RESUME

Dans le cadre de ma spécialité en audit et contrôle de gestion, j’ai choisi de travailler sur un
projet en liaison directe avec les pratiques de performance au sein de l’entreprise ; la survie
et la prospérité de toute organisation reposant, en partie, sur la mise en œuvre d’un
dispositif de management des risques efficace.

Le management des risques est l’activité qui consiste à évaluer le risque en entreprise puis à
développer les diverses stratégies destinées à le garder sous contrôle. Ces stratégies vont du
transfert du risque à l’évitement en passant par la réduction des effets néfastes et
l’acceptation de certaines conséquences du risque. C’est un outil de pilotage opérationnel et
d'aide à la décision stratégique. Le management des risques est devenu une des fonctions
principales de la gestion d'une entreprise.

Les risques peuvent avoir du bon. Sans risques, il n'y a pas de récompense. L'objectif de la
gestion des risques n'est pas d'éliminer le risque, mais de le comprendre afin de pouvoir en
tirer des opportunités et minimiser les inconvénients.

L’objectif de la mise en place d’une cartographie des risques est d’identifier les zones de risques et
mettre à la disposition des opérationnels un référentiel de maîtrise des risques dont ils pourront
vérifier le respect et d’apporter périodiquement des aménagements pour le faire évoluer en fonction
de l’évolution de l’environnement tant interne qu’externe de l’entreprise.

Comme l’Office National de l’Electricité et de l’Eau Potable- Branche Eau est un des grands
établissements publics du pays et fait figure de monopole dans le secteur de la production
et la distribution de l’eau, il a été parmi les premiers établissements à s’intéresser a la
mise en œuvre d’un dispositif du management des risques et d’avoir adopter la
culture de gestion des risques dans l’ensemble des processus de l’office.

Ce mémoire relatera le concept de management des risques en deux parties, une théorique consacré
aux divers concepts qui y sont liés et une pratique ou j’exposerais la démarche de gestion des
risques.

Les mots clés : Risque, Management/Gestion des risques, cartographie des risques.
 INTRODUCTION GENERALE

Propulsée sur le devant de la scène dans un environnement marqué par sa complexité et son
incertitude, remontée ces dernières années des préoccupations des spécialistes des
questions d’assurances à celles de la Direction Générale de l’entreprise, la thématique des
risques et de leur gestion mérite que l’on s’y intéresse.

Le management des risques constitue une démarche d'analyse et d'identification

systématique relativement récente dans le monde économique, elle s’est installée dans le
quotidien des dirigeants depuis les années 2000, c'est l'émergence de la gestion des risques
proprement dite, avec notamment le développement de la notion de "cartographie des
risques". Il s'agit désormais d'identifier les risques (résiduels, cibles ou bruts), de les évaluer,
de définir des mesures de contrôle et de simuler différents scenarios d'incidents à analyser.

Le management des risques est devenu une des fonctions principales de la gestion d'une
entreprise: le marché des capitaux ne pardonne plus aucune faute grave, et le Risk
Management fait partie intégrale des nouvelles réglementations comme le Sarbanes-Oxley
Act. Il peut être défini comme la culture, les processus et les structures orientés vers la
réalisation d'opportunités tout en gérant les effets néfastes. Une explication de l'intérêt
accru à la gestion des risques est la possibilité d'appliquer les nouvelles idées et outils sur la
“nouvelle réalité des risques”. Elle devrait faire partie intégrante des bonnes pratiques en
affaires, tant au niveau stratégique qu'opérationnel.

Le cœur du management des risques consiste à évaluer l'incertitude de l'avenir afin de faire
la meilleure décision possible aujourd'hui. Ses avantages sont les meilleures décisions ;
moins de surprises, amélioration de la planification et de la performance, efficacité et
amélioration des relations avec les parties prenantes.

L’état des lieux établi dans les précédents travaux des chercheurs en la matière a permis de
mieux appréhender la situation dans les entreprises et de faire émerger une approche
cognitive et organisationnelle de la gestion des risques. Il met en évidence un intérêt affiché
des entreprises pour le risque contrastant avec une démarche encore « frileuse » de leur
gestion. Il décrit, une démarche de gestion des risques en cinq étapes : définition d’une
Stratégie de définition des risques majeurs, identification des risques, mise en cartes,
identification des dispositifs de contrôle, analyse des résultats.

Pour bien comprendre la mise en œuvre du système management des risques nous allons
présenter le cas de l’Office National de l’Electricité et de l’Eau Potable- Branche Eau
(ONEE), qui est compté parmi les premiers établissements intégrant une démarche
management des risques et parmi les entreprises publiques précurseur dans le choix et
l’adoption d’une culture de gestion et maitrise des risques.

L’ONEE-Branche Eau comme entité économique évolue dans un environnement

caractérisé par une multitude de risques, de ce fait il est devenu impératif pour cette
organisation de mettre en place un système management des risques qui permet d'assurer
qu'elle connaît, comprend et agit face aux risques auxquels elle s'expose
continuellement. La gestion des risques semblerait être un sujet émergent, une

préoccupation récente de toutes les organisations. L’ONEE-BRANCHE EAU a pour mission1 de

:
- Pérenniser, sécuriser et renforcer l’approvisionnement en eau potable en milieu urbain ;
- Généraliser l’accès a l’eau potable en milieu rural ;
- Prendre en charge l’assainissement liquide.
Compte tenu de ce défi, et pour contribuer à l’amélioration de ses systèmes de gestion et de
maitrise des risques et veiller à l’amélioration de ses dispositifs du contrôle interne, l’ONEE-
Branche Eau est appelé à organiser son système de management des risques. Pour
cela, la dite entreprise serait tenue également d’accompagner l’évolution structurante que
connait actuellement le domaine du management des risques.

Le présent dispositif de management des risques a été le résultat d’une

étroite collaboration entre la direction d’audit et organisation de l’ONEE-BRANCHE EAU
soucieuse de l’importance de la maitrise des risques d’une part, et les cabinets d’audit
KPMG et SINEQUA d’autre part, ayant pour mission l’étude du renforcement du système de
contrôle interne de l’ONEE-BRANCHE EAU et la mise en place des premières étapes d’une
stratégie globale de management des risques. Ce système embryonnaire se limite au
déploiement de la cartographie des risques vu qu’il est pris en charge par les auditeurs
internes qui, ayant en parallèle d’autres fonctions en charge, Ne peuvent assurer une
1
Interview du directeur général de l’ONEP accordé a l’Economiste édition N° 1001
organisation (suivi, reporting, et aménagement de la structure…) de ce dispositif. Ceci explique
le choix de la présente recherche et justifie la proposition de la direction pour le présent
thème de recherche dont l’objectif est d’étudier l’organisation du dispositif actuel du
managent des risques compte tenu de son rattachement à la direction de l’audit et
d’organisation.

La principale question qui aura la priorité d’orienter ce travail est : « comment l’ONEE-
Branche Eau peut gérer les risques de manière efficace ?»

Ce travail se limitera au cycle achats, vu l’impossibilité de traiter l’ensemble des processus en

trois mois de stage

Pour ce faire, Le présent travail va tenter de répondre aux questions de recherche

suivantes:
- C’est quoi le management des risques ?
- Quelle est la place du management des risques par rapport aux outils traditionnels ?
- Quel est la démarche adéquate de mise en œuvre du management des risques de
Manière générale et celle du cycle achats en particulier?
- Quels sont les moyens de suivi et de reporting de ce système?
- Quels sont les rattachements possibles pour une entité de management des risques ?
Du côté apport personnel du projet, il s’agit surtout de :
- Valider les acquis théoriques par la pratique et la mise en situation ;
- Réaliser un projet professionnel individuel;
- Comprendre le dispositif management des risques exploités par l’Office ;
- Se charger de la production d’une cartographie des risques cycle stock ;
- Proposes des moyens de suivi et de reporting pour ce système ;
- Apprendre à structurer les idées, à rechercher les moyens d’exprimer les pensées et à
reformuler les idées ;
- Et enfin s’acquitter de la méthodologie universitaire pour approcher un thème de rapport
de fin d’études, sa rédaction et sa soutenance avec brillance devant le jury.
Méthodologie de travail :

La première étape était la production d’un planning de travail à respecter présentant ainsi les
différentes tâches à réaliser tout au long de la période de stage.
La deuxième étape était le lancement du projet par une recherche théorique plus ou moins
approfondie afin d’approfondir nos connaissances en vue d’une maîtrise du projet.

