2.2.2.2 La réalisation
Elle constitue en réalité l'essentiel de la
mission d'élaboration de la cartographie. L'identification des risques,
l'évaluation du dispositif de maîtrise et d'évaluation des
risques, la hiérarchisation et la matrice des risques en sont les
principales étapes. L'étape la plus déterminante reste
celle de l'identification car d'elle dépend le reste du travail.
2.2.2.2.1 L'identification des risques
L'identification des risques est une opération
délicate. Sa réussite dépend des méthodes et des
outils utilisés.
2.2.2.2.1.1 Les méthodes d'identification des
risques
Il n'existe pas de méthode infaillible d'identification
des incertitudes. L'humilité est la règle
et toute prétention à l'exhaustivité est
vaine ; mais l'expérience montre que des méthodes
existent et se classent en trois grandes catégories :
? Risques associés aux fonctions
? Risques associés aux processus
? Risques associés aux ressources (BARTHELEMY & al,
2004 :47).
Les risques les plus intéressants sont ceux qui ont un
impact sur une fonction ou une ressource
de l'entreprise.
Plusieurs techniques peuvent être utilisées pour
identifier les risques:
Saïdou Dominique YODA, 21ème Promotion
DESS Audit et Contrôle de Gestion, CESAG Page 47
Conception d'une cartographie des risques opérationnels
liés à la gestion des stocks : cas du magasin central de l'ASECNA
Dakar (Sénégal)
· l'identification basée sur les actifs
créateurs de valeurs : il s'agit ici de recenser au sein de l'entreprise
tous les risques qui affectent les actifs intangibles tels que : le savoir, les
relations, les logiciels, le système d'information
générale, l'image.
· l'identification basée sur l'atteinte des
objectifs : ce type de risque, s'il n'est pas identifié et mis sous
contrôle, porte inévitablement atteinte à la
réalisation des objectifs. Les entreprises qui ont des objectifs
stratégiques doivent s'en prémunir sous peine d'annihiler leurs
plans de développement à long terme. Mais l'identification de ce
risque connait des difficultés en raison du fait que beaucoup
d'entreprises n'ont pas d'objectifs.
· l'identification basée sur les check-lists : il
s'agit d'identifier les risques opérationnels à partir d'un
répertoire de risques préétabli. Ces risques sont ensuite
analysés pour être rattachés aux processus de
l'entité. Cette technique connaît des limites car cette liste
relève beaucoup plus du général.
· l'identification par analyse historique : Ce
procédé vise à faire l'inventaire des risques
opérationnels qui se sont matérialisés
antérieurement à l'établissement de la cartographie en
cours d'élaboration. Cette méthode n'est pas conseillée
car les risques identifiés peuvent ne pas être d'actualité.
En effet, ces risques peuvent avoir disparu soit par le fait qu'ils ont
été traités, soit par la cessation de l'activité
qui y a donné naissance.
· l'identification basée sur l'analyse de
l'environnement : toute entreprise évolue dans un environnement externe
et interne. La difficulté ici est que l'environnement externe
caractérisé, entre autres, par le secteur d'activités de
l'entreprise est en perpétuel changement. Ainsi, les risques qui en
découlent peuvent masquer ceux liés à l'environnement
interne de l'entreprise. L'identification des risques par cette technique n'est
pas réaliste.
· l'identification par analyse des activités :
l'identification des risques se fait à partir des activités de
l'entreprise. Cette méthode permet de faire un inventaire exhaustif des
risques car elle est basée sur :
? les processus en vigueur dans l'entreprise ;
Saïdou Dominique YODA, 21ème Promotion
DESS Audit et Contrôle de Gestion, CESAG Page 48
Conception d'une cartographie des risques opérationnels
liés à la gestion des stocks : cas du magasin central de l'ASECNA
Dakar (Sénégal)
? les meilleures pratiques d'identification des risques.
Selon MOREAU (2002 :136), « l'identification des risques
ne pouvant se faire ex nihilo, la définition du modèle
d'entreprise retenu comme cadre de référence s'impose donc comme
un pré-requis essentiel. La finalité première de la
cartographie va déterminer si l'on opte pour une identification par
processus, par objectifs, par « levier de création de valeur
», par catégorie de risque, par pays, etc ».
L'identification des risques par analyse des activités
est conseillée aux entreprises car elle est plus réaliste que les
précédentes techniques parce que basée sur les processus
de l'entreprise.
