gestion des risque
Plan Introduction Partie 1 : cadre théorique Chapitre I : La notion du risque Section 1 : Définition et dimension du risque 1 -definition 2-dimension du risque Section 2 : La classification des risques 1 -la classification du risque selon sa nature 2-la classification du risque selon son niveau Chapitre I S risque c or21 ion Sni* to on du risque et l’évaluation du 2-l’evaluation du risque Section 2 : le plan d’audit, le niveau de maitrise de risque et la responsabilité de l’auditeur 1 -Plan d’audit et le niveau de maitrise du 2-1a responsabilité de Pauditeur interne partiez : partie pratique (Cas de l’ASAMlR) Conclusion. entreprise sont des sources de risques. Ces risques affectent tout ou partie des ressources humaines, matérielles ou financières de l’entreprise. Ils naissent du caractère aléatoire des facteurs internes et externes qui régissent la vie de l’entreprise. La gestion des risques de l’entreprise se définit donc comme une démarche transversale reposant sur la recherche systématique de la variance de ces facteurs.
Ainsi naît une méthode stochastique de management, qui refuse de ne considérer que la valeur moyenne des facteurs de prise de décision, mais essaye d’envisager les variations possibles de ces facteurs, en termes ‘intensité et de probabilité. La gestion des risques est une démarche d’analyse de ces facteurs, puls de leur synthèse permettant d’éclairer le décideur sur les conséquences de ses décisions. La mise en œuvre de moyens de réduction des fluctuations ou de leurs conséquences permet ensuite de réduire la fourchette d’incertitude sur le résultat final.
Partie 1 : cadre théorique PAGF 91 leur sembler d’autant plus difficile qu’ils sont déjà aux prises avec de nombreuses préoccupations quotidiennes, souvent exacerbées par la mise en marché de nouveaux produits, une réorganisation ou l’implantation d’un nouveau système nformatique par exemple, ou encore par les demandes accrues du comité de vérification ou des autorités réglementaires en matière de conformité.
Le risque est un concept que les auditeurs et les managers emploient pour exprimer leurs inquiétudes concernant les effets probables d’un environnement incertain. Puisque le futur ne peut pas être prévu avec certitude, les auditeurs et les managers doivent considérer une gamme des évènements possibles qui pourraient avoir lieu. Chacun de ces évènements pourrait avoir un effet matériel (une conséquence significative) sur l’entreprise et ses buts. Les effets négatifs s’appellent les «risques«, et les effets positifs s’appellent les opportunités. ) Dimension de risque Un risque négatif, ou risque pur, est la menace que, suite à action ou à inaction, un événement dont l’occurrence est incertaine dégrade une ou plusieurs des ressources de l’entreprise, affectant sa capacité à atteindre ses objectifs. Sil s’agit d’objectifs stratégiques, il se peut que la pérennité de l’entreprise soit mise en cause. Un risque positif est l’opportunité que, lors d’une action, un événement dont l’occurrence est incertaine améliore la capacité ‘une ou plusieurs ressources, ouvrant de nouvelles perspectives à l’entreprise Une constante entre ses deux définitions.
Pour parler de risque, positif ou négatif, il faut que l’occurrence soit incertaine, qu’elle reste du domaine de la probabilité. Une différence notoire. Un 3 1 l’occurrence soit incertaine, qu’elle reste du domaine de la probabilité. Une différence notoire. Un risque négatif peut être lié à l’action, ce qui correspondrait à prendre un risque, mais aussi résulter de l’inaction, ce qui correspondrait à subir un risque. En revanche, un risque positif ne peut survenir que dans l’action Les risques positifs sont aussi qualifiés de spéculatifs.
Ce qui tend parfois à les restreindre au domaine du financier, par référence au phénomène économique de la spéculation, boursière par exemple. Cette vision nous semble trop restrictive. Quitte à utiliser cette qualification, nous devons rappeler le sens étymologique du verbe spéculer, raisonner et envisager. Nous lui préférons le vocable de risque volontaire qui vient appuyer le principe posé ci-dessus, à savoir que le risque positif est un risque que l’on prend, ce qui suppose l’action, dans l’espoir d’un gain.
Dans tout ce qui suit, pour simplifier notre discours et respecter l’acception courante, nous accepterons la connotation négative du risque et parlerons d’opportunité pour décrire un risque positif. Notre opinion est que l’opportunité est souvent le fruit d’une transformation de la menace, ce qui suppose la mise en œuvre d’un processus, le processus de gestion des risques. Certains, sous prétexte que le hasard interfère dans les deux notions, lui opposent le mot chance, ce qui pour le coup tient de l’abus de langage. Liantonyme de « chance » est « déveine » et non « risque b.
