Étude du Processus « Les Cahiers de la Recherche » de ... · Institut de l'Audit Interne ... Exemples de guide d’audit du processus achat ... les processus sont dans certains

Institut del'Audit Interne

GUID

E D’

AUDI

T L E S C A H I E R S D E L A R E C H E R C H E


L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte àtous les adhérents, est l’expression du caractère associatif de l’Institut etconcrétise notre devise : « Le Progrès par le Partage ».

La Recherche s’organise autour de groupes de travail qui mettent encommun et formalisent leurs réflexions et leurs pratiques sur un thème ouun sujet propre à un secteur d’activité.

Les travaux de ces groupes sont destinés à être diffusés sous de multiplesformes auprès du plus grand nombre.

Telle est précisément la vocation de la Collection :

« Les Cahiers de la Recherche »

qui met à la disposition des auditeurs quatre types d’outils :

• les « Prises de Position » publiées par des instances professionnelles,

• les « Notes Professionnelles » qui explicitent et commentent ces prisesde position,

• les « Meilleures Pratiques », en France ou à l’international,

• les « Guides d’Audit » qui définissent un cadre pratique pour la conduitedes missions.

Étudedu Processusde Managementet de Cartographiedes Risques

Conception,mise en place et évaluation

Groupe ProfessionnelIndustrie et Commerce

Inst

itut

de

l'Aud

it I

nter

neÉ

tud

e d

u P

rocessu

s d

e M

an

ag

em

en

t et

de C

art

og

rap

hie

des R

isq

ues

12 bis, place Henri Bergson – 75008 Paris – Tél. : 01 40 08 48 00 – Fax : 01 40 08 48 20Web : www.ifaci.com – E-mail : [email protected] Français de l’Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069

The Institute of Internal Auditors

L E S C A H I E R S D E L A R E C H E R C H E

GUIDE D’AUDIT

Étudedu Processusde Managementet de Cartographie des Risques

Conception, mise en place et évaluation



2

É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S

G U I D E D ' A U D I T

REMERCIEMENTS

L’IFACI tient tout particulièrement à remercier les participants du groupe Industrie etCommerce qui ont conçu et rédigé ce cahier :

Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ;Frédéric Bel, Chef du Département Qualité/Audit Interne, Primagaz ;Florence Bergeret, Responsable de la Recherche, IFACI ;Pierre de Magnitot, Audit Manager, Giat Industrie ;Rick Floore, Internal Audit Manager, Sodexho Alliance ;Alain Hocquet, Risk Manager, France Telecom ;Christian Lesné, Consultant, IFACI ;Rosa Mendes, Auditrice Interne, Michelin ;Marzio Panelli, Auditeur Interne, Michelin ;Thomas Puissant, Audit Implementation Manager, Rhodia ;Catherine Veillet-Michelet, Directrice de l’Audit Interne, Bayard Presse ;Christian Zerbi, Responsable de l’Audit Interne, Metro Cash and Carry France.

Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total,pour sa relecture avisée, ainsi qu’à Emmanuel Du Moulin, Directeur de l’Audit Interne deSaint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric Robert,Auditeur Interne de Renault, pour leur participation aux échanges ayant conduit à l’élaboration de ce cahier.

Louis VaursDélégué Général

IFACI – Paris – Décembre 2003ISBN : 2-915051-02-X

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou deses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représen-tation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par lesarticles 425 et suivants du Code Pénal.

3



4



SOMMAIRE

Résumé ............................................................................................................................................................................................................ 7

Introduction ........................................................................................................................................................................................... 9

1. Le processus de management des risques (PMR) ............................................... 10

1.1. Les objectifs du PMR ..................................................................................................................................................................... 10

1.2. Les grandes phases du PMR .................................................................................................................................................. 11

2. Les acteurs du PMR ...................................................................................................................................................... 12

3. Le rôle de l’audit interne dans le PMR ................................................................................... 18

3.1. En présence d’un PMR ................................................................................................................................................................ 18

3.2. En l’abscence d’un PMR ............................................................................................................................................................. 22

4. La cartographie des risques, élément clé du PMR ............................................ 24

4.1. Définition et objectifs d’une cartographie ................................................................................................................. 24

4.2. Exemples de risques majeurs en environnement industriel et commercial ............................ 25

4.3. Exemple : Approche Bottom-up ............................................................................................................................................ 27

4.4. Exemple : Approche Top-down .............................................................................................................................................. 32

4.5. Une démarche d’auto-évaluation ...................................................................................................................................... 37

4.6. La communication de la cartographie des risques ........................................................................................... 40

Conclusion – Gérer les risques liés à la mise en place d’un PMR ....... 41

5



Annexes :

Annexe 1 – Exemples de processus de management des risques ....................................................................... 441.1. Grand groupe multi-filiales et multi-établissements ........................................................................ 441.2. Groupe de presse de taille moyenne..................................................................................................................... 45

Annexe 2 – Exemple de Business Process Model et de questionnaire de descriptionde processus ............................................................................................................................................................................ 49

2.1. Business Process Model ................................................................................................................................................... 492.2. Questionnaire de description de processus................................................................................................... 50

Annexe 3 – Exemples de guide d’audit du processus achat.................................................................................... 533.1. En milieu industriel.............................................................................................................................................................. 533.2. En milieu commercial......................................................................................................................................................... 61

Annexe 4 – Risque industriel : la directive Seveso......................................................................................................... 83

Annexe 5 – Glossaire.................................................................................................................................................................................... 85

Annexe 6 – Bibliographie......................................................................................................................................................................... 86

6



RÉSUMÉ

Selon la dernière enquête de l’IFACI menée en France, près des deux tiers des entreprisesayant répondu ont mis en place un processus de management des risques, mais les pra-tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa-rate, il nous a semblé nécessaire d’écrire un guide aidant à la réflexion puis à l’élaborationd’un processus de management des risques adapté à un environnement industriel et commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’undocument normatif. À partir des exemples donnés, il appartient à chaque lecteur de menersa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques auprocessus de management des risques.

La première partie met en lumière les objectifs et la démarche d’un processus de manage-ment des risques :

• Les risques de l’entreprise sont identifiés ;

• La direction générale (1) et les opérationnels déterminent le niveau de risques acceptable ;

• Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques ;

• Un suivi permanent est effectué, en particulier pour réévaluer périodiquement lesrisques et l’efficacité des contrôles internes ;

• Le Conseil (2) et la direction générale sont informés périodiquement des résultats etenseignements du processus de management des risques.

Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la deuxième partie : le Conseil, la direction générale, les comités spécialisés du Conseil, l’audit interne, le risk management, le management et les opérationnels, le contrôleur degestion et, en tant que prestataires externes, les commissaires aux comptes.

Parmi ces acteurs, l’audit interne se distingue par son rôle fondamental dans le processusde management des risques. En effet, dans le cadre de leurs activités courantes, on attenddes auditeurs internes qu’ils identifient et évaluent les risques significatifs. La vision d’en-semble qu’ils ont de l’entreprise et de ses processus les y aide nécessairement.

Ce rôle est approfondi dans la troisième partie à l’aide de questions clés liées aux élémentsdu processus les plus importants. En l’absence d’un processus de management desrisques, quelques orientations sont données pour l'initier (prendre conscience des risqueset de l’importance du contrôle interne, promouvoir la démarche, aider l’entreprise à identifier et évaluer les risques et faire évoluer le processus).

7



(1) Par direction générale, on entend également comité exécutif, directoire, comité de direction, …(2) Par Conseil, on entend conseil d’administration, conseil de surveillance, …

La construction de la cartographie des risques, abordée dans la quatrième partie, est uneétape clé du processus. En fonction de la culture et de l’environnement de l’entreprise,deux approches peuvent être adoptées pour élaborer une cartographie des risques :

– l’approche bottom up, ou remontée des risques opérationnels vers les risquesmajeurs,

– l’approche top-down, à partir des risques majeurs identifiés pour les différentes parties prenantes.

Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dansun grand groupe, il peut y avoir plusieurs cartographies des risques, indépendantes lesunes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe quia des activités ou des implantations géographiques très différentes n’établira pas une cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération-nelles sont proches ou semblables, il est certain que des risques de même nature serontidentifiés et alors agrégés au niveau de la direction générale, avec l’enrichissement apportépar la vision plus large de celle-ci.

La vision des risques de la direction générale est souvent différente de celle des opéra-tionnels. Il appartient à la direction générale d’établir la cartographie des risquesmajeurs en se basant, certes sur les informations qui lui remontent des opérationnels, viales reporting traditionnels, mais également sur des informations en provenance de l’environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soientensuite déclinés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils don-nent lieu à des reporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du riskmanager ou de l’auditeur interne, doit s’assurer de l’harmonisation de ces cartographies.Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et lesplans d’actions dans l’entreprise.

8



INTRODUCTION

• Selon l’enquête sur l’audit interne menée par l’IFACI en novembre 2002, en partenariatavec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis enplace un processus de management des risques. Il convient d’être prudent dans l’acception donnée à « Processus de management des risques » ; en effet, les échanges ausein du groupe de recherche de l’IFACI ont révélé des pratiques très diverses allant deprocessus peu ou non formalisés à des processus déjà très aboutis.

Face à une littérature traitant abondamment de ce thème, mais parfois de façon dispa-rate, il nous a paru nécessaire d’écrire un guide aidant à la réflexion puis à la construc-tion d’un processus de management des risques, adapté à un environnement industrielet commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizained’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’undocument normatif. À partir des exemples donnés, il appartient à chaque lecteur demener sa propre réflexion autour des thèmes suivants :

• la notion de « processus de management des risques » : processus élaboré et main-tenu par le Conseil, la direction ou les opérationnels, déployé dans toute l’entrepriseet destiné à identifier des évènements potentiels susceptibles d’affecter la vie de l’entreprise, à gérer ses risques et à fournir une assurance raisonnable que ses objectifs seront atteints ;

• le rôle des divers acteurs qui y sont impliqués, notamment celui de l’audit interne,acteur majeur du processus de management des risques, dont les missions varienten fonction de l’existence ou de l’absence d’un processus de management desrisques ;

• l’initiation de la démarche en :

– identifiant les risques majeurs en environnement industriel et commercial ;

– proposant deux approches différentes d’élaboration d’une cartographiedes risques, composante essentielle d’un processus de management desrisques. Ces deux approches ne prétendent pas offrir une méthode exhaus-tive et infaillible d’identification des risques mais des pistes d’orientationpour construire sa propre cartographie.

9



1. LE PROCESSUS DE MANAGEMENT DES RISQUES (PMR)

1.1. Les objectifs du PMR

Les principaux objectifs d’un processus de management des risques sont les suivants (3) :

• identification et hiérarchisation rapide des risques découlant des stratégies, des activi-tés de l’organisation et de l’environnement externe ;

• détermination par la direction générale et les opérationnels d’un niveau de risquesacceptable pour l’organisation, en tenant compte des risques liés à la mise en œuvre desplans stratégiques de l’organisation et de leurs conséquences potentielles ;

• définition et mise en œuvre de mesures d’atténuation et de maîtrise des risques (miseen place d’un contrôle interne adapté, transfert, financement,…) afin de réduire ou de gérerles risques, compte tenu des seuils jugés acceptables par la direction générale et le Conseil.Il s’agit ici de répondre de manière appropriée à tous les risques susceptibles d’empêcher la réalisation des objectifs de l’entreprise. Ceci inclut la sauvegarde dupatrimoine de tout risque d’utilisation inappropriée, de perte et de fraude etimplique de s’assurer que les dettes/pertes sont identifiées et prises en compte.

• suivi permanent des activités afin :

– de réévaluer périodiquement les risques et l’efficacité des contrôles pourpermettre de les gérer et pour veiller à l’émergence de risques nouveaux ;

– d’assurer une cohérence globale de la méthode de gestion des risquesd’une activité à l’autre (ou d’une entité à l’autre) ;

• information périodique du Conseil et de la direction générale sur les résultatsdes processus de management des risques. Dans le cadre d’un bon gouvernementd'entreprise, le Conseil et la direction générale doivent en effet assurer une vigilance(et rendre compte vis-à-vis des parties prenantes) à l’égard des risques, des straté-gies liées aux risques, et des contrôles ;

• maintien d’un niveau de qualité des reportings interne et externe. Ceci impliquedes enregistrements appropriés et des processus générant, en temps utile, une infor-mation pertinente et fiable.

Le processus de management des risques peut également avoir pour objectif, complémen-taire, d’alimenter le plan d’audit interne.

De manière générale, le processus de management des risques offre l’avantage depromouvoir ou renforcer une culture de risques au sein de l’entreprise et de partager lesmeilleures pratiques en apportant des outils et des méthodes aux managers pour les aiderà identifier, évaluer et traiter leurs risques.

10



(3) Les phrases en italique sont issues de la Modalité Pratique d’Application 2110-1 des Normes Professionnelles del’Audit Interne de l'IIA/IFACI.

1.2. Les grandes phases du PMR

• Identifier et évaluer les risques, notamment en veillant à l’émergence de risquesnouveaux. Il s’agit de connaître ses risques, d’en mesurer l’impact et la probabilité,et de les hiérarchiser au travers de cartographies.

• Traiter les risques : il s’agit d’obtenir des propriétaires de risques qu’ils évaluent lesdifférentes options de traitement des risques, qu’ils sélectionnent la meilleure combinaison (supprimer, accepter, transférer, couvrir/financer) et qu’ils conduisentles plans d’actions adéquats, notamment la mise en place de plans de gestion decrise.

• Suivre l’évolution des risques : les propriétaires des risques sont responsables dusuivi de l’évolution des risques au cours du temps. Ils doivent fournir les informa-tions de reporting correspondantes et adapter les mesures nécessaires.

• Garantir la maîtrise des risques : des revues indépendantes et objectives de la per-tinence et de l’efficacité des traitements sont assurées par l’audit interne, le riskmanagement, l’audit externe ou les équipes qualité pour donner à la direction générale une image consolidée des risques majeurs de l’ensemble de l’entreprise etde leur maîtrise.

Au-delà de ces considérations générales, il convient d’adapter le processus de manage-ment des risques à l’entreprise : en fonction de sa taille, structure, culture, activité,… Unevariété de situations peut alors être rencontrée. (4)

11



(4) En annexe 1, sont présentés deux exemples de processus de management des risques : le premier est déployé dansun grand groupe multi-filiales et multi-établissements et le second dans un groupe de presse de taille moyenne.

