Transcription of Matrice et cartographie des risques - economie.gouv.fr
1 GT2/RH B atrice CAUSSE cartographie DES risques DE L ENTITE ET Matrice DES risques DE L AUDITEUR. La cartographie des risques d une entit : Le risque peut tre d fini comme tout v nement dont la survenance porte atteinte la capacit d une structure atteindre ses objectifs. On distingue traditionnellement : - le risque inh rent : c est le risque th orique li l activit . On peut aussi le d finir comme le risque initial, avant toute mesure de ma trise (contr le interne) ; - le risque r siduel : c est le risque subsistant apr s la mise en uvre de dispositifs de ma trise (contr le interne). Il convient de rappeler que des mesures de ma trise des risques peuvent exister ind pendamment d un dispositif de contr le interne formalis.
2 Un risque se caract rise par sa probabilit de survenance et par son impact, en cas de r alisation. Pour chaque facteur, on peut valuer un niveau selon une chelle de trois valeurs (faible, moyen, fort ou 1, 2 ,3). Il existe galement des mod les 4 niveaux (faible, moyen ou mod r , fort, critique) ou 5 niveaux (tr s faible ou nul, faible, mod r , fort, critique). Tout d pend de la capacit de la structure mesurer la probabilit de survenance du risque, ce qui est facile pour certains domaines tels que les domaines op rationnels condition de mettre en place un dispositif de mesure (% d erreurs, % de r clamations, % de rejets par le comptable, % de factures donnant lieu des int r ts de retards,% de blocages d op rations par le syst me informatique, % d incidents d clar s par les services ou enregistr s par les SI, taux d indisponibilit des SI etc.)
3 Pour certains domaines, o le risque est plus qualitatif , l valuation de la probabilit rev t une part de subjectivit . Dans les structures dot es de dispositifs de ma trise des risques formalis s et organis s, il existe une cartographie des risques . La construction d une cartographie des risques est une d marche complexe, qui peut se d composer en trois tapes : - l identification des risques , conduite g n ralement par processus d activit . C est ce que nous faisons dans notre tableau. Nous travaillons sur le processus ressources humaines que nous avons d compos en sous-processus de pilotage, de gestion op rationnelle et en proc dures (recrutement, ) ; - l valuation du risque selon les deux facteurs de probabilit et d impact en distinguant entre le risque inh rent et le risque r siduel : on peut dans ce cadre r aliser un tableau des risques en faisant figurer le risque inh rent, le dispositif de ma trise des risques existant, le risque r siduel : on parlera alors de Matrice des risques ; - la repr sentation du portefeuille des risques dans une cartographie des risques .
4 Les diff rents risques identifi s sont g n ralement report s sur un rep re orthonorm , ce qui permet de disposer d une repr sentation imm diate des risques majeurs ou critiques. On peut r aliser une cartographie des risques inh rents et une cartographie des risques r siduels. Le plus souvent, il n existe qu une cartographie des risques r siduels. GT2/RH B atrice CAUSSE Nul/tr s faible Faible Moyen Fort/Elev Tr s Fort/ Tr s Elev L int r t d une cartographie des risques est de servir de base la d finition d un plan d action pour ma triser ou r duire les risques les plus importants.
5 On consid re g n ralement que les risques critiques sont du domaine de la gouvernance, les risques moyens de celui de l encadrement op rationnel et les risques de non qualit (faible impact et probabilit assez lev e) de la responsabilit des agents de premier niveau. La Matrice des risques de l auditeur : L auditeur construit dans la phase de prise de connaissance de l entit qu il va auditer une Matrice des risques , qu il va alimenter au fur et mesure de ses travaux, c'est- -dire un tableau dans lequel il va faire figurer : - le risque inh rent l activit selon un r f rentiel de risques qui peut tre o soit une production externe l entit.
6 Pour les aspects comptables, les r f rentiels de contr le interne comptable d velopp s par la DGFiP, pour les aspects budg taires, ceux d velopp s par la MACIB la direction du Budget), pour les RH et les SI, ceux qui r sulteront des GT du o soit une production interne : sa propre cartographie des Nul/ Rare Faible/peu probable Moyenne/Possible Elev e/ Probable Tr s lev e/ certaine PROBABILITE IMPACT GT2/RH B atrice CAUSSE - le risque de contr le : c'est- -dire le risque qu il n y ait pas de dispositif de ma trise du risque (ex : des contr les de coh rence dans une application informatique, un m canisme de validation hi rarchique en cha ne papier ou en cha ne documentaire, un dispositif d acc s la r glementation, un recueil de proc dures, une veille r glementaire, des actions de formation.
7 Ou que le dispositif pr vu ne soit pas mis en place ou ne soit pas efficace. Les travaux d audit vont permettre d tablir ce point. - le risque r siduel tel que l auditeur peut l valuer au regard des dispositifs recens s et des tests de permanence r alis s. Pour les risques c t s forts ou moyens, il indiquera dans une colonne sp cifique la nature les travaux d audit qu il va entreprendre et au fur et mesure de leur ex cution, les r f rences des documents correspondants (comptes-rendus d entretien, tests). On peut aussi pr voir des travaux sur des risques faibles soit parce qu il s agit d un th me obligatoire (attention particuli re du ministre par exemple), soit parce que l on entend v rifier que le risque est ma tris (particuli rement, lorsque des l ments conjoncturels modifient l environnement de contr le).
8 Au terme de ces travaux, il requalifiera le risque soit pour confirmer sa cotation initiale, soit pour la modifier en fonction des travaux r alis s. Tout risque confirm donnera lieu un constat assorti d une recommandation. La Matrice ainsi compl t e doit permettre de suivre le d roulement de l audit. Nous tablirons des matrices pour les sous-processus RH que nous s lectionnerons. Une Matrice des risques se pr sente g n ralement de la mani re suivante. GT2/RH B atrice CAUSSE EXEMPLE DE Matrice DES risques (AUDITEUR) Objectifs des domaines ou des activit s Nature du risque inh rent El ments d valuation du risque (facteurs identifi s lors de la phase de prise de connaissance) Cotation du risque inh rent Dispositif de contr le attendu (cadre th orique) Dispositif de ma trise des risques existant ou pr vu par l entit (plan d action)
9 Niveau de mise en uvre du dispositif de ma trise des risques R f rence des fiches de tests de permanence et des entretiens Niveau d efficacit du dispositif de ma trise des risques Cotation du niveau de risque de contr le Cotation du risque r siduel R f rence des fiches de tests d taill s R f rences FRAP et recomman-dations Activit 1 Activit 2 Cette Matrice est tr s proche de celle qui a t r alis e pour les audits comptables et financiers, processus commande publique . Elle comporte une colonne suppl mentaire l ments d valuation du risque car en l absence de r f rentiel pr -d termin , c est l auditeur qui va d terminer les l ments qui le conduisent estimer le niveau de risque.
10 Moins le risque se pr te une mesure quantitative et plus cette colonne est importante.
