[PDF] Étude du Processus de Management et de Cartographie des Risques

View - Download Étude du Processus de Management et de Cartographie des Risques

Previous PDF

Next PDF

Institut de

l'Audit InterneGUIDE D'AUDIT

LES CAHIERS DE LA RECHERCHE

Institut de

l'Audit InterneL'activité Recherche de l'IFACI - Institut de l'Audit Interne -ouverte à tous les adhérents, est l'expression du caractère associatif de l'Institut et concrétise notre devise : " Le Progrès par le Partage ». La Recherche s'organise autour de groupes de travailqui mettent en commun et formalisent leurs réflexions et leurs pratiques sur un thè me ou un sujet propre à un secteur d'activité. Les travaux de ces groupes sont destinés à être diffusés sous de multiples formes auprès du plus grand nombre. Telle est précisément la vocation de la Collection : " Les Cahiers de la Recherche »qui met à la disposition des auditeurs quatre types d'outils : les " Prises de Position »publiées par des instances professionnelles, les " Notes Professionnelles »qui explicitent et commentent ces prises de position, les " Meilleures Pratiques», en France ou à l'international, les " Guides d'Audit » qui définissent un cadre pratique pour la conduite des missions.

Étude

du Processus de Management et de Cartographie des Risques

Conception,

mise en place et évaluation

Groupe Professionnel

Industrie et Commerce

Institut del'Audit InterneÉtude du Processus de Management et de Cartographie des Risques

12 bis, place Henri Bergson - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08

48 20

Web : www.ifaci.com - E-mail : institut@ifaci.com

Institut Français de l'Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069

The Institute of Internal Auditors

LES CAHIERS DE LA RECHERCHE

GUIDE D'AUDIT

Étude

du Processus de Management et de Cartographie des Risques

Conception,

mise en place et évaluation

Groupe Professionnel

Industrie et Commerce

Institut de

l'Audit Interne 2 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

REMERCIEMENTS

L'IFACI tient tout particulièrement à remercier les participants du groupe Industrie et Commerce qui ont conçu et rédigé ce cahier : Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ; Frédéric Bel,Chef du Département Qualité/Audit Interne, Primagaz ; Florence Bergeret,Responsable de la Recherche, IFACI ; Pierre de Magnitot,Audit Manager, Giat Industrie ; Rick Floore,Internal Audit Manager, Sodexho Alliance ;

Alain Hocquet,Risk Manager, France Telecom ;

Christian Lesné,Consultant, IFACI ;

Rosa Mendes,Auditrice Interne, Michelin ;

Marzio Panelli,Auditeur Interne, Michelin ;

Thomas Puissant,Audit Implementation Manager, Rhodia ; Catherine Veillet-Michelet,Directrice de l'Audit Interne, Bayard Presse ; Christian Zerbi,Responsable de l'Audit Interne, Metro Cash and Carry France. Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total, pour sa relecture avisée, ainsi qu'à Emmanuel Du Moulin, Directeur de l'Audit Interne de Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric Robert, Auditeur Interne de Renault, pour leur participation aux échanges aya nt conduit à l'élaboration de ce cahier.

Louis Vaurs

Délégué Général

IFACI - Paris - Décembre 2003

ISBN : 2-915051-02-X

Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l' auteur, ou de ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1 er de l'article 40). Cette représen-

tation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les

articles 425 et suivants du Code Pénal. 3 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

4 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

SOMMAIRE

Résumé ........................................................................ .....7

Introduction

1. Le processus de management des risques (PMR) ...............................................10

1.1. Les objectifs du PMR ........................................................................

1.2. Les grandes phases du PMR ........................................................................

2. Les acteurs du PMR ........................................................................

3. Le rôle de l'audit interne dans le PMR ........................................................................

...........18

3.1. En présence d'un PMR ........................................................................

3.2. En l'abscence d'un PMR ........................................................................

4. La cartographie des risques, élément clé du PMR............................................24

4.1. Définition et objectifs d'une cartographie ........................................................................

4.2. Exemples de risques majeurs en environnement industriel et commercial ............................25

4.3. Exemple : Approche Bottom-up ........................................................................

4.4. Exemple : Approche Top-down ........................................................................

4.5. Une démarche d'auto-évaluation ........................................................................

4.6. La communication de la cartographie des risques ........................................................................