2. LES ACTEURS DU PMR

Les acteurs du processus étant nombreux, il est indispensable que leurs activités et actionsdans le processus de management des risques soient coordonnées. Le tableau ci-après reprend ce que peuvent être leurs principales responsabilités qui sont ensuite développéesplus largement. Ces rôles se positionnent dans le contexte français. Ils peuvent différerdans d’autres pays, en fonction de la réglementation applicable (notamment les rôles de ladirection générale, du Conseil ou des comités qui en émanent).

Légende du schéma ci-après :

: se coordonne avec

: donne des orientations

12



Commissaires aux comptes

Direction générale

AuditInterne

Riskmanagement

Managementet opérationnels

Contrôlede gestion

Comitésspécialisés du Conseil Conseil

Acteurs Responsabilités dans le processus de management des risques

• veille à ce que un/des processus de management des risquesapproprié(s), suffisant(s) et efficace(s) soit/soient en place ;

• est informé périodiquement des résultats du PMR ;

• s’assure que le PMR fait l’objet d’évaluations régulières ;

• veille à ce que les actions nécessaires aient été menées rapidementafin de pallier toute défaillance ou faiblesse importantes.

• fait partager à toute l’entreprise la vision d’une gestion du risquerigoureuse et efficace, donne l’impulsion, crée les conditions demise en œuvre du PMR au sein de l’entreprise ;

• est responsable de la conception, de la mise en place et du pilotagedu PMR ;

• définit les orientations stratégiques qui généreront, éventuellement,des risques majeurs à prendre en compte ;

• détermine le niveau de risques majeurs acceptable ;

• fixe, au sein de l’entreprise, les responsabilités liées aux risques.Il lui appartient de définir officiellement les rôles précis de chacun des acteurs du processus de management des risques (quien tireront leur légitimité) et de s’assurer que chaque acteur comprenne les responsabilités qui lui incombent. Ceci est parti-culièrement vrai pour l’audit interne dont le rôle, tel qu’il seraabordé ci-après dans la partie trois, est protéiforme et, de ce fait,doit être précisé dans la charte d’audit interne. La direction générale doit, à ce titre, débloquer les ressources humaines et financières nécessaires à la mise en œuvre, au suivi et à l’évalua-tion du PMR ;

• fournit à tous les acteurs intervenant dans le PMR les informationsqu’elle serait la seule à connaître sur les risques de l’entreprise ;

• suit et apprécie les résultats du PMR et de ses évaluations réali-sées par l’audit interne, éventuellement en s’assurant que desplans de continuité des opérations sont mis en place afin de main-tenir la continuité d’exploitation et de réduire les pertes en casd’interruption critique de l’activité ;

• prend en compte ces résultats dans les décisions et orientations stratégiques ;

• présente au Conseil les résultats du PMR.

13



Conseil

Direction générale

14



• examinent les risques et engagements hors bilan significatifs, entendent le responsable de l’audit interne, sont destinatairesde son programme de travail et de ses rapports d’audit interne ;

• vérifient que les processus et procédures en matière financière sontmis en œuvre et sont efficaces ;

• dirigent et coordonnent la prévention et la maîtrise des risques liésaux opérations de l’entreprise.

Chacun de ces comités peut être chargé de traiter un domaine parti-culier du PMR, mais c’est principalement le comité d’audit qui doitjouer un rôle moteur ainsi que le préconise le Rapport Bouton(cf. encadré ci-après). L’existence et le rôle des divers comités est trèsvariable d’une entreprise à l’autre (cf exemple d’un groupe de spécia-lités chimiques ci-après).

L’auditeur joue un rôle majeur dans le PMR. En effet, il identifie et évalue les risques significatifs dans le cadre de ses activités courantes.

En présence d’un PMR :

• l'évalue et contribue à son amélioration (mission prioritaire) ;

• rend compte de cette évaluation à la direction générale et au comitéd’audit ;

• aide à identifier et évaluer les risques ;

• peut apporter un soutien actif et continu au PMR, en participant parexemple à des comités de surveillance et de suivi des risques ;

• peut apporter la méthodologie.

En l’absence d’un PMR :

• fait la promotion de la démarche : attire l’attention de la directiongénérale sur la nécessité de mettre en place un PMR et formule des suggestions sur ce point ;

• initie la démarche, à la demande de la direction générale ;

• gère et coordonne le processus.

Ce rôle varie de manière significative d’une entreprise à l’autre et selon qu’il existe, ou non, un processus de management desrisques.

Il est largement développé dans la partie III du présent cahier de larecherche.

Comités spécialisés du Conseil

(comité d’audit/comité des comptes, comitédes risques,comité des rémunérations,comité stratégique,…)

Auditeur interne(Rôle développé en partie III)


15



Il convient de souligner que, quel que soit ce rôle :

• il doit être défini par la direction générale et le Conseil ;

• il doit être clairement précisé dans la Charte de l’audit interne etdans celle du comité d’audit ;

• l’audit interne ne devient pas, de ce fait, responsable des risques,cette responsabilité incombant à la direction générale et aux direc-tions opérationnelles.

• explique le PMR aux opérationnels ;

• aide la direction générale à définir la stratégie du management desrisques ;

• réalise éventuellement des analyses économiques d’opportunité enprenant en compte les coûts potentiels liés aux risques ;

• identifie, en concertation avec les directeurs opérationnels et l’auditinterne, les risques majeurs de l’entreprise et anticipe les nouveaux risques émergents ;

• évalue les risques ;

• assiste la direction générale et les directeurs opérationnels dans laformulation d’une réponse aux risques :

– prendre le risque,

– traiter le risque,

– transférer le risque,

– supprimer le risque ;

• coordonne, en liaison avec les managers opérationnels :

– le programme d’assurance de l’entreprise (en relation avec lescourtiers et assureurs) ;

– les systèmes de financement du risque (en lien avec les financiers) ;

– les dispositifs de crise et les plans de secours, en étroite collaboration avec les responsables sécurité physique et systèmes d’information.

Risk manager


16



Chaque manager est propriétaire de ses propres risques ; il :

• choisit le traitement à appliquer au risque, en collaboration avec lerisk-manager ;

• détermine le niveau de risque acceptable dans son domaine confor-mément à la politique de l’entreprise (pour les risques majeurs, cerôle est dévolu à la direction générale) ;

• peut être, sous délégation de la direction générale, responsable del’acceptation des risques résiduels ;

• est responsable du déploiement dans son activité/entité/service dela cartographie des risques ;

• est responsable de l’identification, l’évaluation, l’atténuation, lesuivi des risques au jour le jour de son activité/entité/service ;

• rend compte à la direction générale des nouveaux risques identifiésou des faiblesses/lacunes du PMR.

• a une vision transversale de l’entreprise et aide ainsi au déploie-ment de la cartographie ;

• contribue à la lisibilité des objectifs à tous les niveaux hiérarchiqueset sur tous les processus de l’entreprise ;

• assure le lien entre la stratégie définie par la direction générale oupar la direction de la stratégie, et l’activité opérationnelle, en élabo-rant les plans à court et moyen terme et les budgets. Cetteconnexion est, bien entendu, fondamentale pour la déclinaison desrisques stratégiques en risques opérationnels ;

• suit les coûts et valeurs, ce qui permet de prévenir d’éventuellespertes ou destructions de valeur ou, a contrario, d’identifier descouples risques/opportunités intéressants pour l’entreprise ;

• aide au suivi des actions engagées pour prévenir ou réduire lesrisques, en fournissant, notamment, des indicateurs chiffrés.

Directionsopérationnelles etfonctionnelles

Contrôleur degestion


17



Comités spécialisés du Conseil :

Le Rapport Bouton « Pour un meilleur gouvernement des entreprise cotées » paru en sep-tembre 2002 précise le rôle attendu du comité d’audit en matière de contrôle des risques :

Les rôles confiés aux comités spécialisés du Conseil sont variables d’une entreprise à l’au-tre. Voici, ci-après, l’exemple d’un groupe de spécialités chimiques fortement interna-tionalisé :

– Le comité des comptes examine les comptes bien sûr, mais surtout « il vérifie que lesprocessus et procédures en matière financière sont mis en œuvre et efficaces ». Lecomité est donc « spécialisé » de par sa mission sur le traitement des risques finan-ciers (reporting, financement, change, taux etc.).

– Le comité des risques dirige et coordonne la prévention et la maîtrise des risques liésaux opérations de l’entreprise, reposant sur une analyse spécifique au secteur d’activité et/ou au « métier » exercé par l’entreprise.

Les deux ensembles ne travaillent pas isolément l’un de l’autre, certains de leurs mem-bres étant communs. De plus, le Directeur de l’Audit interne est le Secrétaire des deuxcomités, ce qui assure une appropriation rapide par le service d’audit des sujets perti-nents traités lors des comités.

Rôle du comité d’audit/comité des comptes – Extrait du Rapport Bouton« Le comité des comptes a généralement une compétence couvrant à la fois les comptes,les risques et le suivi de l’audit interne mais, dans certaines sociétés, peuvent co-exister un comité spécialisé chargé des comptes et un comité d’audit plus spéciale-ment orienté sur le contrôle des risques ». En outre, ce Rapport recommande que « S’agissant de l’audit interne et du contrôle des risques, les comités devraient exami-ner les risques et engagements hors bilan significatifs, entendre le responsable de l’au-dit interne, donner leur avis sur l’organisation de son service et être informés de sonprogramme de travail. Ils devraient être destinataires des rapports d’audit interne oud’une synthèse périodique de ces rapports ».


• peut apporter des modèles de cartographie, des méthodologies oudes outils d’analyse des risques ;

• dans le cadre de sa mission légale de certification des comptes, pro-cède à une identification et une évaluation des risques sur lesquellesil fonde son plan d’intervention, à l’instar des auditeurs internes.Les risques (et les processus) auxquels il s’intéresse sont plus parti-culièrement ceux qui sont susceptibles d’avoir une incidence sur lescomptes de l’entreprise. Cependant, l’obligation qui lui est faite dese prononcer sur la continuité d’exploitation de l’entreprise l’amèneégalement à se pencher sur l’ensemble des risques, même ceux quine trouveront pas une traduction comptable immédiate.

Commissaire auxcomptes/auditeurexterne

3. LE RÔLE DE L’AUDIT INTERNE DANS LE PMR

3.1. En présence d’un PMR

L’évaluation du PMR est un des objectifs prioritaires de l’audit interne. Il peut prendredes formes très diversifiées d’une entreprise à l’autre et doit être adapté à la culture, austyle de management, à la taille, la structure et aux objectifs de l’entreprise. Il peut englo-ber plusieurs niveaux de cartographies des risques.

Quelle que soit la forme du PMR et « qui que ce soit qui définisse la nomenclature et laliste des risques, l’audit interne doit aller vérifier, chaque fois qu’il y a un risque significa-tif que ce risque est couvert sur la totalité du périmètre de l’entreprise et sur la totalité deson extension géographique » (extrait d'une interview de M. Peyrelevade, Président ducomité d’audit de Suez).

L’audit interne doit s’assurer que les objectifs du PMR tels que définis dans la Partie I sontcouverts :

18



OBJECTIFS DU PMR POINTS D’AUDIT

Intervenants1.1 Existe-t-il un/des responsable(s) du PMR ?

1.2 A-t-il/ont-ils un positionnement hiérarchique en rapportavec sa/leur mission ?

1.3 La fonction est-elle clairement définie ?

1.4 Permet-elle de couvrir toute l'entreprise ?

1.5 Le Management fait-il partie intégrante de l'élaboration duPMR ?

Identification

1.6 A-t-on l'assurance raisonnable que le PMR a permis d'iden-tifier tous les risques majeurs en s'assurant notamment que :

– les objectifs (objectifs liés aux opérations, objectifs liés auxinformations financières et objectifs de conformité – classifica-tion COSO) et les buts de l'entreprise seront atteints ?

– tous les domaines de l'entreprise sont intégrés dans le PMR ?

1.7 L'identification des risques a-t-elle été faite par le manage-ment de l'entreprise ? A-t-il évoqué ses sujets de préoccupation ?

1.8 Existe-t-il une démarche d'auto-évaluation des risques parles managers ?

1.9 Les préoccupations du Conseil ou du comité d'audit ont-elles été intégrées dans l'analyse ?

1.10 A-t-on fait appel à des prestataires externes (assureurs,conseils …) pour une approche globale du PMR ?

1. Risques identifiés, hié-rarchisés et déterminationd’un niveau de risquesacceptable par le manage-ment

19



1.11 Existe-t-il :

– une documentation appropriée sur les risques,

– une formalisation de la cartographie des risques,

– une synthèse des éléments constitutifs de la cartographie ?

1.12 Cette cartographie s'appuie-t-elle sur une hiérarchisationdes risques ?

1.13 L'entreprise a-t-elle une culture de risque étendue à tousses métiers ?

Évaluation des risques

1.14 Y a-t-il une valorisation des impacts éventuels des risques ?

1.15 Une probabilité d’occurrence est-elle définie (pour cer-tains risques majeurs, graves, déterminer une probabilité d’oc-currence n’est pas pertinent) ?

1.16 A-t-on et exploite-t-on des indicateurs de mesure desrisques (incidents, défaillances, accidents …) ?

1.17 Mesure-t-on le niveau de maîtrise/de contrôle des risques ?

1.18 Les risques sont-ils évalués en fonction des trois critères ci-dessus (impact, probabilité d’occurrence, niveau de maîtrise/de contrôle) ?

Validation du PMR

1.19 Le PMR fait-il l'objet d'une procédure de validation ?

1.20 La direction générale est-elle impliquée dans la procédurede validation (directement ou par délégation) ?

1.21 Les risques identifiés ont-ils tous un propriétaire ?

Niveau d’acceptabilité

1.22 Des seuils de niveau d’acceptabilité des risques ont-ils étédéfinis par le management ?

Rattachement

2.1 Pour chacun des risques identifiés, a-t-on mis en place l’unedes mesures de traitement suivantes :

– acceptation,

– réduction,

– élimination,

– assurance/transfert ?

Risques résiduels

2.2 Ces données sont-elles transmises à la direction générale ?

1. Risques identifiés, hié-rarchisés et déterminationd’un niveau de risquesacceptable par le manage-ment (suite)

2. Mesures de traitementdes risques


20



2.3 Existe-t-il un plan d'action sur les risques qui nécessitentd'être réduits ?

2.4 Si oui, la responsabilité de mise en œuvre de ce plan est-elledéfinie ?

2.5 La mise en œuvre de ce plan est-elle suivie ?

Périodicité de mise à jour

3.1 La périodicité de mise à jour du PMR est-elle définie ?

3.2 Est-elle respectée ?

Contrôle

3.3 Le responsable du PMR a-t-il procédé à un inventaire desdifférentes évaluations réalisées (par l’audit interne, les commissaires aux comptes, les risk managers,…) ?