La démarche de recherche est scindée en deux grandes parties qui sont interdépendantes :

- la première partie portera sur l’investigation documentaire. il sera procédé ainsi a une
revue de littérature puisée des principales références bibliographiques dans le domaine du
contrôle interne, audit interne et management des risques tout en mettant le point sur les
référentiels de mesure sur lesquels s’appuie le présent travail.
- La deuxième partie sera consacrée a l’investigation du terrain .nous entamerons cette
partie par une brève présentation de l’organisme accueillant (Office National de l’Electricité et
de l’Eau Potable et de son cycle d’achats), ensuite se fera une analyse du dispositif actuel de
management des risques (élaboration de la cartographie des risques du cycle achats) pour
proposer des suggestions de suivi, de reporting, et d’organisation de ce système.

Le travail se focalisera sur les achats comme étant un processus critique .Pour cela des outils
adéquats seront utilisés à savoir la carte d’identité du processus, le logigramme, des grilles
d’analyse, la cartographie des risques et plans d’actions.
Première partie : Management des risques, un outil idoine pour un audit basé
sur les risques
Chapitre 1 : la maîtrise des risques une préoccupation du contrôle et audit internes

Ce premier chapitre abordera dans sa première section une introduction au contrôle

interne. Ainsi, se fera un listing de différentes définitions apportées au CI par
différentes organisations dans le but de permettre au lecteur de bien se situer par
rapport à la notion.

Ensuite, une approche du contrôle interne selon le ‘Committee of Sponsoring

Organizations’ (COSO) prendra place, pour initier le lecteur par rapport a ce
référentiel et l’aider a mieux se situer vis-à-vis du référentiel COSO 2 qui sera
abordée au niveau de la deuxième section en tant que démarche de management de
risque.

Enfin, l’attention se focalisera sur les limites du contrôle interne qui représentent un
point de départ pour l’auditeur interne, et des sources de risques et de critiques du
dispositif de contrôle interne.

La deuxième section penchera vers l’audit interne puisqu’il est dans le cas de
l’ONEP l’intervenant en matière de gestion des risques. Il s’agira de rapprocher le
lecteur de l’audit interne a travers le cadre et les modalités de fonctionnement dans
un premier temps et puis mettre en perspective la relation entre l’audit interne et le
contrôle interne par le biais des procédures qui constituent un champ commun entre
les deux notions.
Section 1 : Contrôle interne

L’apport du contrôle interne est d’une grande utilité pour les dirigeants, il est
considéré comme un instrument de création de valeur qui fournit une aide précieuse
quant à la prise de décision, réalisation des objectifs et amélioration de la
performance de l’entreprise.

Un contrôle interne bien mis en place, efficace et efficient s’oriente vers l’atteinte et
la réalisation des objectifs primordiales de l’entreprise.

1. Définitions du contrôle interne :

Les définitions du contrôle interne sont multiples, il est défini de façon large, il ne se
limite pas à des contrôles réglementaires (contrôle de type vérification) et n’est pas
restreint au seul Reporting financier. Le terme « contrôler » doit être pris dans
la signification de « Maitriser ».

Le contrôle interne à plusieurs définitions qui ont été, le plus souvent, déterminées
par des organisations comptables professionnelles internationales. De ce fait, ces
organisations ont tenté d’analyser le contenu du contrôle interne.

 Ordre des Experts Comptables Français :

« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de

l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la
direction et de favoriser l’amélioration des performances. Il se manifeste par
l’organisation, les méthodes et les procédures de chacune des activités de
l’entreprise pour maintenir la pérennité de celle- ci. » 2

 INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES:

2
Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica, p63.
« Le contrôle interne comprend l’ensemble des systèmes de contrôle, financiers et
autres, mis en place par la direction, afin de pouvoir diriger les affaires d’une société
de façon ordonnée, de sauvegarder des biens et d’assurer, autant que possible, la
sincérité et la Fiabilité des informations enregistrées. Font partie du système de
contrôle interne les Activités de vérification, de pointage et d’audit interne. »

 AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS:

« Le contrôle interne est formé de plans d’organisation te de toutes les

méthodes et procédures adoptées à l’intérieur d’une entreprise pour protéger ses
actifs, contrôler l’exactitude des informations fournies par la comptabilité, accroître le
rendement et assurer l’application des instructions de la direction.»

 Le référentiel COSO: (Committee of sponsoring organization)

Le COSO regroupe aux USA les associations et instituts dans les domaines de la
comptabilité et de l’audit interne, qui ont sponsorisés les travaux de cette
commission, et qui sur la base de ses recommandation ont rédigé « le COSO
FRAMEWORK » ou référentiel COSO, publié en1992. Il définit le contrôle interne
comme « un processus, mis en œuvre par le conseil d’administration, le
management et les autre membres du personnel, conçu pour donner une assurance
raisonnable quant a la réalisation d’objectifs dans les catégories suivantes :

- Efficacité et efficience des opérations ;

- La fiabilité de l’information ;

- La conformité aux lois et aux règles en vigueurs COSO.

De manière générale, le contrôle interne est un ensemble de dispositif choisis par

l’encadrement et mis en œuvre par les responsables de tout niveau, pour maitriser le
fonctionnement de leurs activités. On peut dire, donc, que le contrôle interne est un
ensemble de procédures de contrôle s’exerçant au sein de l’entreprise afin de régir la
bonne application des règlementations.
En effet, le contrôle interne permet une prise de décision pertinente en se basant sur
des informations fidèles à la réalité et contrôlées. De même, ce dispositif permet aux
responsables de l’entreprise de maîtriser les activités en vue d’atteindre leurs
objectifs.

De ce fait, le contrôle interne est mis en œuvre par l’ensemble du personnel de

l’entreprise et exercé à tous les niveaux décisionnels. Son objectif est de réduire le
risque à un niveau acceptable par les dirigeants avec les moyens dont l’entreprise
dispose.

2. Contexte réglementaire du contrôle interne :

De nouvelles lois et réglementations ont été instaurées (Loi de Sécurité Financière,

Sarbanes Oxley Act,…) vue les scandales financiers et les faillites, imposant aux
entreprises différentes exigences. Le contrôle interne n’est ni indispensable ni
obligatoire (sauf pour les entreprises soumises aux lois de sécurité financière, telles
que la loi de sécurité financière« LSF» ou la loi Sarbanes Oxley). En 2002, en
réaction aux scandales financiers Enron et Worldcom, le parlement des Etats-Unis
légifère une loi qui s’appelle Sarbanes–Oxley. Cette loi exige des sociétés faisant
appel à l’épargne publique à évaluer leur contrôle interne et à en publier les résultats.

De ce fait, le SOX (the Sarbanes-Oxley Act) a choisi que ces société coté en bourse
adoptent le COSO comme référentiel suite au besoin d’un cadre conceptuel. En
2003, la promulgation de la loi sur la sécurité financière a aussi participé à sa
diffusion.

 La loi Sarbanes Oxley Act (aux Etats-Unis) – 30 juillet 2002 3:

- L’objectif est de restaurer la confiance des investisseurs et de renforcer

la Gouvernance d’entreprise.

- L’article 404 de cette loi exige que la Direction Générale engage sa

responsabilité sur l’établissement d’une structure de contrôle interne comptable et
financier et qu’elle évalue, annuellement, son efficacité au regard d’un modèle de
contrôle interne reconnu.

3
Loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs. Le texte
est couramment appelé loi Sarbanes-Oxley, du nom de ses promoteurs le sénateur Paul Sarbanes et le député
Mike Oxley.
- La Securities and Exchange Commission (SEC) et le Public Company
Accounting Oversight Board (PCAOB) ont fortement recommandé aux entreprises
américaines (ou étrangères cotées à New York) d’adopter le COSO comme
référentiel.

Cette loi vise à :

• Augmenter la responsabilité des dirigeants d’entreprise

• Mieux protéger les investisseurs pour rétablir la confiance dans le marché

• Améliorer l’accès et la fiabilité de l’information en imposant aux entreprises de

fournir à la Securities and Exchanges Commission des informations
complémentaires

• Renforcer le rôle et l’indépendance des Comités d’Audit

• Restreindre la sphère de compétences des auditeurs externes et prévoir une

rotation de ces vérificateurs externes.

La loi Sarbanes Oxley a été accompagnée par la transposition de la 8ème directive

européenne qui a imposé le principe de « suivi de l’efficacité » des « procédures de
contrôle interne ».

Cette évolution du cadre réglementaire européen étend, de façon significative, le

déploiement du contrôle interne dans les entreprises françaises.

La fonction de contrôle interne doit donc définir son périmètre d’actions et ses
responsabilités en accord avec un cadre réglementaire mouvant, des
recommandations appuyées et des lois à venir. La responsabilité des
dirigeants d’entreprise est directement engagée par l’ensemble de ces textes

3. Le référentiel COSO 1 :

Le référentiel international COSO est un groupe de réflexion ou une commission, qui

a vu le jour aux Etats- unis suite à une série de faillites anormales dans les années
80. Les travaux de cette commission ont abouti au 1er instrument de contrôle interne
: le COSO, constituant un référentiel méthodologique d’analyse du CI.
Le référentiel COSO a donné naissance à un cube dont les 3 faces visibles
représentent les 3 objectifs, les 5 composants et les activités de l'entreprise.

