RESUME

Dans le cadre de ma spécialité en audit et contrôle de gestion, j’ai choisi de travailler sur un
projet en liaison directe avec les pratiques de performance au sein de l’entreprise ; la survie
et la prospérité de toute organisation reposant, en partie, sur la mise en œuvre d’un
dispositif de management des risques efficace.
Le management des risques est l’activité qui consiste à évaluer le risque en entreprise puis à
développer les diverses stratégies destinées à le garder sous contrôle. Ces stratégies vont du
transfert du risque à l’évitement en passant par la réduction des effets néfastes et
l’acceptation de certaines conséquences du risque. C’est un outil de pilotage opérationnel et
d'aide à la décision stratégique. Le management des risques est devenu une des fonctions
principales de la gestion d'une entreprise.
Les risques peuvent avoir du bon. Sans risques, il n'y a pas de récompense. L'objectif de la
gestion des risques n'est pas d'éliminer le risque, mais de le comprendre afin de pouvoir en
tirer des opportunités et minimiser les inconvénients.
L’objectif de la mise en place d’une cartographie des risques est d’identifier les zones de risques et
mettre à la disposition des opérationnels un référentiel de maîtrise des risques dont ils pourront
vérifier le respect et d’apporter périodiquement des aménagements pour le faire évoluer en fonction
de l’évolution de l’environnement tant interne qu’externe de l’entreprise.

Comme l’Office National de l’Electricité et de l’Eau Potable- Branche Eau est un des grands
établissements publics du pays et fait figure de monopole dans le secteur de la production et
la distribution de l’eau, il a été parmi les premiers établissements à s’intéresser a la mise
en œuvre d’un dispositif du management des risques et d’avoir adopter la culture de
gestion des risques dans l’ensemble des processus de l’office.
Ce mémoire relatera le concept de management des risques en deux parties, une théorique consacré
aux divers concepts qui y sont liés et une pratique ou j’exposerais la démarche de gestion des
risques.
Les mots clés : Risque, Management/Gestion des risques, cartographie des risques.

INTRODUCTION GENERALE
Propulsée sur le devant de la scène dans un environnement marqué par sa complexité et son
incertitude, remontée ces dernières années des préoccupations des spécialistes des
questions d’assurances à celles de la Direction Générale de l’entreprise, la thématique des
risques et de leur gestion mérite que l’on s’y intéresse.
Le management des risques constitue une démarche d'analyse et d'identification
systématique relativement récente dans le monde économique, elle s’est installée dans le
quotidien des dirigeants depuis les années 2000, c'est l'émergence de la gestion des risques
proprement dite, avec notamment le développement de la notion de "cartographie des
risques". Il s'agit désormais d'identifier les risques (résiduels, cibles ou bruts), de les évaluer,
de définir des mesures de contrôle et de simuler différents scenarios d'incidents à analyser.
Le management des risques est devenu une des fonctions principales de la gestion d'une
entreprise: le marché des capitaux ne pardonne plus aucune faute grave, et le Risk
Management fait partie intégrale des nouvelles réglementations comme le Sarbanes-Oxley
Act. Il peut être défini comme la culture, les processus et les structures orientés vers la
réalisation d'opportunités tout en gérant les effets néfastes. Une explication de l'intérêt
accru à la gestion des risques est la possibilité d'appliquer les nouvelles idées et outils sur la
“nouvelle réalité des risques”. Elle devrait faire partie intégrante des bonnes pratiques en
affaires, tant au niveau stratégique qu'opérationnel.
Le cœur du management des risques consiste à évaluer l'incertitude de l'avenir afin de faire
la meilleure décision possible aujourd'hui. Ses avantages sont les meilleures décisions ;
moins de surprises, amélioration de la planification et de la performance, efficacité et
amélioration des relations avec les parties prenantes.
L’état des lieux établi dans les précédents travaux des chercheurs en la matière a permis de
mieux appréhender la situation dans les entreprises

et de faire émerger une approche

cognitive et organisationnelle de la gestion des risques. Il met en évidence un intérêt affiché
des entreprises pour le risque contrastant avec une démarche encore « frileuse » de leur
gestion. Il décrit, une démarche de gestion des risques en cinq étapes : définition d’une

Stratégie de définition des risques majeurs, identification des risques, mise en cartes,
identification des dispositifs de contrôle, analyse des résultats.
Pour bien comprendre la mise en œuvre du système management des risques nous allons
présenter le cas de l’Office National de l’Electricité et de l’Eau Potable- Branche Eau
(ONEE), qui est compté parmi les premiers établissements intégrant une

démarche

management des risques et parmi les entreprises publiques précurseur dans le choix et
l’adoption d’une culture de gestion et maitrise des risques.
L’ONEE-Branche Eau comme entité économique évolue dans un environnement
caractérisé par une multitude de risques, de ce fait il est devenu impératif pour cette
organisation de mettre en place un système management des risques qui permet d'assurer
qu'elle connaît, comprend et

agit

face

continuellement.

des

risques semblerait être un sujet émergent, une

La

gestion

aux

risques

auxquels

elle

s'expose

préoccupation récente de toutes les organisations. L’ONEE-BRANCHE EAU a pour mission1 de
:
-

Pérenniser, sécuriser et renforcer l’approvisionnement en eau potable en milieu urbain ;

-

Généraliser l’accès a l’eau potable en milieu rural ;

-

Prendre en charge l’assainissement liquide.

Compte tenu de ce défi, et pour contribuer à l’amélioration de ses systèmes de gestion et de
maitrise des risques et veiller à l’amélioration de ses dispositifs du contrôle interne, l’ONEEBranche Eau est appelé à organiser son système de management des risques. Pour
cela, la dite entreprise serait tenue également d’accompagner l’évolution structurante que
connait actuellement le domaine du management des risques.
Le présent dispositif de management des risques a été le résultat d’une étroite
collaboration entre la direction d’audit et organisation de l’ONEE-BRANCHE EAU soucieuse
de l’importance de la maitrise des risques d’une part, et les cabinets d’audit KPMG et
SINEQUA d’autre part, ayant pour mission l’étude du renforcement du système de contrôle
interne de l’ONEE-BRANCHE EAU et la mise en place des premières étapes d’une stratégie
globale de management des risques. Ce système embryonnaire se limite au déploiement de
la cartographie des risques vu qu’il est pris en charge par les auditeurs internes qui, ayant
1

Interview du directeur général de l’ONEP accordé a l’Economiste édition N° 1001

en parallèle d’autres fonctions en charge, Ne peuvent assurer une organisation (suivi,
reporting, et aménagement de la structure…) de ce dispositif. Ceci explique le choix de la
présente recherche et justifie la proposition de la direction pour le présent thème de
recherche dont l’objectif est d’étudier l’organisation du dispositif actuel du managent des
risques compte tenu de son rattachement à la direction de l’audit et d’organisation.

La principale question qui aura la priorité d’orienter ce travail est : « comment l’ONEEBranche Eau peut gérer les risques de manière efficace ?»

Ce travail se limitera au cycle achats, vu l’impossibilité de traiter l’ensemble des processus en
trois mois de stage

Pour ce faire, Le présent travail va tenter de répondre aux questions de recherche
suivantes:
-

C’est quoi le management des risques ?

-

Quelle est la place du management des risques par rapport aux outils traditionnels ?

-

Quel est la démarche adéquate de mise en œuvre du management des risques de

Manière générale et celle du cycle achats en particulier?
-

Quels sont les moyens de suivi et de reporting de ce système?

-

Quels sont les rattachements possibles pour une entité de management des risques ?

Du côté apport personnel du projet, il s’agit surtout de :
-

Valider les acquis théoriques par la pratique et la mise en situation ;

-

Réaliser un projet professionnel individuel;

-

Comprendre le dispositif management des risques exploités par l’Office ;

-

Se charger de la production d’une cartographie des risques cycle stock ;

-

Proposes des moyens de suivi et de reporting pour ce système ;

-

Apprendre à structurer les idées, à rechercher les moyens d’exprimer les pensées et à

reformuler les idées ;
-

Et enfin s’acquitter de la méthodologie universitaire pour approcher un thème de rapport

de fin d’études, sa rédaction et sa soutenance avec brillance devant le jury.

