
risques majeurs.
Les risques ainsi identifiés, classés et mesurés sont alors communiqués dans l’entreprise
aux niveaux appropriés à même de mettre en place les mesures pour les couvrir. En aucun
cas, l’audit interne ne doit s’impliquer dans cette gestion des risques : ce n’est pas à
l’audit interne de décider du mode de traitement du risque. Il doit cependant tenir compte
de la cartographie des risques ainsi constituée pour bâtir son plan d’audit.
• Gérer et coordonner le processus afin de le faire évoluer et vivre
L’audit interne peut se voir confier la responsabilité de gérer le processus global et de coor-
donner les actions des divers acteurs du processus. À ce titre, il peut être appelé à partici-
per aux comités des risques, aux activités de suivi, etc. Il n’en devient pas pour autant le
propriétaire du processus.
Cette situation, bien que prévue dans les Normes, ne saurait être que provisoire. On per-
çoit bien, pour un audit interne qui remplit ces rôles, les dangers d’altération de son indé-
pendance. Les Normes Professionnelles de l’Audit Interne apportent un garde-fou en pré-
cisant que :
– Ce rôle, qui dépasse sa mission traditionnelle d’assurance (évaluation du processus et

propositions de recommandations), doit être clairement inscrit dans la charte d’audit inter-
ne et expressément confié par la direction générale et/ou le comité d’audit.
– Ce rôle ne rend pas pour autant l’audit interne responsable du Management des Risques.
Cette responsabilité demeure assumée par le management. « Pour éviter de se voir attri-
buer la responsabilité des risques, les auditeurs internes doivent obtenir du management
la confirmation que ce dernier veille à l’identification, à l’atténuation et au suivi des
risques et qu’il en assume la responsabilité » (Extrait de la Modalité Pratique
d’Application 2100-4 des Normes Professionnelles de l’Audit Interne).
GUIDE D'AUDIT 23
4. LA CARTOGRAPHIE DES RISQUES, ÉLÉMENT CLÉ DU PMR
La cartographie des risques est un outil clé du PMR qui permet de répondre aux trois
premières phases du PMR (cf partie 1.2.), à savoir :
– identifier et évaluer les risques ;
– traiter les risques ;
– suivre leur évolution.
Après avoir proposé une définition de la cartographie des risques, de ses principaux objec-
tifs et une liste indicative de risques majeurs en milieu industriel et commercial, cette par-
tie est consacrée à deux approches différentes d’élaboration d’une cartographie : une
approche bottom-up et une approche top-down par partie prenante. Ces deux approches ne
prétendent pas offrir une méthode d’identification des risques exhaustive et infaillible
mais un certain nombre de pistes pour construire sa propre cartographie.
Il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs car-
tographies des risques, indépendantes les unes des autres et qui, de ce fait, ne sont pas
obligatoirement consolidables. Un groupe qui a des activités ou des implantations géo-
graphiques très différentes n’établira pas une cartographie mais plusieurs. En revanche,
dans le cas où les activités et entités opérationnelles sont proches ou semblables, il est cer-
tain que des risques de même nature seront identifiés et alors agrégés au niveau de la
direction générale, avec l’enrichissement apporté par la vision plus large de celle-ci.
La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d’établir la cartographie des risques majeurs
en se basant, certes sur les informations qui lui remontent des opérationnels, via les repor-
ting traditionnels, mais également sur des informations en provenance de l’environne-
ment extérieur. Bien entendu, il est essentiel que ces risques majeurs soient ensuite décli-
nés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils donnent lieu à des
reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk manager ou de
l’auditeur interne, doit s’assurer de la cohérence de ces cartographies. Ceci est une condi-
tion préalable à une bonne cohérence entre la stratégie, les objectifs et les plans d’actions
dans l’entreprise.
4.1. Définition et objectifs d’une cartographie
• Définition d’une cartographie des risques : Positionnement des risques majeurs selon
différents axes, tels que l’impact potentiel, la probabilité de survenance ou le niveau actuel
de maîtrise des risques.
• Objectifs d’une cartographie des risques :
L’établissement d’une cartographie des risques peut être motivé par deux natures de fac-
teurs :
– des facteurs internes :
• mettre en place un contrôle interne ou un processus de maîtrise des risques adéquat ;
24 GUIDE D'AUDIT
• aider le management dans l’élaboration de son plan stratégique et sa prise de décisions ;

il s’agit alors d’un outil de pilotage interne ;
• apporter les informations sur la maîtrise des risques au comité d’audit ; l’examen des
risques significatifs et de leur couverture par le comité d’audit est en effet l’une des
recommandations du Rapport Bouton ;
• orienter le plan d’audit interne en mettant en lumière les processus/activités où se
concentrent les risques majeurs ;
• ajuster les programmes d’assurances fondés sur les risques majeurs identifiés dans la
cartographie des risques (risk management) ;
• améliorer ou développer une culture de management des risques dans une entreprise
grâce à l’établissement, notamment, d’outils d’auto-évaluation ;
• prévenir la destruction de valeur ou accroître la valeur en utilisant le couple
risques/opportunités.
– des facteurs externes :
• respecter les lois ou les bonnes pratiques en matière de gouvernement d’entreprise

(Sarbanes-Oxley Act, Combined Code anglais et Rapport Bouton par exemple) ;
• répondre à l’attente des marchés et fournir des informations aux actionnaires (dans le
rapport annuel, document de référence en France) ;
• s’adapter à un environnement de plus en plus concurrentiel, nécessitant une bonne
maîtrise de ses risques/opportunités. Cet objectif relève plus généralement du proces-
sus de management des risques, la cartographie des risques étant un des moyens de
l’atteindre ;
• veiller à la bonne image de l’entreprise.
4.2. Exemples de risques majeurs en environnement industriel et commercial
Ces quelques exemples n’incluent pas, volontairement, les risques financiers pour lesquels
une documentation importante existe déjà. Il ne s’agit pas, bien entendu, d’une liste
exhaustive.
✔ Le risque de perte d'image

• Défaut de conception d’un produit menant au décès d’un utilisateur ou à un acci-
dent ;
• Empoisonnement par la vente de produits alimentaires contaminés ou impropres
à la consommation ;
• Mauvaise gestion des rappels de produits et de la communication l’entourant ;
• Atteinte à l’environnement.
✔ Le risque de rupture des approvisionnements

• Dysfonctionnement de la chaîne d’approvisionnement entraînant un arrêt de pro-
duction, des retards de livraisons et ruptures en rayon ;
GUIDE D'AUDIT 25
• Liquidation ou difficultés d’un fournisseur qui est la seule source d’approvision-

nement d’une matière première ou de prestation de services pour l’entreprise
dans un marché très concentré.
✔ Les risques liés au Système d'information

• Dysfonctionnement majeur du système d'information (panne…) ;
• Perte de fiabilité du système d'information (non d'exhaustivité, perte d'intégrité
des données…) ;
• Inexistence ou défaillance de plans de reprise d’activité pour les applications
informatiques majeures (gestion des commandes provenant des clients, factura-
tion…) ;
• Mauvaise protection des informations.
✔ Le risque de positionnement
• Usure sur le long terme liée à un positionnement (offre produit, politique de
prix…) incohérent ou peu lisible par le client ;
• Portefeuille de produits qui ne répond pas à la demande des clients (par exemple,
du fait d’une mauvaise évaluation des besoins des clients, d’une mise sur le mar-
ché du produit trop prolongée, d’efforts de recherche insuffisants, …) ;
• Monoproduit.
✔ Le risque d'expansion
• Ouverture de surfaces de ventes dans des zones à potentiel insuffisant ou dans des
pays à risques.
✔ Le risque légal
• Risque fiscal et interventions de la DGCCRF (Direction Générale de la
Concurrence, de la Consommation et de la Répression des Fraudes) ;
• Évolution de la législation concernant la distribution.
✔ Le risque social
• Perte de la culture d'entreprise et/ou de l'expérience en raison d'un taux de turn-
over élevé ;
• Conflits sociaux entraînant des perturbations durables de l'activité (fermeture des
surfaces de vente…) ;
• Personnel insuffisamment formé ;
• Difficultés de recrutement.
✔ Le risque sécuritaire
• Accident grave (incendie, destruction du site…) sur la surface de vente lors de la
présence de clients ;
• Manque de protection de la santé ou de la sécurité des employés et des riverains
(utilisation de produits chimiques dangereux pour la santé ou hautement explo-
sifs…).
✔ Le risque concurrentiel
• Politique commerciale agressive de la concurrence ;
26 GUIDE D'AUDIT
• Perte d’informations confidentielles (notamment tout ce qui touche au secret

industriel).
✔ Risque d’arrêt de la production

• Destruction totale ou partielle d’une usine (explosion, incendie…) conduisant à un
arrêt de production (risque aggravé si la production est mono-source).
✔ Risque organisationnel
• Echec de projets importants pour l’entreprise (par exemple, réorganisation des
systèmes d’information, croissance externe) ;
• Mauvaise gestion des compétences du personnel conduisant à une perte d’exper-
tise dans un domaine clé pour l’entreprise.
✔ Risque de fraude
• Organisation par certains employés de systèmes de « pots de vin », corruption,
ententes, vols de produits.
4.3. Exemple : Approche bottom-up

Comment identifier des risques majeurs ? ou comment passer des « risques opération-
nels identifiés » (inhérents aux modèles) aux « risques majeurs ». Ce travail doit être fait
régulièrement afin d’assurer une actualisation de la cartographie et la prise en compte des
nouveaux risques.
Cette approche se décline en sept étapes :

• Modélisation des processus de l’entreprise ;
• Identification des risques inhérents ;
• (Auto-) évaluation des risques résiduels et identification des risques majeurs ;
• Identification des risques liés à la stratégie ;
• Mixage des risques majeurs / risques stratégiques ;
• Gestion du portefeuille des risques et opportunités ;
• Pilotage et communication.
GUIDE D'AUDIT 27
Étape Acteurs Moyens/Outils Description et objectifs