3.4 La périodicité de contrôle du PMR (par l'audit interne oud’autres fonctions) est-elle définie et adaptée ?

3.5 Cette périodicité prévoit-elle la prise en compte de change-ments importants survenus en interne ou en externe à l’entre-prise ?

Élaboration

4.1 La direction générale est-elle impliquée dans l’élaboration duPMR ?

4.2 Le comité d'audit et/ou le Conseil donne-t-il son avis sur lePMR ?

Reporting

4.3 Le PMR et les résultats de son évaluation font-ils l'objetd'une présentation en Comité de Direction/ à la directiongénérale ?

4.4 S’il y a plusieurs PMR dans l’entreprise, sont-ils consolidés ?Cette consolidation est-elle pertinente (non pertinente dans lecas d’activités ou de zones géographiques très diversifiées) ?

4.5 Le PMR et les résultats de son évaluation sont-ils diffusés :

– à la direction générale,– au comité d'audit,– à la direction de l'audit ?

4.6 La liste des risques forts acceptés est-elle :– approuvée par la direction générale ?– communiquée au comité d'audit/Conseil ?

2. Mesures de traitementdes risques (suite)

3. Suivi permanent desactivités : réévaluer pério-diquement les risques et lecontrôle interne

4. Communication à ladirection générale, aucomité d'audit et auConseil des résultats duPMR et de son évaluation


Afin de répondre à ces questions, l’audit interne peut rechercher et examiner des docu-ments de référence et des informations d’ordre général sur les méthodes de managementdes risques afin d’apprécier si le processus mis en œuvre par l’entreprise est approprié ets’inspire des meilleures pratiques du secteur. Voici ce que préconise la Modalité Pratiqued’Application 2110-1 des Normes Professionnelles de l’Audit Interne.

21



5.1 Le plan d'audit est-il élaboré en s'appuyant notamment surles risques identifiés dans le cadre du PMR ?

5.2 Les risques significatifs, identifiés lors des missions d'audit,sont-ils communiqués au Responsable du PMR ?

5. Plan d'audit


Extrait : L’auditeur interne peut recourir aux procédures décrites ci-après :

• Rechercher et analyser des informations sur le secteur d’activité de l’organisation, l’évolutionrécente et les tendances, ainsi que toute autre source d’information appropriée, afin de détermi-ner les risques susceptibles d’affecter l’organisation et les procédures de contrôle utilisées pourgérer, suivre et réévaluer ces risques.

• Examiner les procédures de la société ainsi que les procès-verbaux des délibérations du Conseilet du comité d’audit afin de déterminer les stratégies de l’organisation, son approche du mana-gement des risques, son attirance pour le risque et son acceptation des risques.

• Examiner les rapports d’évaluation des risques précédemment établis par le management, lesauditeurs internes ou externes et, le cas échéant, par tout autre intervenant.

• Organiser des entretiens avec les responsables opérationnels et leurs managers afin de détermi-ner les objectifs de chaque branche d’activité, les risques correspondants, et les mesures de suivi,de contrôle et d’atténuation des risques prises par le management.

• Recueillir des informations afin d’évaluer, en toute indépendance, l’efficacité du processus desuivi, de communication et d’atténuation des risques, et des activités de contrôle correspondantes.

• Déterminer si les informations ou rapports relatifs au suivi des risques sont adressés au niveauhiérarchique approprié.

• Vérifier si les rapports concernant les résultats du management des risques sont diffusés selondes modalités et dans des délais appropriés.

• S’assurer du caractère exhaustif de l’analyse des risques effectuée par le management et desmesures prises pour résoudre les points soulevés dans le cadre du processus de management desrisques, et proposer des améliorations.

• Apprécier l’efficacité du processus d’auto-évaluation mis en œuvre par le management, aumoyen d’observations et de tests sur les procédures de suivi et de contrôle testant l’exactitudedes informations utilisées dans le cadre des opérations de suivi, et par d’autres techniquesappropriées.

• Examiner les signes de faiblesse éventuels du dispositif de management des risques et, le caséchéant, les analyser avec le management, le comité d’audit et le Conseil. S’il estime que lemanagement a accepté un niveau de risques non compatible avec la stratégie et les procéduresde l’entreprise en matière de management des risques, ou jugé inacceptable pour l’organisation,l’auditeur doit se référer à la Norme 2600 relative à l’acceptation des risques par le manage-ment, et à toute orientation complémentaire.

3.2. En l’absence d’un PMR (5)

Les missions de l’audit interne peuvent être diverses :

• Faire prendre conscience des risques et de l’importance du contrôle interne

• Promouvoir la démarche du PMR

En l’absence d’un Processus de Management des Risques, l’analyse du risque de chaquemission d’audit conduit à augmenter la sensibilisation aux risques de l’entreprise. Celapermet de constituer petit à petit le matériau nécessaire à une première cartographie, certes sommaire et quelque peu incomplète. L’audit interne la constitue avec l’expérienceacquise au fil des missions et est le garde-fou de la méthode.

L’audit interne doit convaincre la direction générale de constituer un véritable processusde management des risques. Parfois, la direction générale demandera à l’audit interned’initier cette démarche et de l’aider à identifier et évaluer les risques. L’audit interne,par la mise à jour de risques non formalisés par la direction générale par exemple, ne pourra que plus facilement la convaincre de la nécessité de s’approprier cette démarche.

L’existence d’un PMR apporte une certaine assurance quant à la capacité de l’entreprise àrépondre rapidement et de manière appropriée aux risques émergents, plus particulière-ment dans un environnement fluctuant et imprévisible.

La production ponctuelle d’une cartographie des risques ne permet pas d’assurer uneréactivité optimale face à de nouveaux risques. Il est donc nécessaire de prévoir des méca-nismes permettant de l’adapter en permanence en fonction des évolutions de l’entrepriseet de l’environnement.

• Aider l’entreprise à identifier, évaluer les risques

Si un processus de management des risques n’existe pas dans l’entreprise, une despremières contributions de l’audit interne à la création d’un tel processus peut être d’aidercette dernière à identifier et évaluer ses risques.

L’audit interne peut organiser complètement cette identification et cette évaluation autravers d’entretiens avec les principaux managers de l’entreprise, ces derniers étant lesplus à même de connaître les risques qui touchent leurs opérations et de les mesurer. Cesmanagers seront choisis de telle sorte que tous les processus de l’entreprise soient cou-verts : recherche et développement, industrialisation, vente, … et donc qu’aucun risquemajeur ne soit écarté.

Les entretiens seront menés par les auditeurs internes à l’aide de questionnaires adaptésaux processus étudiés et en fonction de la connaissance des processus et des risques qu'ilsont acquise au travers des missions d’audit interne. Il sera également demandé aux mana-gers de donner une mesure du risque identifié en quantifiant : – l’impact (6) du risque (ou matérialité), – la probabilité d’occurrence,– Niveau de maîtrise/de contrôle (6)

22



(5) Se reporter au Cahier de la Recherche « Management des risques », issu d’une prise de position de l’IIA UK –cf. bibliographie en annexe 6.(6) cf. glossaire (Annexe 5).

23



Ainsi qu’il l’a été souligné précédemment, la probabilité d’occurrence peut ne pas êtreun critère de mesure pertinent dans les cas de risques majeurs (tels que l’explosion d’uneusine, un accident grave de personne,…). On ne peut établir de statistiques de survenancepour ces risques qui, heureusement, restent excessivement rares. On ne peut alors retenirpour mesurer le risque que les critères d’impact et de niveau de maîtrise/de contrôle.

La multiplication des critères donne le caractère critique du risque et tous les risques iden-tifiés pourront alors être classés par degré d’importance pour une mise en évidence desrisques majeurs.

Les risques ainsi identifiés, classés et mesurés sont alors communiqués dans l’entrepriseaux niveaux appropriés à même de mettre en place les mesures pour les couvrir. En aucuncas, l’audit interne ne doit s’impliquer dans cette gestion des risques : ce n’est pas à l’audit interne de décider du mode de traitement du risque. Il doit cependant tenir comptede la cartographie des risques ainsi constituée pour bâtir son plan d’audit.

• Gérer et coordonner le processus afin de le faire évoluer et vivre

L’audit interne peut se voir confier la responsabilité de gérer le processus global et de coor-donner les actions des divers acteurs du processus. À ce titre, il peut être appelé à partici-per aux comités des risques, aux activités de suivi, etc. Il n’en devient pas pour autant lepropriétaire du processus.

Cette situation, bien que prévue dans les Normes, ne saurait être que provisoire. On per-çoit bien, pour un audit interne qui remplit ces rôles, les dangers d’altération de son indé-pendance. Les Normes Professionnelles de l’Audit Interne apportent un garde-fou en pré-cisant que :

– Ce rôle, qui dépasse sa mission traditionnelle d’assurance (évaluation du processus etpropositions de recommandations), doit être clairement inscrit dans la charte d’audit inter-ne et expressément confié par la direction générale et/ou le comité d’audit.

– Ce rôle ne rend pas pour autant l’audit interne responsable du Management des Risques.Cette responsabilité demeure assumée par le management. « Pour éviter de se voir attri-buer la responsabilité des risques, les auditeurs internes doivent obtenir du managementla confirmation que ce dernier veille à l’identification, à l’atténuation et au suivi desrisques et qu’il en assume la responsabilité » (Extrait de la Modalité Pratiqued’Application 2100-4 des Normes Professionnelles de l’Audit Interne).

4. LA CARTOGRAPHIE DES RISQUES, ÉLÉMENT CLÉ DU PMR

La cartographie des risques est un outil clé du PMR qui permet de répondre aux troispremières phases du PMR (cf partie 1.2.), à savoir :

– identifier et évaluer les risques ;

– traiter les risques ;

– suivre leur évolution.

Après avoir proposé une définition de la cartographie des risques, de ses principaux objec-tifs et une liste indicative de risques majeurs en milieu industriel et commercial, cette par-tie est consacrée à deux approches différentes d’élaboration d’une cartographie : uneapproche bottom-up et une approche top-down par partie prenante. Ces deux approches neprétendent pas offrir une méthode d’identification des risques exhaustive et infailliblemais un certain nombre de pistes pour construire sa propre cartographie.

Il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs car-tographies des risques, indépendantes les unes des autres et qui, de ce fait, ne sont pasobligatoirement consolidables. Un groupe qui a des activités ou des implantations géo-graphiques très différentes n’établira pas une cartographie mais plusieurs. En revanche,dans le cas où les activités et entités opérationnelles sont proches ou semblables, il est cer-tain que des risques de même nature seront identifiés et alors agrégés au niveau de ladirection générale, avec l’enrichissement apporté par la vision plus large de celle-ci.

La vision des risques de la direction générale est souvent différente de celle des opéra-tionnels. Il appartient à la direction générale d’établir la cartographie des risques majeursen se basant, certes sur les informations qui lui remontent des opérationnels, via les repor-ting traditionnels, mais également sur des informations en provenance de l’environne-ment extérieur. Bien entendu, il est essentiel que ces risques majeurs soient ensuite décli-nés en plans d’actions par les opérationnels, à tous niveaux, et qu’ils donnent lieu à desreporting réguliers. Un acteur dans l’entreprise, qu’il s’agisse du risk manager ou del’auditeur interne, doit s’assurer de la cohérence de ces cartographies. Ceci est une condi-tion préalable à une bonne cohérence entre la stratégie, les objectifs et les plans d’actionsdans l’entreprise.

4.1. Définition et objectifs d’une cartographie

• Définition d’une cartographie des risques : Positionnement des risques majeurs selondifférents axes, tels que l’impact potentiel, la probabilité de survenance ou le niveau actuelde maîtrise des risques.

• Objectifs d’une cartographie des risques :

L’établissement d’une cartographie des risques peut être motivé par deux natures de fac-teurs :

– des facteurs internes :

• mettre en place un contrôle interne ou un processus de maîtrise des risques adéquat ;

24



• aider le management dans l’élaboration de son plan stratégique et sa prise de décisions ;il s’agit alors d’un outil de pilotage interne ;

• apporter les informations sur la maîtrise des risques au comité d’audit ; l’examen desrisques significatifs et de leur couverture par le comité d’audit est en effet l’une desrecommandations du Rapport Bouton ;

• orienter le plan d’audit interne en mettant en lumière les processus/activités où seconcentrent les risques majeurs ;

• ajuster les programmes d’assurances fondés sur les risques majeurs identifiés dans lacartographie des risques (risk management) ;

• améliorer ou développer une culture de management des risques dans une entreprisegrâce à l’établissement, notamment, d’outils d’auto-évaluation ;

• prévenir la destruction de valeur ou accroître la valeur en utilisant le couplerisques/opportunités.

– des facteurs externes :

• respecter les lois ou les bonnes pratiques en matière de gouvernement d’entreprise(Sarbanes-Oxley Act, Combined Code anglais et Rapport Bouton par exemple) ;

• répondre à l’attente des marchés et fournir des informations aux actionnaires (dans lerapport annuel, document de référence en France) ;

• s’adapter à un environnement de plus en plus concurrentiel, nécessitant une bonnemaîtrise de ses risques/opportunités. Cet objectif relève plus généralement du proces-sus de management des risques, la cartographie des risques étant un des moyens del’atteindre ;

• veiller à la bonne image de l’entreprise.

4.2. Exemples de risques majeurs en environnement industriel et commercial

Ces quelques exemples n’incluent pas, volontairement, les risques financiers pour lesquelsune documentation importante existe déjà. Il ne s’agit pas, bien entendu, d’une listeexhaustive.

✔ Le risque de perte d'image

• Défaut de conception d’un produit menant au décès d’un utilisateur ou à un acci-dent ;

• Empoisonnement par la vente de produits alimentaires contaminés ou impropresà la consommation ;

• Mauvaise gestion des rappels de produits et de la communication l’entourant ;

• Atteinte à l’environnement.

✔ Le risque de rupture des approvisionnements

• Dysfonctionnement de la chaîne d’approvisionnement entraînant un arrêt de pro-duction, des retards de livraisons et ruptures en rayon ;

25



• Liquidation ou difficultés d’un fournisseur qui est la seule source d’approvision-nement d’une matière première ou de prestation de services pour l’entreprisedans un marché très concentré.

✔ Les risques liés au Système d'information

• Dysfonctionnement majeur du système d'information (panne…) ;

• Perte de fiabilité du système d'information (non d'exhaustivité, perte d'intégritédes données…) ;

• Inexistence ou défaillance de plans de reprise d’activité pour les applicationsinformatiques majeures (gestion des commandes provenant des clients, factura-tion…) ;

• Mauvaise protection des informations.