Méthodologie de travail : La première étape était la production d’un planning de travail à respecter présentant ainsi les différentes tâches à réaliser tout au long de la période de stage. La deuxième étape était le lancement du projet par une recherche théorique plus ou moins approfondie afin d’approfondir nos connaissances en vue d’une maîtrise du projet.nous entamerons cette partie par une brève présentation de l’organisme accueillant (Office National de l’Electricité et de l’Eau Potable et de son cycle d’achats). ensuite se fera une analyse du dispositif actuel de management des risques (élaboration de la cartographie des risques du cycle achats) pour proposer des suggestions de suivi.Pour cela des outils adéquats seront utilisés à savoir la carte d’identité du processus. - La deuxième partie sera consacrée a l’investigation du terrain . audit interne et management des risques tout en mettant le point sur les référentiels de mesure sur lesquels s’appuie le présent travail. Le travail se focalisera sur les achats comme étant un processus critique . il sera procédé ainsi a une revue de littérature puisée des principales références bibliographiques dans le domaine du contrôle interne. la cartographie des risques et plans d’actions. de reporting. le logigramme. des grilles d’analyse. . La démarche de recherche est scindée en deux grandes parties qui sont interdépendantes : - la première partie portera sur l’investigation documentaire. et d’organisation de ce système.

Première partie : Management des risques. Enfin. l’attention se focalisera sur les limites du contrôle interne qui représentent un point de départ pour l’auditeur interne. Ensuite. La deuxième section penchera vers l’audit interne puisqu’il est dans le cas de l’ONEP l’intervenant en matière de gestion des risques. pour initier le lecteur par rapport a ce référentiel et l’aider a mieux se situer vis-à-vis du référentiel COSO 2 qui sera abordée au niveau de la deuxième section en tant que démarche de management de risque. et des sources de risques et de critiques du dispositif de contrôle interne. Il s’agira de rapprocher le lecteur de l’audit interne a travers le cadre et les modalités de fonctionnement dans un premier temps et puis mettre en perspective la relation entre l’audit interne et le contrôle interne par le biais des procédures qui constituent un champ commun entre les deux notions. une approche du contrôle interne selon le ‘Committee of Sponsoring Organizations’ (COSO) prendra place. un outil idoine pour un audit basé sur les risques Chapitre 1 : la maîtrise des risques une préoccupation du contrôle et audit internes Ce premier chapitre abordera dans sa première section une introduction au contrôle interne. Ainsi. se fera un listing de différentes définitions apportées au CI par différentes organisations dans le but de permettre au lecteur de bien se situer par rapport à la notion. .

. 1999. la sauvegarde du patrimoine et la qualité de l’information. de sauvegarder des biens et d’assurer. les méthodes et les procédures de chacune des activités de l’entreprise pour maintenir la pérennité de celle. le plus souvent. De ce fait. il ne se limite pas à des contrôles réglementaires (contrôle de type vérification) et n’est pas restreint au seul Reporting financier. Economica. »2  INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES: « Le contrôle interne comprend l’ensemble des systèmes de contrôle. il est considéré comme un instrument de création de valeur qui fournit une aide précieuse quant à la prise de décision.. Un contrôle interne bien mis en place.Section 1 : Contrôle interne L’apport du contrôle interne est d’une grande utilité pour les dirigeants. financiers et autres. réalisation des objectifs et amélioration de la performance de l’entreprise. il est défini de façon large. la 2 Grand B. d’un côté. efficace et efficient s’oriente vers l’atteinte et la réalisation des objectifs primordiales de l’entreprise. Il se manifeste par l’organisation. déterminées par des organisations comptables professionnelles internationales. Le terme « contrôler » doit être pris dans la signification de « Maitriser ». Paris.  Ordre des Experts Comptables Français : « Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Verdalle B.ci.. Il a pour but. 1. Le contrôle interne à plusieurs définitions qui ont été. Audit Comptable et Financier. Définitions du contrôle interne : Les définitions du contrôle interne sont multiples. mis en place par la direction. d’assurer la protection. autant que possible. ces organisations ont tenté d’analyser le contenu du contrôle interne. p63. l’application des instructions de la direction et de favoriser l’amélioration des performances. afin de pouvoir diriger les affaires d’une société de façon ordonnée. de l’autre.

Il définit le contrôle interne comme « un processus. De manière générale. ce dispositif permet aux responsables de l’entreprise de maîtriser les activités en vue d’atteindre leurs objectifs. le contrôle interne est mis en œuvre par l’ensemble du personnel de l’entreprise et exercé à tous les niveaux décisionnels. le contrôle interne est un ensemble de dispositif choisis par l’encadrement et mis en œuvre par les responsables de tout niveau.sincérité et la Fiabilité des informations enregistrées. de pointage et d’audit interne. En effet. - La conformité aux lois et aux règles en vigueurs COSO. publié en1992. On peut dire. le contrôle interne permet une prise de décision pertinente en se basant sur des informations fidèles à la réalité et contrôlées. De même. Son objectif est de réduire le . accroître le rendement et assurer l’application des instructions de la direction. Font partie du système de contrôle interne les Activités de vérification. mis en œuvre par le conseil d’administration.»  Le référentiel COSO: (Committee of sponsoring organization) Le COSO regroupe aux USA les associations et instituts dans les domaines de la comptabilité et de l’audit interne. - La fiabilité de l’information . contrôler l’exactitude des informations fournies par la comptabilité. que le contrôle interne est un ensemble de procédures de contrôle s’exerçant au sein de l’entreprise afin de régir la bonne application des règlementations. conçu pour donner une assurance raisonnable quant a la réalisation d’objectifs dans les catégories suivantes : - Efficacité et efficience des opérations . De ce fait. donc. qui ont sponsorisés les travaux de cette commission. »  AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS: « Le contrôle interne est formé de plans d’organisation te de toutes les méthodes et procédures adoptées à l’intérieur d’une entreprise pour protéger ses actifs. et qui sur la base de ses recommandation ont rédigé « le COSO FRAMEWORK » ou référentiel COSO. le management et les autre membres du personnel. pour maitriser le fonctionnement de leurs activités.

risque à un niveau acceptable par les dirigeants avec les moyens dont l’entreprise dispose.  La loi Sarbanes Oxley Act (aux Etats-Unis) – 30 juillet 20023: - L’objectif est de restaurer la confiance des investisseurs et de renforcer la Gouvernance d’entreprise. le SOX (the Sarbanes-Oxley Act) a choisi que ces société coté en bourse adoptent le COSO comme référentiel suite au besoin d’un cadre conceptuel. du nom de ses promoteurs le sénateur Paul Sarbanes et le député Mike Oxley. en réaction aux scandales financiers Enron et Worldcom. En 2002. 2. telles que la loi de sécurité financière« LSF» ou la loi Sarbanes Oxley). . son efficacité au regard d’un modèle de contrôle interne reconnu. Le texte est couramment appelé loi Sarbanes-Oxley. Contexte réglementaire du contrôle interne : De nouvelles lois et réglementations ont été instaurées (Loi de Sécurité Financière. Cette loi exige des sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier les résultats. - L’article 404 de cette loi exige que la Direction Générale engage sa responsabilité sur l’établissement d’une structure de contrôle interne comptable et financier et qu’elle évalue. Le contrôle interne n’est ni indispensable ni obligatoire (sauf pour les entreprises soumises aux lois de sécurité financière. En 2003. - La Securities and Exchange Commission (SEC) et le Public Company Accounting Oversight Board (PCAOB) ont fortement recommandé aux entreprises américaines (ou étrangères cotées à New York) d’adopter le COSO comme référentiel. Sarbanes Oxley Act. imposant aux entreprises différentes exigences.…) vue les scandales financiers et les faillites. annuellement. De ce fait. le parlement des Etats-Unis légifère une loi qui s’appelle Sarbanes–Oxley. la promulgation de la loi sur la sécurité financière a aussi participé à sa diffusion. Cette loi vise à : 3 Loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs.