Dans cette approche en « cube », chaque activité contribue à la réalisation

des 3 objectifs. Pour chacune d’elle, et pour chacun de ces 3 objectifs, il s’agit
d’analyser les 5 composantes du contrôle interne.

(Annexe 1, pyramide du COSO1)

La combinaison des trois objectifs, des cinq composants et des différentes activités
de l'entreprise, vue comme trois axes d'analyse distincts, donne la base des
évaluations à réaliser: « Evaluer dans toute entité et pour toute activité la façon dont
chacun des 5 composants du contrôle interne participe à chacun des 3 objectifs ».

Les trois objectifs4 :

Le COSO définit le contrôle interne comme un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance
raisonnable quant à la réalisation des trois objectifs suivants :

- La réalisation et l'optimisation des opérations : concernant les objectifs

opérationnels d’une entité

- La fiabilité des informations financières : concernant la fiabilité de la préparation

des états financiers publiés, y compris les états financiers intermédiaires et
synthétiques, et les données non directement financières qui y concourent.

- La conformité aux lois et règlements en vigueur : concerne le respect des lois

et réglementations auxquelles est soumise l’entité.

Les cinq composants :

Les cinq composants ont pour objectif l’amélioration du système du contrôle interne
de l’organisation et ils sont interconnectés. Il s’agit de :

1. l'environnement de contrôle ;

2. l'évaluation des risques ;

4
Coopers, Lybrand, 2002. La nouvelle pratique du Contrôle Interne. Paris, édition d'organisation, pp 51-52-53-54
3. les activités de contrôle ;

4. l'information et la communication, qu'il s'agit d'optimiser ;

5. le pilotage.

L’environnement de contrôle constitue le fondement de l’ensemble du système de

contrôle interne. Il constitue la discipline et la structure aussi bien que le milieu qui
influence la qualité globale du contrôle interne. En retour, il influe largement la
manière dont la stratégie et les objectifs sont déterminés et dont les activités de
contrôle sont structurées.

Une fois que des objectifs clairs ont été fixés et qu’un environnement de contrôle
efficace a été créé, il est nécessaire de procéder à une évaluation des risques
auxquels l’organisation est confrontée pour réaliser sa mission et atteindre ses
objectifs, afin de définir une réponse adaptée à ces risques.

La principale stratégie pour minimiser les risques réside dans la mise en place
d’activités de contrôle interne. Ces activités de contrôle peuvent être orientées
vers la prévention et/ou la détection. Les mesures correctives constituent un
complément nécessaire des activités de contrôle interne en vue de la réalisation des
objectifs. Le coût des activités de contrôle et des mesures correctives doit avoir une
contrepartie et créer de la valeur. Autrement dit, leur coût ne doit pas dépasser le
bénéfice qui en découle (rapport coût/efficacité).

Une information et une communication efficaces sont cruciales pour qu’une

organisation puisse mener et contrôler ses opérations. Les responsables de
l’organisation doivent avoir accès, en temps opportun, à une communication
pertinente, exhaustive et fiable concernant les événements internes aussi bien
qu’externes. De manière générale, l’organisation a besoin d’information à tous les
niveaux afin d’atteindre ses objectifs.
Enfin, puisque le contrôle interne est un processus dynamique qui doit être adapté
constamment pour tenir compte des risques et des changements auxquels une
organisation est confrontée, il est indispensable que le système de contrôle interne
fasse l’objet d’un suivi et d’un pilotage pour garantir que le contrôle interne reste en
phase avec des objectifs, un environnement, des moyens et des risques susceptibles
d’avoir évolué.

Ces composantes définissent une méthode de référence pour la conception d’un

système de contrôle interne dans une administration publique et fournissent une
base d’évaluation possible du contrôle interne. Ces composantes s’appliquent à tous
les aspects du fonctionnement d’une organisation.

Les présentes lignes directrices fournissent un cadre général. Lors de leur mise en
œuvre, le management est responsable de l’élaboration de politiques, procédures et
pratiques détaillées et adaptées aux activités de l’organisation et doit s’assurer
qu’elles font partie intégrante de ces dernières.

4. Les limites du contrôle interne :

Il faut toujours garder à l’esprit que tout SCI n’est pas une panacée : il ne permet pas
d’aspirer avoir éliminé tous les risques afférents à une organisation, car aussi bien
conçu et appliqué soit-il, ne peut fournir au plus qu’une assurance raisonnable à la
direction quant à la réalisation des objectifs de l’office. En effet, étant donné qu’elle
est essentiellement basée sur le facteur humain, toute structure de contrôle interne
peut être affectée par une erreur de conception, de jugement ou d’interprétation, par
l’équivoque, la nonchalance, la fatigue ou encore la distraction. Les facteurs
suivants peuvent avoir une influence négative sur l’efficacité du contrôle interne 5.

 L’erreur de jugement

Le risque d’erreur humaine lors de la prise de décisions ayant un impact sur

les processus de l’office peut limiter l’efficacité des contrôles. Les personnes
responsables sont souvent appelées à prendre des décisions dans un temps limité,
en se basant sur les informations disponibles mais incomplètes et en faisant face
à la pression liée à la conduite des activités.

5
Rapport sur le Séminaire IIA-FANAF : L’Audit et le Contrôle de Gestion dans les compagnies d’assurance
  Les dysfonctionnements

Même les SCI bien conçus peuvent faire l’objet de dysfonctionnements, par exemple
lorsque les collaborateurs interprètent les instructions de manière erronée, cèdent à
la routine et ne sont plus attentifs aux erreurs. Une enquête sur des anomalies
diverses peut ne pas être poursuivie assez loin ou une personne remplissant des
fonctions en remplacement d’une autre (maladie, vacances) peut ne pas s’acquitter
convenablement de sa tâche. Le CDF constate également souvent que des
changements dans les systèmes sont introduits avant que le personnel n’ait reçu la
formation nécessaire pour réagir correctement.

 Les contrôles «outrepassés» ou contournés par le management

Un SCI ne peut pas être plus efficace que les personnes responsables de son
fonctionnement. Même au sein d’un office efficacement contrôlé, un responsable
peut être en mesure de contourner le SCI. Ceci signifie qu’un responsable peut
déroger de façon illégitime aux normes et procédures prescrites, par exemple pour
en tirer un profit personnel ou afin de dissimuler la non-conformité de l’activité de son
office à certaines obligations légales.

 La collusion et le recours à des faux

La séparation des fonctions constitue souvent un instrument privilégié des SCI. La

pratique montre cependant que ce type de contrôle a ses limites: deux ou plusieurs
individus agissant collectivement pour accomplir et dissimuler une action
peuvent fausser les informations financières ou de gestion d’une manière qui ne
puisse être prévenue par la séparation des fonctions. Un employé chargé d’effectuer
des contrôles peut réduire ceux-ci à néant en agissant en collusion avec
d’autres membres du personnel ou des tiers externes à l’office.

L’expérience montre que la falsification des signatures nécessaires au

paiement de Factures de tiers constitue également un défi auquel doit faire face un
bon SCI.
  Le rapport coûts/bénéfices

Les ressources étant toujours limitées, les offices doivent comparer les coûts et les
avantages relatifs des contrôles avant de les mettre en place. Lorsqu’on cherche à
apprécier l’opportunité d’un nouveau contrôle, il est nécessaire d’étudier non
seulement le risque d’une défaillance et l’impact possible sur l’office, mais également
les coûts qu’entraînerait la mise en place de ce contrôle. Une décision quant à la
mise en place d’un contrôle restera toujours partiellement basée sur des critères
subjectifs. Toute la difficulté de l’analyse du rapport coûts/bénéfices consiste à définir
le risque résiduel tolérable.

Section 2 : Audit interne

Face à de nombreuses mutations, changements, montées et fortes accélérations du

rythme d’évolution de l’environnement dans lequel le monde de l’organisation
progresse, l’audit interne, autant que fonction d’une grande importance, ne pouvait
que s’efforcer à suivre ses évolutions, essayer de rester à jour avec les
préoccupations de son temps, d’offrir une sécurité aux organisations et d’aider à
améliorer leurs performance.

Dans cette section on verra ce que c’est que l’audit interne, son objectif, sa mission
et sa relation avec les autres entités de l’organisation ainsi que le contrôle interne.

1. Définition et objectif de l’audit interne :

L’Audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte
ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant, par une

approche systématique et méthodique, ses processus de management des risques,
de contrôle, et de Gouvernement d’entreprise, et en faisant des propositions pour
leur efficacité6.