2.2.2.2.1.2 Les outils d'identification des
risques
La collecte des données relatives aux risques est une
opération décisive dans l'élaboration de la cartographie
des risques. Elle nécessite l'utilisation d'outils appropriés qui
sont :
? les outils d'interrogation : il s'agit ici d'identifier les
risques en utilisant les outils tels les sondages statistiques, les interviews,
les outils informatiques, les vérifications, les analyses et les
rapprochements divers;
? les outils de description : ici les risques sont
identifiés à l'aide de l'observation physique, la narration,
l'organigramme fonctionnel, la grille d'analyse des tâches, la piste
d'audit, le diagramme de circulation ou flow-shart (RENARD, 2009 :331-368).
Mais chaque outil utilisé doit toujours correspondre
à l'objectif poursuivi qui peut être soit le contrôle, soit
l'élaboration de la cartographie des risques.
A titre illustratif, nous présentons un exemple de
tableau des risques liés à la réception des
marchandises:
Conception d'une cartographie des risques opérationnels
liés à la gestion des stocks : cas du magasin central
de
l'ASECNA Dakar (Sénégal)
Tableau 3: Tableau des risques liés à la
réception des marchandises
|
Tâches
|
Objectifs
|
Risques
|
Evaluation
|
Dispositif de contrôle
interne
|
Constat
|
|
Réception des
|
·
|
Sécurité de la
|
·
|
Pertes
|
M
|
·
|
normes de livraison
|
Non
|
|
marchandises
|
|
réception
|
·
|
Avaries
|
F
|
|
et d'entreposage
|
|
|
|
|
·
|
Non-conformité
|
I
|
·
|
procédure de
|
Oui
|
|
·
|
Conformité en
qualité et quantité
|
·
|
Contentieux
|
M
|
·
|
vérification
Inspection technique
|
Oui
|
|
·
|
Faire des réserves en temps voulu
|
·
|
Prescription=perte des droits
|
M
|
·
|
Procédure de réserve
|
Non
|
Source : Renard (2009 :239)
I= Important, F=Faible, M=Moyen
2.2.2.2.2 L'évaluation du dispositif de
maîtrise des risques
Le contrôle interne est un ensemble de dispositifs mis
en oeuvre par les responsables de tous niveaux pour maîtriser le
fonctionnement de leurs activités (RENARD, 2009 :135).
L'évaluation des dispositifs de maîtrise des risques permet de
savoir le niveau de maîtrise des risques identifiés.
Pour chaque événement de risque, les dispositifs
de maîtrise existants sont évalués globalement sur une
échelle à 4 niveaux :
Fort : 75% à 99%
Moyen fort : 50% à 75% Moyen faible : 25% à 50%
Faible : 0% à 25% (JIMENEZ & al, 2008 :238).
Les dispositifs de maîtrise des risques comportent deux
volets : les dispositifs de prévention, les dispositifs de
protection.
- les dispositifs de maîtrise des risques de
prévention : ils sont destinés à réduire la
fréquence d'occurrence du risque; leur objectif est d'éviter la
survenance de l'événement.
Saïdou Dominique YODA, 21ème Promotion
DESS Audit et Contrôle de Gestion, CESAG Page 49
Conception d'une cartographie des risques opérationnels
liés à la gestion des stocks : cas du magasin central
de
l'ASECNA Dakar (Sénégal)
A titre d'exemple, le tableau 4 ci-dessous constitue un
dispositif de maîtrise des risques de prévention de risques.
Tableau 4: DMR de prévention de risques
d'incendie, inondation
|
DMR de prévention
|
Description
|
Contrôles
|
|
Application des lois et règlements en
vigueur dans les établissements
|
Interdiction de fumer
|
Dispositif permanent
|
|
Maintenance des équipements
|
Contrôle de la température des salles
informatiques, vérification des
systèmes
électriques, suivi et remplacement du
matériel
|
Maintenance mensuelle électrique
|
|
Sensibilisation du personnel des Moyens
généraux, de la sécurité, les garages...
|
Information/formation sur la sécurité incendie
|
Formation unique à l'embauche pour les CDI et CDD
|
Source : JIMENEZ & al (2007 :245)
- les dispositifs de maîtrise de protection : ils sont
destinés à réduire les impacts des risques, en d'autres
termes, leur objectif est de contenir les conséquences de
l'événement.
A titre illustratif, le tableau 5 ci-après
représente un dispositif de maîtrise des risques de protection.
Tableau 5: DMR de protection des risques d'incendies et
inondation
|
DMR de protection
|
Description
|
Contrôles
|
|
|
|
|
Respect des normes de sécurité en vigueur
|
Exercices d'évacuation des locaux Présence
d'extincteurs
Equipement des locaux (portes, coupe-feu, alarmes,
détecteurs de fumée...)
|
Audit annuel
locaux
|
de
|
sécurité
|
des
|
Sources : JIMENEZ & al (2007 : 247)
Mais malgré le dispositif de prévention et de
protection, le risque peut se produire, d'où la nécessité
de le couvrir par une police d'assurance.