La mouvant. Le référentiel COSO a donné naissance à un cube dont les 3 faces visibles représentent les 3 objectifs. (Annexe 1. Le référentiel COSO 1 : Le référentiel international COSO est un groupe de réflexion ou une commission. il s’agit d’analyser les 5 composantes du contrôle interne. pyramide du COSO1) . de façon significative. Cette évolution du cadre réglementaire européen étend. chaque activité contribue à la réalisation des 3 objectifs. La loi Sarbanes Oxley a été accompagnée par la transposition de la 8ème directive européenne qui a imposé le principe de « suivi de l’efficacité » des « procédures de contrôle interne ». La fonction de contrôle interne doit donc définir son périmètre d’actions et ses responsabilités en accord recommandations appuyées avec et des un cadre lois à réglementaire venir. le déploiement du contrôle interne dans les entreprises françaises.• Augmenter la responsabilité des dirigeants d’entreprise • Mieux protéger les investisseurs pour rétablir la confiance dans le marché • Améliorer l’accès et la fiabilité de l’information en imposant aux entreprises de fournir à la Securities and Exchanges Commission des informations complémentaires • Renforcer le rôle et l’indépendance des Comités d’Audit • Restreindre la sphère de compétences des auditeurs externes et prévoir une rotation de ces vérificateurs externes. Dans cette approche en « cube ». Pour chacune d’elle. Les travaux de cette commission ont abouti au 1er instrument de contrôle interne : le COSO.unis suite à une série de faillites anormales dans les années 80. constituant un référentiel méthodologique d’analyse du CI. et pour chacun de ces 3 objectifs. des responsabilité des dirigeants d’entreprise est directement engagée par l’ensemble de ces textes 3. les 5 composants et les activités de l'entreprise. qui a vu le jour aux Etats.

La nouvelle pratique du Contrôle Interne.La fiabilité des informations financières : concernant la fiabilité de la préparation des états financiers publiés. 4. 2002. et les données non directement financières qui y concourent. Les trois objectifs4 : Le COSO définit le contrôle interne comme un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants : . des cinq composants et des différentes activités de l'entreprise. l'évaluation des risques . vue comme trois axes d'analyse distincts. donne la base des évaluations à réaliser: « Evaluer dans toute entité et pour toute activité la façon dont chacun des 5 composants du contrôle interne participe à chacun des 3 objectifs ». 5. En retour. 3.La conformité aux lois et règlements en vigueur : concerne le respect des lois et réglementations auxquelles est soumise l’entité. édition d'organisation. Lybrand. qu'il s'agit d'optimiser . .La réalisation et l'optimisation des opérations : concernant les objectifs opérationnels d’une entité . Il constitue la discipline et la structure aussi bien que le milieu qui influence la qualité globale du contrôle interne. Paris. y compris les états financiers intermédiaires et synthétiques. les activités de contrôle . il influe largement la 4 Coopers. 2.La combinaison des trois objectifs. L’environnement de contrôle constitue le fondement de l’ensemble du système de contrôle interne. Les cinq composants : Les cinq composants ont pour objectif l’amélioration du système du contrôle interne de l’organisation et ils sont interconnectés. l'environnement de contrôle . pp 51-52-53-54 . le pilotage. Il s’agit de : 1. l'information et la communication.

puisque le contrôle interne est un processus dynamique qui doit être adapté constamment pour tenir compte des risques et des changements auxquels une organisation est confrontée. Une information et une communication efficaces sont cruciales pour qu’une organisation puisse mener et contrôler ses opérations. Enfin. exhaustive et fiable concernant les événements internes aussi bien qu’externes. il est nécessaire de procéder à une évaluation des risques auxquels l’organisation est confrontée pour réaliser sa mission et atteindre ses objectifs. Les responsables de l’organisation doivent avoir accès. l’organisation a besoin d’information à tous les niveaux afin d’atteindre ses objectifs. Autrement dit. un environnement. en temps opportun. Ces activités de contrôle peuvent être orientées vers la prévention et/ou la détection. Ces composantes s’appliquent à tous les aspects du fonctionnement d’une organisation. La principale stratégie pour minimiser les risques réside dans la mise en place d’activités de contrôle interne. Ces composantes définissent une méthode de référence pour la conception d’un système de contrôle interne dans une administration publique et fournissent une base d’évaluation possible du contrôle interne. Lors de leur mise en œuvre. le management est responsable de l’élaboration de politiques.manière dont la stratégie et les objectifs sont déterminés et dont les activités de contrôle sont structurées. à une communication pertinente. Le coût des activités de contrôle et des mesures correctives doit avoir une contrepartie et créer de la valeur. procédures et . des moyens et des risques susceptibles d’avoir évolué. afin de définir une réponse adaptée à ces risques. De manière générale. Les présentes lignes directrices fournissent un cadre général. il est indispensable que le système de contrôle interne fasse l’objet d’un suivi et d’un pilotage pour garantir que le contrôle interne reste en phase avec des objectifs. leur coût ne doit pas dépasser le bénéfice qui en découle (rapport coût/efficacité). Les mesures correctives constituent un complément nécessaire des activités de contrôle interne en vue de la réalisation des objectifs. Une fois que des objectifs clairs ont été fixés et qu’un environnement de contrôle efficace a été créé.

en se basant sur les informations disponibles mais incomplètes et en faisant face à la pression liée à la conduite des activités. Le CDF constate également souvent que des changements dans les systèmes sont introduits avant que le personnel n’ait reçu la formation nécessaire pour réagir correctement. Les limites du contrôle interne : Il faut toujours garder à l’esprit que tout SCI n’est pas une panacée : il ne permet pas d’aspirer avoir éliminé tous les risques afférents à une organisation. vacances) peut ne pas s’acquitter convenablement de sa tâche. toute structure de contrôle interne peut être affectée par une erreur de conception. par l’équivoque.  L’erreur de jugement Le risque d’erreur humaine lors de la prise de décisions ayant un impact sur les processus de l’office peut limiter l’efficacité des contrôles. par exemple lorsque les collaborateurs interprètent les instructions de manière erronée.pratiques détaillées et adaptées aux activités de l’organisation et doit s’assurer qu’elles font partie intégrante de ces dernières. En effet. cèdent à la routine et ne sont plus attentifs aux erreurs. ne peut fournir au plus qu’une assurance raisonnable à la direction quant à la réalisation des objectifs de l’office. la fatigue ou encore la distraction. car aussi bien conçu et appliqué soit-il. étant donné qu’elle est essentiellement basée sur le facteur humain. 4. 5 Rapport sur le Séminaire IIA-FANAF : L’Audit et le Contrôle de Gestion dans les compagnies d’assurance . Une enquête sur des anomalies diverses peut ne pas être poursuivie assez loin ou une personne remplissant des fonctions en remplacement d’une autre (maladie.  Les dysfonctionnements Même les SCI bien conçus peuvent faire l’objet de dysfonctionnements. de jugement ou d’interprétation. Les personnes responsables sont souvent appelées à prendre des décisions dans un temps limité. Les facteurs suivants peuvent avoir une influence négative sur l’efficacité du contrôle interne5. la nonchalance.

un responsable peut être en mesure de contourner le SCI. montées et fortes accélérations du rythme d’évolution de l’environnement dans lequel le monde de l’organisation .  La collusion et le recours à des faux La séparation des fonctions constitue souvent un instrument privilégié des SCI. Les contrôles «outrepassés» ou contournés par le management Un SCI ne peut pas être plus efficace que les personnes responsables de son fonctionnement. L’expérience montre que la falsification des signatures nécessaires au paiement de Factures de tiers constitue également un défi auquel doit faire face un bon SCI. Une décision quant à la mise en place d’un contrôle restera toujours partiellement basée sur des critères subjectifs. par exemple pour en tirer un profit personnel ou afin de dissimuler la non-conformité de l’activité de son office à certaines obligations légales. Un employé chargé d’effectuer des contrôles peut réduire ceux-ci à néant en agissant en collusion avec d’autres membres du personnel ou des tiers externes à l’office. mais également les coûts qu’entraînerait la mise en place de ce contrôle. La pratique montre cependant que ce type de contrôle a ses limites: deux ou plusieurs individus agissant collectivement pour accomplir et dissimuler une action peuvent fausser les informations financières ou de gestion d’une manière qui ne puisse être prévenue par la séparation des fonctions. il est nécessaire d’étudier non seulement le risque d’une défaillance et l’impact possible sur l’office. Toute la difficulté de l’analyse du rapport coûts/bénéfices consiste à définir le risque résiduel tolérable. Lorsqu’on cherche à apprécier l’opportunité d’un nouveau contrôle. les offices doivent comparer les coûts et les avantages relatifs des contrôles avant de les mettre en place. Même au sein d’un office efficacement contrôlé. changements.  Le rapport coûts/bénéfices Les ressources étant toujours limitées. Ceci signifie qu’un responsable peut déroger de façon illégitime aux normes et procédures prescrites. Section 2 : Audit interne Face à de nombreuses mutations.