1re : Modélisation BRM (7) Interviews En annexes 2.1 et 2.2 figurent
des processus RAI (8) Missions d’audit un exemple de Business
de l’entreprise Process Model et de
(business process questionnaire de description
model) d’un processus pouvant
servir à l’élaborer.
2e : Identification BRM Interviews Identifier les risques par
des risques RAI Missions d’audit processus, notamment les :
inhérents Opérationnels – risques liés aux actifs
(corporels ou incorporels),
– risques « environnementaux »
(liés aux contraintes externes),
– risques de non-conformité
des opérations
aux référentiels internes
de l’entreprise.
3e : (Auto-) BRM et RAI Ateliers de – Dresser une 1re carte des
évaluation (rôle de 7 à 10 personnes risques résiduels (risques
des risques coordonnateur) qui réunissent restant après l’évaluation
résiduels Managers les opérationnels de l’efficacité des contrôles
et identification financiers (Recherche internes sur les risques
des risques et opérationnels et Développement, inhérents). En évaluer
majeurs Supply Chain, l’impact probable sur les
Industriels, activités de l’entreprise et
Commerciaux, sur ses états financiers ;
Contrôle Qualité, – Analyser/apprécier/
Marketing,…), les assembler ces risques
fonctions support résiduels (corrélation,
(Finance, RH,…), analyses causes/effets,
la fonction « analyses multi-factorielles,
Systèmes simulation de scenarii
d'Information » « catastrophes » …) ;
lorsque des
– Sélectionner les 10 à 20
activités/
risques résiduels majeurs
processus sont
(ceci implique d'avoir fait
fortement
valider par la direction
impactées par
générale de l'entreprise
la technologie
la définition et la
informatique.
qualification d'un risque
majeur : la probabilité
d'occurrence (lorsqu’elle
(7) BRM : Business Risk Manager.

(8) RAI : Responsable de l’audit interne.
28 GUIDE D'AUDIT

3e : (Auto-) peut être définie), le niveau
évaluation de maîtrise, l’impact
des risques qualitatif (éthique, image) /
résiduels quantitatif / économique.
et identification Cette étape d’identification
des risques des « risques majeurs » doit
majeurs toujours être faite en tenant
(suite) compte systématiquement :
– du business model de
l'entreprise,
– des contraintes de
performances internes et
externes de l'Entreprise,
– des référentiels standards
connus sur les grands risques
du secteur d’activité concerné.
Le résultat de cette
cartographie sera présenté à la
direction générale, pour vali-
dation, sous forme d'un porte-
feuille des risques majeurs
encourus par l'entreprise.
– Dresser une 2e carte de

4e : Identification BRM
risques : les risques
des risques Direction de la stratégiques, en fonction
liés à la stratégie stratégie et du des business plans à
développement moyen et long terme ;
Directeurs – Documenter ces risques
Opérationnels liés à l'exercice du
processus stratégique de
l'entreprise et les actions
d’atténuation qui
s’ensuivent : élaboration,
développement, mise en
œuvre, réajustement des
options stratégiques...
– Lister également les
opportunités liées à
l'exercice du processus
stratégique.
– Faire valider cette carte par
le responsable « Stratégie
et Développement » de
l'entreprise et par le
responsable de la Division
opérationnelle concernée.
GUIDE D'AUDIT 29

5e : Mixage BRM Petits groupes de L'assemblage et le croisement
risques majeurs / RAI travail coordonnés des deux cartes (risques
risques Direction par le BRM majeurs et risques
stratégiques générale stratégiques) doit conduire à :
Direction – une cartographie unique
de la stratégie de risques et opportunités
et du majeurs de l'entreprise,
développement hiérarchisés (en fonction de
Managers leur impact sur l’activité,
des fonctions les états financiers et la
supports réalisation de la stratégie
(Finance, RH, de l’entreprise) ;
Systèmes
d’Information, – une hiérarchisation des
Juridique) processus cruciaux.
Cette cartographie peut être
présentée sous diverses
formes (graphiques, matrices,
par business, par processus,
par région...).
6e : Gestion BRM Cette gestion se fait en

du portefeuille Managers fonction d’une politique et
des risques opérationnels de stratégies de traitement
et opportunités des risques et opportunités
pré-définies. Les actions
possibles à l’égard des
risques sont :
– accepter : l’accepter en
fonction des seuils de
tolérance fixés, prendre
des mesures de back-up,…
– traiter : le réduire par des
mesures de prévention ou
de protection, la prévention
pouvant passer par la
formation des acteurs
concernés dans l’entreprise
et la définition de leurs
responsabilités, et la
protection par la mise en
place de contrôles internes
adaptés,
30 GUIDE D'AUDIT

6e : Gestion – transférer : par des
du portefeuille couvertures financières ou
des risques d’assurance, ou par le
et opportunités transfert à un sous-traitant
(suite) externe par exemple,
– Supprimer : en arrêtant
l’activité, en changeant
les objectifs.
Les actions possibles à
l’égard des opportunités sont :
– développer,
– saisir,
– adapter la stratégie.
7e : Pilotage BRM Il s’agit de contrôler

et communication Direction et de mesurer l’efficacité
générale des actions de traitement
Ressources et de maîtrise des risques :
Humaines – préparer un premier
tableau de bord de suivi de
gestion en lien avec le
tableau de bord de pilotage
de l'entreprise. Ce tableau
de bord permettra de suivre
l’apparition des risques ou
le non accomplissement des
opportunités identifiées ;
– actionner les plans de
gestion de crise si le risque
se concrétise ;
– mémoriser et capitaliser
sur l’expérience vécue.
L’approche culturelle et
l’apprentissage des hommes
et de l’entreprise sont des
facteurs clés de réussite.
GUIDE D'AUDIT 31
4.4. Exemple : Approche top-down

Cette approche se décline également en sept étapes :
1re étape : Déterminer les risques majeurs par partie prenante

Chaque entreprise doit répondre aux attentes de ses parties prenantes, internes ou
externes. Il s’agit d’une personne ou d’un groupe de personnes ayant un intérêt dans le
fonctionnement, la continuité ou le succès de l’entreprise. Sont identifiées dans l’exemple
ci-après 6 parties prenantes : les actionnaires, les fournisseurs, les salariés, les clients, les
partenaires industriels et la société civile. Il s’agit maintenant d’identifier par partie
prenante les risques les plus importants.
Partie prenante Risques majeurs
Pour l’actionnaire Retour sur investissement insatisfaisant

Protection du patrimoine
Mauvaise réputation de l’entreprise
Pertes durables
Pour le fournisseur Entreprise insolvable, paiements tardifs

et/ou irréguliers
Interfaces difficiles, lourdes
Relations commerciales de courte durée et à perte
Pour les employés Entreprise non rentable

Manque de croissance
Mauvaise réputation
Emploi incertain
Accidents du travail, incidents, grèves
Perte de savoir-faire
Absence de développement personnel
Pour les clients Interruption des livraisons

Litiges
Relations commerciales non-profitables
Produits et services non-innovants
Mauvaise qualité des produits et des services
Pour les partenaires (joint-ventures) Interruption des activités

Mauvaise réputation de l’entreprise
Pertes durables
Pour la société civile Pollution, litiges, non respect de la

réglementation et de la loi
Manque de croissance
Perte de l’emploi
32 GUIDE D'AUDIT
2e étape : Pondérer les risques majeurs pour ne conserver que les plus importants
Par exemple :
• Mauvaise image ;
• Non respect des lois et réglementations ;
• Investissements non rentables ;
• Perte de compétitivité ;
• Non fiabilité des livraisons.
Les risques doivent être pondérés par rapport aux objectifs de l’entreprise : par exemple
l’impact sur le profit, l’impact sur les hommes, le cours de l’action en bourse, la réputation
de l’entreprise, et d’autres critères qui sont jugés pertinents pour l’entreprise.
3e étape : Rattachement des processus clés de l’entreprise aux risques opérationnels et aux
risques majeurs
Par exemple :
Processus Risque opérationnel Risque majeur

Production Pollution Mauvaise réputation
Retard de maintenance Non-fiabilité des livraisons
Coûts de production trop élevés Perte de compétitivité
Production non-flexible Perte de compétitivité
Planning trop réactif Perte de compétitivité
Sous-utilisation des machines Investissements non rentables
Les buts de cette approche sont de :

• Fournir un cadre de réflexion pour les dirigeants et les auditeurs internes. C’est un
moyen de communication avec les dirigeants. Ce cadre est relativement de haut niveau
donc stable dans le temps ;
• Garantir une vision des risques qui est en ligne avec la perception du top management
et du comité d’audit ;
• Assurer l’exhaustivité des risques pertinents pour l’entreprise (il peut arriver qu’il y ait
des risques opérationnels pertinents mais qu’il n’existe pas de risques majeurs associés.
Dans ce cas, il faut réfléchir sur l’exhaustivité des risques majeurs).
4e étape : Hiérarchiser les risques

Il s’agit de déterminer la probabilité d’occurrence et l’impact des risques sur le profit, la
réputation, les hommes, le cours de l’action, la possibilité de croissance pour
l’entreprise, … Ceci est fait au travers de l’établissement d’une cartographie des risques.
5e étape : Établir une cartographie des risques