 Quant à ses objectifs :

6
Charte de l’audit interne de l’Office National de l’Eau Potable. Définition approuvée le 21 mars 2000 par le
Conseil d'Administration de l'IFACI (Institut Français de l'Audit et du Contrôle Internes).
  L’audit interne est une fonction d'évaluation indépendante qui examine et
évalue les structures et les activités de l'office en vue de lui permettre
d'améliorer son efficacité et son efficience.
 Il assiste la hiérarchie dans l'exercice effectif de ses responsabilités en
effectuant des missions et en fournissant des analyses, des évaluations, des
recommandations, des avis et des informations relatifs aux activités ayant fait
l'objet d'un audit.
 Il apporte aux entités de l’Office le fruit de ses observations avec
l’ambition d’accroître l’efficacité de chacune d’elles et de l’ensemble.
 L’audit interne n’a pas pour objectif la détection des fraudes, mais si des
irrégularités sont constatées dans le cadre d’une mission d’audit, il est tenu de
les signaler dans son rapport au Directeur Général.
 Son champ d’action :
 L’audit interne est concerné par tous les services et activités de l’office.
 Il exécute en particulier des audits opérationnels, de conformité et financiers. Il
peut faire, le cas échéant, appel à une expertise externe.

2. Mission et attributions de l’audit interne 7 :

A. L’Audit Interne a pour mission de contribuer à l’amélioration des

systèmes de gestion et de maîtrise des risques et en particulier veiller à
l’amélioration des dispositifs de contrôle interne.

B. Les Attributions de l’Audit Interne sont les suivantes :

 Identifier les risques susceptibles d’entraver la bonne réalisation des activités

de l’ONEP

Tenant compte des objectifs suivants :

- Fiabilité et sincérité des informations ;

- Efficacité et efficience des opérations ;

- Sauvegarde du patrimoine ;

7
Charte de l’audit interne de l’Office National de l’Eau Potable.
- Conformité des activités des différentes entités aux politiques, plans et
procédures tracés par la Direction ;

- Respect des lois et règlements ;

 Etablir un programme annuel d’audit basé sur l’analyse de ces risques ;

 Réaliser ce programme ;
 Réaliser des missions ponctuelles d’audit confiées par la Direction Générale
 Assurer le suivi des recommandations et plans d’action ;
 Evaluer les projets de procédures, notes de services et donner un avis sur le
respect des règles de contrôle interne ;
 Assurer la coordination avec les autres intervenants internes et externes en
matière de contrôle ;
 Piloter les audits externalisés ;
 Promouvoir au sein de l’ONEP une culture de contrôle interne en
particulier la Composante éthique.

3. Relation avec les autres entités de l’organisation :

 L’Audit Interne participe au développement des systèmes et procédures, il

évalue les projets de procédures, notes de services et donne son avis sur le
respect des règles de contrôle interne ;
 L’Audit Interne pilote les audits externalisés ; il en assure le suivi des
recommandations et plans d’action ;
 Il Assure la coordination avec les autres intervenants internes et externes en
matière de contrôle ;
 Il reçoit systématiquement une copie des rapports de l’auditeur légal.

4. Relation audit interne/ contrôle interne :

 L'audit interne, quelle utilité pour les procédures ?

Garant du contrôle interne de l'entreprise l'audit interne vérifie la bonne application

des règles et procédures de l'entreprise. Son existence conditionne donc en partie
l'attention et Le respect accordés aux procédures dans la mesure où celles-ci sont
d'autant plus appliquées qu'elles sont contrôlables. En l'absence de contrôle effectif,
les procédures risquent de devenir lettre morte.
L'Audit, plus que tout autre contrôle fonctionnel ou hiérarchique qui souffre de la
pesanteur du quotidien, est donc indispensable à la bonne application des
procédures.

 Les procédures quelle utilité pour l'auditeur ?

Les procédures formalisées constituent la référence première pour l'auditeur:

- Elles fournissent une piste utile pour ses travaux d'investigations et facilitent
sa tâche

- Elles constituent une base objective, relativement incontestable, sans laquelle

L’auditeur pourrait être soupçonnable de partialité.

L'absence de procédure rendrait le contrôle délicat, voire impossible.

L'Audit est aussi nécessaire aux procédures et vice-versa. L'audit permet

l'actualisation des procédures et sans les procédures il n'y aurait pas d'audit.
Mutuellement indispensable, ils sont inséparables l'un de l'autre.

Conclusion

Les points abordés dans cette première partie, à savoir dans le premier et le
deuxième chapitre, m’ont permis d'élaborer une définition globale du Contrôle Interne
et de connaître ses champs d'application. Le Contrôle Interne est appliqué par
des Hommes sur des Hommes, ce qui rend cette mission plus ou moins délicate.
Néanmoins, chaque système a ses propres défaillances et limites. On a pu le
constater à travers les scandales financiers qu'ont connus les Etats-Unis dans les
années 90.

Ces derniers ont poussé les spécialistes du domaine comptable et financier, à

trouver une parade aux manœuvres illicites et à développer un cadre de
référence concernant le Contrôle Interne afin d'amener plus de sérénité dans
l'économie américaine dont le COSO.
L'aide proposée par les travaux d'Audit Interne et par le référentiel COSO constitue
un moyen efficace, et contribue grandement à la bonne gestion et à la maîtrise des
activités de l'entreprise.
Chapitre 2 : Le management des risques : référentiels et notions clés

A l’heure actuelle les entreprises semblent s’intéresser beaucoup plus, d’une

manière plus proche, à la gestion des risques, après un long silence. Malgré que
cette inquiétude parait récente, en réalité la gestion des risques au sein des
entreprises est loin d’être une préoccupation nouvelle, car dès les années 1970-80,
le risque et sa maitrise étaient déjà une question cruciale.

Dans ce contexte, le concept de management des risques a pris une grande

importance, obligeant les entreprises à investir ou réinvestir de manière forte le
champ du management des risques. Création d’une culture du risque, management
participatif, système de catégorisation, mise en place de cellule de veille, les outils de
management ne manquent pas pour comprendre et gérer les risques.

La première section de ce chapitre aura pour tâche d’initier le lecteur à cette

discipline nécessaire à la réalisation de ce travail. Ainsi, et dans un premier point,
seront présentés la définition du risque, management des risques, ses principaux
référentiels et la cartographie des risques. Le risque sera défini selon la nouvelle
norme ISO 31000 pour permettre au lecteur de garder une vision à jour sur la notion
du risque. La cartographie des risques est aussi importante à découvrir puisqu’elle
constitue le centre du travail pratique, son déploiement représente un point de départ
à l’organisation du système de management de risque.

Ensuite, le lecteur sera invité à découvrir, dans une deuxième section, les divers
articulations et relations entre le contrôle interne, audit interne et le management des
risques qui reste le cœur de ce travail.
Section 1 : Management des risques

1. Définition de la notion de risque et du Management des risques :

 La notion de risque :

Durant de très nombreuses années, le concept de « risque » a été assimilé à celui

de danger. Sa maîtrise était du ressort des techniciens qui comprenaient les
mécanismes pouvant entrainer des accidents. Cette approche conduisait
implicitement à l’ignorance totale ou partielle des effets positifs de l’activité source du
risque. Pour tenir compte de ces apports tout en prévenant les dommages potentiels,
la définition du terme « risque » s’est ensuite déplacée vers celle d’événement
probable ayant des conséquences.

- La norme ISO 31000 définit le risque comme l’effet de l’incertitude sur l’atteinte
des objectifs. Cette définition déplace de nouveau la question du risque en imposant
de spécifier les objectifs d’une activité dont l’atteinte pourrait être entravée par
l’occurrence de circonstances incertaines8.

- Selon l’IFACI « le risque est un ensemble d’aléas susceptibles

d’avoir des conséquences négatives sur une entité et dont le contrôle interne
et l’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise
»9.

Le risque s’évalue en fonction de :

- La probabilité que le risque se réalise

- L’impact que pourrait avoir ce risque s’il se matérialisait.

8
La norme iso 31000 en 10 questions –Gilles MOTET- Fondation pour une Culture de Sécurité Industrielle.

9
La définition de l’IFACI
Le risque est l’ensemble d’événements potentiels qui, s’ils se réalisent, pourront
affecter l’entreprise. Il détermine s’ils représentent une opportunité ou s’ils sont
susceptibles de nuire sérieusement à la capacité de l’entité à mettre en œuvre avec
succès sa stratégie et à atteindre ses objectifs. Les événements ayant un impact
négatif constituent des risques qui demandent une évaluation du management et un
traitement. Le risque dit « majeure » est un risque évalué comme élevé, avec une
grande gravité. Ou un risque qui représente un caractère inacceptable pour
l’entreprise en regard de la sécurité des biens et des personnes ou de la survie des
organisations.