 Son champ d’action :  6 L’audit interne est concerné par tous les services et activités de l’office. ne pouvait que s’efforcer à suivre ses évolutions. de contrôle. Il aide cette organisation à atteindre ses objectifs en évaluant. mais si des irrégularités sont constatées dans le cadre d’une mission d’audit. d’offrir une sécurité aux organisations et d’aider à améliorer leurs performance. Définition et objectif de l’audit interne : L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations. il est tenu de les signaler dans son rapport au Directeur Général. son objectif. essayer de rester à jour avec les préoccupations de son temps.  Quant à ses objectifs :  L’audit interne est une fonction d'évaluation indépendante qui examine et évalue les structures et les activités de l'office en vue de lui permettre d'améliorer son efficacité et son efficience. . autant que fonction d’une grande importance. Charte de l’audit interne de l’Office National de l’Eau Potable. des recommandations. et en faisant des propositions pour leur efficacité6. 1.  L’audit interne n’a pas pour objectif la détection des fraudes. des évaluations. sa mission et sa relation avec les autres entités de l’organisation ainsi que le contrôle interne.  Il apporte aux entités de l’Office le fruit de ses observations avec l’ambition d’accroître l’efficacité de chacune d’elles et de l’ensemble.  Il assiste la hiérarchie dans l'exercice effectif de ses responsabilités en effectuant des missions et en fournissant des analyses. Dans cette section on verra ce que c’est que l’audit interne. et contribue à créer de la valeur ajoutée. l’audit interne. lui apporte ses conseils pour les améliorer. et de Gouvernement d’entreprise. par une approche systématique et méthodique. ses processus de management des risques. des avis et des informations relatifs aux activités ayant fait l'objet d'un audit.progresse. Définition approuvée le 21 mars 2000 par le Conseil d'Administration de l'IFACI (Institut Français de l'Audit et du Contrôle Internes).

 Réaliser ce programme . 2.Fiabilité et sincérité des informations .Respect des lois et règlements .  Evaluer les projets de procédures. Il peut faire. appel à une expertise externe. .  Réaliser des missions ponctuelles d’audit confiées par la Direction Générale  Assurer le suivi des recommandations et plans d’action . le cas échéant.Conformité des activités des différentes entités aux politiques.Sauvegarde du patrimoine . .  Etablir un programme annuel d’audit basé sur l’analyse de ces risques . notes de services et donner un avis sur le respect des règles de contrôle interne . plans et procédures tracés par la Direction . .  Assurer la coordination avec les autres intervenants internes et externes en matière de contrôle .  Piloter les audits externalisés . B.Efficacité et efficience des opérations . . 7 Charte de l’audit interne de l’Office National de l’Eau Potable. Mission et attributions de l’audit interne7 : A. Les Attributions de l’Audit Interne sont les suivantes :  Identifier les risques susceptibles d’entraver la bonne réalisation des activités de l’ONEP Tenant compte des objectifs suivants : .  Promouvoir au sein de l’ONEP une culture de contrôle interne en particulier la Composante éthique. Il exécute en particulier des audits opérationnels. de conformité et financiers. . L’Audit Interne a pour mission de contribuer à l’amélioration des systèmes de gestion et de maîtrise des risques et en particulier veiller à l’amélioration des dispositifs de contrôle interne.

L'Audit.Elles constituent une base objective. les procédures risquent de devenir lettre morte. 4. . notes de services et donne son avis sur le respect des règles de contrôle interne . sans laquelle L’auditeur pourrait être soupçonnable de partialité. il en assure le suivi des recommandations et plans d’action . L'absence de procédure rendrait le contrôle délicat. il évalue les projets de procédures. En l'absence de contrôle effectif. relativement incontestable. plus que tout autre contrôle fonctionnel ou hiérarchique qui souffre de la pesanteur du quotidien.  Il Assure la coordination avec les autres intervenants internes et externes en matière de contrôle . Relation avec les autres entités de l’organisation :  L’Audit Interne participe au développement des systèmes et procédures.  Les procédures quelle utilité pour l'auditeur ? Les procédures formalisées constituent la référence première pour l'auditeur: .  L’Audit Interne pilote les audits externalisés . Relation audit interne/ contrôle interne :  L'audit interne. est donc indispensable à la bonne application des procédures.3.  Il reçoit systématiquement une copie des rapports de l’auditeur légal. Son existence conditionne donc en partie l'attention et Le respect accordés aux procédures dans la mesure où celles-ci sont d'autant plus appliquées qu'elles sont contrôlables. voire impossible. quelle utilité pour les procédures ? Garant du contrôle interne de l'entreprise l'audit interne vérifie la bonne application des règles et procédures de l'entreprise.Elles fournissent une piste utile pour ses travaux d'investigations et facilitent sa tâche .

Conclusion Les points abordés dans cette première partie. ce qui rend cette mission plus ou moins délicate. et contribue grandement à la bonne gestion et à la maîtrise des activités de l'entreprise. m’ont permis d'élaborer une définition globale du Contrôle Interne et de connaître ses champs d'application. chaque système a ses propres défaillances et limites. ils sont inséparables l'un de l'autre.L'Audit est aussi nécessaire aux procédures et vice-versa. . On a pu le constater à travers les scandales financiers qu'ont connus les Etats-Unis dans les années 90. L'aide proposée par les travaux d'Audit Interne et par le référentiel COSO constitue un moyen efficace. Néanmoins. à savoir dans le premier et le deuxième chapitre. à trouver une parade aux manœuvres illicites et à développer un cadre de référence concernant le Contrôle Interne afin d'amener plus de sérénité dans l'économie américaine dont le COSO. L'audit permet l'actualisation des procédures et sans les procédures il n'y aurait pas d'audit. Le Contrôle Interne est appliqué par des Hommes sur des Hommes. Ces derniers ont poussé les spécialistes du domaine comptable et financier. Mutuellement indispensable.

Ensuite.Chapitre 2 : Le management des risques : référentiels et notions clés A l’heure actuelle les entreprises semblent s’intéresser beaucoup plus. à la gestion des risques. Le risque sera défini selon la nouvelle norme ISO 31000 pour permettre au lecteur de garder une vision à jour sur la notion du risque. d’une manière plus proche. Ainsi. le risque et sa maitrise étaient déjà une question cruciale. audit interne et le management des risques qui reste le cœur de ce travail. et dans un premier point. le lecteur sera invité à découvrir. Création d’une culture du risque. en réalité la gestion des risques au sein des entreprises est loin d’être une préoccupation nouvelle. car dès les années 1970-80. management participatif. mise en place de cellule de veille. les divers articulations et relations entre le contrôle interne. ses principaux référentiels et la cartographie des risques. La première section de ce chapitre aura pour tâche d’initier le lecteur à cette discipline nécessaire à la réalisation de ce travail. seront présentés la définition du risque. La cartographie des risques est aussi importante à découvrir puisqu’elle constitue le centre du travail pratique. . dans une deuxième section. obligeant les entreprises à investir ou réinvestir de manière forte le champ du management des risques. le concept de management des risques a pris une grande importance. son déploiement représente un point de départ à l’organisation du système de management de risque. Dans ce contexte. Malgré que cette inquiétude parait récente. les outils de management ne manquent pas pour comprendre et gérer les risques. management des risques. système de catégorisation. après un long silence.

Cette approche conduisait implicitement à l’ignorance totale ou partielle des effets positifs de l’activité source du risque. la définition du terme « risque » s’est ensuite déplacée vers celle d’événement probable ayant des conséquences. Il détermine s’ils représentent une opportunité ou s’ils sont susceptibles de nuire sérieusement à la capacité de l’entité à mettre en œuvre avec succès sa stratégie et à atteindre ses objectifs. Sa maîtrise était du ressort des techniciens qui comprenaient les mécanismes pouvant entrainer des accidents.Fondation pour une Culture de Sécurité Industrielle. Le risque s’évalue en fonction de : - La probabilité que le risque se réalise - L’impact que pourrait avoir ce risque s’il se matérialisait. La norme ISO 31000 définit le risque comme l’effet de l’incertitude sur l’atteinte - des objectifs. le concept de « risque » a été assimilé à celui de danger. La définition de l’IFACI . s’ils se réalisent. Selon l’IFACI « le - risque est un ensemble d’aléas susceptibles d’avoir des conséquences négatives sur une entité et dont le contrôle interne et l’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise »9. Le risque est l’ensemble d’événements potentiels qui. Les événements ayant un impact négatif constituent des risques qui demandent une évaluation du management et un 8 9 La norme iso 31000 en 10 questions –Gilles MOTET. Cette définition déplace de nouveau la question du risque en imposant de spécifier les objectifs d’une activité dont l’atteinte pourrait être entravée par l’occurrence de circonstances incertaines8. Définition de la notion de risque et du Management des risques :  La notion de risque : Durant de très nombreuses années.Section 1 : Management des risques 1. Pour tenir compte de ces apports tout en prévenant les dommages potentiels. pourront affecter l’entreprise.