Prendre des risques ou saisir des opportunités sont des actes responsables qui ont toute leur place dans l’entreprise. En revanche, compter sur la chance ou pester contre la déveine est, dans l’univers de 1 En revanche, compter sur la chance ou pester contre la déveine est, dans l’univers de l’entreprise, une attitude irresponsable. Très souvent et comme le soulignent nos exemples, une même action peut être à l’origine d’une menace ou d’une opportunité. Le lancement d’un nouveau produit peut être l’occasion d’une amélioration de l’image comme celle d’une dégradation, selon le uccès rencontré par ledit produit sur son marché.
L’opportunité d’une amélioration de la performance industrielle, via un changement dans l’organisation du travail, peut comporter le risque (la menace) d’une insatisfaction des salariés pouvant peut- être dégénérer en conflit social. À partir de ce constat, il reste à établir la gestion des risques comme un outil d’accompagnement de toute action ou de tout projet permettant de mesurer la probabilité comparée des diverses possibilités, risques ou opportunités, mesures qui sont ensuite autant d’aides à la décision. 2) Gestion de risque
Toute activité économique entraine des risques, que les dirigeants doivent gérer et avant tout évaluer. Pour cela, il faut les identifier puis les minimiser, assumer financièrement la charge de ceux qu’ils jugeront acceptables (en fonction de la taille et des capacités financlères de l’entreprise), tralter par des tiers selon des processus d’externalisation (ex. assurance-crédit) les risques liés à certaines activités, et enfin transférer certains risques auprès de professionnels de l’assurance qui assureront une garantie financière.
L’identification des risques passe aujourd’hui par la ompréhension du cycle de gestion, qui intègre les partenaires amont et aval (clients et fournisseurs), mais aussi, dans un environnem PAGF s 1 intègre les partenaires amont et aval (clients et fournisseurs), mais aussi, dans un environnement en interaction complexe avec l’entreprise, les autres parties prenantes (banques, société civile). Dans cette optique, l’évaluation des risques passe également par une analyse du cycle de vie des produits.
Cette démarche d’analyse et d’identification systématique est assez traditionnelle dans le monde industriel : maritime, aviation, ucléaire, pétrolier, industrie chimique… mais cela n’élimine pas totalement le risque (voir l’explosion de l’usine AZF à Toulouse). Elle se développe également dans le domaine de la santé, et plus précisément dans les établissements de santé, publics ou privés, où la gestion des risques et des vigilances sanitaires est devenue indlssociable de la démarche qualité.
En revanche, l’analyse de risque est beaucoup plus récente dans le domaine de la gestion et de l’économie, qui en était relativement écarté du fait de l’absence (apparente) de risques directs sur la vie humaine. Section 2 : la classification des risques Il existe plusieurs types ou familles de risques qui diffèrent les uns des autres par leur nature, leur origine, leurs caractéristiques et leurs conséquences, ainsi que leurs phases de réalisation de projet. ) Classification des risques par nature Il existe quatre types de risques selon la nature • Le risque inhérent : c’est le risque qu’une erreur significative se produise compte tenu des particularités de l’entreprise révisee, de ses activités, de son environnement, de la nature des comptes et de ses opérations. Le risque inhérent d’une entreprise orrespond dans son ensemble à la probabilité selon laquelle ses résultats se PAGF 1 inhérent d’une entreprise correspond dans son ensemble ? la probabilité selon laquelle ses résultats se développent de manière imprévisible.
Cest le risque lié au secteur d’activité de l’entreprlse ; ce risque ne dépend pas du disposltif de contrôle mis en place par l’entreprise. Le risque de non contrôle : c’est le risque que le système de contrôle interne de l’entreprise ne prévienne pas ou ne détecte pas de telles erreurs. Cest le risque lié aux insuffisances du ispositif de contrôle mis en place au sein d’une entreprise. Le risque de non détection : Cest le risque résiduel après le passage de l’audit interne.
Ce risque est du soit à une mauvaise interprétation des conclusions d’une mission d’audit, soit à une insuffisance d’investigatlon lors des travaux d’audit. Le risque résiduel : C’est le risque qui subsiste après l’application des politiques de maitrise des risques. Risque opérationnel : indépendant de système de contrôle interne mis en place, c’est un risque qui provient de la nature des activités, il menace en permanence la capacité de l’entreprise ? tteindre ses objectifs.
Risque d’audit : le risque d’audit apparait si l’audit interne comporte des faiblesses dues au non contrôle et si les missions d’audit ne sont pas bien menées à travers les domaines à risque élevés. Risque de contrôle : il y a contrôle risk quand il existe des politiques ou des procédures défaillants entrainant des risques importants lié au contrôle. Dans ces conditions, le contrôle interne présente des faiblesses assez importantes et la couverture du risque est imparfaite. 2) Classification selon le niveau Selon le niveau du risque, on distingue trois types de risques .
