Étude du Processus de Management et de Cartographie des Risques By https://thegreatelibrary.blogspot.com/

http://thegreatelibrary.blogspot.com/
L E S
CA H I E R S
D E
LA
RE CH E RC H E
GUIDE D'AUDIT
/
Etude
du Processus
de Management
et de Cartographie
des Risques
Conception,
mise en place et évaluation
Groupe Professionn el
Industrie et Commerce
https://thegreate1ibrary. blogspot.corn/
Ill
Inst i t ut de
l 'A udit Inte r ne
http://thegreatelibrary.blogspot.com/
Ê T U O E O U PR O C E SS U S D E M A N A G E M E N T E T DE C A R T O G R A P H I E D E S RI SQ U ES
REMERCIEME NTS
L'IFACI tient tout particulièrement à remercier les participants du groupe Industrie et
Commerce qui ont conçu et rédigé ce cahier :
Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ;
Frédéric Bel, Chef du Département Qualité / Audit Interne, Prirnagaz;
Floren ce Bergeret, Responsable de la Recherche, IFACI ;
Pierre de Magnitot, Audit Manager, Giat Industrie;
Rick Floore, Internai Aud it Manager, Sodexho Alliance;
Alain Hocquet, Risk Manager, France Telecom ;
Christian Lesné, Consultant, IFACI;
Rosa Mend es, Auditrice Interne, Michelin ;
Marzio Panelli, Auditeur Interne, Michelin ;
Thomas Puissant, Audit Irnplementation Manager, Rhodia ;
Catherin e Veillet-Michelet, Directrice de l'Audit Interne, Bayard Press e;
Christian Zerbi, Responsable de l'Audit Interne, Metro Cash and Carry France.
Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total,
pour sa relecture avisée, ainsi qu'à Emmanu el Du Moulin, Directeur de l'Audit Interne de
Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Fréd éric Robert,
Auditeur Interne de Renault, pour leur participation aux échanges ayant conduit à
l'élaboration de ce cahier.
Louis Vaurs
Délégué Général
IFACI - Paris - Décembre 2003
ISBN : 2-915051-02-X
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l'auteur, ou de
ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1« de l'article 40). Cette représen
tation ou reproduct ion, par quelque procédé que ce soit, constituera it une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal.
G UIDE D'A UDI T
•
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S
S O M M A I RE
Résumé ............................................................................................................................................................................................................
7
Introduction
9
1. Le processus de management des risques (PMR)
10
1. Les objectifs du PMR
10
2. Les grandes phases du PMR
11
2. Les acteurs du PMR
12
3. Le rôle de l 'audit interne dans le PMR
18
1. En présence d'un PMR
18
2. En l'abscence d'un PMR
22
4. La cartographie des risques, élément clé du PMR
24
1. Définition et objectifs d'une cartographie
24
2. Exemples de risques majeurs en environnement industriel et commercial
25
3. Exemple : Approche Bottom-up
27
4. Exemple : Approche Top-doum
32
5. Une démarche d'auto-évaluation
37
6. La communication de la cartographie des risques
40
Conclusion - Gérer les risques liés à la m ise en place d 'un PMR
41
G UID E D'A UD IT
Il
http://thegreatelibrary.blogspot.com/
É T U D E O U P R O C E SSU S D E M A N A G E M E N T ET D E C A R T O G R A P H I E D ES R I S Q U E S
Annexes :
Annexe 1 - Exemples de processus de management des risques.
44
1. Grand groupe mufti-filiales et mufti-établissements.
44
2. Groupe de presse de taille moyenne.
45
Annexe 2 - Exemple de Business Process Mode[ et de questionnaire de description
de processus
2 .1 .Business Process Mode 1.
49
49
21. Questionnaire de descl'iption de processus.
50
Annexe 3 - Exemples de guide d'audit du processus achat.
1. En milieu ind ustrie 1.
2. En milieu commercial.
53
53
Annexe 4 - Risque industriel : la directive Seveso.........................................................................................................
83
Annexe 5 - GIossaire ....................................................................................................................................................................................
85
Annexe 6 - Bibliographie.........................................................................................................................................................................
86
61
https://thegreatel ibrary.blogspot.com /
Il
GUID E D'AU DIT
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S D E M A N A G E M E N T E T D E C A RT O G RA P H I E D E S RI SQ U E S
RÉSUMÉ
Selon la dernière enquête de l'IFACI menée en France, près des deux tiers des entreprises
ayant répondu ont mis en place un processus de management des risques, mais les pra
tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans
d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa
rate, il nous a semblé nécessaire d' écrire un guide aidant à la réflexion puis à l'élaboration
d'un processus de management des risques adapté à un environnement industriel et
commercial. Ce guide s' appuie sur les pratiques mises en œuvre dans une dizaine
d'entreprises, grands groupes ou de taille moyenne. Il ne s'agit en aucune manière d'un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener
sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques au
processus de managemen t des risques.