L’évaluation des risques consiste à apprécier l’impact de l’événement de risque .fr. se gère. se prévoit.traitement. . En deux mots. transféré et/ou réduire la survenance et l’impact des risques.L’identification des risques consiste à déterminer les événements de risques potentiels. qui démontre les différents modes de traitement qui consiste à éviter. article « Risk management : gérer l’ingérable » écrit par Anne Sophie David. partager.La gestion des risques consiste à définir les mesures stratégiques et opérationnelles pour éviter. Le 8/06/2011 . Ou un risque qui représente un caractère inacceptable pour l’entreprise en regard de la sécurité des biens et des personnes ou de la survie des organisations. Ce qui a été illustré dans le tableau cidessus. une organisation choisit généralement les réponses potentielles parmi différents options. « Un risque s’imagine. Il offre la possibilité d’apporter une réponse efficace aux risques et aux opportunités associées aux 10 www. se quantifie. le management a plusieurs options : S’agissant des risques significatifs. avec une grande gravité. d’analyser les risques afin d’assurer l’application des mesures d’atténuation et de mitigation des risques.lebas-conseil. Le risque dit « majeure » est un risque évalué comme élevé. Donc pour principales réponses à un risque. le management des risques peut choisir d’examiner individuellement chaque risque. La gestion des risques s’articule en 4 axes : . leurs risques et leurs conséquences. réduire ou accepter un risque. cela se Manage »10  Le management des risques : Le management des risques traite des risques et des opportunités ayant une incidence sur la création ou la préservation de la valeur. Une fois les actions de traitement en place. se cartographie. - Le contrôle et la surveillance des risques consistent à s’assurer de la cohérence et de l’adéquation du niveau des risques en regard des objectifs fixés.

renforçant ainsi la capacité de création de valeur de l’organisation11. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. - est orientée vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories indépendantes mais susceptibles de se recouper. assez ample et consciemment large. Le dispositif de management des risques: - Est un processus permanent qui irrigue toute l’organisation.est pris en compte dans l’élaboration de la stratégie est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet d’obtenir une vision globale de son exposition aux risques. Cette définition. la direction générale. Selon le COSO2 : « Le management des risques est un processus mis en œuvre par le Conseil d’administration. - est destiné à identifier les événements potentiels susceptibles d’affecter l’organisation. et à gérer les risques dans le cadre de l’appétence pour le risque. englober les concepts fondamentaux.2002 . à la base desquels les organisations définissent leur dispositifs de 11 PHILIPPE CHRISTELLE Editions d’Organisation. à tous les niveaux de l’organisation. . - donne à la direction et au Conseil d’administration une assurance raisonnable (quant à la Réalisation des objectifs de l’organisation). le management et l'ensemble des collaborateurs de l’organisation. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation »12 Cette définition reflète certains concepts fondamentaux. 2005 Le management des risques de l’entreprise Cadre de Référence – Techniques d’application – COSO II Report – 12 COSO II – « Enterprise Risk Management Framework » . est mis en œuvre par l’ensemble des collaborateurs.incertitudes auxquelles l’organisation fait face. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque.

Les préalables à la mise en place du management des risques :  Appliquer la gestion des risques à l’ensemble de l’organisation La direction doit avoir une vue d’ensemble du risque.management des risques. à travers ce qu’elles font et de ce qu’elles disent. ils sont en lien avec la mission de l’entreprise. pour rassurer les investisseurs.  A des enjeux stratégiques et internes. La haute direction devrait utiliser ces évaluations couvrant tous les niveaux et domaines d’activité de l’entité pour aboutir à une évaluation du risque global au niveau de l’ensemble de l’organisation. 2. de certifier et de présenter une assurance raisonnable quant à la réalisation des objectifs fixés. Cette évaluation peut être qualitative ou quantitative.  Opérationnels : maîtriser les activités et piloter leur développement o Juridiques l’entreprise (ou de conformité) : gérer les responsabilités dans en sensibilisant le mangement sur les enjeux et les risques associés à leur fonction et en mettant en œuvre un système de délégation approprié o Communication (ou de reporting) : être en mesure de communiquer sur la gestion des risques de l’entreprise. En pratique. Elle permet de garder les objectifs fixés cernés et bien au centre des préoccupations d’un organisme donné.  Importance des ressources humaines La gestion des risques des entités est mise en œuvre et rendue efficace par la direction et les autres membres du personnel. tous les responsables. Les enjeux stratégiques et internes peuvent se décomposer selon 4 axes : o Stratégiques : liés à la stratégie de l’organisation. Elle naît des personnes qui composent l’organisation. elle .  Le management des risques répond à la fois :  A des contraintes de nature externes. De même. Il s’agit de l’ensemble des contraintes liées à la réglementation. Il s’agit ici pour le management des risques de garantir. devront évaluer les événements domaine d’activité et en informer les hauts responsables. quel que susceptibles soit d’affecter leur leur niveau.

Les membres du personnel devraient connaître leurs responsabilités et les limites de leur autorité. Chaque employé est une personne disposant de compétences et de connaissances différentes. le travail pratique reposera sur la méthodologie et le processus proposés par ces référentiels. . 3. Les hauts responsables sont principalement chargés de la supervision. approuver les stratégies et certaines transactions et orientation. et ils ont donc un rôle vital à jouer pour faire respecter la culture de l’organisation. Depuis 1974. Mais ils doivent également définir la direction à prendre. Leurs membres sont des professionnels des risques et des assurances chargées de la gestion des risques dans leur organisation. La gestion des risques des entités tend à créer les mécanismes qui permettront aux membres de l’organisation de comprendre le risque dans le contexte de ses objectifs.1. Les référentiels du management des risques : En matière de gestion de risques. Il faudrait donc qu’existe un lien clair et direct entre les tâches d’une personne et la manière dont elle s’en acquitte. FERMA a été la première organisation pour la gestion des risques en Europe. deux référentiels existent : COSO II FERMA ISO 31000 - Ils sont structurés selon des fondamentaux communs - Ils donnent un modèle de processus de Gestion de risques Les deux référentiels utilisés dans la gestion de risques sont : COSO2 et FERMA. 3. les associations nationales de gestion des risques sont bien établis.affecte leurs actions. que ce soit dans le secteur public ou privé. Référentiel FERMA : Dans de nombreux pays à travers l'Europe et au-delà.

Maintenir la représentation des intérêts auprès des institutions européennes 13 Cadre de référence de la gestion des risques © AIRMIC. translation copyright FERMA: 2003. . Etre un acteur important dans le processus décisionnel au niveau européen sur les questions de financement des risques de gestion et d'assurance.Maintenir une communication à double sens avec les associations nationales sur le développement et l'application de gestion des risques - Mettre en place des enquêtes et des repères pour identifier et partager les pratiques Actuelles - Faciliter le développement de nouvelles associations dans les pays européens.Détecter les problèmes précoces qui peuvent avoir un impact sur notre profession . IRM: 2002. Coordonner. Ses Objectifs stratégiques : 1. et des forums . Action stratégiques : .Définir et promouvoir des pratiques professionnelles et les normes . et fournit les moyens de gestion des risques13.Emettre des documents d'orientation . ALARM. promouvoir et soutenir le développement et l'utilisation de la gestion des risques.Organiser les conférences. 2. . Actions stratégiques : .FERMA favorise la communication entre ses membres et aussi à l'intérieur de l’IFRIMA (Fédération internationale des associations de gestion des risques et d'assurance).Proposer et coordonner les positions avec les associations membres sur les questions pertinentes.Suivre les nouvelles réglementations et normes . des séminaires.