La gestion des risques s’articule en 4 axes :

- L’identification des risques consiste à déterminer les événements de risques

potentiels, leurs risques et leurs conséquences.

- L’évaluation des risques consiste à apprécier l’impact de l’événement de risque

- La gestion des risques consiste à définir les mesures stratégiques et

opérationnelles pour éviter, transféré et/ou réduire la survenance et l’impact des
risques.

- Le contrôle et la surveillance des risques consistent à s’assurer de la cohérence

et de l’adéquation du niveau des risques en regard des objectifs fixés, d’analyser les
risques afin d’assurer l’application des mesures d’atténuation et de mitigation des
risques.

Donc pour principales réponses à un risque, le management a plusieurs options :

S’agissant des risques significatifs, une organisation choisit généralement les

réponses potentielles parmi différents options. Ce qui a été illustré dans le tableau ci-
dessus, qui démontre les différents modes de traitement qui consiste à éviter,
partager, réduire ou accepter un risque. Une fois les actions de traitement en place,
le management des risques peut choisir d’examiner individuellement chaque risque.

« Un risque s’imagine, se prévoit, se cartographie, se quantifie, se gère. En

deux mots, cela se Manage »10

10
www.lebas-conseil.fr, article « Risk management : gérer l’ingérable » écrit par Anne Sophie David. Le 8/06/2011
  Le management des risques :

Le management des risques traite des risques et des opportunités ayant une
incidence sur la création ou la préservation de la valeur. Il offre la possibilité
d’apporter une réponse efficace aux risques et aux opportunités associées aux
incertitudes auxquelles l’organisation fait face, renforçant ainsi la capacité de
création de valeur de l’organisation11.

Selon le COSO2 : « Le management des risques est un processus mis en œuvre

par le Conseil d’administration, la direction générale, le management et l'ensemble
des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles d’affecter l’organisation et pour
gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir
une assurance raisonnable quant à l'atteinte des objectifs de l'organisation » 12

Cette définition reflète certains concepts fondamentaux. Le dispositif de management

des risques:

- Est un processus permanent qui irrigue toute l’organisation,

- est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de
l’organisation,

- est pris en compte dans l’élaboration de la stratégie est mis en œuvre à chaque
niveau et dans chaque unité de l’organisation et permet d’obtenir une vision globale
de son exposition aux risques,

- est destiné à identifier les événements potentiels susceptibles d’affecter

l’organisation, et à gérer les risques dans le cadre de l’appétence pour le risque,

- donne à la direction et au Conseil d’administration une assurance raisonnable

(quant à la Réalisation des objectifs de l’organisation),

- est orientée vers l’atteinte d’objectifs appartenant à une ou plusieurs

catégories indépendantes mais susceptibles de se recouper.
11
PHILIPPE CHRISTELLE Editions d’Organisation, 2005 Le management des risques de l’entreprise Cadre de
Référence – Techniques d’application – COSO II Report –

12
COSO II – « Enterprise Risk Management Framework » - 2002
Cette définition, assez ample et consciemment large, englober les concepts
fondamentaux, à la base desquels les organisations définissent leur dispositifs de
management des risques. Elle permet de garder les objectifs fixés cernés et bien au
centre des préoccupations d’un organisme donné.

 Le management des risques répond à la fois :

 A des contraintes de nature externes. Il s’agit de l’ensemble des contraintes
liées à la réglementation.
 A des enjeux stratégiques et internes. Il s’agit ici pour le management des
risques de garantir, de certifier et de présenter une assurance raisonnable
quant à la réalisation des objectifs fixés. Les enjeux stratégiques et internes
peuvent se décomposer selon 4 axes :
o Stratégiques : liés à la stratégie de l’organisation, ils sont en lien avec la
mission de l’entreprise.
 Opérationnels : maîtriser les activités et piloter leur développement
o Juridiques (ou de conformité) : gérer les responsabilités dans
l’entreprise en sensibilisant le mangement sur les enjeux et les risques
associés à leur fonction et en mettant en œuvre un système de délégation
approprié
o Communication (ou de reporting) : être en mesure de communiquer sur la
gestion des risques de l’entreprise, pour rassurer les investisseurs.

2. Les préalables à la mise en place du management des risques :

 Appliquer la gestion des risques à l’ensemble de l’organisation

La direction doit avoir une vue d’ensemble du risque. En pratique, tous les
responsables, quel que soit leur niveau, devront évaluer les événements
susceptibles d’affecter leur domaine d’activité et en informer les hauts
responsables. Cette évaluation peut être qualitative ou quantitative. La haute
direction devrait utiliser ces évaluations couvrant tous les niveaux et domaines
d’activité de l’entité pour aboutir à une évaluation du risque global au niveau de
l’ensemble de l’organisation.

 Importance des ressources humaines

La gestion des risques des entités est mise en œuvre et rendue efficace par la
direction et les autres membres du personnel. Elle naît des personnes qui
composent l’organisation, à travers ce qu’elles font et de ce qu’elles disent. De
même, elle affecte leurs actions. Chaque employé est une personne disposant de
compétences et de connaissances différentes. La gestion des risques des entités
tend à créer les mécanismes qui permettront aux membres de l’organisation de
comprendre le risque dans le contexte de ses objectifs.

Les membres du personnel devraient connaître leurs responsabilités et les limites de

leur autorité. Il faudrait donc qu’existe un lien clair et direct entre les tâches d’une
personne et la manière dont elle s’en acquitte. Les hauts responsables sont
principalement chargés de la supervision. Mais ils doivent également définir la
direction à prendre, approuver les stratégies et certaines transactions et orientation,
et ils ont donc un rôle vital à jouer pour faire respecter la culture de l’organisation.

3. Les référentiels du management des risques :

En matière de gestion de risques, deux référentiels existent :

COSO II

FERMA

ISO 31000

- Ils sont structurés selon des fondamentaux communs

- Ils donnent un modèle de processus de Gestion de risques

Les deux référentiels utilisés dans la gestion de risques sont : COSO2 et FERMA, le
travail pratique reposera sur la méthodologie et le processus proposés par ces
référentiels.

3.1. Référentiel FERMA :

Dans de nombreux pays à travers l'Europe et au-delà, les associations nationales de
gestion des risques sont bien établis. Leurs membres sont des professionnels des
risques et des assurances chargées de la gestion des risques dans leur organisation,
que ce soit dans le secteur public ou privé. Depuis 1974, FERMA a été la première
organisation pour la gestion des risques en Europe.

FERMA favorise la communication entre ses membres et aussi à l'intérieur de

l’IFRIMA (Fédération internationale des associations de gestion des risques et
d'assurance), et fournit les moyens de gestion des risques 13.

Ses Objectifs stratégiques :

1. Coordonner, promouvoir et soutenir le développement et l'utilisation de la gestion

des risques.

Action stratégiques :

- Définir et promouvoir des pratiques professionnelles et les normes

- Organiser les conférences, des séminaires, et des forums

- Maintenir une communication à double sens avec les associations nationales

sur le développement et l'application de gestion des risques

- Mettre en place des enquêtes et des repères pour identifier et partager les
pratiques Actuelles

- Faciliter le développement de nouvelles associations dans les pays

européens.

2. Etre un acteur important dans le processus décisionnel au niveau européen

sur les questions de financement des risques de gestion et d'assurance.

Actions stratégiques :

- Suivre les nouvelles réglementations et normes

- Détecter les problèmes précoces qui peuvent avoir un impact sur notre profession

13
Cadre de référence de la gestion des risques © AIRMIC, ALARM, IRM: 2002, translation copyright FERMA:
2003.
- Proposer et coordonner les positions avec les associations membres sur les
questions pertinentes.

- Emettre des documents d'orientation

- Maintenir la représentation des intérêts auprès des institutions européennes

- Etablir des alliances techniques et coalitions ad hoc avec d'autres intervenants.

Le référentiel a donné une définition au management des risques

(gestion des risques) comme suit : « La gestion des risques est un processus par
lequel les organisations traitent les risques qui s’attachent à leurs activités et
recherchent ainsi des bénéfices durables dans le cadre de ces activités ».

1. Appréciation du risque :

L’appréciation du risque est définie comme le processus général d’analyse du risque

et d’évaluation du risque.

2. Analyse du risque :

- Identification des risques : L’identification des risques requiert une approche

méthodique pour garantir que chaque activité significative de l’organisation a
été identifiée et que Chaque risque qui en découle a bien reçu une définition. Toute
volatilité associée à ces activités sera identifiée et classée dans une catégorie.