...................40 Conclusion - Gérer les risques liés à la mise en place d' un PMR.......41 5 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

Annexes :

Annexe 1 - Exemples de processus de management des risques.......................................................................44

1.1. Grand groupe multi-filiales et multi-établissements........................................................................

44

1.2. Groupe de presse de taille moyenne........................................................................

Annexe 2 - Exemple de Business Process Model et de questionnaire de description de processus

2.1. Business Process Model........................................................................

2.2. Questionnaire de description de processus........................................................................

...........................50

Annexe 3 - Exemples de guide d'audit du processus achat........................................................................

............53

3.1. En milieu industriel........................................................................

3.2. En milieu commercial........................................................................

Annexe 4 - Risque industriel : la directive Seveso........................................................................

.................................83 Annexe 5 - Glossaire........................................................................ Annexe 6 - Bibliographie........................................................................ 6 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

RÉSUMÉ

Selon la dernière enquête de l'IFACI menée en France, près des deux tiers des entreprises

ayant répondu ont mis en place un processus de management des risques, mais les pra- tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans

d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa-

rate, il nous a semblé nécessaire d'écrire un guide aidant à la réflexion puis à l'élaboration

d'un processus de management des risques adapté à un environnement industriel et commercial. Ce guide s'appuie sur les pratiques mises en oeuvre dans une dizaine d'entreprises, grands groupes ou de taille moyenne. Il ne s'agit en aucune manière d'un document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques au processus de management des risques. La première partiemet en lumière les objectifs et la démarche d'un processus de manage- ment des risques :

Les risques de l'entreprise sont identifiés ;

La direction générale (1) et les opérationnels déterminent le ni veau de risques acceptable ; Les contrôles internes sont définis et mis en place afin de r

éduire ou de gérer les risques ;

Un suivi permanent est effectué, en particulier pour réévaluer périodiquement les risques et l'efficacité des contrôles internes ; Le Conseil (2) et la direction générale sont informés périodiquement des résultat s et enseignements du processus de management des risques. Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la

deuxième partie: le Conseil, la direction générale, les comités spécialisés du Conseil,

l'audit interne, le risk management, le management et les opératio nnels, le contrôleur de gestion et, en tant que prestataires externes, les commissaires aux comptes. Parmi ces acteurs, l'audit interne se distingue par son rôle fonda mental dans le processus de management des risques. En effet, dans le cadre de leurs activités courantes, on attend des auditeurs internes qu'ils identifient et évaluent les risques significatifs. La vision d'en- semble qu'ils ont de l'entreprise et de ses processus les y aide nécessairement.

Ce rôle est approfondi dans la troisième partieà l'aide de questions clés liées aux éléments

du processus les plus importants. En l'absence d'un processus de management des risques, quelques orientations sont données pour l'initier (prendre conscience des risques et de l'importance du contrôle interne, promouvoir la démarche, aider l'entreprise à identifier et évaluer les risques et faire évoluer le processus). 7 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

(1) Par direction générale, on entend également comité exécutif, dir ectoire, comité de direction, ... (2) Par Conseil, on entend conseil d'administration, conseil de sur veillance, ... La construction de la cartographie des risques, abordée dans la quatrième partie, est une étape clé du processus. En fonction de la culture et de l'environnement de l'entreprise, deux approches peuvent être adoptées pour élaborer une cartographie des risques : - l'approche bottom up, ou remontée des risques opérationnels vers les risques majeurs, - l'approche top-down, à partir des risques majeurs identifiés pour les différentes parties prenantes. Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs cartographies des risques, indépendan tes les unes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe qui

a des activités ou des implantations géographiques très différentes n'établira pas une

cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération-

nelles sont proches ou semblables, il est certain que des risques de même nature seront

identifiés et alors agrégés au niveau de la direction générale, avec l'enrichissement apporté

par la vision plus large de celle-ci.