✔ Le risque de positionnement

• Usure sur le long terme liée à un positionnement (offre produit, politique deprix…) incohérent ou peu lisible par le client ;

• Portefeuille de produits qui ne répond pas à la demande des clients (par exemple,du fait d’une mauvaise évaluation des besoins des clients, d’une mise sur le mar-ché du produit trop prolongée, d’efforts de recherche insuffisants, …) ;

• Monoproduit.

✔ Le risque d'expansion

• Ouverture de surfaces de ventes dans des zones à potentiel insuffisant ou dans despays à risques.

✔ Le risque légal

• Risque fiscal et interventions de la DGCCRF (Direction Générale de laConcurrence, de la Consommation et de la Répression des Fraudes) ;

• Évolution de la législation concernant la distribution.

✔ Le risque social

• Perte de la culture d'entreprise et/ou de l'expérience en raison d'un taux de turn-over élevé ;

• Conflits sociaux entraînant des perturbations durables de l'activité (fermeture dessurfaces de vente…) ;

• Personnel insuffisamment formé ;

• Difficultés de recrutement.

✔ Le risque sécuritaire

• Accident grave (incendie, destruction du site…) sur la surface de vente lors de laprésence de clients ;

• Manque de protection de la santé ou de la sécurité des employés et des riverains(utilisation de produits chimiques dangereux pour la santé ou hautement explo-sifs…).

✔ Le risque concurrentiel

• Politique commerciale agressive de la concurrence ;

26



27



• Perte d’informations confidentielles (notamment tout ce qui touche au secretindustriel).

✔ Risque d’arrêt de la production• Destruction totale ou partielle d’une usine (explosion, incendie…) conduisant à un

arrêt de production (risque aggravé si la production est mono-source).

✔ Risque organisationnel• Echec de projets importants pour l’entreprise (par exemple, réorganisation des

systèmes d’information, croissance externe) ;

• Mauvaise gestion des compétences du personnel conduisant à une perte d’exper-tise dans un domaine clé pour l’entreprise.

✔ Risque de fraude• Organisation par certains employés de systèmes de « pots de vin », corruption,

ententes, vols de produits.

4.3. Exemple : Approche bottom-upComment identifier des risques majeurs ? ou comment passer des « risques opération-nels identifiés » (inhérents aux modèles) aux « risques majeurs ». Ce travail doit être faitrégulièrement afin d’assurer une actualisation de la cartographie et la prise en compte desnouveaux risques.

Cette approche se décline en sept étapes :

• Modélisation des processus de l’entreprise ;

• Identification des risques inhérents ;

• (Auto-) évaluation des risques résiduels et identification des risques majeurs ;

• Identification des risques liés à la stratégie ;

• Mixage des risques majeurs / risques stratégiques ;

• Gestion du portefeuille des risques et opportunités ;

• Pilotage et communication.

28



Étape Acteurs Moyens/Outils Description et objectifs1re : Modélisationdes processus de l’entreprise(business processmodel)

2e : Identificationdes risques inhérents

3e : (Auto-) évaluation des risques résiduels et identification des risquesmajeurs

BRM (7) RAI (8)

BRMRAIOpérationnels

BRM et RAI(rôle de coordonnateur)

Managers financierset opérationnels

InterviewsMissions d’audit

InterviewsMissions d’audit

Ateliers de 7 à 10 personnesqui réunissent les opérationnels(Rechercheet Développement,Supply Chain,Industriels,Commerciaux,Contrôle Qualité,Marketing,…), lesfonctions support(Finance, RH,…),la fonction «Systèmesd'Information »lorsque des activités/processus sont fortement impactées par la technologieinformatique.

En annexes 2.1 et 2.2 figurentun exemple de BusinessProcess Model et de questionnaire de descriptiond’un processus pouvant servir à l’élaborer.

Identifier les risques par processus, notamment les :

– risques liés aux actifs (corporels ou incorporels),

– risques « environnementaux »(liés aux contraintes externes),

– risques de non-conformitédes opérationsaux référentiels internesde l’entreprise.

– Dresser une 1re carte desrisques résiduels (risquesrestant après l’évaluationde l’efficacité des contrôlesinternes sur les risquesinhérents). En évaluer l’impact probable sur lesactivités de l’entreprise etsur ses états financiers ;

– Analyser/apprécier/assembler ces risques résiduels (corrélation, analyses causes/effets,analyses multi-factorielles,simulation de scenarii« catastrophes » …) ;

– Sélectionner les 10 à 20risques résiduels majeurs(ceci implique d'avoir faitvalider par la directiongénérale de l'entreprise la définition et la qualification d'un risquemajeur : la probabilitéd'occurrence (lorsqu’elle

(7) BRM : Business Risk Manager.(8) RAI : Responsable de l’audit interne.

29



Étape Acteurs Moyens/Outils Description et objectifs3e : (Auto-) évaluation des risques résiduelset identification des risquesmajeurs(suite)

4e : Identificationdes risques liés à la stratégie

BRM

Direction de lastratégie et dudéveloppement

DirecteursOpérationnels

peut être définie), le niveaude maîtrise, l’impact qualitatif (éthique, image) /quantitatif / économique.

Cette étape d’identificationdes « risques majeurs » doittoujours être faite en tenantcompte systématiquement : – du business model de l'entreprise, – des contraintes de performances internes etexternes de l'Entreprise, – des référentiels standardsconnus sur les grands risquesdu secteur d’activité concerné.

Le résultat de cette cartographie sera présenté à ladirection générale, pour vali-dation, sous forme d'un porte-feuille des risques majeursencourus par l'entreprise.

– Dresser une 2e carte derisques : les risques stratégiques, en fonctiondes business plans àmoyen et long terme ;

– Documenter ces risquesliés à l'exercice du processus stratégique del'entreprise et les actionsd’atténuation qui s’ensuivent : élaboration,développement, mise enœuvre, réajustement desoptions stratégiques...

– Lister également les opportunités liées à l'exercice du processusstratégique.

– Faire valider cette carte parle responsable « Stratégieet Développement » del'entreprise et par leresponsable de la Divisionopérationnelle concernée.

30



Étape Acteurs Moyens/Outils Description et objectifs5e : Mixagerisques majeurs /risques stratégiques

6e : Gestiondu portefeuilledes risques et opportunités

BRMRAIDirection généraleDirectionde la stratégie et du développementManagers des fonctionssupports(Finance, RH,Systèmesd’Information,Juridique)

BRMManagers opérationnels

Petits groupes detravail coordonnéspar le BRM

L'assemblage et le croisementdes deux cartes (risquesmajeurs et risques stratégiques) doit conduire à :

– une cartographie uniquede risques et opportunitésmajeurs de l'entreprise,hiérarchisés (en fonction deleur impact sur l’activité,les états financiers et laréalisation de la stratégiede l’entreprise) ;

– une hiérarchisation desprocessus cruciaux.

Cette cartographie peut êtreprésentée sous diverses formes (graphiques, matrices,par business, par processus,par région...).

Cette gestion se fait en fonction d’une politique et de stratégies de traitementdes risques et opportunités pré-définies. Les actions possibles à l’égard desrisques sont :

– accepter : l’accepter enfonction des seuils de tolérance fixés, prendre des mesures de back-up,…

– traiter : le réduire par desmesures de prévention oude protection, la préventionpouvant passer par la formation des acteursconcernés dans l’entrepriseet la définition de leursresponsabilités, et la protection par la mise enplace de contrôles internesadaptés,

31



Étape Acteurs Moyens/Outils Description et objectifs

BRM

Direction généraleRessourcesHumaines

– transférer : par des couvertures financières oud’assurance, ou par letransfert à un sous-traitantexterne par exemple,

– Supprimer : en arrêtant l’activité, en changeant les objectifs.

Les actions possibles à l’égard des opportunités sont :

– développer,

– saisir,

– adapter la stratégie.

Il s’agit de contrôleret de mesurer l’efficacitédes actions de traitementet de maîtrise des risques :

– préparer un premiertableau de bord de suivi degestion en lien avec letableau de bord de pilotagede l'entreprise. Ce tableaude bord permettra de suivrel’apparition des risques oule non accomplissement desopportunités identifiées ;

– actionner les plans de gestion de crise si le risquese concrétise ;

– mémoriser et capitaliser sur l’expérience vécue.L’approche culturelle etl’apprentissage des hommeset de l’entreprise sont desfacteurs clés de réussite.

6e : Gestion du portefeuille des risqueset opportunités(suite)

7e : Pilotageet communication

32



4.4. Exemple : Approche top-down Cette approche se décline également en sept étapes :

1re étape : Déterminer les risques majeurs par partie prenanteChaque entreprise doit répondre aux attentes de ses parties prenantes, internes ou externes. Il s’agit d’une personne ou d’un groupe de personnes ayant un intérêt dans lefonctionnement, la continuité ou le succès de l’entreprise. Sont identifiées dans l’exempleci-après 6 parties prenantes : les actionnaires, les fournisseurs, les salariés, les clients, lespartenaires industriels et la société civile. Il s’agit maintenant d’identifier par partie prenante les risques les plus importants.

Partie prenante Risques majeurs

Pour l’actionnaire Retour sur investissement insatisfaisantProtection du patrimoineMauvaise réputation de l’entreprisePertes durables

Pour le fournisseur Entreprise insolvable, paiements tardifset/ou irréguliersInterfaces difficiles, lourdesRelations commerciales de courte durée et à perte

Pour les employés Entreprise non rentableManque de croissanceMauvaise réputationEmploi incertainAccidents du travail, incidents, grèvesPerte de savoir-faireAbsence de développement personnel

Pour les clients Interruption des livraisonsLitigesRelations commerciales non-profitablesProduits et services non-innovantsMauvaise qualité des produits et des services

Pour les partenaires (joint-ventures) Interruption des activitésMauvaise réputation de l’entreprisePertes durables

Pour la société civile Pollution, litiges, non respect de la réglementation et de la loiManque de croissancePerte de l’emploi

2e étape : Pondérer les risques majeurs pour ne conserver que les plus importants

Par exemple :

• Mauvaise image ;

• Non respect des lois et réglementations ;

• Investissements non rentables ;

• Perte de compétitivité ;

• Non fiabilité des livraisons.

Les risques doivent être pondérés par rapport aux objectifs de l’entreprise : par exemplel’impact sur le profit, l’impact sur les hommes, le cours de l’action en bourse, la réputationde l’entreprise, et d’autres critères qui sont jugés pertinents pour l’entreprise.

3e étape : Rattachement des processus clés de l’entreprise aux risques opérationnels et auxrisques majeurs

Par exemple :

Processus Risque opérationnel Risque majeur

Production Pollution Mauvaise réputation

Retard de maintenance Non-fiabilité des livraisons

Coûts de production trop élevés Perte de compétitivité

Production non-flexible Perte de compétitivité

Planning trop réactif Perte de compétitivité

Sous-utilisation des machines Investissements non rentables

Les buts de cette approche sont de :

• Fournir un cadre de réflexion pour les dirigeants et les auditeurs internes. C’est unmoyen de communication avec les dirigeants. Ce cadre est relativement de haut niveaudonc stable dans le temps ;

• Garantir une vision des risques qui est en ligne avec la perception du top managementet du comité d’audit ;

• Assurer l’exhaustivité des risques pertinents pour l’entreprise (il peut arriver qu’il y aitdes risques opérationnels pertinents mais qu’il n’existe pas de risques majeurs associés.Dans ce cas, il faut réfléchir sur l’exhaustivité des risques majeurs).

4e étape : Hiérarchiser les risques

Il s’agit de déterminer la probabilité d’occurrence et l’impact des risques sur le profit, laréputation, les hommes, le cours de l’action, la possibilité de croissance pour l’entreprise, … Ceci est fait au travers de l’établissement d’une cartographie des risques.

5e étape : Établir une cartographie des risques

L’établissement d’une cartographie n’est pas une science exacte : impressions, expériences,faits, évènements récents, « le goût du jour », analyse et chiffrage, tout ceci a un impact surl’établissement de la cartographie d’une entreprise. Le directeur d’audit est bien placépour prendre l’initiative et, en dialoguant avec les dirigeants, les auditeurs internes, les

33



34



risk managers, les contrôleurs de gestion, les auditeurs externes, il devra arriver à classi-fier les risques majeurs en fonction de leur impact, de leur probabilité d’occurrence si elleest pertinente ou de leur niveau de maîtrise.

Ce qui augmente la crédibilité de cette cartographie, c’est un chiffrage et une quantifica-tion des risques. Pour cela, une étude plus poussée est nécessaire, mais cette étude sera unbon investissement car un reporting sur la qualité du management des risques peut êtrebasé sur cette quantification. Par exemple, il est possible de mesurer combien l’entreprisea perdu en raison de livraisons tardives et incomplètes. Le renforcement des dispositifs decontrôle interne permettra une maîtrise de ces pertes.

• Exemple : utilisation préalable d’un outil de qualification des risques : la matriced’évaluation des risques

Cet outil peut être utilisé pour caractériser ou identifier les risques, notamment émergents,lors des interviews avec les propriétaires des risques. La matrice a pour but de « formaliser » et de tenter de quantifier la perception des risques par l’interviewé, et d’alimenter dans un deuxième temps la cartographie des risques. Dans l’exemple donnéci-dessous ont été retenus pour critères de mesure l’impact et la probabilité d’occurrence.

Comment utiliser cette matrice ?

✔ L’intervieweur (il peut s’agir du risk manager ou l’auditeur interne) doit préparercette matrice en essayant d’identifier quelques risques (les majeurs si possible) quiconcernent l’interviewé. Les risques sont identifiés par processus, il y aura doncautant de matrices que de processus. Même si la colonne des « risques majeurs » estincomplète ou imparfaite, elle a pour but de lancer la discussion.

✔ Évaluation de l’impact et de la probabilité d’occurrence du risque : le propriétairedu risque estime le niveau d’impact et de probabilité sur l’un des trois niveaux (fai-ble, modéré, élevé). Les niveaux peuvent être quantifiés avec des données chiffrées(impact sur le chiffre d’affaires, perte des actifs, baisse du cours de l’action, baisse dela réputation, incidence humaine, etc).