Les activités et les décisions de l’organisation peuvent être classées dans un éventail
de Catégories, dont par exemple:

• Stratégique : concerne les objectifs stratégiques à long terme de l’organisation

•Opérationnelle : concerne les questions quotidiennes auxquelles l’organisation est

confrontée alors qu’elle poursuit ses objectifs stratégiques,

• financière : concerne la gestion et la maîtrise efficace des finances de

l’organisation, et les effets de facteurs externes comme la disponibilité du crédit ou
encore les fluctuations des taux de change, des taux d’intérêts ou encore d’autres
références de marché,
- Description des Risques : La description des risques consiste à présenter
les risques Identifiés, dans un format structuré. La structure de ce format sera
conçue avec soin pour s’assurer que les risques sont bien identifiés, décrits et
appréciés exhaustivement et avec précision. Ce qui permettra de déterminer les
risques clefs qui doivent être analysés plus en détail.

- Estimation du risque : L’évaluation du risque peut être quantitative, semi-

quantitative ou Qualitative en termes de probabilité d’occurrence et de conséquences
possibles.

Les mesures les plus adaptées pour les conséquences et les probabilités peuvent
varier d’une organisation à une autre.

3. Evaluation du risque :

Après avoir analysé les risques, il est nécessaire de comparer les risques estimés
aux critères de risque que l’organisation a établis. L’évaluation du risque aide à
décider de l’importance de chaque risque spécifique pour l’organisation, et à
déterminer s’il convient d’accepter ce risque en l'état ou bien de le traiter.

4. Traitement du risque :

Le processus de traitement du risque consiste à sélectionner et mettre en place des

mesures propres à modifier le risque. Le traitement du risque a pour principales
composantes la maîtrise et l'atténuation du risque, mais il ne s’y limite pas et s’étend
entre autres à l’évitement, au transfert et à son financement du risque, et cetera.

5. Compte-rendu et Communication relatifs au risque :

Le compte-rendu officiel doit traiter :

• Des méthodes de maîtrise et en particulier de l’attribution des responsabilités pour

la Gestion du risque

• Des processus utilisés pour l’identification des risques, et de la manière dont le

système de gestion des risques les prend en compte

• Des principaux systèmes de maîtrise en place pour gérer les risques significatifs

• De la surveillance et de l’examen des systèmes en place

Il convient de rendre compte de toute défaillance significative mises à jour par le
système, ou dans le système lui-même, ainsi que des mesures prises pour faire face
à ces défaillances.

6. Surveillance et Revue du processus de gestion du risque

Une gestion des risques efficace requiert une structure de compte-rendu et de revue
pour assurer que les risques sont efficacement identifiés et évalués et que les
dispositifs de maîtrise et les réponses appropriées sont en place. Il convient d’auditer
régulièrement la conformité à la politique et aux normes, et de passer régulièrement
les performances en revue pour identifier les opportunités d’amélioration. Il faut
garder à l’esprit que les organisations sont dynamiques et opèrent dans des
environnements dynamiques.

Le processus de surveillance doit fournir l’assurance que les dispositifs de

maîtrise appropriés sont en place pour les activités de l’organisation et que les
procédures sont comprises et suivies. Les changements dans l’organisation et
l’environnement dans lequel elle opère doivent être identifiés et les systèmes
modifiés en conséquence.

3.2 Le référentiel COSO 2 :

Le référentiel COSO 2 reprend la même ossature que COSO 1 en y ajoutant

quelques retouches au niveau des composantes du système de management des
risques en le détaillant un petit peu plus qu’auparavant et en évoquant un autre
objectif à savoir l’objectif stratégique14.

Apport nouveau du COSO2 : Les modifications ont été portées sur l’axe
stratégique de l’organisation ; nouvel objectif stratégique :

- Objectif High- level qui soutient et concourt à la mission la vision de l’organisation

- Reflète les choix du management (recherche de la création de valeur par

l’organisation

Pour ses actionnaires)

14
Le management de risques de l’entreprise (cadre de référence-techniques d’applications –coso2 report
(EYROLLES Édition)
- Les autres objectifs sont dépendant des objectifs stratégiques.

Il existe une relation directe entre les objectifs que cherche à atteindre une
organisation et les éléments du dispositif de management des risques qui
représentent ce qui est nécessaire à leur réalisation. La relation est illustrée par une
matrice en trois dimensions.

La gestion des risques des entités est constituée de huit composantes

interdépendantes.

Celles-ci résultent de la façon dont l’organisation est gérée et sont intégrées au

processus de Management. Il s’agit des composantes suivantes :

Celle représentation illustre la façon d’appréhender le management des risques dans

sa globalité ou bien par catégorie d’objectifs, par éléments, par unité ou en les
combinant.

Chaque élément est transverse au cube et s’applique aux quatre catégories

d’objectifs. De même les huit éléments sont tous pertinents et important au regard
des objectifs relatifs à l’efficacité et l’efficience des activités. Le dispositif de
management des risques est utile à l’organisation, prise dans son ensemble, ainsi
qu’à chacune de ses entités. Cette relation est illustrée par la troisième dimension,
qui représente les filiales, les divisions et les autres unités de l’organisation.

Les huit composantes :

1. Environnement interne

Englobe la culture et l’esprit de l’organisation ; il structure la façon dont les risques

sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité, et
plus particulièrement la conception du management des risques et son appétence
pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel
l’organisation opère.

Les facteurs de l’environnement interne englobent la philosophie de gestion des

risques de l’entité, elle est constituée par l’ensemble d’attitudes partagées qui
déterminent comment cette entité considère le risque dans toutes ses activités,
depuis la définition de la stratégie jusqu’aux activités opérationnelles journalières
2. Fixation des objectifs :

Toute entité est confrontée à des risques divers d’origine externe et interne et la
fixation d’objectifs constitue une condition préalable pour identifier efficacement les
événements susceptibles d’en affecter la réalisation, en évaluer les risques et réagir
par rapport à ces risques.

Les objectifs doivent être préalablement définis pour que le management des risques
puisse identifier les événements potentiels susceptibles d’en affecter la réalisation.
Le management des risques permet de s’assurer que la direction a mis en place un
processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission
de l’entité ainsi qu’avec son appétence pour le risque.

La gestion des risques des entités fournit une assurance raisonnable quant à la
réalisation des objectifs – opérationnels, de rapportage et de conformité – d’une
organisation.

3. Identification des événements :

Les événements sont des incidents ou des faits d’origine interne ou externe qui
affectent la mise en œuvre de la stratégie ou la réalisation des objectifs. Ils peuvent
avoir un impact positif, négatif, ou les deux à la fois.

Les événements internes et externes susceptible d’affecter l’atteinte des objectifs

d’une organisation doivent être identifiés en faisant la distinction entre risques et
opportunités. Les opportunités sont prises en comptes lors de l’élaboration de la
stratégie ou au cours du processus de fixation des objectifs.

Les facteurs externes englobent, notamment, ceux découlant de changements

survenus dans l’environnement politique, social et technologique et les problèmes
économiques affectant l’organisation même ou ses fournisseurs. Les facteurs
internes résultent de choix opérés par la direction quant à son mode de
fonctionnement. Ceux-ci peuvent inclure l’infrastructure de l’entité, le nombre de
sites sur lesquels l’activité est déployée, les capacités et les compétences du
personnel ainsi que le fonctionnement des systèmes d’information professionnelle.

4. Evaluation des risques :

En évaluant les risques, une entité parvient à comprendre dans quelle mesure des
événements potentiels ont une incidence sur la réalisation des objectifs. L’évaluation
doit porter à la fois sur les risques inhérents et sur les risques résiduels.

L’évaluation des risques a pour but d’identifier quels éléments sont assez importants
et Significatifs pour concentrer sur eux l’attention de la direction.

Les risques sont analysés, tant en fonction de leur probabilité d’occurrence que de
leur impact, cette analyse servant de base pour déterminer la façon dont ils doivent
être gérés. Les risques inhérents et les risques résiduels sont évalués.

5. Traitement des risques :

Le management définit les solutions permettant de faire face aux risques –

évitement, acceptation, réduction ou partage. Pour ce faire le management élabore
un ensemble de mesures permettant de mettre en adéquation le niveau des
risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation.

Les réponses à apporter aux risques peuvent se répartir dans les

catégories suivantes :

- Partage/Transfert du risque – Cette réponse consiste à réduire la probabilité ou

l’impact du risque en transférant ou encore en partageant une part de ce risque, par
exemple en souscrivant une assurance conventionnelle ou en payant un tiers pour
qu’il le traite d’une autre manière.

- Réduction/Traitement du risque – L’immense majorité des risques se résoudra

de cette manière. Des mesures sont prises pour réduire la probabilité ou l’impact du
risque, voire les deux.