La structure de ce format sera conçue avec soin pour s’assurer que les risques sont bien identifiés.Etablir des alliances techniques et coalitions ad hoc avec d'autres intervenants. 1. décrits et appréciés exhaustivement et avec précision..Identification des risques : L’identification des risques requiert une approche méthodique pour garantir que chaque activité significative de l’organisation a été identifiée et que Chaque risque qui en découle a bien reçu une définition. dans un format structuré. 2. • financière : concerne la gestion et la maîtrise efficace des finances de l’organisation. . dont par exemple: • Stratégique : concerne les objectifs stratégiques à long terme de l’organisation •Opérationnelle : concerne les questions quotidiennes auxquelles l’organisation est confrontée alors qu’elle poursuit ses objectifs stratégiques. . Toute volatilité associée à ces activités sera identifiée et classée dans une catégorie. Ce qui permettra de déterminer les risques clefs qui doivent être analysés plus en détail. Appréciation du risque : L’appréciation du risque est définie comme le processus général d’analyse du risque et d’évaluation du risque. Les activités et les décisions de l’organisation peuvent être classées dans un éventail de Catégories. Analyse du risque : . Le référentiel (gestion a donné une définition au management des risques des risques) comme suit : « La gestion des risques est un processus par lequel les organisations traitent les risques qui s’attachent à leurs activités et recherchent ainsi des bénéfices durables dans le cadre de ces activités ». des taux d’intérêts ou encore d’autres références de marché.Description des Risques : La description des risques consiste à présenter les risques Identifiés. et les effets de facteurs externes comme la disponibilité du crédit ou encore les fluctuations des taux de change.

5. et de la manière dont le système de gestion des risques les prend en compte • Des principaux systèmes de maîtrise en place pour gérer les risques significatifs • De la surveillance et de l’examen des systèmes en place Il convient de rendre compte de toute défaillance significative mises à jour par le système. Compte-rendu et Communication relatifs au risque : Le compte-rendu officiel doit traiter : • Des méthodes de maîtrise et en particulier de l’attribution des responsabilités pour la Gestion du risque • Des processus utilisés pour l’identification des risques. mais il ne s’y limite pas et s’étend entre autres à l’évitement. Evaluation du risque : Après avoir analysé les risques. Les mesures les plus adaptées pour les conséquences et les probabilités peuvent varier d’une organisation à une autre. et cetera. 4.. ou dans le système lui-même. au transfert et à son financement du risque.Estimation du risque : L’évaluation du risque peut être quantitative. 6. ainsi que des mesures prises pour faire face à ces défaillances. Le traitement du risque a pour principales composantes la maîtrise et l'atténuation du risque. et à déterminer s’il convient d’accepter ce risque en l'état ou bien de le traiter. L’évaluation du risque aide à décider de l’importance de chaque risque spécifique pour l’organisation. il est nécessaire de comparer les risques estimés aux critères de risque que l’organisation a établis. Surveillance et Revue du processus de gestion du risque . 3. semiquantitative ou Qualitative en termes de probabilité d’occurrence et de conséquences possibles. Traitement du risque : Le processus de traitement du risque consiste à sélectionner et mettre en place des mesures propres à modifier le risque.

level qui soutient et concourt à la mission la vision de l’organisation - Reflète les choix du management (recherche de la création de valeur par l’organisation Pour ses actionnaires) - Les autres objectifs sont dépendant des objectifs stratégiques. Il existe une relation directe entre les objectifs que cherche à atteindre une organisation et les éléments du dispositif de management des risques qui 14 Le management de risques de l’entreprise (cadre de référence-techniques d’applications –coso2 report (EYROLLES Édition) . Il convient d’auditer régulièrement la conformité à la politique et aux normes. Apport nouveau du COSO2 : Les modifications ont été portées sur l’axe stratégique de l’organisation .Une gestion des risques efficace requiert une structure de compte-rendu et de revue pour assurer que les risques sont efficacement identifiés et évalués et que les dispositifs de maîtrise et les réponses appropriées sont en place. Il faut garder à l’esprit que les organisations sont dynamiques et opèrent dans des environnements dynamiques. nouvel objectif stratégique : - Objectif High. 3. et de passer régulièrement les performances en revue pour identifier les opportunités d’amélioration. Les changements dans l’organisation et l’environnement dans lequel elle opère doivent être identifiés et les systèmes modifiés en conséquence. Le processus de surveillance doit fournir l’assurance que les dispositifs de maîtrise appropriés sont en place pour les activités de l’organisation et que les procédures sont comprises et suivies.2 Le référentiel COSO 2 : Le référentiel COSO 2 reprend la même ossature que COSO 1 en y ajoutant quelques retouches au niveau des composantes du système de management des risques en le détaillant un petit peu plus qu’auparavant et en évoquant un autre objectif à savoir l’objectif stratégique14.

et plus particulièrement la conception du management des risques et son appétence pour le risque. elle est constituée par l’ensemble d’attitudes partagées qui déterminent comment cette entité considère le risque dans toutes ses activités. Celles-ci résultent de la façon dont l’organisation est gérée et sont intégrées au processus de Management.représentent ce qui est nécessaire à leur réalisation. Fixation des objectifs : Toute entité est confrontée à des risques divers d’origine externe et interne et la fixation d’objectifs constitue une condition préalable pour identifier efficacement les . Environnement interne Englobe la culture et l’esprit de l’organisation . Les huit composantes : 1. il structure la façon dont les risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité. Les facteurs de l’environnement interne englobent la philosophie de gestion des risques de l’entité. prise dans son ensemble. par unité ou en les combinant. ainsi qu’à chacune de ses entités. par éléments. et l’environnement dans lequel l’organisation opère. Le dispositif de management des risques est utile à l’organisation. La relation est illustrée par une matrice en trois dimensions. depuis la définition de la stratégie jusqu’aux activités opérationnelles journalières 2. les divisions et les autres unités de l’organisation. La gestion des risques des entités est constituée de huit composantes interdépendantes. Il s’agit des composantes suivantes : Celle représentation illustre la façon d’appréhender le management des risques dans sa globalité ou bien par catégorie d’objectifs. Chaque élément est transverse au cube et s’applique aux quatre catégories d’objectifs. qui représente les filiales. De même les huit éléments sont tous pertinents et important au regard des objectifs relatifs à l’efficacité et l’efficience des activités. l’intégrité et les valeurs éthiques. Cette relation est illustrée par la troisième dimension.

Les facteurs internes résultent de choix opérés par la direction quant à son mode de fonctionnement. le nombre de sites sur lesquels l’activité est déployée. Le management des risques permet de s’assurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec son appétence pour le risque. une entité parvient à comprendre dans quelle mesure des événements potentiels ont une incidence sur la réalisation des objectifs. Les événements internes et externes susceptible d’affecter l’atteinte des objectifs d’une organisation doivent être identifiés en faisant la distinction entre risques et opportunités. en évaluer les risques et réagir par rapport à ces risques. de rapportage et de conformité – d’une organisation.événements susceptibles d’en affecter la réalisation. 4. Ceux-ci peuvent inclure l’infrastructure de l’entité. 3. social et technologique et les problèmes économiques affectant l’organisation même ou ses fournisseurs. notamment. ou les deux à la fois. Les facteurs externes englobent. L’évaluation doit porter à la fois sur les risques inhérents et sur les risques résiduels. La gestion des risques des entités fournit une assurance raisonnable quant à la réalisation des objectifs – opérationnels. Les objectifs doivent être préalablement définis pour que le management des risques puisse identifier les événements potentiels susceptibles d’en affecter la réalisation. Les opportunités sont prises en comptes lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs. Evaluation des risques : En évaluant les risques. les capacités et les compétences du personnel ainsi que le fonctionnement des systèmes d’information professionnelle. Identification des événements : Les événements sont des incidents ou des faits d’origine interne ou externe qui affectent la mise en œuvre de la stratégie ou la réalisation des objectifs. négatif. . Ils peuvent avoir un impact positif. ceux découlant de changements survenus dans l’environnement politique.

