CHAPITRE 2 :
LE CONTROLE INTERNE COMME OUTIL DE MAITRISE DES RISQUES
DE L'ENTREPRISE
Le risque est intrinsèque à toute
activité commerciale. Dans les activités courantes, l'entreprise
peut être exposée à des événements pouvant
avoir un impact sur la conduite de ses affaires voir même
représenter une menace réelle à sa survie. Les scandales
financiers qui ont inondé la presse durant ces dernières
années en sont des exemples. On parle donc d'événement, de
potentiel ,de matérialisation, d'impact, de menace, de faiblesse ou
tout simplement d'occurrence d'événements redoutés qui ,
lorsqu'ils se matérialisent, ont comme conséquence des dommages
et pertes financières, voir plus. Dans ce chapitre consacré au
contrôle interne comme outil de maîtrise de risques de l'entreprise
nous présenterons au niveau de la section 1 les différentes
approches du risque ainsi que leur évaluation. La section 2 quant
à elle est consacrée à la gestion du risque de
l'entreprise ; nous présenterons à ce niveau la
nécessité de bien gérer l'information dans la prise de
décision au niveau de l'entreprise.
SECTION 1 : LES DIFFRENTES APPROCHES DU RISQUE
La section 1 de ce chapitre présente l'analyse du
risque, son identification et montre comment procéder à son
évaluation. Une présentation de la typologie et du traitement du
risque y sont également faite.
1-ANALYSE DU RISQUE
A moins de bien comprendre les éléments qui
entourent ou composent le risque, toutes les actions mises en place en vue d'en
mitiger les impacts, risquent d'être des efforts vains ou pire d'induire
un faux sentiment de sécurité .Selon Serge Bedard dans son
ouvrage « Gouvernance ,Audit et Sécurité des
TI » , la perception que l'on a du risque va influencer la
façon de le gérer ».Ce qui se vérifie lors des
analyses qualitatives de risque, où les participants vont
privilégier la composante probabiliste du risque lorsqu'ils
considèrent une activité de courte durée et la composante
impact du risque lorsque l'activité se déroule sur une longue
période. Pour diminuer ces biais, il est recommandé de tenir les
activités d'analyse de risque avec des personnes ayant une grande
expertise de l'activité analysée.
1.1 La notion de risque
La définition du risque peut être
appréhendée sous plusieurs angles : le danger, le risque,
l'accident ou encore celui de l'incident.
De prime à bord le risque désigne une
incertitude quant à la survenance d'un événement
susceptible d'avoir une incidence sur la réalisation des objectifs.
Vu sous les approches présentées ci-dessus, le
risque perçu comme un « danger » est un
état, une situation ou une pratique représentant un potentiel de
pertes accidentelles.
Pris sous l'angle du « risque » du
lui-même il représente une évaluation d'un danger
associant la probabilité d'occurrence redoutée et la
gravité des conséquences.
En tant que « accident », le risque
correspond à un événement non souhaité qui entraine
des pertes corporelles ou matérielles importantes.
Enfin le risque dans son aspect
« incident » est un événement non
souhaité qui aurait pu dans des circonstances différentes
entrainer des pertes.
Ces différentes définitions du risque nous
conduisent à distinguer les types de risques.
1.1.1Essai d'une typologie des risques
Les principaux types de risques sont les
suivants :
· Les risques naturels ;
· Les risques liés à l'activité humaine
(risques industriels, risques domestiques, risques urbains) ;
· Les risques industriels (incendie, explosion,
émission toxique) ;
· Les risques biologiques ;
· Les risques physiques ;
· Les risques mécaniques ;
· Les risques chimiques ;
· Les risques financiers (risques de liquidités,
risques d'audit, etc.)
· Les risques politiques ;
· Les risques sociaux ;
· Les risques pour la santé ;
· Les risques matériels ou
immatériels ;
· Les risques environnementaux ;
· Les risques pour l'humanité.
1.1.2 Essai de classification des risques
Toute entreprise est sujette à des
possibilités de risques d'erreurs dans l'exécution, le suivi, le
contrôle et l'enregistrement des opérations ainsi que dans la
présentation de l'information financière.