Matrice d’évaluation des risquesIntervieweur :

PROCESSUS : Gestion de crise (exemple) Interviewé :

N° RISQUES MAJEURS COMMENTAIRES Impact Probabilité RISQUE INHÉRENT CONTRÔLE RISQUE RÉSIDUELFaible Modéré Élevé Faible Modéré Élevé Faible Modéré Élevé Non Efficace Efficace Faible Modéré Élevé

1 Mauvaise gestion Cellule de crised’une crise

2 Mauvais fonctionne- Exercices de crisement et disponiblilité de la cellule de crise

3 Délais de réaction4 Anticipation des crises5 Mauvaise commu- Plan de

nication de crise communication7 Incidence interne Absence de plan de

(SI) continuité informatique891011 Couleur finale

du processus

✗

✗

✗✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗

✗✗

✗

✗

✗

✗

✗

✗ ✗

✗✗

✗

✗

✗

✗

✗

35



✔ Détermination du risque inhérent (9). Par convention, c'est systématiquement leplus mauvais des résultats qui est retenu : si l’impact est jugé élevé alors que la probabilité est faible, le risque inhérent sera considéré comme élevé.

✔ Efficacité du contrôle interne : le propriétaire estime l’efficacité (ou non) des contrôles internes existants (s’il y a lieu) pour chacun des risques identifiés.

✔ Le risque résiduel est le risque inhérent atténué éventuellement par le contrôleinterne si celui-ci est efficace. Par convention, le risque inhérent sera réduit d'un ouplusieurs niveaux (chaque niveau étant matérialisé par une couleur) si le contrôleinterne a été jugé efficace.

✔ Finalement, la somme des évaluations pour chaque ligne détermine la couleur, c’est-à-dire le niveau du risque global pour le processus analysé. Cette fois-ci, l’inter-vieweur et le propriétaire du risque doivent évaluer ensemble la couleur finale auregard de tous les risques précédemment étudiés.

Remarques :

✔ Cet outil n’est pas scientifique et fait largement appel au jugement et à la perceptiondu risque par le propriétaire. Il s’agit d’éléments « déclaratifs » : même si une tenta-tive de quantification est réalisée, il n’y a pas nécessairement de fondements objec-tifs à ces estimations. Toutes ces estimations doivent être ensuite reprises pourconfirmer ou non les niveaux annoncés. Un travail important reste donc à faire, celuide la validation des risques.

✔ Le risk manager, l’auditeur interne ou la personne qui consolidera au final toutes lesévaluations doit impérativement prendre du recul pour hiérarchiser tous les risquesau regard des objectifs de l’entreprise. Il doit mettre en présence les différentsacteurs opérationnels afin de confronter leur point de vue et parvenir à un consen-sus. En effet, le niveau de contrôle, pour un même risque, ne sera pas nécessairementapprécié de la même manière par deux acteurs concernés par ce risque et interrogés.

✔ Par expérience, ce travail est bien perçu par les propriétaires des risques, à conditionde communiquer régulièrement l’avancement des travaux, y compris lorsque leursentretiens sont terminés. La communication régulière et pertinente est un facteurclef de succès dans la construction d’une cartographie des risques dans une appro-che « participative ».

• Construction de la cartographieLa cartographie ci-après est un exemple ; d’autres critères de mesure et d’autres échellespeuvent être utilisés.

(9) cf glossaire (Annexe 5).

36



6e étape : Valider les risques

Pour garantir la pertinence de cette cartographie, une validation par les dirigeants estnécessaire. Pour cela, il y a plusieurs méthodes à utiliser. Les deux méthodes les plus courantes étant :

• Une validation pendant les entretiens avec les dirigeants ;

• Une auto-évaluation par les dirigeants.

La première approche aboutira à un approfondissement des risques déjà identifiés (quan-tification de l’impact et probabilités d’occurrence plus fiables, moins subjectifs). Les entretiens permettent ainsi de dialoguer sur les risques, la qualité des contrôles internes,les conséquences probables etc., tout cela pour renforcer la prise de conscience des risqueset contrôles internes. La deuxième approche permet le plus souvent de détecter des risquessupplémentaires. Le but principal est de présenter la cartographie à la direction généraleet au comité d’audit pour validation.

Dans le cas où plusieurs cartographies des risques sont établies à différents niveaux opérationnels, chaque cartographie est reportée au niveau hiérarchique ou fonctionnel

Mauvaisequalité des

produits

Nonfiabilité deslivraisons

Litiges

Informations– non fiables

Mauvaiseréputation

Pertede

compétitivité

Fréquence

Élevée

Moyenne

Parfois

Faible

Se produitplusieursfois par an parpays/zone

S’est produitplusieursfois par andans l’entreprise

S’est produitdans l’entreprise

S’est produitdansl’industrie

ImpactTrès faible Faible Moyen Elevé

Hommes Dommage Dommage Dommage Fatalitéminime mineur majeur

Résultat net < EUR 500 000 < EUR 1 M EUR 1 M< < 5 M > EUR 5 MActifs < EUR 1 M < EUR 10 M EUR 10 M< < 20 M > EUR 20 MCours d’action 1-3 % < 10 % 10 % > 10 %Réputation Site Locale/ Nationale Internationale

Régionale

37



immédiatement supérieur pour validation et intégration de certains éléments dans la cartographie élaborée au niveau qui valide. Cette démarche de validation par paliers setermine au niveau de la direction générale.

Une mise à jour devra être présentée autant de fois que nécessaire, par exemple tous les 6 ou 12 mois. Ce rythme est plus élevé dans une entreprise opérant dans un environne-ment dynamique et changeant.

7e étape : Alimenter le plan d’audit

Le plan d’audit doit être établi en prenant comme base la cartographie des risques.L’objectif est de déterminer la fréquence des audits. On part du principe que chaque activité (ou filiale) de l’entreprise doit être auditée par exemple au minimum tous les cinqans (cette fréquence est déterminée par la direction générale ou le comite d’audit). Ensuite,le schéma suivant peut être établi :

Ce schéma permet de déterminer la fréquence des audits sur les processus (ou les filiales) :un score de 24 et plus : chaque année, entre 12 et 24 : tous les deux ans, entre 8 et 12 : tousles trois ans, un score de 4 ou 6 : tous les 4 ans et les scores plus bas : tous les 5 ans. Unplan d’audit sur 5 ans peut être établi avec les résultats de cette analyse. La fréquence desaudits est aussi déterminante pour la taille de l’équipe d’audit interne.

4.5. Une démarche d’auto-évaluation (10)

Cette partie n’a pas pour mission de décrire la méthodologie d’une approche d’auto- évaluation mais de considérer dans quelle mesure une telle démarche fait partie d’un processus de management des risques, parce qu’elle permet, notamment, d’identifier etd’évaluer les risques. Pour une méthode complète d’auto-évaluation des contrôles, nousrenvoyons à l’ouvrage « Guide de self-audit ». (11)

ProcessusExposition

ImpactImpact Qualité

Total(ou filiales)aux risques

sur le profitsur autres du contrôle

majeurs critères… interne

Haute = 3 Haute = 3 Haute = 3 Haute = 1 ProduitMoyenne = 2 Moyenne = 2 Moyenne = 2 Moyenne = 2 des 4Basse = 1 Basse = 1 Basse = 1 Basse = 3 notes

Achat 2 3 2 2 24Vente 3 3 3 3 81Production 2 1 2 1 4RH 2 1 2 3 12Finance 3 2 3 1 18Informatique 3 1 2 1 6Etc.

(10) cf. glossaire (Annexe 5).

(11) Ecrit par Olivier Lemant et Pierre Schick aux Editions Organisation.

• La finalité et l’intérêt de cette démarche

L’auto-évaluation a pour finalité l’appropriation des meilleures pratiques de maîtrisedes risques par l’ensemble des acteurs de l’entreprise. Elle constitue également une étapeimportante vers une gouvernance efficace de l’entreprise.

L’auto-évaluation présente des intérêts divers selon les acteurs de l’entreprise :

– pour la direction générale / le management : contribuer à donner une assurance sur l’efficacité et le caractère adéquat des processus de management des risques et de contrôle ;

– pour les opérationnels : mieux identifier les risques liés à l’atteinte de leurs objectifs etmieux piloter leur activité ;

– pour les auditeurs internes : alléger ou orienter le plan d’audit en s’appuyant sur lesrésultats de l’auto-évaluation (après avoir évalué la qualité de la démarche d’auto- évaluation) et identifier des risques et éléments exceptionnels mis en évidence par celle-ci ; améliorer leur connaissance des processus de l’entreprise ;

– pour l’entreprise dans son ensemble : instaurer un environnement de contrôle et une culture des risques ; apporter une assurance que les risques liés à la réalisation des objec-tifs et les contrôles associés font l’objet d’un suivi et d’une amélioration continue.

• Les facteurs clés de succès

Les facteurs clés de succès sont les suivants :

– la culture des risques et du contrôle interne doit exister dans l’entreprise ;

– les opérationnels/utilisateurs adhèrent à la démarche et se l’approprient, ce quiimplique de prendre en compte leurs attentes au moment de la conception de la démarcheet de faire des efforts d’information et de communication particuliers ; les ateliers sontconduits par un animateur compétent ;

– le nombre de questions figurant dans les questionnaires d’auto-évaluation est limitéaux risques et points de contrôle essentiels ;

– le répondant au questionnaire est l’opérationnel lui-même (et non sa hiérarchie) car c’est la personne la mieux placée pour identifier et suivre le niveau de contrôle de sesrisques.

Toutefois, avant de se lancer dans une démarche aussi ambitieuse qui nécessite un véritable changement des mentalités concernant l’approche même de l’activité de contrôle,il est important de respecter un certain nombre d’étapes.

• La méthode et les outils

✔ Définition d’un modèle de risques

– S’appuyer sur la cartographie des risques (ou le modèle de risques ou encore le référen-tiel de contrôle interne) si elle existe ;

38



– Sinon, procéder à une définition des processus clés, puis des risques susceptibles d’affecter l’activité et identifier les points de contrôle les plus importants.

La démarche est entièrement centrée sur l’évaluation des risques, l’analyse de leur maîtrise, et sur la recherche d’actions correctrices, l’objectif étant de jouer un rôle décisif,préventif de la « destruction de valeur ».

✔ Organisation d’ateliers

Des « ateliers » organisés regroupent des experts métier de chaque activité concernée etdifférents niveaux hiérarchiques au sein des activités afin d’entamer des réflexions concer-nant les points de contrôle clefs à respecter si l’on veut conserver une maîtrise raisonnabledes activités. Les dispositifs de contrôle interne seront sélectionnés en fonction d’un certain nombre de critères tels que : le coût, le temps nécessaire afin d’effectuer le contrôle,sa complexité, la fréquence de vérification souhaitable. Ces travaux en ateliers peuventmême aller jusqu’à la formulation des questions.

La finalité sera de dégager pour l’ensemble des activités un « cœur de contrôles », soigneusement défini.

✔ Établissement de questionnaires d’auto-évaluation

Les questionnaires doivent aborder les risques et points de contrôle essentiels et il estimportant de ne conserver qu’un nombre raisonnable de questions.

Pour faciliter l'exploitation des questionnaires et la consolidation des risques, il est recom-mandé de retenir une démarche commune dans leur élaboration quel que soit le proces-sus. Il est par exemple possible d'organiser chaque questionnaire en 5 chapitres à partir dela classification retenue par la COSO : l'environnement de contrôle, l'identification et l’évaluation des risques, les dispositifs de contrôle interne, l'information et la communica-tion et, enfin, le pilotage du contrôle interne.

Les questions doivent être rédigées de telle sorte qu'une réponse négative soit la traduc-tion d'une faiblesse.

✔ Développement d’un outil support

Un tel système ne peut fonctionner à grande échelle que s’il existe un outil informatiqueen mesure d’agréger les informations au niveau central, d’en effectuer le traitement ainsique de proposer des améliorations concernant les dysfonctionnements constatés. Le support utilisé peut être l’intranet de l’entreprise. Il offre le maximum de convivialité etpermet de garantir le maximum d’efficacité dans le système de reporting.

✔ Communiquer et former les utilisateurs

En parallèle, un travail de communication important sur le projet devra être réalisé,chaque acteur devant comprendre l’importance de ses vérifications dans la chaîne de maîtrise des activités. Le portage stratégique doit être effectué au plus haut niveau de lahiérarchie, idéalement par la direction générale. La communication devra mettre l’accentsur l’aspect « gagnant/ gagnant » du système, la remontée d’information permettant lepilotage des activités au plus haut niveau et donnant – après traitement – des indicateursde résultat.

39



40



• Impact sur l’approche d’audit

Une fois testée la qualité des informations entrées dans le système d’auto-évaluation, l’audit interne peut s’appuyer sur ses résultats. Ceux-ci auront nécessairement un impactsur le choix de ses missions et sur ses propres conclusions.

En outre, la mise en place d’une démarche d’auto-évaluation amène l’audit interne à desactivités de formation, de facilitation et d’animation ce qui lui procure un regain de visibilité auprès des opérationnels.

4.6. La communication de la cartographie des risques

Chaque niveau dans l’entreprise a besoin d’une information adaptée à ses responsabilitésen matière de processus de management des risques (cf Partie II). Dans tous les cas, lacommunication des résultats de la cartographie des risques doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile.

Cette communication peut provenir de l’audit interne qui restitue le résultat de ses évaluations et également des directions opérationnelles, qui rendent compte de la bonnemise en œuvre (ou non) des contrôles internes permettant de sécuriser les opérations etqui, éventuellement, font remonter les nouveaux risques susceptibles d’apparaître. Untableau de bord comportant les indicateurs pertinents, sélectionnés par les directeurs opérationnels et répondant aux attentes de la direction générale, est l’outil le plus efficace.

Des informations et réactions sur des risques existants ou potentiels peuvent égalementémaner de partenaires externes (fournisseurs, clients, actionnaires, partenaires, législateur,…). Ces informations peuvent être précieuses et révélatrices de déficiences del’entreprise dans la maîtrise de ses activités.

Vers l’extérieur et en vue d’une plus grande transparence, l’entreprise peut reporter régulièrement vers les parties prenantes ses politiques de management de risques et lesrésultats atteints. De plus en plus, les parties prenantes cherchent à connaître la perfor-mance de l’entreprise dans des domaines autres que financiers, tels que l’environnement,la sécurité, les ressources humaines,… etc.

Le reporting vers l’extérieur peut préciser :

• le processus utilisé pour identifier les risques ;

• la manière dont ces risques sont traités ;

• les responsabilités du management en matière de gestion de risques ;

• le système de pilotage et de revue de ces risques.

41



CONCLUSION

Gérer les risques liés à la mise en place d’un PMRL’élaboration et la mise en place d’une cartographie des risques ne sont pas des missionsaisées. Nous avons insisté sur l’importance d’un environnement de contrôle et de maîtrisedes risques fort pour favoriser le succès de la démarche. Voici quelques risques inhérentsà cette démarche qu’il convient, bien évidemment, de connaître, d’évaluer et de gérer !