- Réduction/Traitement du risque – L’immense majorité des risques se résoudra de cette manière. mais elles pourront néanmoins envisager l’évitement comme une méthode utile lorsqu’elles auront à déterminer si un nouveau mode de prestations de services est approprié ou s’il convient de poursuivre un projet spécifique.L’évaluation des risques a pour but d’identifier quels éléments sont assez importants et Significatifs pour concentrer sur eux l’attention de la direction. Traitement des risques : Le management définit les solutions permettant de faire face aux risques – évitement. - Acceptation/Tolérance – Aucune mesure n’est prise pour réduire la probabilité ou L’impact du risque. par exemple en souscrivant une assurance conventionnelle ou en payant un tiers pour qu’il le traite d’une autre manière. Les risques inhérents et les risques résiduels sont évalués. réduction ou partage. Cette réponse suppose qu’aucune méthode rentable n’a été identifiée pour réduire l’impact et la probabilité à un niveau acceptable ou que le risque inhérent se situe déjà au niveau des risques tolérables. 5. Les réponses à apporter aux risques peuvent se répartir dans les catégories suivantes : - Partage/Transfert du risque – Cette réponse consiste à réduire la probabilité ou l’impact du risque en transférant ou encore en partageant une part de ce risque. . Des mesures sont prises pour réduire la probabilité ou l’impact du risque. Pour ce faire le management élabore un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation. voire les deux. Les risques sont analysés. - Evitement/Fin de l’activité – Ce type de réponse consiste à supprimer les activités donnant lieu au risque. tant en fonction de leur probabilité d’occurrence que de leur impact. cette analyse servant de base pour déterminer la façon dont ils doivent être gérés. Les entités du secteur public seront rarement en mesure d’éviter de fournir un élément de leur programme de base. acceptation.

aux plans et aux attentes et peuvent donner un avertissement précoce au sujet d’événements potentiels qui requièrent l’attention de la direction. Activité de contrôle : Les activités de contrôle correspondent à l’ensemble des politiques et des procédures mises en place pour assurer que les mesures prises par la direction pour maîtriser les risques sont réalisées. les activités de contrôle elles-mêmes constituent la réponse au risque. . Les activités de contrôle sont présentes à travers toute l’organisation.6. à tous les niveaux et dans toutes les fonctions. mais il arrive qu’à l’égard de certains objectifs.Les contrôles à des fins de détection sont destinés à mettre en évidence si des résultats non voulus sont apparus "après coup". - Les contrôles préventifs ont pour but de limiter la possibilité de développement d’un Risque et la réalisation d’un résultat non voulu. 7. collectées. Elle a non Seulement pour but de permettre aux membres du personnel concernés de . et communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs responsabilités. Communication : La communication est inhérente aux systèmes d’information. Les activités de contrôle sont généralement mise en place pour assurer la réalisation correcte des mesures prises pour faire face au risque. - Les contrôles directifs visent à s’assurer qu’un résultat particulier sera atteint. - Les contrôles correctifs ont pour but de corriger les résultats non voulus qui sont apparus. Information : La gestion des risques des entités ne prévoit spécifiquement qu’une entité Doit réunir un ensemble d’informations plus large que ce qui serait nécessaire pour réaliser les objectifs de contrôle interne. La communication doit circuler verticalement et transversalement au sein de l’organisation. Les données historiques permettent de situer les réalisations effectives par rapport aux objectifs. Information et communication : Les informations utiles sont identifiées.

Pour appliquer les composantes de la gestion des risques des entités. transparente. AM. couvre les responsabilités des individus et des groupes et assure d’autres tâches importantes. Knight. L’ISO 31000 ne vient pas se rajouter aux référentiels existants.3. Le management des risques ne concerne pas uniquement les grands groupes. C’est un processus dynamique. où elle diffuse la culture d’entreprise. Référentiel ISO 31OOO : ISO 31000 fournit des principes. multidirectionnel et itératif. et crédible dans quelque domaine et quelque contexte que ce soit. il concerne aussi les TPE et PME. Pour ces dernières la prise en compte des risques . une entité devrait Prendre en compte l’ensemble du champ de ses activités à tous les niveaux de L’organisation. dans lequel un élément affecte uniquement le suivant. un cadre et des lignes directrices pour gérer toute forme de risque d'une manière systématique.s’acquitter de leurs responsabilités. mais elle doit également être envisagée dans un sens plus large. La direction devrait également étudier les nouveaux projets et initiatives en appliquant le modèle de gestion des risques des entités. répond aux attentes. Le pilotage s’effectue au travers des activités permanentes de management ou par le biais d’évaluation indépendantes ou encore par une combinaison de ces deux modalités. 8. Pilotage : Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Elle a été élaborée par Kevin W. Il s’agit d’un outil complémentaire permettant de développer le principe de l’approche risque et de l’intégrer dans les pratiques managériales d’entreprises. dans le cadre d’une démarche de management intégré et rationnel. Le management des risques n’est en aucun cas un processus qui pourrait être qualifié de séquentiel. elle les complète. 3. Cette norme n’est d’ailleurs pas « Certifiable ». par lequel n’importe quel élément a une influence et un impact immédiat et direct sur les autres. président du groupe de travail ISO.

Management du risque – Vocabulaire. commerciaux. ainsi que de protection environnementale  D'améliorer la prévention des pertes et le management des incidents  De minimiser les pertes En parallèle. ainsi qu'aux normes internationales  D'améliorer les moyens de maîtrise  D'allouer et d'utiliser efficacement les ressources pour le traitement du risque  D'améliorer l'efficacité et l'efficience opérationnelles. l'ISO publie le Guide ISO 73:2009.fr .(financiers. tout groupe ou individu. etc.  De renforcer les performances en matière de santé et de sécurité.concurrentiels15. Ils peuvent être appliqués par tout public. à une entreprise :  D'augmenter la probabilité que les objectifs seront atteints  D'encourager un management proactif  De prendre conscience de la nécessité d'identifier et de traiter le risque à travers toute l'entreprise  D'améliorer l'identification des opportunités et des menaces  De se conformer aux obligations légales et réglementaires. (Annexe 2) Processus de gestion des risques voir Annexe N° 2 15 Source : site : http://qualiblog. La norme recommande aux organisations et entreprises d’élaborer et de mettre en œuvre un cadre de management du risque. La mise en œuvre d’ISO 31000 permet. qui complète ISO 31000 en fournissant un ensemble de termes et définitions dans le domaine. qui sera intégré à leur système de management général et constamment amélioré.) Est plus que jamais vital ces temps ultra. toute entreprise publique ou privée. toute collectivité. technologiques. par exemple. toute association. sociaux.

4. - Décrire le plus précisément possible les risques majeurs auxquels l’organisation est Confrontée. Il s’agit d’une démarche complexe. en tenant compte de l’ensemble des Éléments de maitrise mis en place au regard de ce risque). Fonction achat-contrôle interne et gestion des risques. - leurs causes. visant à relier chaque niveau opérationnel et décisionnel. - 16 Adapter les actions de réduction des risques les plus efficaces. La cartographie des risques doit permettre de : - Recenser les risques de la manière la plus exhaustive possible et les classifier. La cartographie des risques16 : La cartographie des risques est une composante essentielle du processus de gestion des risques. il est nécessaire d’analyser chaque risque suivant les deux dimensions que sont le risque brut (il permet d’analyser l’exposition absolue de l’entité au risque en l’absence de tout élément de maitrise) et le risque net (il consiste quant à lui à analyser l’exposition actuelle de l’entité.144 /145 . - Intégrer l’analyse approfondie des processus et capitaliser l’expertise opérationnelle. Identifier les risques critiques pour la mise en place de dispositifs de maitrise adaptés. Pour faire de la cartographie des risques un outil de pilotage. - les retours d’expérience sur les sinistres antérieurs. pour chaque entité et pour chaque processus clé : - une série de risques identifiés.MAXIMA édition p. - leurs impacts. - les leviers d’actions possibles.

d’ailleurs ce passage s’est fait sur deux niveaux le premier étant l’évolution du contrôle interne vers l’approche contrôle interne par la gestion des risques (COSO 1).. Ce processus permet ainsi de descendre chercher l'information au lieu que l'information monte vers les personnes chargées de l'établissement de la cartographie. Il est souvent souhaitable d'utiliser une grille déterminée à l'avance pour S’assurer que tous les types de risques possibles ont bien été évoqués au cours de l'interview. il faudra combiner entre deux approches : · Identification Bottom-up : l'identification est effectuée de manière relativement libre et ouverte par les personnes les plus proches de l'activité. Il s'agit donc d'effectuer une remontée des risques du terrain vers les personnes en charge de l'élaboration de la cartographie. Pour élaborer une cartographie. En effet cette métamorphose de la notion du contrôle interne a permis de suivre la cadence des mutations des organisations tout en essayant de mettre en place des . - Accompagner entité. Ce type d'identification se fait généralement par l'intermédiaire d'interviews. Section 2 : Position du contrôle interne et de l’audit interne par rapport au management des risques Le passage du contrôle interne se faisait sentir sur plusieurs niveaux tout en essayant de garder une aire discrète quant au changement. Le sujet ciblé peut permettre ici l'élaboration de questionnaires relativement exhaustifs par les personnes en charge de l'élaboration de la cartographie. · Identification Top-down : l'identification des risques est dans ce cas effectuée de manière plus fermée c'est à dire au moyen d'un questionnaire de type QCM par opposition à une identification ouverte par interviews. le deuxième étant la migration de ce dernier vers le management des risques (COSO 2). par par établissement) dans l’évaluation et la réduction de ses vulnérabilités significatives et majeures. chaque décideur (au niveau groupe. par métier.Initier une démarche de quantification des besoins de financement après actions de réduction des risques.