La vision des risques de la direction générale est souvent différente de celle des opéra-

tionnels. Il appartient à la direction générale d'établir la cartog raphie des risques majeurs en se basant, certes sur les informations qui lui remontent des opérationnels, via les reporting traditionnels, mais également sur des informations en provenance de l'environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soient ensuite déclinés en plans d'actions par les opérationnels, à tous niveaux, et qu'ils don- nent lieu à des reporting réguliers.Un acteur dans l'entreprise, qu'il s'agisse du risk manager ou de l'auditeur interne, doit s'assurer de l'harmonisation de ces cartographies.

Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et les

plans d'actions dans l'entreprise. 8 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

INTRODUCTION

Selon l'enquête sur l'audit interne menée par l'IFACI en novembre 2002, en partenariat avec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis en place un processus de management des risques. Il convient d'être prudent dans l'acception donnée à " Processus de management des risques » ; en effet, les échanges au sein du groupe de recherche de l'IFACI ont révélé des pratiques très diverses allant de processus peu ou non formalisés à des processus déjà très aboutis. Face à une littérature traitant abondamment de ce thème, mais parfois de façon dispa-

rate, il nous a paru nécessaire d'écrire un guide aidant à la réflexion puis à la construc-

tion d'un processus de management des risques, adapté à un environnement industriel et commercial. Ce guide s'appuie sur les pratiques mises en oeuvre dans une dizaine d'entreprises, grands groupes ou de taille moyenne. Il ne s'agit en aucune manière d'un document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener sa propre réflexion autour des thèmes suivants : la notion de " processus de management des risques » : processus élaboré et main- tenu par le Conseil, la direction ou les opérationnels, déployé dans toute l'entreprise et destiné à identifier des évènements potentiels susceptibl es d'affecter la vie de l'entreprise, à gérer ses risques et à fournir une assurance raisonnable que ses objectifs seront atteints ; le rôle des divers acteurs qui y sont impliqués, notamment celui d e l'audit interne, acteur majeur du processus de management des risques, dont les missions varient en fonction de l'existence ou de l'absence d'un processus de management des risques ; l'initiation de la démarche en : - identifiant les risques majeurs en environnement industriel et commercial ; - proposant deux approches différentes d'élaboration d'une cartographie des risques, composante essentielle d'un processus de management des risques. Ces deux approches ne prétendent pas offrir une méthode exhaus- tive et infaillible d'identification des risques mais des pistes d' orientation pour construire sa propre cartographie. 9 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

1. LE PROCESSUS DE MANAGEMENT DES RISQUES(PMR)

1.1. Les objectifs du PMR

Les principaux objectifs d'un processus de management des risques sont les suivants (3) : identification et hiérarchisation rapide des risquesdécoulant des stratégies, des activi- tés de l'organisation et de l'environnement externe ; déterminationpar la direction générale et les opérationnels d'un niveau de risques acceptable pour l'organisation, en tenant compte des risques liés à la mise en oeuvre des plans stratégiques de l'organisation et de leurs conséquences potentielles ; définition et mise en oeuvre de mesures d'atténuation et de maîtrise des risques(mise en place d'un contrôle interne adapté, transfert, financement,... ) afin de réduire ou de gérer

les risques, compte tenu des seuils jugés acceptables par la direction générale et le Conseil.

Il s'agit ici de répondre de manière appropriée à tous les risques susceptibles d'empêcher la réalisation des objectifs de l'entreprise. Ceci inclut la sauvegarde du patrimoine de tout risque d'utilisation inappropriée, de perte et de fraude et implique de s'assurer que les dettes/pertes sont identifiées et prises en compte. suivi permanent des activitésafin : - de réévaluer périodiquement les risques et l'efficacité des contrôlespour permettre de les géreret pour veiller à l'émergence de risques nouveaux ; - d'assurer une cohérence globale de la méthode de gestion des ri squesd'une activité à l'autre (ou d'une entité à l'autre) ; information périodique du Conseil et de la direction générale s ur les résultatsdes processus de management des risques. Dans le cadre d'un bon gouvernement d'entreprise, le Conseil et la direction générale doivent en effet assurer une vigilance (et rendre compte vis-à-vis des parties prenantes) à l'égard des risques, des straté- gies liées aux risques, et des contrôles ; maintien d'un niveau de qualité des reportings interne et externe.