- Evitement/Fin de l’activité – Ce type de réponse consiste à supprimer

les activités donnant lieu au risque. Les entités du secteur public seront rarement en
mesure d’éviter de fournir un élément de leur programme de base, mais elles
pourront néanmoins envisager l’évitement comme une méthode utile lorsqu’elles
auront à déterminer si un nouveau mode de prestations de services est approprié ou
s’il convient de poursuivre un projet spécifique.
- Acceptation/Tolérance – Aucune mesure n’est prise pour réduire la
probabilité ou L’impact du risque. Cette réponse suppose qu’aucune méthode
rentable n’a été identifiée pour réduire l’impact et la probabilité à un niveau
acceptable ou que le risque inhérent se situe déjà au niveau des risques tolérables.

6. Activité de contrôle :

Les activités de contrôle correspondent à l’ensemble des politiques et des

procédures mises en place pour assurer que les mesures prises par la direction pour
maîtriser les risques sont réalisées. Les activités de contrôle sont présentes à travers
toute l’organisation, à tous les niveaux et dans toutes les fonctions.

Les activités de contrôle sont généralement mise en place pour assurer la

réalisation correcte des mesures prises pour faire face au risque, mais il arrive qu’à
l’égard de certains objectifs, les activités de contrôle elles-mêmes constituent la
réponse au risque.

- Les contrôles préventifs ont pour but de limiter la possibilité de développement

d’un Risque et la réalisation d’un résultat non voulu.

- Les contrôles directifs visent à s’assurer qu’un résultat particulier sera atteint.

- Les contrôles à des fins de détection sont destinés à mettre en évidence si des
résultats non voulus sont apparus "après coup".

- Les contrôles correctifs ont pour but de corriger les résultats non
voulus qui sont apparus.

7. Information et communication :

Les informations utiles sont identifiées, collectées, et communiquées sous un format

et dans des délais permettant aux collaborateurs d’exercer leurs responsabilités. La
communication doit circuler verticalement et transversalement au sein de
l’organisation.
Information : La gestion des risques des entités ne prévoit spécifiquement qu’une
entité Doit réunir un ensemble d’informations plus large que ce qui serait nécessaire
pour réaliser les objectifs de contrôle interne. Les données historiques permettent de
situer les réalisations effectives par rapport aux objectifs, aux plans et aux attentes et
peuvent donner un avertissement précoce au sujet d’événements potentiels qui
requièrent l’attention de la direction.

Communication : La communication est inhérente aux systèmes d’information. Elle

a non Seulement pour but de permettre aux membres du personnel concernés de
s’acquitter de leurs responsabilités, mais elle doit également être envisagée dans un
sens plus large, où elle diffuse la culture d’entreprise, répond aux attentes, couvre
les responsabilités des individus et des groupes et assure d’autres tâches
importantes.

8. Pilotage :

Le processus de management des risques est piloté dans sa globalité et modifié en

fonction des besoins. Le pilotage s’effectue au travers des activités permanentes de
management ou par le biais d’évaluation indépendantes ou encore par une
combinaison de ces deux modalités.

Le management des risques n’est en aucun cas un processus qui pourrait être
qualifié de séquentiel, dans lequel un élément affecte uniquement le suivant. C’est
un processus dynamique, multidirectionnel et itératif, par lequel n’importe quel
élément a une influence et un impact immédiat et direct sur les autres.

Pour appliquer les composantes de la gestion des risques des entités, une entité
devrait Prendre en compte l’ensemble du champ de ses activités à tous
les niveaux de L’organisation. La direction devrait également étudier les nouveaux
projets et initiatives en appliquant le modèle de gestion des risques des entités.

3.3. Référentiel ISO 31OOO :

ISO 31000 fournit des principes, un cadre et des lignes directrices pour gérer toute
forme de risque d'une manière systématique, transparente, et crédible dans
quelque domaine et quelque contexte que ce soit. Elle a été élaborée par Kevin W.
Knight, AM, président du groupe de travail ISO.
L’ISO 31000 ne vient pas se rajouter aux référentiels existants, elle les complète,
dans le cadre d’une démarche de management intégré et rationnel. Cette norme
n’est d’ailleurs pas « Certifiable ». Il s’agit d’un outil complémentaire permettant de
développer le principe de l’approche risque et de l’intégrer dans les pratiques
managériales d’entreprises.

Le management des risques ne concerne pas uniquement les grands groupes, il

concerne aussi les TPE et PME. Pour ces dernières la prise en compte des risques
(financiers, sociaux, technologiques, commerciaux, etc.) Est plus que jamais
vital ces temps ultra- concurrentiels15.

La norme recommande aux organisations et entreprises d’élaborer et de mettre en

œuvre un cadre de management du risque, qui sera intégré à leur système de
management général et constamment amélioré.

La mise en œuvre d’ISO 31000 permet, par exemple, à une entreprise :

 D'augmenter la probabilité que les objectifs seront atteints

 D'encourager un management proactif
 De prendre conscience de la nécessité d'identifier et de traiter le risque à
travers toute l'entreprise
 D'améliorer l'identification des opportunités et des menaces
 De se conformer aux obligations légales et réglementaires, ainsi qu'aux
normes internationales
 D'améliorer les moyens de maîtrise
 D'allouer et d'utiliser efficacement les ressources pour le traitement du risque
 D'améliorer l'efficacité et l'efficience opérationnelles,
 De renforcer les performances en matière de santé et de sécurité, ainsi que
de protection environnementale
 D'améliorer la prévention des pertes et le management des incidents
 De minimiser les pertes

15
Source : site : http://qualiblog.fr
En parallèle, l'ISO publie le Guide ISO 73:2009, Management du risque –
Vocabulaire, qui complète ISO 31000 en fournissant un ensemble de termes et
définitions dans le domaine. Ils peuvent être appliqués par tout public, toute
entreprise publique ou privée, toute collectivité, toute association, tout groupe ou
individu. (Annexe 2)

Processus de gestion des risques voir Annexe N° 2

4. La cartographie des risques16 :

La cartographie des risques est une composante essentielle du processus de gestion

des risques. Il s’agit d’une démarche complexe, visant à relier chaque niveau
opérationnel et décisionnel, pour chaque entité et pour chaque processus clé :

- une série de risques identifiés,

- leurs causes,

- leurs impacts,

- les leviers d’actions possibles,

- les retours d’expérience sur les sinistres antérieurs.

Pour faire de la cartographie des risques un outil de pilotage, il est nécessaire

d’analyser chaque risque suivant les deux dimensions que sont le risque brut
(il permet d’analyser l’exposition absolue de l’entité au risque en l’absence de tout
élément de maitrise) et le risque net (il consiste quant à lui à analyser l’exposition
actuelle de l’entité, en tenant compte de l’ensemble des Éléments de maitrise
mis en place au regard de ce risque).

La cartographie des risques doit permettre de :

- Recenser les risques de la manière la plus exhaustive possible et les classifier,

16
Fonction achat-contrôle interne et gestion des risques- MAXIMA édition p.144 /145
- Identifier les risques critiques pour la mise en place de dispositifs de maitrise
adaptés,

- Décrire le plus précisément possible les risques majeurs auxquels

l’organisation est Confrontée,

- Intégrer l’analyse approfondie des processus et capitaliser l’expertise

opérationnelle,

- Adapter les actions de réduction des risques les plus efficaces,

- Initier une démarche de quantification des besoins de financement après actions

de réduction des risques,

- Accompagner chaque décideur (au niveau groupe, par métier, par

entité, par établissement) dans l’évaluation et la réduction de ses vulnérabilités
significatives et majeures.

Pour élaborer une cartographie, il faudra combiner entre deux approches :

· Identification Bottom-up : l'identification est effectuée de manière relativement

libre et ouverte par les personnes les plus proches de l'activité. Il s'agit donc
d'effectuer une remontée des risques du terrain vers les personnes en charge de
l'élaboration de la cartographie. Ce type d'identification se fait généralement par
l'intermédiaire d'interviews. Il est souvent souhaitable d'utiliser une grille déterminée
à l'avance pour S’assurer que tous les types de risques possibles ont bien été
évoqués au cours de l'interview.

· Identification Top-down : l'identification des risques est dans ce cas

effectuée de manière plus fermée c'est à dire au moyen d'un questionnaire de type
QCM par opposition à une identification ouverte par interviews. Le sujet ciblé peut
permettre ici l'élaboration de questionnaires relativement exhaustifs par les
personnes en charge de l'élaboration de la cartographie. Ce processus permet ainsi
de descendre chercher l'information au lieu que l'information monte vers les
personnes chargées de l'établissement de la cartographie.

Section 2 : Position du contrôle interne et de l’audit interne par rapport au

management des risques
Le passage du contrôle interne se faisait sentir sur plusieurs niveaux tout en
essayant de garder une aire discrète quant au changement, d’ailleurs ce passage
s’est fait sur deux niveaux le premier étant l’évolution du contrôle interne vers
l’approche contrôle interne par la gestion des risques (COSO 1), le deuxième étant la
migration de ce dernier vers le management des risques (COSO 2).