PAGF 7 1 Classification selon le niveau Selon le niveau du risque, on distingue trois types de risques : Le risque potentiel : C’est un risque commun à toutes entreprises qui est susceptible de se produire si aucun contrôle n’est exercé pour l’empêcher ou le détecter et corriger les erreurs qui pourraient en résulter. Ce risque est identifié à partir des guides professionnels et de l’expérience de l’auditeur. Le risque matériel : C’est un risque qui s’est déjà matérialisé dans l’entreprise et son impact doit être évalué afin de définir une politique efficace pour sa maîtrise.
Le risque possible : Cest le risque potentiel contre lequel une entreprise donnée ne s’est pas dotée de moyens pour le limiter ou le détecter et le corriger. Ce risque est identifié à toutes les étapes de la mission par les diligences mises en œuvre par l’auditeur. 3) Classification des risques par phases de projet Tout projet de réalisation d’un système est soumis à des aléas susceptibles ayant un impact négatif sur le succès global du projet, des résultats spécifiques, ou des événements pouvant créer des dommages imprévisibles. Ce sont les « risques projet » qui sont :
Risques des moyens : budget serré… Risques des ressources humaines : Compétences de l’équipe, Absence de motivation de l’équipe. Risques de la démarche : Perfectionnisme, Modifications pendant le développement du projet. Risques de la planification : Ressources humaines incapables, Budgets insuffisants, Délais sous-estimés. Risques du management : Le suivi est insuffisant et ne permet pas de détecter des dérives. Chapitre Il : Le processus de gestlon du risque Section 1 : l’identification et l’évaluation 91 processus de gestion du risque Section 1 : Pidentification et Pévaluation du risque
Chaque activité économique est porteuse de risques qui peuvent menacer L’entreprise, son fonctionnement, sa rentabilité et/ou son développement. Devant cette présence continue de risques, les gestionnaires des entreprises doivent identifier les risques encourus par leurs entreprises, évaluer leurs conséquences ainsi que leurs gravités, et mettre en œuvre des actions visant ? les maitriser et à réduire leurs impacts économique, humain et physique. Ces trois étapes s’inscrivent dans ce qu’on appelle le processus de gestion des risques. ) Identification des risques : La phase la plus importante dans la gestion des risques est l’identification des risques qui a pour but de chercher les risques ? traiter, en effet un risque non Identifié ne pourra jamais être géré ou/et maîtrisé. Lors de cette étape, les gestionnaires doivent disposer d’une bonne connaissance de l’entreprise, son fonctionnement et son environnement pour porter l’attention sur les causes, les objets de risque, ainsi que sur ses ressources.
Identifier des risques, c’est donc répondre à ces quatre types d’interrogations en s’appuyant, en particulier, sur des questionnaires généraux, divers documents comptables, echniques, juridiques, la visite des sites, le retour d’expérience d’autres chefs de projet et l’avis d’experts. Quels sont nos objectifs vitaux? Les objectifs vitaux ou fondamentaux sont les activités qui justifient l’existence même de Pentreprise – Is peuvent être un produit dans une gamme, un client particulier, la possession d’un certain savoir-faire, le maintien sur un marché particulier… a possession d’un certain savoir-faire, le maintien sur un marché particulier… -Ils peuvent être aussi, un ensemble de considérations éthiques ou sociales. Quelles sont les ressources qui nous permettent aujourd’hui ‘atteindre ces objectifs? Par ressources on entend, bien sûr, les matériels, équipements, systèmes d’informations, mais aussi les hommes et leur compétence, les moyens financiers, ainsi que l’organisation de l’entreprise. En effet, une entreprise est une combinaison dynamique de: Ressources humaines, -Ressources financières, -Ressources techniques.
L’ensemble de ces ressources doit être réuni et surtout disponible pour définir correctement les objectifs de l’organisation. Quelles seraient les conséquences de l’indisponibilité de chacune de ces ressources? Les risques à traiter, en priorité, sont ceux qui affectent es ressources névralgiques critiques (gravité élevée) dont l’indisponibilité est temporaire ou définitive, partielle ou totale car elles affectent gravement les objectifs de l’entreprise.
Généralement, on réalise l’analyse sur l’ensemble des ressources, afin de prendre le maximum d’informations et d’essayer d’identifier les gravités élevées. Quelles sont les sources de risques pouvant affecter nos ressources perceptibles? Une ressource critique est à la fois perceptible anévralgique» et sensible «vulnérable» identifier une ressource perceptible repose surtout sur la con ntreprise. Une ressource