• Absence de soutien de la direction générale ;

• Non visibilité de la valeur ajoutée apportée par la cartographie à l’échelle de l’en-treprise ;

• Manque de coopération des managers fonctionnels (y compris des domaines finan-cier et contrôle de gestion) et opérationnels ;

• Manque d’information ou fausse information ;

• Auto-censure par crainte de « représailles » ;

• Expérience insuffisante des acteurs en charge de la démarche ;

• Absence de méthode efficace ;

• Cartographie non exhaustive (oubli de risques majeurs, non actualisation de la car-tographie,…) ;

• Sujets traités trop volumineux ou trop détaillés ;

• Alimentation du système par des personnes trop éloignées des opérations.

ANNEXES

Annexe 1 : Exemples de processus de management des risques ............................................................... 44

• 1.1. Grand groupe multi-filiales et multi-établissements .................................................. 44

• 1.2. Groupe de presse de taille moyenne ............................................................................................ 45

Annexe 2 : Exemple de Business Process Models et de questionnaire de descriptionde processus ......................................................................................................................................................................... 49

• 2.1. Business Process Models ......................................................................................................................... 49

• 2.2. Questionnaire de description de processus ......................................................................... 50

Annexe 3 : Exemples de guide d’audit du processus achat ........................................................................... 53

• 3.1. En milieu industriel ..................................................................................................................................... 53

• 3.2. En milieu commercial ................................................................................................................................ 61

Annexe 4 : Risque industriel : la directive Seveso .................................................................................................... 83

Annexe 5 : Glossaire .................................................................................................................................................................................. 85

Annexe 6 : Bibliographie ...................................................................................................................................................................... 86

43



ANNEXE 1EXEMPLES DE PROCESSUS DE MANAGEMENT DES RISQUES

1.1. Grand groupe multi-filiales et multi-établissements

À la fin de l’année 2002, le processus de management des risques est en émergence dansle Groupe avec des situations contrastées selon les domaines d’activité ou les filiales :

• Le déploiement d’un processus complet est acté et lancé dans deux filiales avec un comitédes risques institué pour piloter le processus et notamment le traitement des risques.

• Des pratiques locales de traitement du risque existent dans certains secteurs du Groupe,fondées sur les savoir-faire développés par les métiers, notamment :

– Les risques de change, de taux et de marché dans le domaine de la trésorerie et dufinancement ;

– Les risques assurables et la sinistralité dans le secteur des assurances ;

– Les risques liés à la permanence du service dans le domaine des réseaux ;

– Les risques de défaillances et de malveillances dans le domaine des systèmes d’infor-mation ;

– La sécurité des personnes dans le domaine des ressources humaines ;

– Le réseau des contrôleurs de gestion ;

– Les démarches qualité et de certification.

La démarche de cartographie des risques initialisée par la Direction de l’Audit en 2000, àla demande du comité d’audit, a constitué une première fédération de ces analyses derisques locales.

Cependant, l’élaboration de la cartographie repose sur du déclaratif d’auditeurs internes,d’experts et de managers. La cartographie réalisée a servi essentiellement à orienter l’au-dit sur les risques majeurs du groupe.

Le processus de management des risques a donc évolué de la façon suivante :

Situation antérieure :

• Une fonction de risk management située au sein de la Direction de l’Audit, dont les mis-sions sont de :

– Réaliser une cartographie des risques ;

– Contribuer à la programmation de l’audit ;

L’audit interne fonctionne selon les normes applicables à une entre prise sans processus explicite de risk management.

44



• Des fonctions de risk management situées à divers niveaux, couvrant divers périmètreset répondant à des schémas d’animation divers :

– Hygiène et sécurité ;

– Plans de crises techniques ;

– Risque incendie ;

– Trésorerie.

• Des processus de risk management opérant dans plusieurs filiales avec plus ou moinsd’ancienneté et d’exhaustivité.

Situation présente ou en cours :

• Création d’un « Comité d’audit interne et des risques » ;

• Chantiers d’organisation en cours pour les grands propriétaires de risques transverses :

– Finance, Juridique, Immobilier, Achats, RH… ;

– Positionnement, leviers d’action, reporting.

• Focalisation sur le traitement des risques et non plus sur le seul reporting :

– Suivi renforcé de la mise en place des recommandations de l’audit ;

– Travail structuré avec les divisions opérationnelles.

• Apparition d’un reporting des risques institutionnels (Sarbanes-Oxley) :

– Sarbanes-Oxley se focalise sur certaines catégories de risques ;

– Répartition des rôles entre les diverses sources d’évaluation des risques en cours dansle cadre du « disclosure comittee » ;

– L’audit reste la principale source d’assurance.

• L ’Audit Interne continuera à tenir à jour une cartographie des risques :

– Document servant de base à la programmation de l’audit ;

– Ayant vocation, à ce titre, à être approuvé par les instances dirigeantes.

1.2. Groupe de presse de taille moyenne

Comment a émergé une première matérialisation de la notion de risque ?

Dans une structure de la taille d’une grosse PME, dans le secteur de la communication, àfaible culture de procédures, l’Audit Interne a été créé en 1997. Les seuls risques suivisauparavant l’étaient par le biais des assurances, directement à la direction juridique. Il n’ya pas de PMR (Processus de Management des Risques), le mot n’est pas connu.

45



– Une appréciation par l’Audit des risques sur les « grandes » activités de l’entreprise :

Les missions successives menées par l’audit interne ont permis de préciser les risques surles points majeurs de fonctionnement de l’entreprise (achat de matière première, concep-tion-réalisation, relation avec les principaux sous-traitants de la chaîne…).

– Une consolidation progressive :

Au fur et à mesure des missions, se sont enchaînés l’élaboration des process des métiersde l’entreprise, l’identification des risques majeurs, le suivi de la mise en place des recom-mandations, avec la couverture de ces risques.

La petite taille de l’équipe permet à tous d’être au courant de toutes les missions, de toutce qui est fait… Il y a peu de déperdition d’informations. Chacun se souvient des processdéjà étudiés et peut s’y référer.

Exemple : visualisation de processus (mission sur l’organisation d’une rédaction)

– L’occasion du Plan de Reprise d’activité

Une mission sur le Plan de Reprise d’Activité a permis d’approfondir les processus et devérifier leur exhaustivité. Elle a conduit à approfondir tout ce qui concerne les risques sou-dains extérieurs (feu, eau, accès), mais aussi à identifier les points sensibles de chaque pro-cessus et les mesures de couverture nécessaires.

46



Exemple : une fiche métier (rédacteur)

47



– Une cartographie des risques qui en découle :

Le rassemblement de toute l’information dont dispose l’audit, en particulier via le Plan deReprise d’Activité, croisée avec le résultat d’entretiens avec chacun des membres duComité de Direction a permis d’élaborer un document succinct mais reprenant les grandsprocess et visualisant les risques.

Exemple : risques sur le processus général d’élaboration d’une publication

Ces schémas illustrent un texte reprenant le descriptif des risques, de leurs impacts, de leurcouverture actuelle, de leur « propriétaire ». Ils sont complétés d’un avis sur la possibilitéou non de les transformer en sujet d’audit.

Une synthèse permet de hiérarchiser les différents risques relevés pour l’ensemble dugroupe.

Il s’agit principalement des risques liés aux processus.

– Un choix de missions élargi :

Tous les risques repérés ne peuvent se traduire par une mission d’audit, en particulier lessujets trop subjectifs (éthique) ou trop précis.

Mais cela permet de réfléchir à de nouveaux sujets d’audit sous un angle différent, d’ « uti-lité » ou d’« efficacité » maximale pour l’entreprise. De nouvelles missions ont ainsi étéidentifiées et ont été lancées.

La cartographie des risques ainsi décrite est avant tout un outil de l’Audit Interne, pourcommuniquer avec la Direction Générale, base de présentation et discussion.

48



ANNEXE 2EXEMPLE DE BUSINESS PROCESS MODEL

ET DE QUESTIONNAIRE DE DESCRIPTION DE PROCESSUS

2. 1 : Business Process Model

49



Afin de recueillir, d’identifier, de structurer et de mesurer les risques opérationnels et fonc-tionnels, il faut partir d’une base relativement stable :

« Le modèle de Processus » de l’Entreprise

« EXECUTIVE » PROCESS - Strategy & Business Development Planning – General Organization –Business Risk Management and Compliance – H.S.E. / Ethics – Communication / Public Affairs

SUPPORT PROCESSES

• FinancialManagement

• Reporting and Taxes

• Treasury and CashManagement

• Fixed Asset &Capital Investment

CORE PROCESSES

• Innovation/Design Product

• Development / Scale-up

• Regulatory Affairs/Registrat.

• Industrial Operations/Quality

• Supply Chain and Sourcing

• Marketing & Promotion

• Sales / Customer services

SUPPORT PROCESSES

• Human Resources

• GeneralAdministration

• InformationSolution and Systems

Project Management

2.2. : Questionnaire de description de processus

Entretien avec Mme / M. : _________________________ date : __________________

Comprendre l’Activité Understanding of the Activity

Définition du Processus :

Identifier les objectifs opérationnels : que produit-on (produit ou service) ?

Pour quel client ?

Quelle est la valeur ajoutée du processus ?

Process Definition :

Identify the operational objectives : what is produced (product or service) ?

Who is / are the customer/s targeted ?

What is the added value of the process ?

Quelles sont les grandes étapes de déroulement de l’activité (processusmajeurs) ?

What are the main stages of the development of the activity (major processes) ?Describe them.

Quels en sont les acteurs ?

Who are the actors ?

50



Questionnaire de description de processus

Comment commence chaque processus majeur : première tâche ?

Quelles sont les entrées (flux d’information, flux de matière, flux financier,ressources…) ?

Qui va déclencher la réalisation des tâches qui composent le processus ?

How does each major process start : first task ?

What are the inputs (flow of information, flow of material, cash flow, resources,…)?

Who is going to launch the carrying out of the tasks which make up the process ?

Comment finit chaque processus majeur : dernière tâche ?

Quelles sont les sorties (flux d’information, flux de matière, produit semi-fini ou fini, service … ) ?

How does each main process end : last task ?

What are the outputs (flow of information, flow of material, finished good or semi-finished product, service … )

Quels sont les liens avec d’autres processus de l’entreprise ?

What are the links with other processes of the company ?

Quels sont les facteurs clefs de bon déroulement de cette activité (notam-ment en termes de ressources humaines / compétences et de système d’in-formation) ?

What are the key factors insuring the good development of this activity (and spe-cially when we talk about human resources / skills and system of information) ?

51



Quels sont les principaux indicateurs de performance ?

What are the key performance indicators ?

Comprendre l’environnement Understanding of the Environment

Quels sont les objectifs stratégiques poursuivis : cible à atteindre, stratégiespour y parvenir, facteurs clefs de succès d’atteinte de ces objectifs ?

What are the strategic objectives sought : target to be reached, strategies to succeed,key success factors to reach these objectives ?

Quelles sont les contraintes externes (marché, concurrence) et les obligationsréglementaires ?

What are the external constraints (market, competition) and the regulatory obliga-tions ?

Quelles sont les attentes des différentes parties prenantes : externes (client,fournisseur, groupe…) et internes (Conseil d’Administration, DirectionGénérale, Salariés) ?

What are the expectations of the bodies involved : outside the company (customer,supplier, lobby…) and inside the company (Board, Management Committee,Employees) ?

Entretien avec Mme / M. : _______________________ date : __________________

52



ANNEXE 3EXEMPLES DE GUIDE D’AUDIT

DU PROCESSUS ACHAT

3.1. En milieu industriel

– Voir tableaux pages suivantes –

53



54



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Def

ine

sour

cing

str

ateg

y

Find

pot

entia

l sup

plie

rs

01 –

Und

efin

ed, u

napp

rove

d, o

utda

-te

d an

d/or

str

ateg

y no

t app

lied

02 –

Sou

rcin

g st

rate

gy n

ot in

line

with

TM

M g

loba

l str

ateg

y

01 –

Abs

ence

or n

o re

spec

t of s

elec

-tio

n cr

iteri

a

02 –

Mis

sed

relia

ble

and

cost

effe

cti-

ve v

endo

rs

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Mee

tings

org

aniz

ed to

exp

lain

sour

cing

str

ateg

y to

buy

ers

Indi

cato

r on

the

amou

nt o

f pu

rcha

ses

for T

MM

, for

eac

h SB

Uan

d fo

r eac

h se

gmen

tRe

spon

sibi

lity

defin

ed fo

r wri

ting,

appr

ovin

g an

d di

ssem

inat

ing

the

sour

cing

str

ateg

yPr

oced

ure

for v

alid

atin

g so

urci

ngst

rate

gy w

ith T

MM

glo

bal s

trat

egy

Valid

atio

n of

sou

rcin

g st

rate

gy b

yEx

com

Resp

onsi

bilit

y de

fined

for s

elec

ting

vend

ors

Proc

edur

e fo

r for

mal

izin

g ve

ndor

sele

ctio

nPr

oced

ure

for d

eter

min

ing

and

dis-

sem

inat

ing

sele

ctio

n cr

iteri

aSu

perv

isio

n on

resp

ect o

f ven

dor

sele

ctio

n cr

iteri

aRe

spon

sibi

lity

defin

ded

for

nego

tiatin

g an

d bi

ddin

gPr

oced

ure

for n

egot

iatin

g an

d co

mm

ittin

g TM

M fo

r cer

tain

segm

ents

Supe

rvis

ion

on n

egot

iatio

n an

d co

mm

ittm

ent

Stra

tegy

Mon

itori

ng

Org

aniz

atio

n

Proc

edur

es

Supe

rvis

ion

Org

aniz

atio

n

Proc

edur

es

Proc

edur

es

Supe

rvis

ion

Org

aniz

atio

n

Proc

edur

es

Supe

rvis

ion

55



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Find

pot

entia

l sup

plie

rs(c

ontin

ued)