Les connaissances des risques potentiels permettent
au contrôleur d'identifier dans l'entreprise les risques possibles,
c'est-à-dire ceux pour lesquels les contrôles sont inexistants,
peu fiables, insuffisants ou mal adaptés.
L'approche par les risques permet de distinguer les
aspects qui présentent un risque élevé et doivent par
conséquent faire l'objet d'un contrôle approfondi, de ceux qui
présentent un risque faible et peuvent être validés en
procédant à des vérifications allégées.
Le contrôleur procède à
l'appréciation et à la classification des risques
identifiés en fonction de leur importance en : Risques
faibles ; Risques moyens et Risques élevés.
La méthode de classement des risques que nous
présentons ici est celle qui tient compte des causes et des
conséquences de façon homogène. Les critères
retenus pour la classification selon leurs causes sont les suivants :
· Risques financiers et Economiques ;
· Risques juridiques et conformités
« compliance » ;
· Risques matériels, techniques et
élémentaires ;
· Risques liés aux personnes et à
l'organisation ;
· Risques technologiques et scientifiques ;
· Risques sociaux et politiques ;
Les critères retenus pour la classification selon
les conséquences se subdivisent en deux groupes :
· Conséquences financières :
- Dommages corporels
- Valeurs patrimoniales
- Prétentions en dommages-intérêts
- Prétentions non liées à la
responsabilité civile
· Conséquences non financières
- Perturbation du fonctionnement de l'organisation
1.1.3 Le traitement du risque dans
l'entreprise
Le traitement du risque en entreprise se
présente comme suit :
· Eviter le risque : le risque est
jugé comme trop élevé et aucune réponse
identifiée n'a permis de réduire l'impact et la
probabilité d'occurrence à un niveau acceptable. La
décision consiste à cesser l'activité à l'origine
du risque ;
· Transférer le risque :
diminuer la probabilité ou l'impact d'un risque en le transférant
ou le partageant. Parmi les techniques courantes, citons l'achat de produits
d'assurances, les opérations de couverture ou l'externalisation d'une
activité ;
· Limiter le risque : mise en place
par les responsables hiérarchiques de mesures et contrôles
spécifiques afin de réduire à un niveau acceptable la
probabilité d'occurrence ou l'impact du risque, ou les deux à la
fois ;
· Accepter le risque : aucune
action n'est entreprise face à un risque jugé acceptable,
excepté son suivi.
En fonction de la solution retenue par les dirigeants,
il convient de considérer son effet en termes de probabilités et
d'impact, de coûts et de bénéfices ainsi que d'identifier
les opportunités potentielles.
1.1.4 La mise en adéquation de la gestion des
risques avec l'échelle des responsabilités
Le risque est également fonction de la
responsabilité du responsable ou du dirigeant dans la prise de
décision en entreprise.
L'analyse de la pyramide ou de l'échelle des
responsabilités montre que les cadres supérieurs (directeurs
généraux, actionnaires, etc..) sont confrontés à
des risques liés à des décisions stratégiques
c'est-à-dire des risques pouvant entrainer la survie ou la fermeture de
l'entreprise. Les cadres moyens quant à eux sont exposés à
des risques dits « tactiques » tandis que les
employés du fait de leur position au bas de l'échelle courent des
risques liés à des décisions opérationnelles sans
incident majeur au niveau de l'entreprise.
1.2 L'IDENTIFICATION ET L'EVALUATION DES
RISQUES
L'identification et l'analyse des risques constituent
un processus continu et répétitif. Ce processus est un
élément clé d'un système de contrôle interne
efficace. Le management doit, à tous les niveaux, identifiés
minutieusement les risques et prendre les mesures adéquates afin de les
limiter. Ces risques doivent être identifiés, analysés et
pondérés. Le risque est schématiquement fonction de la
probabilité de survenance et des conséquences d'un
événement (impact).
Parlant de la probabilité de survenance :
chaque responsable hiérarchique doit déterminer la méthode
à adopter suivant le risque. Les méthodes peuvent être
quantitatives (basé sur la méthodologie statistiques) ou plus
intuitives. Parfois la méthode intuitive sera la meilleure et/ ou la
seule solution disponible.