Ceci implique

des enregistrements appropriés et des processus générant, en temps utile, une infor- mation pertinente et fiable. Le processus de management des risques peut également avoir pour objectif, complémen- taire, d'alimenter le plan d'audit interne. De manière générale, le processus de management des risques offre l'avantage de promouvoir ou renforcer une culture de risquesau sein de l'entreprise et de partager les meilleures pratiques en apportant des outils et des méthodes aux managers pou r les aider à identifier, évaluer et traiter leurs risques. 10 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

(3) Les phrases en italique sont issues de la Modalité Pratique d'

Application 2110-1 des Normes Professionnelles de

l'Audit Interne de l'IIA/IFACI.

1.2. Les grandes phases du PMR

Identifier et évaluer les risques, notamment en veillant à l'émergence de risques nouveaux. Il s'agit de connaître ses risques, d'en mesurer l'impact et la probabilité, et de les hiérarchiser au travers de cartographies. Traiter les risques: il s'agit d'obtenir des propriétaires de risques qu'ils évaluent les différentes options de traitement des risques, qu'ils sélectionnent la m eilleure combinaison (supprimer, accepter, transférer, couvrir/financer) et qu'ils conduisent les plans d'actions adéquats, notamment la mise en place de plans de gestion de crise. Suivre l'évolution des risques: les propriétaires des risques sont responsables du suivi de l'évolution des risques au cours du temps. Ils doivent fo urnir les informa- tions de reporting correspondantes et adapter les mesures nécessaires. Garantir la maîtrise des risques: des revues indépendantes et objectives de la per- tinence et de l'efficacité des traitements sont assurées par l'audit interne, le risk management, l'audit externe ou les équipes qualité pour donner

à la direction

générale une image consolidée des risques majeurs de l'ensem ble de l'entreprise et de leur maîtrise. Au-delà de ces considérations générales, il convient d'ad apter le processus de manage-

ment des risques à l'entreprise : en fonction de sa taille, structure, culture, activité,... Une

variété de situations peut alors être rencontrée. (4) 11 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

(4) En annexe 1, sont présentés deux exemples de processus de management des risques : le premier est déployé dans

un grand groupe multi-filiales et multi-établissements et le second dans un groupe de presse de taille moyenne.

2. LES ACTEURS DUPMR

Les acteurs du processus étant nombreux, il est indispensable que leurs activités et actions dans le processus de management des risques soient coordonnées. Le tableau ci-après

reprend ce que peuvent être leurs principales responsabilités qui sont ensuite développées

plus largement. Ces rôles se positionnent dans le contexte français. Ils p euvent différer dans d'autres pays, en fonction de la réglementation applicable (notamment les rôles de la direction générale, du Conseil ou des comités qui en émanent).

Légende du schéma ci-après :

: se coordonne avec : donne des orientations 12 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

Commissaires

aux comptes

Direction générale

Audit

Interne

Risk management

Management

et opérationnels

Contrôle

de gestion

Comités

spécialisés du Conseil

Conseil

ActeursResponsabilités dans le processus

de management des risques veille à ce que un/des processus de management des risques approprié(s), suffisant(s) et efficace(s) soit/soient en place ; est informé périodiquement des résultats du PMR ; s'assure que le PMR fait l'objet d'évaluations régulières ; veille à ce que les actions nécessaires aient été menées rapidement afin de pallier toute défaillance ou faiblesse importantes. fait partager à toute l'entreprise la vision d'une gestion du risque rigoureuse et efficace, donne l'impulsion, crée les conditions de mise en oeuvre du PMR au sein de l'entreprise ; est responsable de la conception, de la mise en place et du pilotage du PMR ; définit les orientations stratégiques qui généreront, éventuellement, des risques majeurs à prendre en compte ; détermine le niveau de risques majeurs acceptable ; fixe, au sein de l'entreprise, les responsabilités liées aux risques. Il lui appartient de définir officiellement les rôles précis de chacun des acteurs du processus de management des risques (qui en tireront leur légitimité) et de s'assurer que chaque acteur comprenne les responsabilités qui lui incombent. Ceci est parti- culièrement vrai pour l'audit interne dont le rôle, tel qu'il sera abordé ci-après dans la partie trois, est protéiforme et, de ce fait, doit être précisé dans la charte d'audit interne. La direction générale doit, à ce titre, débloquer les ressources humaines et financières nécessaires à la mise en oeuvre, au suivi et à l'évalua- tion du PMR ; fournit à tous les acteurs intervenant dans le PMR les informations qu'elle serait la seule à connaître sur les risques de l'entreprise ; suit et apprécie les résultats du PMR et de ses évaluations ré ali- sées par l'audit interne, éventuellement en s'assurant que des plans de continuité des opérations sont mis en place afin de main- tenir la continuité d'exploitation et de réduire les pertes en cas d'interruption critique de l'activité ; prend en compte ces résultats dans les décisions et orientations stratégiques ; présente au Conseil les résultats du PMR. 13 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