03 –

Exp

erts

(int

erna

l / e

xter

nal)

not

invo

lved

in v

endo

r sel

ectio

n

04 –

Sou

rcin

g de

part

men

t not

invo

l-ve

d in

sel

ectio

n fo

r maj

or v

endo

rs

05 –

Insu

ffici

ently

trai

ned

buye

rs

06 –

Too

man

y /

too

few

ven

dors

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Com

petit

ive

disa

dvan

tage

/ p

ublic

or c

usto

mer

dis

satis

fact

ion

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

List

of e

xper

ts d

efin

ed a

nd di

ssem

inat

edPr

oced

ure

to im

plic

ate

expe

rts

at a

nea

rly

stag

eO

bjec

tive

of %

of m

ater

ial c

over

edby

sou

rcin

g de

part

men

tIn

dica

tor o

n %

of m

ater

ial c

over

edby

sou

rcin

g de

part

men

tPr

oced

ure

for i

nvol

ving

sou

rcin

gde

part

men

t in

vend

or s

elec

tion

at a

nea

rly

stag

eO

bjec

tive

of tr

aini

ng d

ays

per b

uyer

Trai

ning

lan

for b

uyer

sIn

dica

tor o

f tra

inin

g da

ys p

er b

uyer

Obj

ectiv

e of

num

ber o

f agr

eed

ven-

dors

per

seg

men

tEx

iste

nce

of a

n on

-line

ven

dor l

ist

Indi

cato

r on

num

ber o

f agr

eed

vend

ors

per s

egm

ent

Resp

onsi

bilit

y de

fined

for m

aint

ai-

ning

and

upd

atin

g ve

ndor

list

Proc

edur

e fo

r upd

atin

g ag

reed

vend

or li

stPr

oced

ure

to m

aint

aini

ng a

nd up

datin

g ve

ndor

list

Proc

edur

e of

dua

l ven

dor p

olic

y(le

ader

-cha

lleng

er) f

or c

ritic

al se

gmen

ts

Stra

tegy

Proc

edur

es

Obj

ectiv

es

Mon

itori

ng

Proc

edur

es

Obj

ectiv

esSt

rate

gyM

onito

ring

Obj

ectiv

es

Stra

tegy

Mon

itori

ng

Org

aniz

atio

n

Proc

edur

es

Proc

edur

es

Proc

edur

es

56



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Find

pot

entia

l sup

plie

rs(c

ontin

ued)

Plan

, exe

cute

and

adm

inis

trat

epu

rcha

sing

ope

ratio

ns

07 –

Unj

ustif

ied

or u

napp

rove

dM

ake

or B

uy d

ecis

ion

08 –

Non

-exi

sten

t or i

nsuf

ficie

ntim

plic

atio

n of

end

-use

rs, p

artic

ular

lyin

form

aliz

ing

thei

r nee

d in

det

ails

01 –

Und

efin

ed /

una

ppro

ved

sour

cing

pla

nnin

g

02 –

Con

trac

t ter

ms

and

cond

ition

sno

t wel

l def

ined

/ c

ontr

ary

to T

MM

inte

rest

/ in

con

flict

with

law

03 –

Fra

ud, b

ribe

ry

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Non

com

plia

nce

with

regu

latio

ns

Non

com

plia

nce

with

regu

latio

ns

Non

com

plia

nce

with

regu

latio

ns

Non

com

plia

nce

with

regu

latio

ns

Loss

of a

sset

s

Resp

onsi

bilit

y de

fined

for M

ake

orBu

y de

cisi

ons

Proc

edur

e fo

r Mak

e or

Buy

dec

isio

nSu

perv

isio

n on

Mak

e or

Buy

dec

i-si

ons

Proc

edur

e fo

r im

plic

atin

g en

d-us

ers

in v

endo

r pre

-sel

ectio

n an

d se

lect

ion

Proc

edur

e to

def

ine

spec

ifica

tions

at

the

begi

nnin

g of

the

sour

cing

pro

ject

Supe

rvis

ion

on c

lear

des

crip

tion

ofne

eds

Resp

onsi

bilit

y de

fined

for

form

aliz

ing

the

sour

cing

pla

nnin

gPr

oced

ure

for e

stab

lishi

ng a

nd ap

prov

ing

sour

cing

pla

nEx

iste

nce

of s

tand

ardi

zed

sour

cing

cont

ract

Resp

onsi

bilit

y de

fined

with

in th

ele

gal d

epar

tmen

t for

val

idat

ing

sour

cing

con

trac

tsPr

oced

ure

for v

alid

atin

g so

urci

ngco

ntra

ct b

y le

gal d

epar

tmen

tSu

perv

isio

n on

dev

iatio

n fr

om p

re -

defin

ed s

ourc

ing

cont

ract

term

s an

dco

nditi

ons

Obj

ectiv

e fo

r rot

atio

n of

buy

ers

for

high

val

ue s

egm

ents

Org

aniz

atio

n

Proc

edur

esSu

perv

isio

n

Proc

edur

es

Supe

rvis

ion

Supe

rvis

ion

Org

aniz

atio

n

Proc

edur

es

Stra

tegy

Org

aniz

atio

n

Proc

edur

es

Supe

rvis

ion

Obj

ectiv

es

57



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Plan

, ex

ecut

e an

d ad

min

istr

ate

purc

hasi

ng o

pera

tions

(con

tinue

d)

03 –

Fra

ud, b

ribe

ry(c

ontin

ued)

04 –

Una

utho

rize

d pu

rcha

se

05 –

Unc

halle

nged

pur

chas

ing

cost

Loss

of a

sset

s

Loss

of a

sset

sLo

ss o

f ass

ets

Loss

of a

sset

s

Loss

of a

sset

s

Loss

of a

sset

s

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Secu

red

acce

ss to

ven

dor d

atab

ase

Stan

dard

s of

bus

ines

s co

nduc

tsPr

e-nu

mbe

red

purc

hase

requ

ests

and

purc

hase

ord

ers

Indi

cato

r on

rota

tion

of b

uyer

s fo

rhi

gh v

alue

seg

men

tsRe

spon

sibi

lity

sepa

rate

d fo

r pla

cing

a PO

, for

rece

ivin

g go

ods,

for

regi

ster

ing

and

for p

ayin

gPr

oced

ure

for a

ccep

tanc

e of

gift

s,en

tert

ainm

ent o

r fav

ors

from

ven

dors

List

of a

utho

rize

d pe

ople

to c

omm

itTM

M b

y pl

acin

g a

purc

hase

ord

eran

d/or

by

conc

ludi

ng a

nag

reem

ent-

Aut

omat

ed s

yste

m fo

r pla

cing

PO

tove

ndor

Resp

onsi

bilit

y de

fined

for

reco

ncili

ng P

O, p

urch

ase

requ

est

and

purc

hasi

ng p

lan

Resp

onsi

bilit

y de

fined

for a

ppro

ving

a pu

rcha

se re

ques

t and

a P

OPr

oced

ure

for p

laci

ng P

O a

nd fo

rco

nclu

ding

an

agre

emen

t with

a v

endo

rSu

perv

isio

n on

del

egat

ion

of au

thor

ities

Obj

ectiv

e of

redu

ctio

n of

pur

chas

ing

cost

(tar

get)

per s

egm

ent

Stra

tegy

Stra

tegy

Stra

tegy

Mon

itori

ng

Org

aniz

atio

n

Proc

edur

es

Stra

tegy

Org

aniz

atio

n

Org

aniz

atio

n

Org

aniz

atio

n

Proc

edur

es

Supe

rvis

ion

Obj

ectiv

es

58



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Plan

, ex

ecut

e an

d ad

min

istr

ate

purc

hasi

ng o

pera

tions

(con

tinue

d)

05 –

Unc

halle

nged

pur

chas

ing

cost

(con

tinue

d)

06 –

Pur

chas

e fr

om n

on a

gree

d ve

n-do

r

07 –

Inco

rrec

t pos

ting

in le

dger

08 –

Invo

ice

not i

n lin

e w

ith re

ceip

tgo

ods

and

with

con

trac

t tar

iffs,

term

s an

d co

nditi

ons

09 –

Una

utho

rize

d pa

ymen

t / do

uble

pay

men

t

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Unr

elie

able

info

rmat

ion

Unr

elie

able

info

rmat

ion

Unr

elie

able

info

rmat

ion

Loss

of a

sset

s

Loss

of a

sset

s

Loss

of a

sset

s

Loss

of a

sset

s

Indi

cato

r on

redu

ctio

n of

pur

chas

ing

cost

– p

erio

dic

mea

sure

men

t / re

port

ing

Resp

onsi

bilit

y se

para

ted

for d

efin

ing

need

s, in

itiat

ing

a te

nder

ing

proc

ess,

nego

tiatin

g an

d pr

epar

ing

the

Proc

edur

e fo

r pur

chas

ing

from

agre

ed v

endo

rs o

r fro

m n

on a

gree

dve

ndor

s in

cer

tain

seg

men

tsSu

perv

isio

n on

pur

chas

ing

from

non

agre

ed v

endo

rsC

entr

aliz

atio

n of

regi

stra

tion

ofin

voic

es re

ceiv

ed fr

om v

endo

rsPr

oced

ure

for r

egis

teri

ng p

urch

ases

/ lia

bilit

ies

Supe

rvis

ion

on p

urch

asin

g po

stin

g(P

&L/

paya

bles

)Re

spon

sibi

lity

defin

ed fo

r com

pa-

ring

invo

ice,

goo

ds re

ceip

t and

sour

cing

con

trac

tPr

oced

ures

of r

egul

ariz

atio

n of

vari

ance

s be

twee

n in

voic

e, g

ood

rece

ipt a

nd s

ourc

ing

cont

ract

s ta

riffs

,Su

perv

isio

n on

regu

lari

zatio

n of

vari

ance

s be

twee

n in

voic

e, g

ood

rece

ipt a

nd s

ourc

ing

cont

ract

Resp

onsi

bilit

y de

fined

for p

ayin

gin

voic

es

Mon

itori

ng

Org

aniz

atio

n

Proc

edur

es

Supe

rvis

ion

Stra

tegy

Proc

edur

es

Supe

rvis

ion

Org

aniz

atio

n

Proc

edur

es

Supe

rvis

ion

Org

aniz

atio

n

59



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Plan

, exe

cute

and

adm

inis

trat

epu

rcha

sing

ope

ratio

ns(c

ontin

ued)

Mai

ntai

n re

latio

n w

ith s

uppl

ier

09 –

Una

utho

rize

d pa

ymen

t / d

oubl

epa

ymen

t(c

ontin

ued)

01 –

Con

flict

/ li

tigat

ion

with

ven

dor

02 –

Los

s of

key

ven

dor

03 –

Con

fiden

tial i

nfor

mat

ion

disc

lo-

sed

by v

endo

rs

04 –

Unr

elie

able

/ t

oo c

ostly

ven

dor

mai

ntai

ned

Loss

of a

sset

s

Loss

of a

sset

sBu

sine

ss in

terr

uptio

n

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Proc

edur

e of

aut

hori

zatio

n of

paym

ent

Supe

rvis

ion

on p

aym

ents

to v

endo

rsRe

spon

sibi

lity

defin

ed fo

r han

dlin

gco

nflic

t with

ven

dor

Proc

edur

e fo

r han

dlin

g co

nflic

t with

vend

orLi

st o

f key

ven

dors

Indi

cato

r on

num

ber o

f key

ven

dors

loss

esRe

spon

sibi

lity

defin

ed fo

r m

aint

aini

ng s

peci

fic a

nd p

rivi

lege

dre

latio

nshi

ps w

ith k

ey v

endo

rsEx

iste

nce

of N

on-D

iscl

osur

eA

gree

men

t with

ven

dor

Exis

tenc

e of

a c

onfid

entia

lity

polic

yPr

oced

ure

for s

igni

ng N

on-D

islo

sure

Agr

eem

ent w

ith v

endo

rSu

perv

isio

n on

con

fiden

tialit

y po

licy

Obj

ectiv

e of

% o

f sat

isfa

ctio

n of

inte

rnal

cus

tom

er re

gard

ing

curr

ent

vend

ors

Logb

ook

of e

ncou

nter

ed p

robl

ems

with

maj

or v

endo

rsEx

it co

nditi

ons

incl

uded

in th

e so

urci

ng c

ontr

act

Proc

edur

es

Supe

rvis

ion

Org

aniz

atio

n

Proc

edur

es

Stra

tegy

Mon

itori

ng

Org

aniz

atio

n

Stra

tegy

Stra

tegy

Proc

edur

es

Supe

rvis

ion

Obj

ectiv

es

Stra

tegy

Stra

tegy

60



Entit

yPr

oces

s P

lan

& b

uy p

rod.

item

s, e

xecu

te &

adm

in. b

uyin

g op

erat

ions

Gen

eral

Ove

rvie

w

Busi

ness

Sub-

proc

ess

Ope

ratio

nal R

isk

Maj

or R

isk

Inte

rnal

Con

trol

Con

trol

Mai

ntai

n re

latio

n w

ith s

uppl

ier

(con

tinue

d)04

– U

nrel

ieab

le /

too

cost

ly v

endo

r(c

ontin

ued)

05 –

Mat

eria

l sho

rtag

e

06 –

Unr

elia

ble

sour

cing

con

trac

tre

gist

er

07 –

Ven

dor b

ankr

uptc

y

08 –

Sle

epin

g ve

ndor

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Busi

ness

inte

rrup

tion

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Unr

elia

ble

info

rmat

ion

Busi

ness

info

rmat

ion

Busi

ness

info

rmat

ion

Exce

ssiv

e co

sts

Exce

ssiv

e co

sts

Indi

cato

r on

% o

f sat

isfa

ctio

n of

inte

rnal

cus

tom

ers

rega

rdin

g cu

rren

tve

ndor

sRe

spon

sibi

lity

defin

ed fo

r mai

ntai

-ni

ng th

e lo

gboo

k of

pro

blem

sen

coun

tere

d w

ith v

endo

rsPr

oced

ure

for r

e-ne

gotia

ting

sour

cing

con

trac

t eve

ry x

yea

rsEx

iste

nce

of s

ourc

ing

long

-term

cont

ract

s w

ith s

trat

egic

ven

dors

Dua

l ven

dor p

olic

ySu

perv

isio

n on

mat

eria

l sup

ply

oper

atio

nsEx

iste

nce

of a

sou

rcin

g co

ntra

ctre

gist

er /

dat

abas

eRe

spon

sibi

lity

defin

ed fo

r m

aint

aini

ng th

e so

urci

ng c

ontr

act

regi

ster

/ d

atab

ase

Proc

edur

e fo

r con

trac

t adm

inis

trat

ion

Supe

rvis

ion

of c

orre

ct re

gist

er /

data

base

mai

nten

ance

Resp

onsi

bilit

y de

fined

for e

valu

atin

gve

ndor

sPr

oced

ure

for e

valu

atin

g th

e ve

ndor

solv

abili

ty p

erio

dica

llyO

bjec

tive

of v

endo

r tur

nove

r per

segm

ent

Indi

cato

r or v

endo

r tur

nove

r per

segm

ent

Mon

itori

ng

Org

aniz

atio

n

Proc

edur

es

Stra

tegy

Stra

tegy

Supe

rvis

ion

Stra

tegy

Org

aniz

atio

n

Proc

edur

esSu

perv

isio

n

Org

aniz

atio

n

Proc

edur

es

Obj

ectiv

es

Mon

itori

ng

3.2. En milieu commercial

1. La fonction Achats – Le référentiel

La fonction Achats, du fait même de sa situation en tête de la chaîne logistique de l'entre-prise peut, par ses insuffisances, être la source de dysfonctionnements sérieux perturbantla plupart des autres fonctions de l'entreprise. De ce fait, elle peut générer une perte d'acti -vité substantielle.

