Le risque est un concept que les auditeurs et les managers
emploient pour exprimer leurs inquiétudes concernant les effets
probables d'un environnement incertain.
Puisque le futur ne peut pas être prévu avec
certitude, les auditeurs et les managers doivent considérer une gamme
des évènements possibles qui pourraient avoir lieu. Chacun de ces
évènements pourrait avoir un effet matériel (une
conséquence significative) sur l'entreprise et ses buts. Les effets
négatifs s'appellent les «risques«, et les effets positifs
s'appellent les «opportunités«.
Nous allons dans cette partie donner la définition du
risque et relever les différents types de risques.
1.1. Définition du risque
Il existe plusieurs définitions du risque, nous allons
citer quelques unes afin de pouvoir faire une analyse des différentes
définitions.
Le risque peut être défini comme « la menace
qu'un évènement, une action ou une inaction
affecte la
capacité de l'entreprise à atteindre ses objectifs
stratégiques et compromettre la
création de la valeur »4.Cette
définition ne fait apparaître que la menace qu'à une
entreprise à ne pas atteindre ses objectifs et ne mentionne pas la
notion de chance (probabilité) de réalisation ou de non
réalisation de cette menace.
L'IFACI définit le risque comme « un ensemble
d'aléas susceptible d'avoir des conséquences négatives sur
une entité et dont le contrôle interne et l'audit ont notamment
pour mission d'assurer autant que peut se faire la maîtrise
»5.
Complétons cette définition par celle de
Dominique VINCENTI « Le risque est la menace qu'un évènement
ou une action ait un impact défavorable sur la capacité de
l'entreprise à réaliser ses objectifs avec succès
»6.
Nous pouvons définir le risque comme étant la
probabilité qu'un évènement défavorable, un danger
ou un dommage a de survenir, et son impact potentiel.
1.2. Typologie de risques
Nous distinguons plusieurs types de risques qui sont
généralement classés selon l'origine, l'activité,
la nature et le niveau.
1.2.1. Classification selon l'origine
Les risques selon leur origine peuvent être
regroupés en deux catégories :
4 Reprise de la définition conçue et
admise au sein du cabinet Ernst & Young
5 « La pratique du contrôle interne »,
Coopers-Lybrand / IFACI, Editions d'organisation.
6 Dominique VINCENTI « Dresser une cartographie
des risques », in Revue Audit, N°144
> Le risque interne : c'est le risque résultant de
l'organisation et du fonctionnement de l'entreprise ; ses facteurs sont en
grande partie maîtrisables.
> Le risque externe : c'est le risque indépendant de
l'organisation et du fonctionnement de l'entreprise et ses facteurs sont
difficilement maîtrisables.
1.2.2. Classification selon
l'activité
Selon l'activité, on distingue le risque
économique et financier, le risque social, le risque environnemental, le
risque opérationnel.
> Le risque économique et financier : il englobe
les risques qui menacent les flux liés au titre financier et
relèvent du monde économique ou réel (risques politiques,
naturels, d'inflation et d'escroquerie...).
> Le risque social : c'est l'ensemble des facteurs
internes ou externes à l'entreprise d'origine humaine, sociale,
économique, législative, politique, liés à la
communication de l'entreprise ou des médias susceptibles d'affecter
temporairement, durablement, voire définitivement le fonctionnement de
l'entreprise concernée.
> Le risque environnemental : c'est l'ensemble des facteurs
internes et externes liés à l'environnement dans lequel
fonctionne l'entreprise et susceptibles d'empêcher l'atteinte de ses
objectifs.
> Le risque opérationnel : c'est le risque de pertes
qui provient des erreurs du personnel au sens large, des systèmes ou
processus, ou des évènements externes.
1.2.3. Classification selon la nature
Il existe quatre types de risques selon la nature :
> Le risque inhérent : Pour OBERT (1995), c'est le
risque qu'une erreur significative se produise compte tenu des
particularités de l'entreprise révisée, de ses
activités, de son environnement, de la nature des comptes et de ses
opérations. Le risque inhérent d'une entreprise correspond dans
son ensemble à la probabilité selon laquelle ses résultats
se développent de manière imprévisible. C'est le risque
lié au secteur d'activité de l'entreprise ; ce risque ne
dépend pas du dispositif de contrôle mis en place par
l'entreprise.
> Le risque de non contrôle : Pour OBERT (1995),
c'est le risque que le système de contrôle interne de l'entreprise
ne prévienne pas ou ne détecte pas de telles erreurs. C'est le
risque lié aux insuffisances du dispositif de contrôle mis en
place au sein d'une entreprise.
> Le risque de non détection : C'est le risque
résiduel après le passage de l'audit interne. Ce risque est du
soit à une mauvaise interprétation des conclusions d'une mission
d'audit, soit à une insuffisance d'investigation lors des travaux
d'audit.
> Le risque résiduel : C'est le risque qui subsiste
après l'application des politiques de maîtrise des risques.
1.2.4. Classification selon le niveau
Selon le niveau du risque, on distingue trois types de risques
:
> Le risque potentiel : C'est un risque commun à
toutes entreprises qui est susceptible de se produire si aucun contrôle
n'est exercé pour l'empêcher ou le détecter et corriger les
erreurs qui pourraient en résulter. Ce risque est identifié
à partir des guides professionnels et de l'expérience de
l'auditeur.
> Le risque matériel : C'est un risque qui s'est
déjà matérialisé dans l'entreprise et son impact
doit être évalué afin de définir une politique
efficace pour sa maîtrise.
> Le risque possible : C'est le risque potentiel contre
lequel une entreprise donnée ne s'est pas dotée de moyens pour le
limiter ou le détecter et le corriger. Ce risque est identifié
à toutes les étapes de la mission par les diligences mises en
oeuvre par l'auditeur.