L'impact du risque peut être financier ou
qualitatif (notoriété de l'entreprise).
Le résultat de cette identification, analyse et
pondération a pour objectif de déterminer si un risque doit
être évité (cessation d'une activité risqué),
transféré (par exemple réassuré), accepté
(absence d'actions) ou limité (mise en place de contrôles).
1.2.1 La cartographie des risques
Pour l'établissement de la cartographie des
risques il est possible d'analyser les risques métier et fonction sous
l'angle des trois grandes catégories d'objectifs (opérationnel,
financier ou de contrôle) :
· Opérationnels : Au niveau du risque
opérationnel il s'agit de tout risque ayant une incidence sur la
réalisation des objectifs opérationnels et en conséquence
de la mission du service.
· Financiers : S'agissant du risque financier ,il y
a lieu de relever qu'une provision doit être comptabilisée lorsque
une entité a une obligation actuelle (juridique ou implicite)
résultant d'un événement passé, il est probable
qu'une sortie de ressources représentatives d'avantages
économiques sera nécessaire pour régler
l'obligation ; et le montant de l'obligation peut être estimé
de manière fiable. Si ces conditions ne sont pas réunies, aucune
provision ne doit être comptabilisée.
· De conformité : Ici il s'agit de tout
risque découlant du non application des fondements juridiques.
Par ailleurs, il est possible d'ajouter des
informations supplémentaires dans la cartographie ; telles que les
conséquences collatérales (conséquences en termes de
coût et de ressources humaines engendrées par la mise en place des
propositions d'améliorations).
1.2.2 Questionnaires relatif à l'analyse et
à la maitrise des risques
Tableau2 : Fiche d'évaluation des
risques
|
Service :
|
Préparé par :
|
Date :
|
Visa :
|
|
Questions
|
Résultats/Commentaires
|
Mesures à prendre
|
Responsable de la mise en oeuvre/délai
|
|
Les mécanismes mis en place pour identifier les risques
issus de facteurs externes suivants sont-ils suffisants ?
o Politique
o Économique
o Environnemental
o Social
o Légal
o Une combinaison des facteurs susmentionnés
|
|
|
|
|
Les mécanismes mis en place pour identifier les risques
issus de facteurs internes suivants sont-ils suffisants ?
o Ressources humaines
o Structure organisationnelle
o Logistique
|
|
|
|
|
Les risques majeurs susceptibles d'avoir un impact sur la
réalisation des objectifs liés aux activités ont-ils
été identifiés ?
|
|
|
|
Source : Département des
finances du canton de Genève, (2006), Le
Manuel de Contrôle interne, Suisse,
p66.
Tableau 3 : Fiche d'évaluation des
risques (suite)
|
Service :
|
Préparé par :
|
Date :
|
Visa :
|
|
Questions
|
Résultats/Commentaires
|
Mesures à prendre
|
Responsable de la mise en oeuvre/délai
|
|
Le processus d'évaluation des risques est-il
formalisé ?
|
|
|
|
|
L'évaluation des risques est-elle réalisée
avec la participation des responsables concernés ?
|
|
|
|
|
L'évaluation des risques est-elle un processus continu
?
|
|
|
|
Source : Département
des finances du canton de Genève, (2006), Le Manuel de
Contrôle interne, Suisse, p66
Tableau 4 : Traitement des risques
|
Service :
|
Préparé par :
|
Date :
|
Visa :
|
|
Questions
|
Résultats/Commentaires
|
Mesures à prendre
|
Responsable de la mise en oeuvre/délai
|
|
Tous les risques identifiés font-ils l'objet d'une
catégorisation en vue de leur traitement ?
oEviter
oA transférer
oA minimiser
oAcceptable
|
|
|
|
Source :
Département des finances du canton de Genève,
(2006), Le Manuel de Contrôle interne,
Suisse, p68.
Eu égards à ce qui
précède ,nous pouvons dire que les différentes approches
du risque nous ont permis de mieux cerner cette notion et comment faire pour le
traiter dans l'optique de réduire au maximum un certain nombre
d'erreurs.
Dans la section 2 qui suit nous parlerons de la
gestion du risque en entreprise par la maîtrise de l'information dans la
prise de décisions.
| 