Saïdou Dominique YODA, 21ème Promotion
DESS Audit et Contrôle de Gestion, CESAG Page 50
Saïdou Dominique YODA, 21ème Promotion
DESS Audit et Contrôle de Gestion, CESAG Page 51
Conception d'une cartographie des risques opérationnels
liés à la gestion des stocks : cas du magasin central de l'ASECNA
Dakar (Sénégal)
2.2.2.2.3 L'évaluation des risques
Le processus d'évaluation des risques d'une entreprise
doit permettre d'identifier et de prendre en compte les conséquences des
risques significatifs, tant au niveau de l'entité que des
activités de celle-ci (COOPERS & al, 1998 :157). En d'autres termes,
en raison des difficultés éprouvées pour les
évaluer, les risques peuvent être décrits comme
étant « élevés », « moyens », ou
« faibles ».
Un risque se caractérise par deux grandeurs :
? Sa probabilité d'occurrence, ou fréquence f ;
? Ses effets, ou gravité G.
Et se mesure par le produit de ces deux grandeurs, sa
criticité C :
C= f x G (BARTHELEMY & al, 2004:11).
Mais de plus en plus, d'autres dimensions du risque sont
prises en compte dans l'évaluation du risque ; il s'agit :
? du timing du risque ou le moment de survenance du risque :
en effet le timing du risque peut changer l'impact du risque en l'aggravant. A
titre d'exemple, prenons le cas d'une panne, en fin d'année, de la
machine de production d'une usine de fabrication de jouets pour enfants. Cela a
pour conséquence une diminution considérable du chiffre d'affaire
de cette unité de fabrique de jouets.
? De la durée des conséquences: plus le risque
survenu dure, plus les conséquences sont lourdes pour l'entreprise.
D'une manière générale, la quantification
du risque est souvent subjective car elle est basée sur des perceptions
subjectives. CURABA & al (2007 :101) illustre la subjectivité de la
quantification du risque par cet exemple « posez-vous la question suivante
: quel est le risque le plus important ?
(1) Une machine dangereuse (sans sécurité)
utilisée une fois par an,
(2) Un escalier glissant utilisé tous les jours (avec une
main courante),
Le choix dépendra de la sensibilité de la
personne qui répond. Soit sa sensibilité est basée sur la
gravité, soit sur la fréquence ».
Conception d'une cartographie des risques opérationnels
liés à la gestion des stocks : cas du magasin central
de
l'ASECNA Dakar (Sénégal)
La probabilité et la gravité du risque se
mesurent par des échelles. Ces dernières qui comportent la note
et la sémantique du risque peuvent varier de trois à cinq
niveaux. Nous proposons, à titre illustratif, deux échelles de
probabilité et de gravité à 5 niveaux :
Tableau 6: Echelle de probabilité à 5
niveaux
|
Note
|
Sémantique
|
Probabilité
|
|
1
|
Risque très faible
|
Un tel événement a une probabilité de 1
sur 1 000 000 (d'après des expériences similaires ou
d'après les calculs, simulations ou essais) d'arriver dans la vie de la
société.
|
|
3
|
Risque faible
|
Evénement qui n'interviendra qu'en cas d'utilisation
très abusive ou d'erreur d'application des procédures.
|
|
5
|
Risque moyen
|
Quelques cas signalés par le passé.
|
|
7
|
Risque élevé
|
Cas signalés à plusieurs reprises et non
maîtrisés par le passé.
|
|
10
|
Risque très élevé
|
1 chance sur 2 de se produire dans la vie de la
société.
|
Source : CURABA & al (2007 :106)
Tableau 7: Echelle de gravité à 5
niveaux
|
Note
|
Sémantique
|
Gravité
|
|
1
|
Gênant
|
La situation de risque conduit à une gène ou un
inconfort
|
|
3
|
Bénin
|
La situation de risque peut conduire à un accident
bénin donnant lieu à un soin
|
|
5
|
Sérieux
|
La situation de risque peut conduire à un accident sans
arrêt de travail
|
|
8
|
Grave
|
La situation de risque peut conduire à un accident avec
arrêt de travail ou une maladie professionnelle. La victime peut ensuite
reprendre son activité avec éventuellement quelques restrictions
de poste
|
|
10
|
Très grave
|
La situation de risque peut conduire à un accident ou
une maladie professionnelle mortelle ou entraînant un handicap
irréversible.
|
Source : CURABA & al (2007 :102)
| 