L’établissement d’une cartographie n’est pas une science exacte : impressions, expériences,
faits, évènements récents, « le goût du jour », analyse et chiffrage, tout ceci a un impact sur
l’établissement de la cartographie d’une entreprise. Le directeur d’audit est bien placé
pour prendre l’initiative et, en dialoguant avec les dirigeants, les auditeurs internes, les
GUIDE D'AUDIT 33
risk managers, les contrôleurs de gestion, les auditeurs externes, il devra arriver à classi-
fier les risques majeurs en fonction de leur impact, de leur probabilité d’occurrence si elle
est pertinente ou de leur niveau de maîtrise.
Ce qui augmente la crédibilité de cette cartographie, c’est un chiffrage et une quantifica-
tion des risques. Pour cela, une étude plus poussée est nécessaire, mais cette étude sera un
bon investissement car un reporting sur la qualité du management des risques peut être
basé sur cette quantification. Par exemple, il est possible de mesurer combien l’entreprise
a perdu en raison de livraisons tardives et incomplètes. Le renforcement des dispositifs de
contrôle interne permettra une maîtrise de ces pertes.
• Exemple : utilisation préalable d’un outil de qualification des risques : la matrice

d’évaluation des risques
Cet outil peut être utilisé pour caractériser ou identifier les risques, notamment émergents,
lors des interviews avec les propriétaires des risques. La matrice a pour but de
« formaliser » et de tenter de quantifier la perception des risques par l’interviewé, et
d’alimenter dans un deuxième temps la cartographie des risques. Dans l’exemple donné
ci-dessous ont été retenus pour critères de mesure l’impact et la probabilité d’occurrence.
Matrice d’évaluation des risques

Intervieweur :
PROCESSUS : Gestion de crise (exemple) Interviewé :
N° RISQUES MAJEURS COMMENTAIRES Impact Probabilité RISQUE INHÉRENT CONTRÔLE RISQUE RÉSIDUEL
Faible Modéré Élevé Faible Modéré Élevé Faible Modéré Élevé Non Efficace Efficace Faible Modéré Élevé
1 Mauvaise gestion Cellule de crise
d’une crise ✗ ✗ ✗ ✗ ✗
2 Mauvais fonctionne- Exercices de crise
ment et disponiblilité ✗ ✗ ✗ ✗ ✗
de la cellule de crise
3 Délais de réaction ✗ ✗ ✗ ✗ ✗
4 Anticipation des crises ✗ ✗ ✗ ✗ ✗
5 Mauvaise commu- Plan de
nication de crise communication ✗ ✗ ✗ ✗ ✗
7 Incidence interne Absence de plan de
(SI) continuité informatique ✗ ✗ ✗ ✗ ✗
8
9
10
11 Couleur finale
du processus
Comment utiliser cette matrice ?

✔ L’intervieweur (il peut s’agir du risk manager ou l’auditeur interne) doit préparer
cette matrice en essayant d’identifier quelques risques (les majeurs si possible) qui
concernent l’interviewé. Les risques sont identifiés par processus, il y aura donc
autant de matrices que de processus. Même si la colonne des « risques majeurs » est
incomplète ou imparfaite, elle a pour but de lancer la discussion.
✔ Évaluation de l’impact et de la probabilité d’occurrence du risque : le propriétaire
du risque estime le niveau d’impact et de probabilité sur l’un des trois niveaux (fai-
ble, modéré, élevé). Les niveaux peuvent être quantifiés avec des données chiffrées
(impact sur le chiffre d’affaires, perte des actifs, baisse du cours de l’action, baisse de
la réputation, incidence humaine, etc).
34 GUIDE D'AUDIT
✔ Détermination du risque inhérent (9). Par convention, c'est systématiquement le

plus mauvais des résultats qui est retenu : si l’impact est jugé élevé alors que la
probabilité est faible, le risque inhérent sera considéré comme élevé.
✔ Efficacité du contrôle interne : le propriétaire estime l’efficacité (ou non) des
contrôles internes existants (s’il y a lieu) pour chacun des risques identifiés.
✔ Le risque résiduel est le risque inhérent atténué éventuellement par le contrôle
interne si celui-ci est efficace. Par convention, le risque inhérent sera réduit d'un ou
plusieurs niveaux (chaque niveau étant matérialisé par une couleur) si le contrôle
interne a été jugé efficace.
✔ Finalement, la somme des évaluations pour chaque ligne détermine la couleur, c’est-
à-dire le niveau du risque global pour le processus analysé. Cette fois-ci, l’inter-
vieweur et le propriétaire du risque doivent évaluer ensemble la couleur finale au
regard de tous les risques précédemment étudiés.
Remarques :
✔ Cet outil n’est pas scientifique et fait largement appel au jugement et à la perception
du risque par le propriétaire. Il s’agit d’éléments « déclaratifs » : même si une tenta-
tive de quantification est réalisée, il n’y a pas nécessairement de fondements objec-
tifs à ces estimations. Toutes ces estimations doivent être ensuite reprises pour
confirmer ou non les niveaux annoncés. Un travail important reste donc à faire, celui
de la validation des risques.
✔ Le risk manager, l’auditeur interne ou la personne qui consolidera au final toutes les
évaluations doit impérativement prendre du recul pour hiérarchiser tous les risques
au regard des objectifs de l’entreprise. Il doit mettre en présence les différents
acteurs opérationnels afin de confronter leur point de vue et parvenir à un consen-
sus. En effet, le niveau de contrôle, pour un même risque, ne sera pas nécessairement
apprécié de la même manière par deux acteurs concernés par ce risque et interrogés.
✔ Par expérience, ce travail est bien perçu par les propriétaires des risques, à condition
de communiquer régulièrement l’avancement des travaux, y compris lorsque leurs
entretiens sont terminés. La communication régulière et pertinente est un facteur
clef de succès dans la construction d’une cartographie des risques dans une appro-
che « participative ».
• Construction de la cartographie
La cartographie ci-après est un exemple ; d’autres critères de mesure et d’autres échelles
peuvent être utilisés.
(9) cf glossaire (Annexe 5).
GUIDE D'AUDIT 35
Fréquence
Se produit
Perte
plusieurs de Mauvaise
fois par Élevée compétitivité réputation
an par
pays/zone
S’est produit
Mauvaise Informations
plusieurs qualité des
fois par an Moyenne produits
– non fiables
dans
l’entreprise Non
fiabilité des
livraisons
S’est produit
dans Parfois
l’entreprise
Litiges
S’est produit
dans Faible
l’industrie
Impact
Très faible Faible Moyen Elevé
Hommes Dommage Dommage Dommage Fatalité
minime mineur majeur
Résultat net < EUR 500 000 < EUR 1 M EUR 1 M< < 5 M > EUR 5 M
Actifs < EUR 1 M < EUR 10 M EUR 10 M< < 20 M > EUR 20 M
Cours d’action 1-3 % < 10 % 10 % > 10 %
Réputation Site Locale/ Nationale Internationale
Régionale
6e étape : Valider les risques

Pour garantir la pertinence de cette cartographie, une validation par les dirigeants est
nécessaire. Pour cela, il y a plusieurs méthodes à utiliser. Les deux méthodes les plus
courantes étant :
• Une validation pendant les entretiens avec les dirigeants ;
• Une auto-évaluation par les dirigeants.
La première approche aboutira à un approfondissement des risques déjà identifiés (quan-
tification de l’impact et probabilités d’occurrence plus fiables, moins subjectifs). Les
entretiens permettent ainsi de dialoguer sur les risques, la qualité des contrôles internes,
les conséquences probables etc., tout cela pour renforcer la prise de conscience des risques
et contrôles internes. La deuxième approche permet le plus souvent de détecter des risques
supplémentaires. Le but principal est de présenter la cartographie à la direction générale
et au comité d’audit pour validation.
Dans le cas où plusieurs cartographies des risques sont établies à différents niveaux
opérationnels, chaque cartographie est reportée au niveau hiérarchique ou fonctionnel
36 GUIDE D'AUDIT
immédiatement supérieur pour validation et intégration de certains éléments dans la

cartographie élaborée au niveau qui valide. Cette démarche de validation par paliers se
termine au niveau de la direction générale.
Une mise à jour devra être présentée autant de fois que nécessaire, par exemple tous les
6 ou 12 mois. Ce rythme est plus élevé dans une entreprise opérant dans un environne-
ment dynamique et changeant.
7e étape : Alimenter le plan d’audit

Le plan d’audit doit être établi en prenant comme base la cartographie des risques.
L’objectif est de déterminer la fréquence des audits. On part du principe que chaque
activité (ou filiale) de l’entreprise doit être auditée par exemple au minimum tous les cinq
ans (cette fréquence est déterminée par la direction générale ou le comite d’audit). Ensuite,
le schéma suivant peut être établi :
Exposition Impact Qualité

Processus Impact
aux risques sur autres du contrôle Total
(ou filiales) sur le profit
majeurs critères… interne
Haute = 3 Haute = 3 Haute = 3 Haute = 1 Produit

Moyenne = 2 Moyenne = 2 Moyenne = 2 Moyenne = 2 des 4
Basse = 1 Basse = 1 Basse = 1 Basse = 3 notes
Achat 2 3 2 2 24
Vente 3 3 3 3 81
Production 2 1 2 1 4
RH 2 1 2 3 12
Finance 3 2 3 1 18
Informatique 3 1 2 1 6
Etc.
Ce schéma permet de déterminer la fréquence des audits sur les processus (ou les filiales) :
un score de 24 et plus : chaque année, entre 12 et 24 : tous les deux ans, entre 8 et 12 : tous
les trois ans, un score de 4 ou 6 : tous les 4 ans et les scores plus bas : tous les 5 ans. Un
plan d’audit sur 5 ans peut être établi avec les résultats de cette analyse. La fréquence des
audits est aussi déterminante pour la taille de l’équipe d’audit interne.
4.5. Une démarche d’auto-évaluation (10)

Cette partie n’a pas pour mission de décrire la méthodologie d’une approche d’auto-
évaluation mais de considérer dans quelle mesure une telle démarche fait partie d’un
processus de management des risques, parce qu’elle permet, notamment, d’identifier et
d’évaluer les risques. Pour une méthode complète d’auto-évaluation des contrôles, nous
renvoyons à l’ouvrage « Guide de self-audit ». (11)
(10) cf. glossaire (Annexe 5).