Conseil

Direction

générale 14 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

examinent les risques et engagements hors bilan significatifs, entendent le responsable de l'audit interne, sont destinataires de son programme de travail et de ses rapports d'audit interne ; vérifient que les processus et procédures en matière financière sont mis en oeuvre et sont efficaces ; dirigent et coordonnent la prévention et la maîtrise des risques liés aux opérations de l'entreprise. Chacun de ces comités peut être chargé de traiter un domaine parti- culier du PMR, mais c'est principalement le comité d'audit qui doit jouer un rôle moteur ainsi que le préconise le Rapport Bouton (cf. encadré ci-après). L'existence et le rôle des divers comités est très variable d'une entreprise à l'autre (cf exemple d'un groupe de spécia- lités chimiques ci-après). L'auditeur joue un rôle majeur dans le PMR. En effet, il identifie et évalue les risques significatifs dans le cadre de ses activités courantes.

En présence d'un PMR :

évalue et contribue à son amélioration (mission prioritaire) ; rend compte de cette évaluation à la direction générale et au comité d'audit ; aide à identifier et évaluer les risques ; peut apporter un soutien actif et continu au PMR, en participant par exemple à des comités de surveillance et de suivi des risques ; peut apporter la méthodologie.

En l'absence d'un PMR :

fait la promotion de la démarche : attire l'attention de la direction générale sur la nécessité de mettre en place un PMR et formule des suggestions sur ce point ; initie la démarche, à la demande de la direction générale ; gère et coordonne le processus. Ce rôle varie de manière significative d'une entreprise à l'autre et selon qu'il existe, ou non, un processus de management des risques. Il est largement développé dans la partie IIIdu présent cahier de la recherche.

Comités

spécialisés du Conseil (comité d'audit/ comité des comptes, comité des risques, comité des rémunérations, comité stratégique,...)

Auditeur interne

(Rôle développé en partie III)

ActeursResponsabilités dans le processus

de management des risques 15 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUES

GUIDE D'AUDIT

Il convient de souligner que,quel que soit ce rôle: il doit être défini par la direction générale et le Conseil ; il doit être clairement précisé dans la Charte de l'audit interneet dans celle du comité d'audit ; cette responsabilité incombant à la direction générale et aux direc- tions opérationnelles. explique le PMR aux opérationnels ; aide la direction générale à définir la stratégie du management des risques ; réalise éventuellement des analyses économiques d'opportunit

é en

prenant en compte les coûts potentiels liés aux risques ; identifie, en concertation avec les directeurs opérationnels et l'audit interne, les risques majeurs de l'entreprise et anticipe les nouveaux risques émergents ;

évalue les risques ;

assiste la direction générale et les directeurs opérationnels dans la formulation d'une réponse aux risques : - prendrele risque, - traiterle risque, - transférerle risque, - supprimerle risque ; coordonne, en liaison avec les managers opérationnels :quotesdbs_dbs17.pdfusesText_23

[PDF] exemple de procuration revenu quebec

[PDF] exemple de produit agroalimentaire

[PDF] exemple de produit certifié

[PDF] exemple de produit touristique

[PDF] exemple de profil entrepreneurial

[PDF] exemple de programmation step 7 pdf

[PDF] exemple de programme d activités d une association

[PDF] exemple de programme d amélioration de la qualité et de la sécurité des soins

[PDF] exemple de programme d'activités

[PDF] exemple de programme d'activités annuel

[PDF] exemple de programme d'activités d'une association

[PDF] exemple de progrès technique

[PDF] exemple de progression

[PDF] exemple de progression bac pro ga

[PDF] exemple de progression cycle 3