En effet cette métamorphose de la notion du contrôle interne a permis de suivre la

cadence des mutations des organisations tout en essayant de mettre en place des
systèmes de plus en plus aptes à contrer les défaillances qui ne cessent de surgir de
partout et de nulle part.

Ainsi soit-il, la proposition du nouveau référentiel n’était autre que la réponse aux
limites du premier référentiel qui d’ailleurs n’a pas pu faire face à la montée
spectaculaire des activités qu’a connu le XXIème siècle,

1. Articulation entre le management des risques et le contrôle interne 17 :

La gestion des risques des entités peut être considérée comme une évolution
naturelle du modèle de contrôle interne. La plupart des organisations tendront à
appliquer entièrement le Modèle de contrôle interne avant de mettre en œuvre les
concepts inhérents à la gestion des

Risques des entités, dont le contrôle interne fait intégralement partie.

Les dispositifs de gestion des risques et de contrôle interne participent

de manière complémentaire à la maîtrise des activités de la société :

- Le dispositif de gestion des risques vise à identifier et analyser les principaux

risques de la société. Les risques, dépassant les limites acceptables fixées par la
société, sont traités et le cas échéant, font l’objet de plans d’action. Ces derniers
peuvent prévoir la mise en place de contrôles, un transfert des conséquences
financières (mécanisme d’assurance ou équivalent) ou une adaptation de
l’organisation. Les contrôles à mettre en place relèvent du dispositif de contrôle
interne. Ainsi, ce dernier concourt au traitement des risques auxquels sont exposées
les activités de la société ;

17
Olivier Poupart-Lafarge Membre du Collège de l’AMF Les dispositifs de gestion des risques et de contrôle
interne, Cadre de référence, mis en ligne le 14 juin 2010
- De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de gestion des

Risques pour identifier les principaux risques à maîtriser ;

- En outre, le dispositif de gestion des risques doit lui-même intégrer des contrôles,
relevant du dispositif de contrôle interne, destinés à sécuriser son bon
fonctionnement.

Pour COSO 1, une gestion des risques efficace consiste à lutter contre les risques
les plus dangereux quant à la réalisation des objectifs de l’organisation. Ce dispositif
montre comment un système de contrôle interne peut jouer un rôle significatif dans la
réduction des risques grâce à la mise en place d'un cycle dynamique reliant les
personnes à tous les niveaux de l'institution pour les intégrer au processus de
gestion des risques. Il répertorie les principaux risques auxquels sont
confrontées les directions d’un organigramme

COSO 2 quant à lui stipule que le contrôle interne n’est autre qu’un élément parmi
d’autres nécessaires à la mise en place d’un système de management des risques.

Aux yeux de ce dernier il ne constitue qu’une liste exhaustive des éléments de

maîtrise existants et dont l’objectif du management des risques est de soit renforcer
l’existant via les réponses aux risques proposées par les parties du débat lors des
entretiens, soit d’alléger le système de contrôle en éliminant quelques éléments de
maîtrise jugés inutiles selon le rapport coût/bénéfice.

L'articulation et l'équilibre conjugué des deux dispositifs sont conditionnés par

l'environnement de contrôle, qui constitue leur fondement commun, notamment: la
culture du risque et du contrôle propres à la société, le style de management, et les
valeurs éthiques de la société.

2. Lien entre le management des risques et l’audit interne :

Actuellement, l’enjeu de l’auditeur interne consiste en la mise en œuvre des normes,
de méthodes et de recommandations précises et rigoureuses. Par contre, l’audit
interne et le management des risques ont un enjeu commun : la sécurisation du
processus de décision du manager pour qu’il atteigne ses objectifs stratégiques.
L’auditeur interne doit s’assurer qu’un management des risques existe dans
l’entreprise et ceci à tous les niveaux hiérarchiques et dans le cas contraire, il peut
participer à sa mise en place sans pour autant aller au-delà de l’évaluation qui est
son rôle.

Ainsi le premier niveau de préoccupation de l’audit interne doit être l’analyse des
risques liés aux processus en évaluant grâce à des audits la qualité et l’efficacité de
ces processus. Le dispositif d’évaluation des risques permet alors l’identification des
activités qui méritent d’être auditées parce qu’elles sont considérées comme
essentielles pour l’entreprise.

L’une des principales missions du Conseil (ou son équivalent), consiste à s’assurer
que les processus de gestion du risque fonctionnent correctement et que les
principaux risques sont maintenus à un niveau acceptable.

Il est probable que cette assurance proviendra de différentes sources. Parmi ces
sources, l’assurance provenant de la direction est fondamentale, mais doit être
complétée par une assurance objective, émanant principalement de l’audit interne.
Les autres sources sont l’audit externe et les examens par des experts
indépendants. L’audit interne apporte normalement des assurances dans trois
domaines :

 Les processus de gestion du risque, à la fois concernant leur

conception et leur fonctionnement.
 La gestion des risques classés dans la catégorie « majeurs », y compris
l’efficacité des contrôles et autres mesures de maîtrise des risques.
 La fiabilité et la qualité de l’évaluation et de la communication des risques et
de l’état Des contrôles.
Des travaux de recherche ont montré que les membres du conseil et les auditeurs
internes s’accordent à dire que les deux activités d’audit interne les plus porteuses
de valeur ajoutée pour les organisations sont les suivantes : apporter l’assurance
objective que les principaux risques sont bien gérés et apporter l’assurance que le
cadre de la gestion des risques et du contrôle interne fonctionne correctement.

Management des risques et audit interne, en précisant leurs rôle de manière exacte,
participeront ensemble à assurer et sécuriser l’entreprise face aux multiples risques.

Conclusion

Au terme de ce chapitre, je peux dire que lorsque le dispositif de management des

risques s’avère être efficacement géré pour chacune des quatre catégories
d’objectifs, le conseil d’administration et la direction de l’organisation peuvent
considérer qu’ils ont une assurance raisonnable de disposer d’une vision claire sur la
façon dont les objectifs stratégiques et opérationnels de l’entreprise sont en passe d’
être atteints, de la fiabilité du reporting et du respect des lois et règlements
applicables.

Si le dispositif de management des risques offre des avantages importants, il

comporte néanmoins certaines limites. Ces limites résultent :

- d’une erreur de jugement dans la prise de décision ;

- de la prise en compte du rapport coûts / bénéfices dans le choix du traitement des

risques, et de la mise en place des contrôles,

- de faiblesses potentielles dans le dispositif, susceptibles de survenir en

raison de défaillances humaines (erreurs),

- de contrôles susceptibles d’être déjoués par collusion entre deux ou plusieurs

individus,

- de la possibilité qu’a le management de passer outre les décisions prises en

matière de Gestion des risques.

Le management des risques n’est pas un processus séquentiel dans lequel un

élément affecte uniquement le suivant. C’est un processus multidirectionnel et itératif
par lequel n’importe quel élément à une influence immédiate et directe sur les autres.
CONCLUSION DE LA PREMIERE PARTIE

Après avoir achevé la première partie du rapport, qui ne relate que le côté
conceptuel , le premier chapitre a permis de présenter les éléments relatives au
management des risques à savoir le contrôle interne et l’audit interne, qui tout deux
permettent à l’organisation de faire face aux risques d’une manière plus efficace. Le
deuxième chapitre c’est focaliser sur le traitement du concept management des
risques en présentant les éléments clés qui y sont liés, en s’appuyant sur des
référentiels internationaux significatifs, notamment le référentiel COSO II, et en
mettant le point sur la relation qui existe entre le contrôle interne, l’audit interne et le
management des risques.

Il s’est avéré que L'audit interne doit évaluer les processus, de management des
risques et de contrôle, et contribuer à leur amélioration. La gestion des risques des
entités peut être considérée comme une évolution naturelle du modèle de contrôle
interne. La plupart des organisations tendront à appliquer entièrement le modèle de
contrôle interne avant de mettre en œuvre les concepts inhérents à la gestion des
risques des entités, dont le contrôle interne fait intégralement partie.

On peut déduire que le management des risques crée de la valeur (utile aux objectifs
de l’organisation), est intègre aux processus organisationnels (utile aux activités) et
aux processus de prise de décision (utile aux décisions). Il est l’affaire de tous les
acteurs de la société, et vise à être globale et doit couvrir l’ensemble des activités,
processus et actifs de la société. L’objectif de la mise en place d’une cartographie
des risques est d’identifier les zones de risques et mettre à la disposition des
opérationnels un référentiel de maîtrise des risques dont ils pourront vérifier le
respect et d’apporter périodiquement des aménagements pour le faire évoluer.

C’est dans cette vision que la deuxième partie sera consacrée à un cas pratique du
déploiement du système management des risques au sein de l’Office National
de l’Eau Potable (ONEP), spécifiquement au niveau du cycle stock de l’office.