(11) Ecrit par Olivier Lemant et Pierre Schick aux Editions Organisation.
GUIDE D'AUDIT 37
• La finalité et l’intérêt de cette démarche
L’auto-évaluation a pour finalité l’appropriation des meilleures pratiques de maîtrise

des risques par l’ensemble des acteurs de l’entreprise. Elle constitue également une étape
importante vers une gouvernance efficace de l’entreprise.
L’auto-évaluation présente des intérêts divers selon les acteurs de l’entreprise :
– pour la direction générale / le management : contribuer à donner une assurance sur

l’efficacité et le caractère adéquat des processus de management des risques et de
contrôle ;
– pour les opérationnels : mieux identifier les risques liés à l’atteinte de leurs objectifs et
mieux piloter leur activité ;
– pour les auditeurs internes : alléger ou orienter le plan d’audit en s’appuyant sur les
résultats de l’auto-évaluation (après avoir évalué la qualité de la démarche d’auto-
évaluation) et identifier des risques et éléments exceptionnels mis en évidence par celle-
ci ; améliorer leur connaissance des processus de l’entreprise ;
– pour l’entreprise dans son ensemble : instaurer un environnement de contrôle et une

culture des risques ; apporter une assurance que les risques liés à la réalisation des objec-
tifs et les contrôles associés font l’objet d’un suivi et d’une amélioration continue.
• Les facteurs clés de succès
Les facteurs clés de succès sont les suivants :
– la culture des risques et du contrôle interne doit exister dans l’entreprise ;
– les opérationnels/utilisateurs adhèrent à la démarche et se l’approprient, ce qui

implique de prendre en compte leurs attentes au moment de la conception de la démarche
et de faire des efforts d’information et de communication particuliers ; les ateliers sont
conduits par un animateur compétent ;
– le nombre de questions figurant dans les questionnaires d’auto-évaluation est limité

aux risques et points de contrôle essentiels ;
– le répondant au questionnaire est l’opérationnel lui-même (et non sa hiérarchie) car

c’est la personne la mieux placée pour identifier et suivre le niveau de contrôle de ses
risques.
Toutefois, avant de se lancer dans une démarche aussi ambitieuse qui nécessite un
véritable changement des mentalités concernant l’approche même de l’activité de contrôle,
il est important de respecter un certain nombre d’étapes.
• La méthode et les outils
✔ Définition d’un modèle de risques
– S’appuyer sur la cartographie des risques (ou le modèle de risques ou encore le référen-
tiel de contrôle interne) si elle existe ;
38 GUIDE D'AUDIT
– Sinon, procéder à une définition des processus clés, puis des risques susceptibles
d’affecter l’activité et identifier les points de contrôle les plus importants.
La démarche est entièrement centrée sur l’évaluation des risques, l’analyse de leur
maîtrise, et sur la recherche d’actions correctrices, l’objectif étant de jouer un rôle décisif,
préventif de la « destruction de valeur ».
✔ Organisation d’ateliers
Des « ateliers » organisés regroupent des experts métier de chaque activité concernée et
différents niveaux hiérarchiques au sein des activités afin d’entamer des réflexions concer-
nant les points de contrôle clefs à respecter si l’on veut conserver une maîtrise raisonnable
des activités. Les dispositifs de contrôle interne seront sélectionnés en fonction d’un
certain nombre de critères tels que : le coût, le temps nécessaire afin d’effectuer le contrôle,
sa complexité, la fréquence de vérification souhaitable. Ces travaux en ateliers peuvent
même aller jusqu’à la formulation des questions.
La finalité sera de dégager pour l’ensemble des activités un « cœur de contrôles »,

soigneusement défini.
✔ Établissement de questionnaires d’auto-évaluation
Les questionnaires doivent aborder les risques et points de contrôle essentiels et il est
important de ne conserver qu’un nombre raisonnable de questions.
Pour faciliter l'exploitation des questionnaires et la consolidation des risques, il est recom-
mandé de retenir une démarche commune dans leur élaboration quel que soit le proces-
sus. Il est par exemple possible d'organiser chaque questionnaire en 5 chapitres à partir de
la classification retenue par la COSO : l'environnement de contrôle, l'identification et
l’évaluation des risques, les dispositifs de contrôle interne, l'information et la communica-
tion et, enfin, le pilotage du contrôle interne.
Les questions doivent être rédigées de telle sorte qu'une réponse négative soit la traduc-
tion d'une faiblesse.
✔ Développement d’un outil support
Un tel système ne peut fonctionner à grande échelle que s’il existe un outil informatique
en mesure d’agréger les informations au niveau central, d’en effectuer le traitement ainsi
que de proposer des améliorations concernant les dysfonctionnements constatés. Le
support utilisé peut être l’intranet de l’entreprise. Il offre le maximum de convivialité et
permet de garantir le maximum d’efficacité dans le système de reporting.
✔ Communiquer et former les utilisateurs
En parallèle, un travail de communication important sur le projet devra être réalisé,

chaque acteur devant comprendre l’importance de ses vérifications dans la chaîne de
maîtrise des activités. Le portage stratégique doit être effectué au plus haut niveau de la
hiérarchie, idéalement par la direction générale. La communication devra mettre l’accent
sur l’aspect « gagnant/ gagnant » du système, la remontée d’information permettant le
pilotage des activités au plus haut niveau et donnant – après traitement – des indicateurs
de résultat.
GUIDE D'AUDIT 39
• Impact sur l’approche d’audit

Une fois testée la qualité des informations entrées dans le système d’auto-évaluation,
l’audit interne peut s’appuyer sur ses résultats. Ceux-ci auront nécessairement un impact
sur le choix de ses missions et sur ses propres conclusions.
En outre, la mise en place d’une démarche d’auto-évaluation amène l’audit interne à des
activités de formation, de facilitation et d’animation ce qui lui procure un regain de
visibilité auprès des opérationnels.
4.6. La communication de la cartographie des risques
Chaque niveau dans l’entreprise a besoin d’une information adaptée à ses responsabilités
en matière de processus de management des risques (cf Partie II). Dans tous les cas, la
communication des résultats de la cartographie des risques doit être exacte, objective,
claire, concise, constructive, complète et émise en temps utile.
Cette communication peut provenir de l’audit interne qui restitue le résultat de ses
évaluations et également des directions opérationnelles, qui rendent compte de la bonne
mise en œuvre (ou non) des contrôles internes permettant de sécuriser les opérations et
qui, éventuellement, font remonter les nouveaux risques susceptibles d’apparaître. Un
tableau de bord comportant les indicateurs pertinents, sélectionnés par les directeurs
opérationnels et répondant aux attentes de la direction générale, est l’outil le plus efficace.
Des informations et réactions sur des risques existants ou potentiels peuvent également
émaner de partenaires externes (fournisseurs, clients, actionnaires, partenaires,
législateur,…). Ces informations peuvent être précieuses et révélatrices de déficiences de
l’entreprise dans la maîtrise de ses activités.
Vers l’extérieur et en vue d’une plus grande transparence, l’entreprise peut reporter
régulièrement vers les parties prenantes ses politiques de management de risques et les
résultats atteints. De plus en plus, les parties prenantes cherchent à connaître la perfor-
mance de l’entreprise dans des domaines autres que financiers, tels que l’environnement,
la sécurité, les ressources humaines,… etc.
Le reporting vers l’extérieur peut préciser :
• le processus utilisé pour identifier les risques ;
• la manière dont ces risques sont traités ;
• les responsabilités du management en matière de gestion de risques ;
• le système de pilotage et de revue de ces risques.
40 GUIDE D'AUDIT
CONCLUSION
Gérer les risques liés à la mise en place d’un PMR

L’élaboration et la mise en place d’une cartographie des risques ne sont pas des missions
aisées. Nous avons insisté sur l’importance d’un environnement de contrôle et de maîtrise
des risques fort pour favoriser le succès de la démarche. Voici quelques risques inhérents
à cette démarche qu’il convient, bien évidemment, de connaître, d’évaluer et de gérer !
• Absence de soutien de la direction générale ;
• Non visibilité de la valeur ajoutée apportée par la cartographie à l’échelle de l’en-

treprise ;
• Manque de coopération des managers fonctionnels (y compris des domaines finan-

cier et contrôle de gestion) et opérationnels ;
• Manque d’information ou fausse information ;
• Auto-censure par crainte de « représailles » ;
• Expérience insuffisante des acteurs en charge de la démarche ;
• Absence de méthode efficace ;
• Cartographie non exhaustive (oubli de risques majeurs, non actualisation de la car-

tographie,…) ;
• Sujets traités trop volumineux ou trop détaillés ;
• Alimentation du système par des personnes trop éloignées des opérations.
GUIDE D'AUDIT 41
ANNEXES
Annexe 1 : Exemples de processus de management des risques ............................................................... 44
• 1.1. Grand groupe multi-filiales et multi-établissements .................................................. 44
• 1.2. Groupe de presse de taille moyenne ............................................................................................ 45
Annexe 2 : Exemple de Business Process Models et de questionnaire de description