le dispositif de contrôle interne s’appuie sur le dispositif de gestion des Risques pour identifier les principaux risques à maîtriser . Ces derniers peuvent prévoir la mise en place de contrôles. le dispositif de gestion des risques doit lui-même intégrer des contrôles. La plupart des organisations tendront à appliquer entièrement le Modèle de contrôle interne avant de mettre en œuvre les concepts inhérents à la gestion des Risques des entités. Les risques. Les dispositifs de gestion des risques et de contrôle interne participent de manière complémentaire à la maîtrise des activités de la société : . Ainsi soit-il. mis en ligne le 14 juin 2010 . un transfert des conséquences financières (mécanisme d’assurance ou équivalent) ou une adaptation de l’organisation. Ainsi.systèmes de plus en plus aptes à contrer les défaillances qui ne cessent de surgir de partout et de nulle part.En outre. . dépassant les limites acceptables fixées par la société.Le dispositif de gestion des risques vise à identifier et analyser les principaux risques de la société. 1. dont le contrôle interne fait intégralement partie. relevant du dispositif de contrôle interne. Articulation entre le management des risques et le contrôle interne17 : La gestion des risques des entités peut être considérée comme une évolution naturelle du modèle de contrôle interne. ce dernier concourt au traitement des risques auxquels sont exposées les activités de la société . 17 Olivier Poupart-Lafarge Membre du Collège de l’AMF Les dispositifs de gestion des risques et de contrôle interne. font l’objet de plans d’action. la proposition du nouveau référentiel n’était autre que la réponse aux limites du premier référentiel qui d’ailleurs n’a pas pu faire face à la montée spectaculaire des activités qu’a connu le XXIème siècle. destinés à sécuriser son bon fonctionnement. sont traités et le cas échéant. Cadre de référence. .De son côté. Les contrôles à mettre en place relèvent du dispositif de contrôle interne.

soit d’alléger le système de contrôle en éliminant quelques éléments de maîtrise jugés inutiles selon le rapport coût/bénéfice. Il répertorie les principaux risques auxquels sont confrontées les directions d’un organigramme COSO 2 quant à lui stipule que le contrôle interne n’est autre qu’un élément parmi d’autres nécessaires à la mise en place d’un système de management des risques. 2. Par contre. l’audit interne et le management des risques ont un enjeu commun : la sécurisation du processus de décision du manager pour qu’il atteigne ses objectifs stratégiques. Aux yeux de ce dernier il ne constitue qu’une liste exhaustive des éléments de maîtrise existants et dont l’objectif du management des risques est de soit renforcer l’existant via les réponses aux risques proposées par les parties du débat lors des entretiens. notamment: la culture du risque et du contrôle propres à la société.Pour COSO 1. de méthodes et de recommandations précises et rigoureuses. l’enjeu de l’auditeur interne consiste en la mise en œuvre des normes. L'articulation et l'équilibre conjugué des deux dispositifs sont conditionnés par l'environnement de contrôle. Ainsi le premier niveau de préoccupation de l’audit interne doit être l’analyse des risques liés aux processus en évaluant grâce à des audits la qualité et l’efficacité de ces processus. Lien entre le management des risques et l’audit interne : Actuellement. une gestion des risques efficace consiste à lutter contre les risques les plus dangereux quant à la réalisation des objectifs de l’organisation. L’auditeur interne doit s’assurer qu’un management des risques existe dans l’entreprise et ceci à tous les niveaux hiérarchiques et dans le cas contraire. le style de management. et les valeurs éthiques de la société. Le dispositif d’évaluation des risques permet alors l’identification des . qui constitue leur fondement commun. il peut participer à sa mise en place sans pour autant aller au-delà de l’évaluation qui est son rôle. Ce dispositif montre comment un système de contrôle interne peut jouer un rôle significatif dans la réduction des risques grâce à la mise en place d'un cycle dynamique reliant les personnes à tous les niveaux de l'institution pour les intégrer au processus de gestion des risques.

émanant principalement de l’audit interne. l’assurance provenant de la direction est fondamentale. participeront ensemble à assurer et sécuriser l’entreprise face aux multiples risques. L’une des principales missions du Conseil (ou son équivalent). y compris l’efficacité des contrôles et autres mesures de maîtrise des risques. le conseil d’administration et la direction de l’organisation peuvent considérer qu’ils ont une assurance raisonnable de disposer d’une vision claire sur la façon dont les objectifs stratégiques et opérationnels de l’entreprise sont en passe d’ . en précisant leurs rôle de manière exacte.  La fiabilité et la qualité de l’évaluation et de la communication des risques et de l’état Des contrôles. je peux dire que lorsque le dispositif de management des risques s’avère être efficacement géré pour chacune des quatre catégories d’objectifs. Management des risques et audit interne. à la fois concernant leur conception et leur fonctionnement. Les autres sources sont l’audit externe et les examens par des experts indépendants. Parmi ces sources. Des travaux de recherche ont montré que les membres du conseil et les auditeurs internes s’accordent à dire que les deux activités d’audit interne les plus porteuses de valeur ajoutée pour les organisations sont les suivantes : apporter l’assurance objective que les principaux risques sont bien gérés et apporter l’assurance que le cadre de la gestion des risques et du contrôle interne fonctionne correctement.activités qui méritent d’être auditées parce qu’elles sont considérées comme essentielles pour l’entreprise. Conclusion Au terme de ce chapitre.  La gestion des risques classés dans la catégorie « majeurs ». mais doit être complétée par une assurance objective. Il est probable que cette assurance proviendra de différentes sources. L’audit interne apporte normalement des assurances dans trois domaines :  Les processus de gestion du risque. consiste à s’assurer que les processus de gestion du risque fonctionnent correctement et que les principaux risques sont maintenus à un niveau acceptable.

. qui tout deux permettent à l’organisation de faire face aux risques d’une manière plus efficace. Si le dispositif de management des risques offre des avantages importants. susceptibles de survenir en raison de défaillances humaines (erreurs). de la fiabilité du reporting et du respect des lois et règlements applicables. et contribuer à leur amélioration. . Le deuxième chapitre c’est focaliser sur le traitement du concept management des risques en présentant les éléments clés qui y sont liés.de la possibilité qu’a le management de passer outre les décisions prises en matière de Gestion des risques. Il s’est avéré que L'audit interne doit évaluer les processus. le premier chapitre a permis de présenter les éléments relatives au management des risques à savoir le contrôle interne et l’audit interne. Le management des risques n’est pas un processus séquentiel dans lequel un élément affecte uniquement le suivant.être atteints. . de management des risques et de contrôle. C’est un processus multidirectionnel et itératif par lequel n’importe quel élément à une influence immédiate et directe sur les autres. en s’appuyant sur des référentiels internationaux significatifs. et de la mise en place des contrôles.d’une erreur de jugement dans la prise de décision .de contrôles susceptibles d’être déjoués par collusion entre deux ou plusieurs individus.de la prise en compte du rapport coûts / bénéfices dans le choix du traitement des risques. CONCLUSION DE LA PREMIERE PARTIE Après avoir achevé la première partie du rapport. Ces limites résultent : . qui ne relate que le côté conceptuel .de faiblesses potentielles dans le dispositif. notamment le référentiel COSO II. La gestion des risques des entités peut être considérée comme une évolution naturelle du modèle de contrôle . l’audit interne et le management des risques. il comporte néanmoins certaines limites. et en mettant le point sur la relation qui existe entre le contrôle interne. .

interne. La plupart des organisations tendront à appliquer entièrement le modèle de contrôle interne avant de mettre en œuvre les concepts inhérents à la gestion des risques des entités. processus et actifs de la société. dont le contrôle interne fait intégralement partie. est intègre aux processus organisationnels (utile aux activités) et aux processus de prise de décision (utile aux décisions). . C’est dans cette vision que la deuxième partie sera consacrée à un cas pratique du déploiement du système management des risques au sein de l’Office National de l’Eau Potable (ONEP). spécifiquement au niveau du cycle stock de l’office. On peut déduire que le management des risques crée de la valeur (utile aux objectifs de l’organisation). et vise à être globale et doit couvrir l’ensemble des activités. L’objectif de la mise en place d’une cartographie des risques est d’identifier les zones de risques et mettre à la disposition des opérationnels un référentiel de maîtrise des risques dont ils pourront vérifier le respect et d’apporter périodiquement des aménagements pour le faire évoluer. Il est l’affaire de tous les acteurs de la société.