Un bon Contrôle Interne de la fonction Achats est ainsi d'autant plus nécessaire que sesmissions sont généralement formalisables.

La fonction Achats n'est pas seulement une fonction amont, c'est une fonction carrefourentre les divers utilisateurs qu'elle doit satisfaire dans l'entreprise et l'ensemble des four-nisseurs potentiels.

Elle doit agir de façon à assurer aux utilisateurs un approvisionnement en matériels, ser-vices et fournitures qui soient :

• conformes aux spécifications des utilisateurs et contrôlables par les réceptionnaires,

• obtenues dans des conditions compétitives de coût net, compte tenu des opérations quiaffecteront ces approvisionnements dans l'entité et donc les charges qu'ils engendreront,

• disponibles dans la forme, et les conditions nécessaires, sans rupture de la continuité desapprovisionnements.

À long terme, on peut dire que la finalité de la fonction Achats est de rendre la relationavec les fournisseurs la plus favorable possible à l'entreprise. Chaque fois que la situationle permet, les acheteurs doivent chercher à rester les donneurs d'ordre, maintenir un rap-port de force avec les fournisseurs.

À moyen terme, à l'horizon budgétaire, elle va proposer des politiques et contribuer à laprévision.

À court terme, elle a pour mission de répondre aux besoins des utilisateurs en obtenant lesapprovisionnements définis, au meilleur coût, suivant les spécifications, et dans les délaisrequis auprès des fournisseurs retenus pour leur standing et la qualité de leurs services.

Le Business Model retenu

Le tableau ci-après présente les trois principaux domaines au sein desquels s'organise l'activité de la Direction des Achats. Ces domaines se décomposent en Mega-processus quivont regrouper l'ensemble des opérations permettant l'organisation générale des opéra-tions et la poursuite des objectifs du groupe.

61



62



63



prod

uits

L'identification des objectifs des processus et l'analyse des risques

Pour l'ensemble des processus structurant l'activité, les objectifs inhérents en sont précisésafin de mettre en lumière les risques susceptibles d'en altérer l'atteinte. Quelques meilleurespratiques – points d'organisation communément adoptés dans l'ensemble des organisa-tions – sont suggérées. Elles constituent des dispositifs de Contrôle Interne permettant decouvrir les risques et de renforcer le respect des orientations stratégiques définies. Enfin,les conséquences de la réalisation des risques sont exposées en terme d'image, de pertefinancière, elles doivent permettre de hiérarchiser les priorités en terme d'actions à mettreen œuvre.

Les processus relatifs au traitement des factures fournisseurs ne sont pas abordés lors decette analyse.

La fonction achats

Analyse des Risques

– Voir tableaux pages suivantes –

64



65



66



67



68



69



70



71



72



73



74



75



76



77



78



79



80



81



82



ANNEXE 4RISQUE INDUSTRIEL : LA DIRECTIVE SEVESO

Qu’est-ce que le risque industriel ?

Les activités humaines créent des risques technologiques divers : industriel, nucléaire, bio-logique, de rupture de barrage, de transport de matières dangereuses, etc.

Le risque industriel est soit chronique soit accidentel. Les risques chroniques résultent desdifférentes formes de pollutions susceptibles d’avoir un impact sur la santé des popula-tions et l’environnement, telles que les émissions de métaux toxiques, de composés orga-niques volatils ou de substances cancérigènes.

Les risques accidentels résultent de la présence de produits ou/et de procédés dangereuxsusceptibles de provoquer un accident entraînant des conséquences immédiates gravespour le personnel, les riverains, les biens et l’environnement.

Les principaux risques industriels sont, selon la nature des produits et de l’activité, l’explo -sion, l’incendie et la dissémination de produits toxiques dans l’environnement. Les consé-quences de ces événements sont plus ou moins dramatiques, depuis les dégâts matériels,qui concernent une majorité d’accidents, jusqu'à la mort ou la blessure grave de personnes.

La prévention des risques

La prévention des risques (industriels) est un processus itératif, basé sur l'analyse de l’im-pact et le niveau de contrôle/de maîtrise. La probabilité d'occurrence de défaillances pou-vant conduire à un accident majeur est en effet toujours difficile, voire impossible à déter-miner. Cette évaluation permet à l'exploitant de valider la conception de ses installationsen la comparant à l'état de l'art, de dimensionner les barrières de sécurité visant à réduirele risque à la source (réduction du potentiel de danger, de la probabilité d'occurrence d'unaccident majeur) et de définir des mesures de limitation des effets d'éventuels accidents.

La sécurité repose d'abord sur la qualité de l'évaluation initiale des risques. Cependant, lesinstallations ou leurs conditions d'exploitation peuvent ensuite être modifiées, ou êtreaffectées par des incidents. Ces éléments qui caractérisent la vie de nombreuses unitésindustrielles, sont autant de motifs de réactualisation de cette étude initiale. En outre, lesconnaissances techniques évoluent et les exigences de sécurité des populations s'accroissentlégitimement.

L'enregistrement des incidents, leur analyse, la mise au point de mesures correctives et lesuivi de leur mise en place effective sont indispensables pour l'amélioration de la sécuritédes installations, c’est le rôle du Bureau d’Analyse des Risques et Pollutions Industrielles(BARPI) qui dépend du Ministère de l’Environnement.

83



84



La directive Seveso

La directive Seveso 2 vise à maîtriser les risques industriels présentés par les établisse-ments renfermant des substances dangereuses. Leur exploitation est soumise à autorisa-tion, après la réalisation notamment d'une étude de danger dont le but est de quantifier etde limiter les nuisances causées. Seveso 2 impose que l'évaluation des dangers soit réaliséetous les cinq ans. Les plans d'urgence en découlant sont réexaminés tous les trois ans.

La directive est transposée en droit français dans le cadre de la législation sur les installa-tions classées qui reprend et renforce ces exigences. Il incombe aux exploitants de mettreen place les mesures de prévention permettant d'assurer la sûreté de leurs établissementset des riverains. De ce fait, ils sont les premiers responsables de la prévention et en casd'accident. Mais l'État a le devoir de contrôler régulièrement les dispositifs exigés. Son rôleest d'assurer la sécurité des personnes et de l'environnement.

Des milliers de français vivent à proximité des quelques 1 239 usines classées Seveso 2. Laprévention reste la meilleure des stratégies. Elle est à la base de trois axes principaux :

– faire en sorte que les usines classées soient les plus sûres possible : contrôles des DRIRE ;

– mettre en place des plans d'urgence et de secours (plan interne à l'entreprise et planparti culier d'intervention à l'extérieur) lors de la survenue d'accidents. En effet, il estmalheureusement impossible d'exclure totalement d'éventuelles défaillances techniquesou humaines, voire des actes de malveillance ;

– contrôler l'urbanisation autour des sites classés dangereux.

Pour plus d’informations sur l’application de la Directive SEVESO, consulter le sitehttp://www.seveso.ema.fr/

85



ANNEXE 5GLOSSAIRE

Auto-évaluation : Revue par les managers de leur dispositif de management des risques, au seinde groupes de travail, sous la conduite d’un animateur expérimenté dans le domaine concerné.

Critères d’impact : Critères choisis pour exprimer les conséquences d’un risque (en terme d’image,de finance…).

Facteurs de risque : Ce sont les critères pour identifier l'importance relative des événements quipourraient se produire et qui auraient des conséquences néfastes sur l'entreprise.

Impact : Résultat ou effet d’un événement. Il peut y avoir une série d’impacts possible associés àun événement. L’impact d’un événement peut être positif ou négatif en fonction des objectifs del’entre prise. L’impact se mesure en termes de coût, qualité, réputation,…

Management des risques : Activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. Le management des risques inclut généralement l’identification et l’évaluation durisque, la réponse apportée au risque (traitement, acceptation,…) et la communication relative aurisque.

Niveau de contrôle/de maîtrise : Il s’apprécie en fonction de la pertinence et de la fiabilité ducontrôle interne relatif à ce risque.

Processus de management des risques (PMR) : Processus élaboré et maintenu par le conseild’administration, le management ou les opérationnels, déployé dans toute l’entreprise et destiné àidentifier des évènements potentiels susceptibles d’affecter la vie de l’entreprise, à gérer ses risqueset à fournir une assurance raisonnable que ses objectifs seront atteints.

Propriétaire de risque : Personne chargée de s’assurer que les risques liés aux activités dont il estresponsable sont correctement traités, conformément aux modalités définies dans le PMR. Il doitégalement anticiper l’évolution de ces risques.

Risque : Possibilité que se produise un événement susceptible d’avoir un impact sur la réalisationdes objectifs. Le risque se mesure en termes de conséquences et de probabilité.

Risque inhérent : Risque existant en l’absence de toute action prise par le management en vue dediminuer la probabilité d’occurrence ou l’impact.

Risque résiduel : Risque restant après que le management ait entrepris des actions visant à dimi-nuer la probabilité d’occurrence ou l’impact du risque.

Tolérance au risque : Variation acceptable relative à l’atteinte des objectifs/Niveau de toléranceacceptée par rapport à l’atteinte des objectifs.

ANNEXE 6BIBLIOGRAPHIE

1. Ouvrages

– COSO Report – La pratique du contrôle interne

– COSO Report – Enterprise Risk Management Framework (12)

– Risk Management : changing the internal auditor’s paradigm (IIA – 1999)

– Integrated risk management : techniques and strategies for managing corporate risks(IIA – 2000)

– Risk based internal auditing and dynamic control assessment (IIA)

– Control self assessment workshop facilitator’s guide (IIA)

– Risk assessment (IIA)

– Cahier de la recherche « Management des risques » (IFACI)

– Comprendre et gérer les risques (Éditions d’Organisation)

– Guide de self-audit (IFACI)

– Normes Professionnelles de l’Audit Interne (IFACI)

2. Revue Audit

– Avril 1999 : « Maîtrise des Risques »

– Juin 2000 : « Audit interne et risk management : deux activités spécifiques et complé-mentaires »

– Septembre 2001 : « Pour une approche des risques en liaison avec les objectifs »

– Septembre 2003 : « Risk management, développement durable et éthique » – article dePatrice Barnoux

3. The Internal Auditor :

– Octobre 2000 : « Targeting Business Risk »

– Octobre 2000 : « Risk Watch »

– June 2001 : « Risk – Does your organization see obstacles or opportunities ? »

– October 2002 : « Lock down risk – Crucial to ERM, effective knowledge sharing beginswith the internal auditor »

86



(12) Encore au stade de projet et non traduit en français au moment de l’impression de ce cahier.

4. Suppléments Les Échos : L’art de la gestion des risques (année 2000)

N° 1 : – Notion de risque

– Rapport Turnbull

– Gestion, opérationnelle et stratégique, des risques – perception par les dirigeants

– Facteurs influant la perception des risques (compréhension, préjugé, personna -lité…)

N° 2 : – Risques et probabilités

– Techniques d’analyse des risques

N° 3 : – Gérer le risque global/gestion intégrée (risques de marché de consommation,opérationnels, de production, fiscaux, réglementaires, légaux, financiers)

– Risque de stratégie d’externalisation

– Analyse des risques d’un Business Plan

– Avantages réels de la diversification (d’activité et géographique)

– Risques liés aux stratégies d’alliance

N° 4 : – Analyse des failles d’un système de gestion des risques

– Réglementation des autorités de tutelle limitant le risque

– Analyse d’impact d’une interruption d’activité/gestion de la continuité d’entre-prise

– Améliorer les modèles pour prévenir les risques

– Psychologie derrière les scandales financiers

N° 5 : – Gérer le risque positif d’un nouveau projet

– Risque, production et innovation

– Analyse des micro tendances dans un secteur d’activité afin de gérer le risque derécession

– Produits défectueux

N° 6 : – E-risques, e-économie

– Traitement quantitatif des risques

– Externaliser les technologies de l’information

– Risques juridiques liés au e-commerce

N° 7 : – Risque financier

– Value at Risk

87



88



– Gestion intégrée de la rentabilité (risques de marché, de crédit ou opérationnelspour les institutions financières)

– Nouveaux supports financiers créateurs de valeur

– Produits dérivés (gestion des fluctuations de taux et de prix)

N° 8 : – Risque écologique

– Enjeux du développement durable (environnement, social, économique)

N° 9 : – Risques pays

– Risques politiques

– Réglementation des risques

– Risques liés aux systèmes d’information

N° 10 : – Le nouveau rôle du gestionnaire de risques

– Les risques en terme d’images

– Corruption

– Ethique

Imprimerie Compédit Beauregard S.A./61600 LA FERTÉ-MACÉN° d’Imprimeur : 6821


GUID

E D’

AUDI

T L E S C A H I E R S D E L A R E C H E R C H E


L’activité Recherche de l’IFACI – Institut de l’Audit Interne – ouverte àtous les adhérents, est l’expression du caractère associatif de l’Institut etconcrétise notre devise : « Le Progrès par le Partage ».

La Recherche s’organise autour de groupes de travail qui mettent encommun et formalisent leurs réflexions et leurs pratiques sur un thème ouun sujet propre à un secteur d’activité.

Les travaux de ces groupes sont destinés à être diffusés sous de multiplesformes auprès du plus grand nombre.

Telle est précisément la vocation de la Collection :

« Les Cahiers de la Recherche »

qui met à la disposition des auditeurs quatre types d’outils :

• les « Prises de Position » publiées par des instances professionnelles,

• les « Notes Professionnelles » qui explicitent et commentent ces prisesde position,

• les « Meilleures Pratiques », en France ou à l’international,

• les « Guides d’Audit » qui définissent un cadre pratique pour la conduitedes missions.

Étudedu Processusde Managementet de Cartographiedes Risques

Conception,mise en place et évaluation


Inst

itut

de

l'Aud

it I

nter

neÉ

tud

e d

u P

rocessu

s d

e M

an

ag

em

en

t et

de C

art

og

rap

hie

des R

isq

ues

12 bis, place Henri Bergson – 75008 Paris – Tél. : 01 40 08 48 00 – Fax : 01 40 08 48 20Web : www.ifaci.com – E-mail : [email protected] Français de l’Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069

The Institute of Internal Auditors

Documents

Étude du Processus « Les Cahiers de la Recherche » de ... · Institut de l'Audit Interne ... Exemples de guide d’audit du processus achat ... les processus sont dans certains