de processus ......................................................................................................................................................................... 49
• 2.1. Business Process Models ......................................................................................................................... 49
• 2.2. Questionnaire de description de processus ......................................................................... 50
Annexe 3 : Exemples de guide d’audit du processus achat ........................................................................... 53
• 3.1. En milieu industriel ..................................................................................................................................... 53
• 3.2. En milieu commercial ................................................................................................................................ 61
Annexe 4 : Risque industriel : la directive Seveso .................................................................................................... 83
Annexe 5 : Glossaire .................................................................................................................................................................................. 85
Annexe 6 : Bibliographie ...................................................................................................................................................................... 86
GUIDE D'AUDIT 43
ANNEXE 1
EXEMPLES DE PROCESSUS DE MANAGEMENT DES RISQUES
1.1. Grand groupe multi-filiales et multi-établissements
À la fin de l’année 2002, le processus de management des risques est en émergence dans
le Groupe avec des situations contrastées selon les domaines d’activité ou les filiales :
• Le déploiement d’un processus complet est acté et lancé dans deux filiales avec un comité
des risques institué pour piloter le processus et notamment le traitement des risques.
• Des pratiques locales de traitement du risque existent dans certains secteurs du Groupe,
fondées sur les savoir-faire développés par les métiers, notamment :
– Les risques de change, de taux et de marché dans le domaine de la trésorerie et du
financement ;
– Les risques assurables et la sinistralité dans le secteur des assurances ;
– Les risques liés à la permanence du service dans le domaine des réseaux ;
– Les risques de défaillances et de malveillances dans le domaine des systèmes d’infor-
mation ;
– La sécurité des personnes dans le domaine des ressources humaines ;
– Le réseau des contrôleurs de gestion ;
– Les démarches qualité et de certification.
La démarche de cartographie des risques initialisée par la Direction de l’Audit en 2000, à

la demande du comité d’audit, a constitué une première fédération de ces analyses de
risques locales.
Cependant, l’élaboration de la cartographie repose sur du déclaratif d’auditeurs internes,

d’experts et de managers. La cartographie réalisée a servi essentiellement à orienter l’au-
dit sur les risques majeurs du groupe.
Le processus de management des risques a donc évolué de la façon suivante :
Situation antérieure :
• Une fonction de risk management située au sein de la Direction de l’Audit, dont les mis-
sions sont de :
– Réaliser une cartographie des risques ;
– Contribuer à la programmation de l’audit ;
L’audit interne fonctionne selon les normes applicables à une entreprise sans processus
explicite de risk management.
44 GUIDE D'AUDIT
• Des fonctions de risk management situées à divers niveaux, couvrant divers périmètres
et répondant à des schémas d’animation divers :
– Hygiène et sécurité ;
– Plans de crises techniques ;
– Risque incendie ;
– Trésorerie.
• Des processus de risk management opérant dans plusieurs filiales avec plus ou moins
d’ancienneté et d’exhaustivité.
Situation présente ou en cours :
• Création d’un « Comité d’audit interne et des risques » ;
• Chantiers d’organisation en cours pour les grands propriétaires de risques transverses :
– Finance, Juridique, Immobilier, Achats, RH… ;
– Positionnement, leviers d’action, reporting.
• Focalisation sur le traitement des risques et non plus sur le seul reporting :
– Suivi renforcé de la mise en place des recommandations de l’audit ;
– Travail structuré avec les divisions opérationnelles.
• Apparition d’un reporting des risques institutionnels (Sarbanes-Oxley) :
– Sarbanes-Oxley se focalise sur certaines catégories de risques ;
– Répartition des rôles entre les diverses sources d’évaluation des risques en cours dans
le cadre du « disclosure comittee » ;
– L’audit reste la principale source d’assurance.
• L ’Audit Interne continuera à tenir à jour une cartographie des risques :
– Document servant de base à la programmation de l’audit ;
– Ayant vocation, à ce titre, à être approuvé par les instances dirigeantes.
1.2. Groupe de presse de taille moyenne
Comment a émergé une première matérialisation de la notion de risque ?
Dans une structure de la taille d’une grosse PME, dans le secteur de la communication, à
faible culture de procédures, l’Audit Interne a été créé en 1997. Les seuls risques suivis
auparavant l’étaient par le biais des assurances, directement à la direction juridique. Il n’y
a pas de PMR (Processus de Management des Risques), le mot n’est pas connu.
GUIDE D'AUDIT 45
– Une appréciation par l’Audit des risques sur les « grandes » activités de l’entreprise :
Les missions successives menées par l’audit interne ont permis de préciser les risques sur
les points majeurs de fonctionnement de l’entreprise (achat de matière première, concep-
tion-réalisation, relation avec les principaux sous-traitants de la chaîne…).
– Une consolidation progressive :
Au fur et à mesure des missions, se sont enchaînés l’élaboration des process des métiers
de l’entreprise, l’identification des risques majeurs, le suivi de la mise en place des recom-
mandations, avec la couverture de ces risques.
La petite taille de l’équipe permet à tous d’être au courant de toutes les missions, de tout
ce qui est fait… Il y a peu de déperdition d’informations. Chacun se souvient des process
déjà étudiés et peut s’y référer.
Exemple : visualisation de processus (mission sur l’organisation d’une rédaction)
– L’occasion du Plan de Reprise d’activité
Une mission sur le Plan de Reprise d’Activité a permis d’approfondir les processus et de
vérifier leur exhaustivité. Elle a conduit à approfondir tout ce qui concerne les risques sou-
dains extérieurs (feu, eau, accès), mais aussi à identifier les points sensibles de chaque pro-
cessus et les mesures de couverture nécessaires.
46 GUIDE D'AUDIT
Exemple : une fiche métier (rédacteur)
GUIDE D'AUDIT 47
– Une cartographie des risques qui en découle :
Le rassemblement de toute l’information dont dispose l’audit, en particulier via le Plan de

Reprise d’Activité, croisée avec le résultat d’entretiens avec chacun des membres du
Comité de Direction a permis d’élaborer un document succinct mais reprenant les grands
process et visualisant les risques.
Exemple : risques sur le processus général d’élaboration d’une publication
Ces schémas illustrent un texte reprenant le descriptif des risques, de leurs impacts, de leur
couverture actuelle, de leur « propriétaire ». Ils sont complétés d’un avis sur la possibilité
ou non de les transformer en sujet d’audit.
Une synthèse permet de hiérarchiser les différents risques relevés pour l’ensemble du
groupe.
Il s’agit principalement des risques liés aux processus.
– Un choix de missions élargi :
Tous les risques repérés ne peuvent se traduire par une mission d’audit, en particulier les
sujets trop subjectifs (éthique) ou trop précis.
Mais cela permet de réfléchir à de nouveaux sujets d’audit sous un angle différent, d’ « uti-
lité » ou d’« efficacité » maximale pour l’entreprise. De nouvelles missions ont ainsi été
identifiées et ont été lancées.
La cartographie des risques ainsi décrite est avant tout un outil de l’Audit Interne, pour
communiquer avec la Direction Générale, base de présentation et discussion.
48 GUIDE D'AUDIT
ANNEXE 2
EXEMPLE DE BUSINESS PROCESS MODEL
ET DE QUESTIONNAIRE DE DESCRIPTION DE PROCESSUS
2. 1 : Business Process Model
Afin de recueillir, d’identifier, de structurer et de mesurer les risques opérationnels et fonc-

tionnels, il faut partir d’une base relativement stable :
« Le modèle de Processus » de l’Entreprise
« EXECUTIVE » PROCESS - Strategy & Business Development Planning – General Organization –

Business Risk Management and Compliance – H.S.E. / Ethics – Communication / Public Affairs
SUPPORT PROCESSES CORE PROCESSES SUPPORT PROCESSES
• Financial • Innovation/Design Product • Human Resources

Management
• Development / Scale-up • General
• Reporting and Taxes Administration
• Regulatory Affairs/Registrat.
• Treasury and Cash • Information
Management • Industrial Operations/Quality Solution and Systems
• Fixed Asset & • Supply Chain and Sourcing

Capital Investment • Marketing & Promotion
• Sales / Customer services
Project Management
GUIDE D'AUDIT 49
2.2. : Questionnaire de description de processus
Questionnaire de description de processus
Entretien avec Mme / M. : _________________________ date : __________________
Comprendre l’Activité Understanding of the Activity
Définition du Processus :
Identifier les objectifs opérationnels : que produit-on (produit ou service) ?
Pour quel client ?
Quelle est la valeur ajoutée du processus ?
Process Definition :
Identify the operational objectives : what is produced (product or service) ?
Who is / are the customer/s targeted ?
What is the added value of the process ?
Quelles sont les grandes étapes de déroulement de l’activité (processus

majeurs) ?
What are the main stages of the development of the activity (major processes) ?
Describe them.
Quels en sont les acteurs ?
Who are the actors ?
50 GUIDE D'AUDIT
Comment commence chaque processus majeur : première tâche ?
Quelles sont les entrées (flux d’information, flux de matière, flux financier,
ressources…) ?
Qui va déclencher la réalisation des tâches qui composent le processus ?
How does each major process start : first task ?
What are the inputs (flow of information, flow of material, cash flow, resources,…) ?
Who is going to launch the carrying out of the tasks which make up the process ?
Comment finit chaque processus majeur : dernière tâche ?
Quelles sont les sorties (flux d’information, flux de matière, produit semi-
fini ou fini, service … ) ?
How does each main process end : last task ?
What are the outputs (flow of information, flow of material, finished good or semi-
finished product, service … )
Quels sont les liens avec d’autres processus de l’entreprise ?
What are the links with other processes of the company ?
Quels sont les facteurs clefs de bon déroulement de cette activité (notam-
ment en termes de ressources humaines / compétences et de système d’in-
formation) ?
What are the key factors insuring the good development of this activity (and spe-
cially when we talk about human resources / skills and system of information) ?
GUIDE D'AUDIT 51
Quels sont les principaux indicateurs de performance ?
What are the key performance indicators ?
Comprendre l’environnement Understanding of the Environment
Quels sont les objectifs stratégiques poursuivis : cible à atteindre, stratégies

pour y parvenir, facteurs clefs de succès d’atteinte de ces objectifs ?
What are the strategic objectives sought : target to be reached, strategies to succeed,
key success factors to reach these objectives ?
Quelles sont les contraintes externes (marché, concurrence) et les obligations