La première partie met en lumière les objectifs et la démarche d'un processus de manage
ment des risques :
• Les risques de l'entreprise sont identifiés ;
• La direction générale (1) et les opérationnels déterminent le niveau de risques
acceptable;
• Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques ;
• Un suivi permanent est effectué, en particulier pour réévaluer périodiquemen t les
risques et l'efficacité des contrôles internes ;
• Le Conseil (2) et la direction générale sont informés périodiquemen t des résultats et
enseignements du processus de management des risques.
Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la
deuxième partie : le Conseil, la direction générale, les comités spécialisés du Conseil,
l'audit interne, le risk management, le management et les opérationnels, le contrôleur de
gestion et, en tant que prestataires externes, les commissaires aux comptes.
Parmi ces acteurs, l'audit interne se distingue par son rôle fondamental dans le processus
de management des risques. En effet, dans le cadre de leurs activités courantes, on attend
des auditeurs internes qu'ils identifient et évaluent les risques significatifs. La vision d 'en
semble qu'ils ont de l'entreprise et de ses processus les y aide nécessairement.
Ce rôle est approfondi dans la troisième part ie à l'aide de questions clés liées aux éléments
du processus les plus importants. En l'absence d'un processus de managemen t des
risques, quelques orientations sont données pour l'initier (prendre conscience des risques
et de l'importance du contrôle interne, promouvoir la démarche, aider l'entreprise à
identifier et évaluer les risques et faire évoluer le processus).
(1) Par direction générale,on entend également comité exécutif, directoire, comité de direction, ...
(2) ) Par Conseil, on entend conseil d'administration, conseil de surveillance, ...
G UIDE D'A UDI T
Il
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S D E M A N A G E M E N T ET D E CA RT O G RA PH I E D ES R I SQ U E S
La construction de la cartographie des risques, abordée dans la quatrième partie, est une
étape clé du processus. En fonction de la culture et de l'environnement de l'entreprise,
deux approches peuvent être adoptées pour élaborer une cartographie des risques :
- l'approche bottom up, ou remontée des risques opérationnels vers les risques
majeurs,
- l'approche top-dawn, à partir des risques majeurs identifiés pour les différentes
parties prenantes.
Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dans
un grand groupe, i l peu t y avoir plusieurs cartographies des risques, indépendantes les
unes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe qui
a des activités ou des implantations géographiques très différentes n'établira pas une
cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération
nelles sont proches ou semblables, il est certain que des risques de même nature seront
identifiés et alors agrégés au niveau de la direction générale, avec l'enrichissemen t apporté
par la vision plus large de celle-ci.
La vision des risques de la direction générale est souvent différente de celle des opéra
tionnels. Il appartient à la direction générale d'établir la cartographie d es risques
majeurs en se basant, certes sur les informations qui lui remontent des opérationnels, via
les reporting traditionnels, mais également sur des informations en provenance de
l'environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soient
ensuite d éclinés en plans d'actions par les opérationn els, à tou s niveaux, et qu'ils don
n ent lieu à d es reporting réguliers. Un acteur dans l'entreprise, qu'il s'agisse du risk
manager ou de l'auditeur interne, doit s'assurer de l'harmonisa tion de ces cartographies.
Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et les
plans d'actions dans l'entreprise.
•
https://thegreateli brary.blogspot.com/
G U I D E D 'A U D I T
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S D E M A N A G E M E N T E T D E C A RT O G RA P H I E D E S RI SQ U E S
INTRODUCTION
• Selon l'enquête sur l'audit interne menée par l'IFACI en novembre 2002, en partenariat
avec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis en
place un processus de management des risques. Il convient d 'être prudent dans
l'acception donnée à « Processus de management des risques » ; en effet, les échanges au
sein du groupe de recherche de l'IFACI ont révélé des pratiques très diverses allant de
processus peu ou non formalisés à des processus déjà très aboutis.
