Guide Pratique De Conception Et D'élaboration De La Cartographie Des Risques À Travers Le Référentiel Coso

nces :

1 Danger ou élément dangereux Et Gazelle Evènement contact Evènement amorce 2 Savane 4 Affamer La manger 5 Accident Et 3 Situation dangereus e Cible Conséquences

6

Léopard

Les évènements 2 et 4 sont respectivement les causes génériques de la situation dangereuse pour la cible et de l’accident dans une configuration de système et ce qui est en gris représente un exemple explicatif.

2- Classes de risque La hiérarchisation des risques est définie directement à partir de la gravité de l’évènement redouté. On considère généralement cinq classes génériques :  Risque catastrophique : qui correspond à des conséquences telles que : Perte de vie humaine, invalidité, blessures très graves ; Destruction totale d’infrastructures ou de biens, dommages irréversibles sur l’environnement.  Risque critique (ou grave) : qui correspond à des conséquences telles que : Blessures graves non permanentes ; Destruction partielle d’infrastructures ou de biens ; Dommages importants sur l’environnement.

-

-

-

-

 Risque significatif (ou majeur) : qui correspond à des conséquences telles que : Blessures légères ; Arrêt de l’activité sans destruction ou indisponibilité importante.  Risque peu significatif (ou modéré) : qui correspond à des conséquences telles que : Diminution acceptable de la disponibilité ou de la qualité de service ; Contraintes opérationnelles acceptables.  Risque non significatif (ou mineur) : très faible impact ne remettant pas en cause les objectifs.

3- Typologie des risques  Risque inhérent : est celui auquel une entité est exposée en l’absence des mesures correctives prises par le management pour en modifier la probabilité d’occurrence ou d’impact.  Risque résiduel : est celui auquel l’entité reste exposée après la prise en compte des solutions mises en œuvre par le management.  Risque endogène : est le risque d’origine interne à l’organisation.  Risque exogène : est le risque d’origine externe à l’organisation provenant de son environnement et qui est hors de son contrôle.  Risque financier.  Risque non financier. 4- Appétence pour le risque C’est le niveau de risque global auquel l’entreprise accepte de faire face. Elle est déterminée par la Direction Générale sous la supervision du conseil d’administration. Elle constitue un repère lors de la définition de la stratégie. L’appétence pour le risque peut être mesurée d’une façon : Qualitative, en fonction des critères tels que : élevé, moyen ou faible ; Quantitative, consistant à analyser les risques au regard des contraintes de croissance et de rendement.

L’appétence pour le risque peut être exprimée dans la cartographie des risques de la manière suivante :

Elevé

Fréquence

Supérieur à l’appétence pour le risque

Moyen

Faible

S’inscrit dans les limites de l’appétence pour le risque

Courbe d’appétence pour le risque

Faible

Moyen Gravité

Elevé

Lors de l’examen de l’appétence pour le risque, le management peut se poser des questions telles que : Quels risque la société est-elle prête à accepter ? exemple, l’organisation est-elle préparée à accepter des pertes mineures de stocks dues à des vols et non des pertes liées aux catastrophes naturelles etc. La société est-elle d’accord avec le niveau de risque accepté ou devant être accepté pour chacune des activités ? Dans quelles mesures la société est-elle prête à investir à s’investir dans de nouveaux projets dont les perspectives de réussite sont plus faibles mais dont les rendements potentiels sont plus élevés ? Etc. 5- Tolérance au risque Elle se rapporte aux objectifs de l’entreprise et se définit comme le niveau de variation (fourchette de variation), que l’entreprise accepte quant à l’atteinte d’un objectif spécifique. Ainsi, la tolérance donne idée sur l’appétence pour le risque. Par exemple : pour un objectif de livraison dans les délais est de 98%, l’entreprise peut accepter une tolérance de 97% à 100%. Le respect de la tolérance au risque donne au management une plus grande certitude que l’entreprise restera dans les limites de son appétence pour le risque, ce qui offre une assurance quant à l’atteinte des objectifs.

II- Processus de gestion des risques selon le modèle COSO COSO : The Committee of Sponsoring Organizations. Les publications sont de COSO sont principalement: COSO Report I : le contrôle interne-cadre de référence ; COSO Report II : Entreprise Risk Management (le management des risques d’entreprise-cadre de référence). 1- Définition du Risk Management Le management de risqué est un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l’ensemble de collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de toutes les activités de l’organisation. Il est conçu pour identifier les évènements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation. 2- Le dispositif du management des risques  Est un processus permanent qui irrigue toute l’organisation ;  Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de l’organisation ;  Est pris en compte dans l’élaboration de la stratégie ;  Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et permet d’obtenir une vision globale de son exposition aux risques ;  Est destiné à identifier les évènements potentiels susceptibles d’affecter l’organisation et à gérer les risques dans le cadre de l’appétence pour le risque ;  Donne à la direction et au conseil d’administration une assurance raisonnable quant à la réalisation des objectifs de l’organisation ;  Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories indépendantes mais susceptibles de se recouper.

3- Evaluation des risques-cadre de référence L’évaluation des risques consiste à déterminer dans quelle mesure des évènements potentiels sont susceptibles d’avoir un impact sur la réalisation des objectifs. Les impacts d’un évènement, qu’ils soient positifs ou négatifs, doivent être analysés individuellement ou par catégorie, à l’échelle de l’organisation, il convient d’évaluer à la fois les risques inhérents et les risques résiduels. L’incertitude relative aux évènements potentiels porte sur leur probabilité d’occurrence et leur impact. La probabilité représente la possibilité qu’un évènement donné survienne, tandis que l’impact en représente les conséquences. Ces éléments sont souvent estimés à partir des données historiques, qui constituent une base objective que de simples estimations. La méthodologie d’évaluation des risques d’une entreprise s’appuie sur un ensemble de techniques qualitatives et quantitatives. Les techniques d’évaluation qualitatives : sont souvent utilisées lorsque les risques ne se prêtent pas à une quantification ou qu’il n’y a pas suffisamment de données fiables pour effectuer une évaluation quantitative ou encore lorsqu’il n’est pas possible d’obtenir ou analyser ces données moyennant un coût raisonnable. Les techniques d’évaluation quantitatives : sont habituellement plus précises et sont utilisées dans des activités plus complexes et sophistiquées afin d’apporter un complément aux techniques qualitatives.

-

Un processus d’auto-évaluation des risques permet d’obtenir le point de vue des participants sur la probabilité d’occurrence et l’impact d’évènements futurs, à l’aide d’échelles numériques ou descriptives. 4- Traitement des risques Une fois les risques évalués, le management détermine quels traitements appliquer à chacun de ces risques. Les différentes solutions possibles sont : Evitement : cesser les activités à l’origine du risque ; La réduction : prendre des mesures afin de réduire la probabilité d’occurrence ou l’impact du risque ou les deux à la fois. Il s’agit

-

-

habituellement d’une multitude de décisions prises quotidiennement ; Le partage : diminuer la probabilité ou l’impact d’un risque en transférant ou en partageant le risque (exemple : les techniques de couverture, externalisation d’une activité, etc.) ; L’acceptation : ne prendre aucune mesure pour modifier la probabilité d’occurrence du risque et son impact.

III- La cartographie des risques 1- Définition et concepts de base de la cartographie des risques La cartographie des risques est une représentation graphique de la probabilité d’occurrence et de l’impact d’un ou plusieurs

...