réglementaires ?
What are the external constraints (market, competition) and the regulatory obliga-
tions ?
Quelles sont les attentes des différentes parties prenantes : externes (client,
fournisseur, groupe…) et internes (Conseil d’Administration, Direction
Générale, Salariés) ?
What are the expectations of the bodies involved : outside the company (customer,
supplier, lobby…) and inside the company (Board, Management Committee,
Employees) ?
Entretien avec Mme / M. : _______________________ date : __________________
52 GUIDE D'AUDIT
ANNEXE 3
EXEMPLES DE GUIDE D’AUDIT
DU PROCESSUS ACHAT
3.1. En milieu industriel
– Voir tableaux pages suivantes –
GUIDE D'AUDIT 53
Entity
54
Process Plan & buy prod. items, execute & admin. buying operations
General Overview
Business
Sub-process Operational Risk Major Risk Internal Control
Control
Define sourcing strategy 01 – Undefined, unapproved, outda- Unreliable information Meetings organized to explain Strategy
ted and/or strategy not applied sourcing strategy to buyers
Unreliable information Indicator on the amount of Monitoring
purchases for TMM, for each SBU
and for each segment
Unreliable information Responsibility defined for writing, Organization
approving and disseminating the
sourcing strategy
02 – Sourcing strategy not in line Unreliable information Procedure for validating sourcing Procedures
with TMM global strategy strategy with TMM global strategy
Unreliable information Validation of sourcing strategy by Supervision
Excom
Find potential suppliers 01 – Absence or no respect of selec- Competitive disadvantage / public Responsibility defined for selecting Organization
tion criteria or customer dissatisfaction vendors
Competitive disadvantage / public Procedure for formalizing vendor Procedures
or customer dissatisfaction selection
Competitive disadvantage / public Procedure for determining and dis- Procedures
or customer dissatisfaction seminating selection criteria
Competitive disadvantage / public Supervision on respect of vendor Supervision
or customer dissatisfaction selection criteria
02 – Missed reliable and cost effecti- Competitive disadvantage / public Responsibility definded for Organization
ve vendors or customer dissatisfaction negotiating and bidding
Competitive disadvantage / public Procedure for negotiating and Procedures
or customer dissatisfaction committing TMM for certain
Competitive disadvantage / public segments Supervision
or customer dissatisfaction Supervision on negotiation and
committment
GUIDE D'AUDIT
Entity
General Overview
GUIDE D'AUDIT
Business
Control
Find potential suppliers 03 – Experts (internal / external) not Competitive disadvantage / public List of experts defined and Strategy
(continued) involved in vendor selection or customer dissatisfaction disseminated
Competitive disadvantage / public Procedure to implicate experts at an Procedures
or customer dissatisfaction early stage
04 – Sourcing department not invol- Excessive costs Objective of % of material covered Objectives
ved in selection for major vendors by sourcing department
Excessive costs Indicator on % of material covered Monitoring
by sourcing department
Excessive costs Procedure for involving sourcing Procedures
department in vendor selection at an
early stage
05 – Insufficiently trained buyers Excessive costs Objective of training days per buyer Objectives
Excessive costs Training lan for buyers Strategy
Excessive costs Indicator of training days per buyer Monitoring
06 – Too many / too few vendors Excessive costs Objective of number of agreed ven- Objectives
dors per segment
Excessive costs Existence of an on-line vendor list Strategy

Excessive costs Indicator on number of agreed Monitoring
vendors per segment
Excessive costs Responsibility defined for maintai- Organization
ning and updating vendor list
Excessive costs Procedure for updating agreed Procedures
vendor list
Excessive costs Procedure to maintaining and Procedures
updating vendor list
Excessive costs Procedure of dual vendor policy Procedures
(leader-challenger) for critical
segments
55
Entity
56
General Overview
Business
Control
Find potential suppliers 07 – Unjustified or unapproved Excessive costs Responsibility defined for Make or Organization
(continued) Make or Buy decision Buy decisions
Excessive costs Procedure for Make or Buy decision Procedures
Excessive costs Supervision on Make or Buy deci- Supervision
sions
08 – Non-existent or insufficient Excessive costs Procedure for implicating end-users Procedures
implication of end-users, particularly in vendor pre-selection and selection
in formalizing their need in details
Excessive costs Procedure to define specifications at Supervision
the beginning of the sourcing project
Excessive costs Supervision on clear description of Supervision
needs
Plan, execute and administrate 01 – Undefined / unapproved Unreliable information Responsibility defined for Organization
purchasing operations sourcing planning formalizing the sourcing planning
Unreliable information Procedure for establishing and Procedures
approving sourcing plan
02 – Contract terms and conditions Non compliance with regulations Existence of standardized sourcing Strategy
not well defined / contrary to TMM contract
interest / in conflictwith law
Non compliance with regulations Responsibility defined within the Organization
legal department for validating
sourcing contracts
Non compliance with regulations Procedure for validating sourcing Procedures
contract by legal department
Non compliance with regulations Supervision on deviation from pre- Supervision
defined sourcing contract terms and
conditions
03 – Fraud, bribery Loss of assets Objective for rotation of buyers for Objectives
high value segments
GUIDE D'AUDIT
Entity
General Overview
GUIDE D'AUDIT
Business
Control
Plan, execute and administrate 03 – Fraud, bribery Loss of assets Secured access to vendor database Strategy
purchasing operations (continued)
(continued) Loss of assets Standards of business conducts Strategy
Loss of assets Pre-numbered purchase requests Strategy
and purchase orders
Loss of assets Indicator on rotation of buyers for Monitoring
high value segments
Loss of assets Responsibility separated for placing Organization
a PO, for receiving goods, for
registering and for paying
Loss of assets Procedure for acceptance of gifts, Procedures
entertainment or favors from vendors
04 – Unauthorized purchase Excessive costs List of authorized people to commit Strategy
TMM by placing a purchase order
and/or by concluding an
Excessive costs agreement - Organization
Automated system for placing PO to

Excessive costs vendor Organization
Responsibility defined for
reconciling PO, purchase request
Excessive costs and purchasing plan Organization
Responsibility defined for approving
Excessive costs a purchase request and a PO Procedures
Procedure for placing PO and for
concluding an agreement with a vendor
Excessive costs Supervision on delegation of Supervision
authorities
05 – Unchallenged purchasing cost Excessive costs Objective of reduction of purchasing Objectives
cost (target) per segment
57
Entity
58
General Overview
Business
Control
Plan, execute and administrate 05 – Unchallenged purchasing cost Excessive costs Indicator on reduction of purchasing Monitoring
purchasing operations (continued) cost – periodic measurement /
(continued) reporting
Excessive costs Responsibility separated for defining Organization
needs, initiating a tendering process,
negotiating and preparing the
06 – Purchase from non agreed ven- Excessive costs Procedure for purchasing from Procedures
dor agreed vendors or from non agreed
vendors in certain segments
Excessive costs Supervision on purchasing from non Supervision
agreed vendors
07 – Incorrect posting in ledger Unrelieable information Centralization of registration of Strategy
invoices received from vendors
Unrelieable information Procedure for registering purchases Procedures
/ liabilities
Unrelieable information Supervision on purchasing posting Supervision
(P&L/payables)
08 – Invoice not in line with receipt Loss of assets Responsibility defined for compa- Organization
goods and with contract tariffs, ring invoice, goods receipt and
terms and conditions sourcing contract
Loss of assets Procedures of regularization of Procedures
variances between invoice, good
receipt and sourcing contracts tariffs,
Loss of assets Supervision on regularization of Supervision
variances between invoice, good
receipt and sourcing contract
09 – Unauthorized payment / Loss of assets Responsibility defined for paying Organization
double payment invoices
GUIDE D'AUDIT
Entity
General Overview
GUIDE D'AUDIT
Business
Control
Plan, execute and administrate 09 – Unauthorized payment / double Loss of assets Procedure of authorization of Procedures
purchasing operations payment payment
(continued) (continued) Loss of assets Supervision on payments to vendors Supervision
Maintain relation with supplier 01 – Conflict / litigation with vendor Business interruption Responsibility defined for handling Organization
conflict with vendor
Business interruption Procedure for handling conflict with Procedures
vendor
02 – Loss of key vendor Business interruption List of key vendors Strategy
Business interruption Indicator on number of key vendors Monitoring
losses
Business interruption Responsibility defined for Organization
maintaining specific and privileged
relationships with key vendors
03 – Confidential information disclo- Business interruption Existence of Non-Disclosure Strategy
sed by vendors Agreement with vendor
Business interruption Existence of a confidentiality policy Strategy
Business interruption Procedure for signing Non-Dislosure Procedures

Agreement with vendor
Business interruption Supervision on confidentiality policy Supervision
04 – Unrelieable / too costly vendor Excessive costs Objective of % of satisfaction of Objectives
maintained internal customer regarding current
vendors
Excessive costs Logbook of encountered problems Strategy
with major vendors
Excessive costs Exit conditions included in the Strategy
sourcing contract
59
Entity
60
General Overview
Business
Control
Maintain relation with supplier 04 – Unrelieable / too costly vendor Excessive costs Indicator on % of satisfaction of Monitoring
(continued) (continued) internal customers regarding current
vendors
Excessive costs Responsibility defined for maintai- Organization
ning the logbook of problems
encountered with vendors
Excessive costs Procedure for re-negotiating Procedures
sourcing contract every x years
05 – Material shortage Business interruption Existence of sourcing long-term Strategy
contracts with strategic vendors
Business interruption Dual vendor policy Strategy
Business interruption Supervision on material supply Supervision
operations
06 – Unreliable sourcing contract Unreliable information Existence of a sourcing contract Strategy
register register / database
Unreliable information Responsibility defined for Organization
maintaining the sourcing contract
register / database
Unreliable information Procedure for contract administration Procedures
Unreliable information Supervision of correct register / Supervision
database maintenance
07 – Vendor bankruptcy Business information Responsibility defined for evaluating Organization
vendors
Business information Procedure for evaluating the vendor Procedures
solvability periodically
08 – Sleeping vendor Excessive costs Objective of vendor turnover per Objectives
segment
Excessive costs Indicator or vendor turnover per Monitoring
segment
GUIDE D'AUDIT
3.2. En milieu commercial
1. La fonction Achats – Le référentiel
La fonction Achats, du fait même de sa situation en tête de la chaîne logistique de l'entre-