Face à une littérature traitant abondamment de ce thème, mais parfois de façon dispa
rate, il nous a paru nécessaire d 'écrire un guide aidant à la réflexion puis à la construc
tion d 'un processus de management des risques, adapté à un environnement industriel
et commercial. Ce guide s'appuie sur les pratiques mises en œuvre dans une dizaine
d 'entreprises, grands groupes ou de taille moyenne. Il ne s'agit en aucune manière d'un
document normatif. À partir des exemples donnés, il appartient à chaque lecteur de
mener sa propre réflexion autour des thèmes suivants :
• la notion de « processus de management des risques » : processus élaboré et main
tenu par le Conseil, la direction ou les opérationnels, déployé dans toute l'entreprise
et destiné à identifier des évènements potentiels susceptibles d'affecter la vie de
l'entreprise, à gérer ses risques et à fournir une assurance raisonnable que ses
objectifs seront atteints ;
• le rôle des divers acteurs qui y sont impliqués, notamment celui de l'audit interne,
acteur majeur du processus de management des risques, dont les missions varient
en fonction de l'existence ou de l'absence d 'un processus de management des
risques ;
• l'initiation de la démarche en :
- identifiant les risques majeurs en environnement industriel et commercial;
- proposan t deux approches différentes d' élaboration d 'une cartographie
des risques, composante essentielle d'un processus de management des
risques. Ces deux approches ne prétendent pas offrir une méthode exhaus
tive et infaillible d'identification des risques mais des pistes d 'orientation
pour construire sa propre cartographie.
https://thegreate1ibrary.b1ogspot.corn/
G UIDE D'A UDI T
Il
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S DE M A N A G E M E N T ET D E CA R T O G R A PH I E D E S R I SQ UE S
1.
LE PROCESSUS DE MANAGEME NT DES RISQUES
(PMR)
1. Les objec tif s du PM R
Les principaux objectifs d'un processus de management des risques sont les suivants (3) :
• identification et hiérarchisation rap ide des risques découlant des stratégies, des activi
tés de l'organisation et de l'environnement externe ;
• détennination par la direction générale et les opérationnels d'un niveau de risques
accep table pour l'organisation, en tenant compte des risques liés à la mise en œuvre des
plans stratégiques de /'organisation et de leurs conséquences potentielles ;
• définition et mise en œuvre de mesures d'atténuation et de maîtrise des risques (mise
en place d'un contrôle interne adapté, transfert, financement, ...) afin de réduire ou de gérer
les risques, compte tenu des seuils jugés acceptables par la direction générale et le Conseil.
Il s'agit ici de répondre de manière appropriée à tous les risques susceptibles
d'empêcher la réalisation des objectifs de l'entreprise. Ceci inclut la sauvegarde du
patrimoine de tout risque d'utilisation inappropriée, de perte et de fraude et
implique de s'assurer que les dettes/pertes sont identifiées et prises en compte.
• sui v i p ennanent des activités afin :
- de réévaluer périodiquement les risques et l'efficacité des contrôles pour
permettre de les gérer et pour veiller à l'émergence de risques nouveaux ;
- d'assurer une cohérence globale de la méthod e de gestion d es risques
d'une activité à l'au tre (ou d'une entité à l'au tre) ;
• information p ériod ique du Conseil et de la direction gén érale sur les résultats
des processus de managemen t des risques. Dans le cadre d'un bon gouvernement
d 'entreprise, le Conseil et la direction générale doivent en effet assurer une vigilance
(et rendre compte vis-à-vis des parties prenantes) à l'égard des risques, des straté
gies liées aux risques, et des contrôles ;
• maintien d'un niveau d e qualité d es reportings interne et externe. Ceci implique
des enregistrements appropriés et des processus générant, en temps utile, une infor
mation pertinente et fiable.
Le processus de management des risques peut également avoir pour objectif, complémen
taire, d'alimenter le plan d'audit interne.
De manière générale, le processus de management des risques offre l'avantage de
promouvoir ou renforcer une cultur e d e risqu es au sein de l'entreprise et de partager les
meilleures pratiques en apportant des outils et des méthodes aux managers pour les aider
à identifier, évaluer et traiter leurs risques.
(3) Les phrases en italique sont issues de la Modalité Pratique d'Application 2110-1 des Normes Professionnelles de
l' Audit Interne de l'IIA/IFACI.
Il
G U I D E D 'A U D I T
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S D E M A N A G E M E N T E T D E C A RT O G RA P H I E D E S RI SQ U E S
2.
Les grandes phases du PM R
• Identifier et évaluer les risques, notamment en veillant à l'émergence de risques
nouveaux. Il s'agit de connaître ses risques, d 'en mesurer l'impact et la probabilité,
et de les hiérarchiser au travers de cartographies.
• Traiter les risques : il s'agit d'obtenir des propriétaires de risques qu'ils évaluent les
différentes options de traitement des risques, qu'ils sélectionnent la meilleure
combinaison (supprimer, accepter, transférer, couvrir/ financer) et qu'ils conduisent
les plans d 'actions adéquats, notamment la mise en place de plans de gestion de
cnse.
• Su ivre l'évolution des risques : les propriétaires des risques sont responsables du
suivi de l'évolution des risques au cours du temps. Ils doivent fournir les informa
tions de reporting correspondantes et adapter les mesures nécessaires.
• Garantir la maîtrise d es risques : des revues indépendan tes et objectives de la per
tinence et de l'efficacité des traitements sont assurées par l'audit interne, le risk
management, l'audit externe ou les équipes qualité pour donner à la direction
générale une image consolidée des risques majeurs de l'ensemble de l'entreprise et
de leur maîtrise.
Au-delà de ces considéra tions générales, il convient d'adapter le processus de manage
ment des risques à l'entreprise : en fonction de sa taille, structure, culture, activité, ... Une
variété de situations peut alors être rencontrée. (4)
https://thegreatel ibrary .blogspot.com/
(4) En annexe 1 ,sont présentés deux exemplesde processus de management des risques : lepremier est déployé dans
un grand groupe multi-filialeset multi-établissements et le second dans un groupe de presse de taille m011enne.
G UIDE D'A UDI T
Ill
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S DE M A N A G E M E N T ET D E CA R T O G R A PH I E D E S R I SQ UE S
2.
LES ACTEURS DU
PMR
Les acteurs du processus étant nombreux, i l est indispensable que leurs activités et actions
dans le processus de managemen t des risques soient coordonnées. Le tableau ci-après
reprend ce que peuvent être leurs principales responsabilités qui sont ensuite développées
plus largement. Ces rôles se positionnent dans le contexte français. Ils peuvent différer
dans d'autres pays, en fonction de la réglementation applicable (notamment les rôles de la
direction générale, du Conseil ou des comités qui en émanent).
Légende du schéma ci-après :
............ : se coordonne avec
- - : donne des orientations
Conseil
Commissaires
aux comptes
Direction générale
Interne
.........
management
m
Management
et opérationnels
Contrôle
de gestion
G U I D E D 'A U DI T
http://thegreatelibrary.blogspot.com/
É T U D E O U PR O C E SS U S D E M A N A G E M E N T E T D E C A RT O G RA P H I E D E S RI SQ U E S
Acteurs
Conseil
Responsabilités dans le processus
de management des risques
• veille à ce que un/des processus de management des risques
approprié(s), suffisant(s) et efficace(s) soit/soient en place;
• est informé périodiquemen t des résultats du PMR ;
• s'assure que le PMR fait l'objet d'évaluations régulières ;
• veille à ce que les actions nécessaires aient été menées rapidement afin
de pallier toute défaillance ou faiblesse importantes.
Direction
générale
• fait partager à toute l'entreprise la vision d'une gestion du risque
rigoureuse et efficace, donne l'impulsion, crée les conditions de
mise en œuvre du PMR au sein de l'entreprise ;
• est responsable de la conception, de la mise en place et du pilotage du
PMR ;
• définit les orientations stratégiques qui généreront,éventuellement, des
risques majeurs à prendre en compte;
• détermine le niveau de risques majeurs acceptable ;
• fixe, au sein de l'entreprise, les responsabilités liées aux risques. Il lui
appartient de définir officiellemen t les rôles précis de chacun des
acteurs du processus de management des risques (qui en tireront leur
légitimité) et de s'assurer que chaque acteur comprenne les
responsabilités qui lui incomben t. Ceci est parti culièrement vrai
pour l'audit interne dont le rôle, tel qu'il sera abordé ci-après dans la
partie trois, est protéiforme et, de ce fait, doit être précisé dans la
charte d'audit interne. La direction générale doit, à ce titre,
débloquer les ressources humaines et financières nécessaires à la
mise en œuvre, au suivi et à l'évalua tion du PMR ;
• fournit à tous les acteurs intervenant dans le PMR les informations
qu'elle serait la seule à connaître sur les risques de l'entreprise;
• suit et apprécie les résultats du PMR et de ses évaluations réali sées
par l'audit interne, éventuellement en s'assurant que des plans de
continuité des opérations sont mis en place afin de main tenir la
continuité d'exploitation et de réduire les pertes en cas
d'interruption critique de l'activité ;
• prend en compte ces résultats dans les décisions et orientations
stratégiques ;
• présente au Conseil les résultats du PMR.
G UIDE D'A UDI T
m
http://thegreatelibrary.blogspot.com/
Download Full
BOOK PDF
Version For Free
http://thegreatelibrary.blogspot.com/