prise peut, par ses insuffisances, être la source de dysfonctionnements sérieux perturbant
la plupart des autres fonctions de l'entreprise. De ce fait, elle peut générer une perte d'acti-
vité substantielle.
Un bon Contrôle Interne de la fonction Achats est ainsi d'autant plus nécessaire que ses
missions sont généralement formalisables.
La fonction Achats n'est pas seulement une fonction amont, c'est une fonction carrefour
entre les divers utilisateurs qu'elle doit satisfaire dans l'entreprise et l'ensemble des four-
nisseurs potentiels.
Elle doit agir de façon à assurer aux utilisateurs un approvisionnement en matériels, ser-
vices et fournitures qui soient :
• conformes aux spécifications des utilisateurs et contrôlables par les réceptionnaires,
• obtenues dans des conditions compétitives de coût net, compte tenu des opérations qui
affecteront ces approvisionnements dans l'entité et donc les charges qu'ils engendreront,
• disponibles dans la forme, et les conditions nécessaires, sans rupture de la continuité des
approvisionnements.
À long terme, on peut dire que la finalité de la fonction Achats est de rendre la relation
avec les fournisseurs la plus favorable possible à l'entreprise. Chaque fois que la situation
le permet, les acheteurs doivent chercher à rester les donneurs d'ordre, maintenir un rap-
port de force avec les fournisseurs.
À moyen terme, à l'horizon budgétaire, elle va proposer des politiques et contribuer à la

prévision.
À court terme, elle a pour mission de répondre aux besoins des utilisateurs en obtenant les
approvisionnements définis, au meilleur coût, suivant les spécifications, et dans les délais
requis auprès des fournisseurs retenus pour leur standing et la qualité de leurs services.
Le Business Model retenu

Le tableau ci-après présente les trois principaux domaines au sein desquels s'organise
l'activité de la Direction des Achats. Ces domaines se décomposent en Mega-processus qui
vont regrouper l'ensemble des opérations permettant l'organisation générale des opéra-
tions et la poursuite des objectifs du groupe.
GUIDE D'AUDIT 61
62 GUIDE D'AUDIT
produits
GUIDE D'AUDIT 63
L'identification des objectifs des processus et l'analyse des risques

Pour l'ensemble des processus structurant l'activité, les objectifs inhérents en sont précisés
afin de mettre en lumière les risques susceptibles d'en altérer l'atteinte. Quelques meilleures
pratiques – points d'organisation communément adoptés dans l'ensemble des organisa-
tions – sont suggérées. Elles constituent des dispositifs de Contrôle Interne permettant de
couvrir les risques et de renforcer le respect des orientations stratégiques définies. Enfin,
les conséquences de la réalisation des risques sont exposées en terme d'image, de perte
financière, elles doivent permettre de hiérarchiser les priorités en terme d'actions à mettre
en œuvre.
Les processus relatifs au traitement des factures fournisseurs ne sont pas abordés lors de
cette analyse.
La fonction achats
Analyse des Risques
– Voir tableaux pages suivantes –
64 GUIDE D'AUDIT
GUIDE D'AUDIT 65
66 GUIDE D'AUDIT
GUIDE D'AUDIT 67
68 GUIDE D'AUDIT
GUIDE D'AUDIT 69
70 GUIDE D'AUDIT
GUIDE D'AUDIT 71
72 GUIDE D'AUDIT
GUIDE D'AUDIT 73
74 GUIDE D'AUDIT
GUIDE D'AUDIT 75
76 GUIDE D'AUDIT
GUIDE D'AUDIT 77
78 GUIDE D'AUDIT
GUIDE D'AUDIT 79
80 GUIDE D'AUDIT
GUIDE D'AUDIT 81
82 GUIDE D'AUDIT
ANNEXE 4
RISQUE INDUSTRIEL : LA DIRECTIVE SEVESO
Qu’est-ce que le risque industriel ?
Les activités humaines créent des risques technologiques divers : industriel, nucléaire, bio-
logique, de rupture de barrage, de transport de matières dangereuses, etc.
Le risque industriel est soit chronique soit accidentel. Les risques chroniques résultent des
différentes formes de pollutions susceptibles d’avoir un impact sur la santé des popula-
tions et l’environnement, telles que les émissions de métaux toxiques, de composés orga-
niques volatils ou de substances cancérigènes.
Les risques accidentels résultent de la présence de produits ou/et de procédés dangereux

susceptibles de provoquer un accident entraînant des conséquences immédiates graves
pour le personnel, les riverains, les biens et l’environnement.
Les principaux risques industriels sont, selon la nature des produits et de l’activité, l’explo-
sion, l’incendie et la dissémination de produits toxiques dans l’environnement. Les consé-
quences de ces événements sont plus ou moins dramatiques, depuis les dégâts matériels,
qui concernent une majorité d’accidents, jusqu'à la mort ou la blessure grave de personnes.
La prévention des risques
La prévention des risques (industriels) est un processus itératif, basé sur l'analyse de l’im-
pact et le niveau de contrôle/de maîtrise. La probabilité d'occurrence de défaillances pou-
vant conduire à un accident majeur est en effet toujours difficile, voire impossible à déter-
miner. Cette évaluation permet à l'exploitant de valider la conception de ses installations
en la comparant à l'état de l'art, de dimensionner les barrières de sécurité visant à réduire
le risque à la source (réduction du potentiel de danger, de la probabilité d'occurrence d'un
accident majeur) et de définir des mesures de limitation des effets d'éventuels accidents.
La sécurité repose d'abord sur la qualité de l'évaluation initiale des risques. Cependant, les
installations ou leurs conditions d'exploitation peuvent ensuite être modifiées, ou être
affectées par des incidents. Ces éléments qui caractérisent la vie de nombreuses unités
industrielles, sont autant de motifs de réactualisation de cette étude initiale. En outre, les
connaissances techniques évoluent et les exigences de sécurité des populations s'accroissent
légitimement.
L'enregistrement des incidents, leur analyse, la mise au point de mesures correctives et le

suivi de leur mise en place effective sont indispensables pour l'amélioration de la sécurité
des installations, c’est le rôle du Bureau d’Analyse des Risques et Pollutions Industrielles
(BARPI) qui dépend du Ministère de l’Environnement.
GUIDE D'AUDIT 83
La directive Seveso
La directive Seveso 2 vise à maîtriser les risques industriels présentés par les établisse-
ments renfermant des substances dangereuses. Leur exploitation est soumise à autorisa-
tion, après la réalisation notamment d'une étude de danger dont le but est de quantifier et
de limiter les nuisances causées. Seveso 2 impose que l'évaluation des dangers soit réalisée
tous les cinq ans. Les plans d'urgence en découlant sont réexaminés tous les trois ans.
La directive est transposée en droit français dans le cadre de la législation sur les installa-
tions classées qui reprend et renforce ces exigences. Il incombe aux exploitants de mettre
en place les mesures de prévention permettant d'assurer la sûreté de leurs établissements
et des riverains. De ce fait, ils sont les premiers responsables de la prévention et en cas
d'accident. Mais l'État a le devoir de contrôler régulièrement les dispositifs exigés. Son rôle
est d'assurer la sécurité des personnes et de l'environnement.
Des milliers de français vivent à proximité des quelques 1 239 usines classées Seveso 2. La
prévention reste la meilleure des stratégies. Elle est à la base de trois axes principaux :
– faire en sorte que les usines classées soient les plus sûres possible : contrôles des DRIRE ;
– mettre en place des plans d'urgence et de secours (plan interne à l'entreprise et plan
particulier d'intervention à l'extérieur) lors de la survenue d'accidents. En effet, il est
malheureusement impossible d'exclure totalement d'éventuelles défaillances techniques
ou humaines, voire des actes de malveillance ;
– contrôler l'urbanisation autour des sites classés dangereux.
Pour plus d’informations sur l’application de la Directive SEVESO, consulter le site

http://www.seveso.ema.fr/
84 GUIDE D'AUDIT
ANNEXE 5
GLOSSAIRE
Auto-évaluation : Revue par les managers de leur dispositif de management des risques, au sein
de groupes de travail, sous la conduite d’un animateur expérimenté dans le domaine concerné.
Critères d’impact : Critères choisis pour exprimer les conséquences d’un risque (en terme d’image,
de finance…).
Facteurs de risque : Ce sont les critères pour identifier l'importance relative des événements qui
pourraient se produire et qui auraient des conséquences néfastes sur l'entreprise.
Impact : Résultat ou effet d’un événement. Il peut y avoir une série d’impacts possible associés à
un événement. L’impact d’un événement peut être positif ou négatif en fonction des objectifs de
l’entreprise. L’impact se mesure en termes de coût, qualité, réputation,…
Management des risques : Activités coordonnées visant à diriger et piloter un organisme vis-à-
vis du risque. Le management des risques inclut généralement l’identification et l’évaluation du
risque, la réponse apportée au risque (traitement, acceptation,…) et la communication relative au
risque.
Niveau de contrôle/de maîtrise : Il s’apprécie en fonction de la pertinence et de la fiabilité du

contrôle interne relatif à ce risque.
Processus de management des risques (PMR) : Processus élaboré et maintenu par le conseil
d’administration, le management ou les opérationnels, déployé dans toute l’entreprise et destiné à
identifier des évènements potentiels susceptibles d’affecter la vie de l’entreprise, à gérer ses risques
et à fournir une assurance raisonnable que ses objectifs seront atteints.
Propriétaire de risque : Personne chargée de s’assurer que les risques liés aux activités dont il est
responsable sont correctement traités, conformément aux modalités définies dans le PMR. Il doit
également anticiper l’évolution de ces risques.
Risque : Possibilité que se produise un événement susceptible d’avoir un impact sur la réalisation
des objectifs. Le risque se mesure en termes de conséquences et de probabilité.
Risque inhérent : Risque existant en l’absence de toute action prise par le management en vue de
diminuer la probabilité d’occurrence ou l’impact.
Risque résiduel : Risque restant après que le management ait entrepris des actions visant à dimi-
nuer la probabilité d’occurrence ou l’impact du risque.
Tolérance au risque : Variation acceptable relative à l’atteinte des objectifs/Niveau de tolérance

acceptée par rapport à l’atteinte des objectifs.
GUIDE D'AUDIT 85
ANNEXE 6
BIBLIOGRAPHIE
1. Ouvrages
– COSO Report – La pratique du contrôle interne
– COSO Report – Enterprise Risk Management Framework (12)
– Risk Management : changing the internal auditor’s paradigm (IIA – 1999)
– Integrated risk management : techniques and strategies for managing corporate risks
(IIA – 2000)
– Risk based internal auditing and dynamic control assessment (IIA)
– Control self assessment workshop facilitator’s guide (IIA)
– Risk assessment (IIA)
– Cahier de la recherche « Management des risques » (IFACI)
– Comprendre et gérer les risques (Éditions d’Organisation)
– Guide de self-audit (IFACI)
– Normes Professionnelles de l’Audit Interne (IFACI)
2. Revue Audit
– Avril 1999 : « Maîtrise des Risques »
– Juin 2000 : « Audit interne et risk management : deux activités spécifiques et complé-
mentaires »
– Septembre 2001 : « Pour une approche des risques en liaison avec les objectifs »
– Septembre 2003 : « Risk management, développement durable et éthique » – article de

Patrice Barnoux
3. The Internal Auditor :

– Octobre 2000 : « Targeting Business Risk »
– Octobre 2000 : « Risk Watch »
– June 2001 : « Risk – Does your organization see obstacles or opportunities ? »
– October 2002 : « Lock down risk – Crucial to ERM, effective knowledge sharing begins
with the internal auditor »
(12) Encore au stade de projet et non traduit en français au moment de l’impression de ce cahier.
86 GUIDE D'AUDIT
4. Suppléments Les Échos : L’art de la gestion des risques (année 2000)
N° 1 : – Notion de risque
– Rapport Turnbull
– Gestion, opérationnelle et stratégique, des risques – perception par les dirigeants
– Facteurs influant la perception des risques (compréhension, préjugé, personna-

lité…)
N° 2 : – Risques et probabilités
– Techniques d’analyse des risques
N° 3 : – Gérer le risque global/gestion intégrée (risques de marché de consommation,

opérationnels, de production, fiscaux, réglementaires, légaux, financiers)
– Risque de stratégie d’externalisation
– Analyse des risques d’un Business Plan
– Avantages réels de la diversification (d’activité et géographique)
– Risques liés aux stratégies d’alliance
N° 4 : – Analyse des failles d’un système de gestion des risques
– Réglementation des autorités de tutelle limitant le risque
– Analyse d’impact d’une interruption d’activité/gestion de la continuité d’entre-

prise
– Améliorer les modèles pour prévenir les risques
– Psychologie derrière les scandales financiers
N° 5 : – Gérer le risque positif d’un nouveau projet
– Risque, production et innovation
– Analyse des micro tendances dans un secteur d’activité afin de gérer le risque de
récession
– Produits défectueux
N° 6 : – E-risques, e-économie
– Traitement quantitatif des risques
– Externaliser les technologies de l’information
– Risques juridiques liés au e-commerce
N° 7 : – Risque financier
– Value at Risk
GUIDE D'AUDIT 87
– Gestion intégrée de la rentabilité (risques de marché, de crédit ou opérationnels

pour les institutions financières)
– Nouveaux supports financiers créateurs de valeur
– Produits dérivés (gestion des fluctuations de taux et de prix)
N° 8 : – Risque écologique
– Enjeux du développement durable (environnement, social, économique)
N° 9 : – Risques pays
– Risques politiques
– Réglementation des risques
– Risques liés aux systèmes d’information
N° 10 : – Le nouveau rôle du gestionnaire de risques
– Les risques en terme d’images
– Corruption
– Ethique
Imprimerie Compédit Beauregard S.A./61600 LA FERTÉ-MACÉ

N° d’Imprimeur : 6821
88 GUIDE D'AUDIT
Étude du Processus de Management et de Cartographie des Risques
GUIDE D’AUDIT
L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte à
tous les adhérents, est l’expression du caractère associatif de l’Institut et
concrétise notre devise : « Le Progrès par le Partage ».
La Recherche s’organise autour de groupes de travail qui mettent en
commun et formalisent leurs réflexions et leurs pratiques sur un thème ou
un sujet propre à un secteur d’activité.
Les travaux de ces groupes sont destinés à être diffusés sous de multiples
formes auprès du plus grand nombre.
Étude
Telle est précisément la vocation de la Collection : du Processus
« Les Cahiers de la Recherche »
qui met à la disposition des auditeurs quatre types d’outils :

de Management
• les « Prises de Position » publiées par des instances professionnelles, et de Cartographie
• les « Notes Professionnelles » qui explicitent et commentent ces prises
de position,
• les « Meilleures Pratiques », en France ou à l’international,
des Risques
• les « Guides d’Audit » qui définissent un cadre pratique pour la conduite
des missions.
Conception,
Institut de
l'Audit Interne
l'Audit Interne
Institut de
12 bis, place Henri Bergson – 75008 Paris – Tél. : 01 40 08 48 00 – Fax : 01 40 08 48 20

Web : www.ifaci.com – E-mail : institut@ifaci.com
Institut Français de l’Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069
Institut de
The Institute of Internal Auditors l'Audit Interne

Cahier de La Recherche Processus Management Et Carto Des Risques

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Cahier de La Recherche Processus Management Et Carto Des Risques

Diunggah oleh

Hak Cipta:

Format Tersedia

Étude du Processus de Management et de Cartographie des Risques

qui met à la disposition des auditeurs quatre types d’outils :

12 bis, place Henri Bergson – 75008 Paris – Tél. : 01 40 08 48 00 – Fax : 01 40 08 48 20

L’IFACI tient tout particulièrement à remercier les participants du groupe Industrie et

Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ;

IFACI – Paris – Décembre 2003

1. Le processus de management des risques (PMR) ............................................... 10

1.1. Les objectifs du PMR ..................................................................................................................................................................... 10

2. Les acteurs du PMR ...................................................................................................................................................... 12

3. Le rôle de l’audit interne dans le PMR ................................................................................... 18

3.1. En présence d’un PMR ................................................................................................................................................................ 18

4. La cartographie des risques, élément clé du PMR ............................................ 24

4.1. Définition et objectifs d’une cartographie ................................................................................................................. 24

4.2. Exemples de risques majeurs en environnement industriel et commercial ............................ 25

Annexe 1 – Exemples de processus de management des risques ....................................................................... 44

• Les risques de l’entreprise sont identifiés ;

• La direction générale (1) et les opérationnels déterminent le niveau de risques

• Un suivi permanent est effectué, en particulier pour réévaluer périodiquement les

• Le Conseil (2) et la direction générale sont informés périodiquement des résultats et

• la notion de « processus de management des risques » : processus élaboré et main-

– identifiant les risques majeurs en environnement industriel et commercial ;

– proposant deux approches différentes d’élaboration d’une cartographie

1. LE PROCESSUS DE MANAGEMENT DES RISQUES (PMR)

1.1. Les objectifs du PMR

• détermination par la direction générale et les opérationnels d’un niveau de risques

• définition et mise en œuvre de mesures d’atténuation et de maîtrise des risques (mise

• suivi permanent des activités afin :

– de réévaluer périodiquement les risques et l’efficacité des contrôles pour

– d’assurer une cohérence globale de la méthode de gestion des risques

• information périodique du Conseil et de la direction générale sur les résultats

De manière générale, le processus de management des risques offre l’avantage de

1.2. Les grandes phases du PMR

• Identifier et évaluer les risques, notamment en veillant à l’émergence de risques

• Garantir la maîtrise des risques : des revues indépendantes et objectives de la per-

Au-delà de ces considérations générales, il convient d’adapter le processus de manage-

2. LES ACTEURS DU PMR

Légende du schéma ci-après :

: donne des orientations

Acteurs Responsabilités dans le processus

Conseil • veille à ce que un/des processus de management des risques

• est informé périodiquement des résultats du PMR ;

• s’assure que le PMR fait l’objet d’évaluations régulières ;

• veille à ce que les actions nécessaires aient été menées rapidement

Direction • fait partager à toute l’entreprise la vision d’une gestion du risque

• est responsable de la conception, de la mise en place et du pilotage

• définit les orientations stratégiques qui généreront, éventuellement,

• détermine le niveau de risques majeurs acceptable ;

• fixe, au sein de l’entreprise, les responsabilités liées aux risques.

• fournit à tous les acteurs intervenant dans le PMR les informations

• suit et apprécie les résultats du PMR et de ses évaluations réali-

• prend en compte ces résultats dans les décisions et orientations

• présente au Conseil les résultats du PMR.

Acteurs Responsabilités dans le processus

En présence d’un PMR :

En l’absence d’un PMR :

Acteurs Responsabilités dans le processus

Il convient de souligner que, quel que soit ce rôle :

• il doit être défini par la direction générale et le Conseil ;

• il doit être clairement précisé dans la Charte de l’audit interne et

• l’audit interne ne devient pas, de ce fait, responsable des risques,

Risk manager • explique le PMR aux opérationnels ;

Acteurs Responsabilités dans le processus

Directions Chaque manager est propriétaire de ses propres risques ; il :

Contrôleur de • a une vision transversale de l’entreprise et aide ainsi au déploie-