Ceci est une introduction au cours de Risk management, faites par le Professeur Bensouda, de l'ENCG Fès.

1. RISK MANAGEMENT
 Unité 1 :Généralités sur le risque
 Unité 2: Management des risques

2. 2
Notions du risque (1)
Types de risque (2)
Caractéristiques d’un risque (3)
Unité 1.Généralités sur le risque

3. Liste des abréviations
• AFNOR: Association Française de Normalisation
• COSO: Committee of Sponsoring organization
• ISO: International Standard Organization (organisation
internationale de normalisation)
• IFACI: Institut Français des Auditeurs et des Contrôleurs
Internes
• IIA: Institute of Internal Auditors (Institut des Auditeurs
Internes)
3

4. Unité 1. Généralités sur le risque
1. La notion du risque
 Toute situation, toute activité peut produire un événement
profitable ou dommageable.
 Un évènement est tout fait, d’origine interne ou externe,
pouvant avoir un impact positif, négatif ou les deux à la fois sur
l’atteinte des objectifs de l’organisation.
 Les événements ayant un impact négatif sont des risques
pouvant freiner la création de valeur ou détruire la valeur
existante.
 En revanche, les événements ayant un impact positif
constituent des opportunités.
 La direction réintègre les opportunités identifiées à la réflexion
stratégique et au processus de détermination des objectifs.
 Le risque est défini donc par la probabilité de survenue d’un
événement dommageable et par l'ampleur de ses conséquences.
4

5. Distinction entre événement, opportunité et
risque
Evénement
(Positif ou négatif)
Opportunité
Positif
Risque
Négatif

6. JELLOULI Tarik 6
Unité 1. Généralités sur le risque
1. La notion du risque
 Selon les normes de l’audit-IFACI, un risque est un ensemble
d’aléas susceptible d’avoir des conséquences négatives sur une entité
et dont le contrôle interne et l’audit ont notamment pour mission
d’assurer la maîtrise.
 La définition de l'AFNOR repose sur une appréciation du « risque
écueil » : « un risque est la possibilité qu'un projet ou activité ne
s'exécute pas conformément aux prévisions de date d'achèvement,
de coût et de spécification, ces écarts par rapport aux prévisions étant
considérés comme difficilement acceptables voire inacceptables ».
 Le risque est l’effet de l’incertitude sur les objectifs (ISO 31000:2009)
 Le risque est selon l’Institut de l’Audit Interne : « La possibilité
qu’il se produise un événement susceptible d’avoir un impact sur la
réalisation des objectifs ».

7. JELLOULI Tarik 7
Unité 1. Généralités sur le risque
1. La notion du risque
 « Les risques d’entreprise sont tous les évènements pouvant
survenir et qui sont de nature à réduire sa rentabilité, voire à
remettre en question son existence. Il peut s’agir de menaces
qui se réalisent, d’erreurs de gestion ou de prévisions ou
encore de la survenance d’aléas défavorables »[BRES].
 Le risque représente donc la possibilité qu’un événement
survienne et dont les conséquences seraient susceptibles
d’affecter les personnes, les actifs, l’environnement, les
objectifs de la société ou sa réputation.

8. Unité 1. Généralités sur le risque
1. La notion du risque
• On retient par conséquent les définitions suivantes :
 ALEA : Evénement dépendant d’un hasard favorable
ou non .Exemple : Nouvelle norme, règlement…
 IMPREVU : Evénement non envisagé (inatendu) dans le
référentiel. Exemple : Oublis, Intempéries, grèves…
 INCERTITUDE : Evénement envisagé sans mesure des
conséquences. Exemple : Méconnaissance, Manque
d’information…
 RISQUE : Danger ou inconvénient possible ou probable
dont on peut mesurer l’occurrence et la gravité.
8

9. 2. Les types de risque

10. 2. Les types de risque
Selon l’origine
Selon l’activité
Risque interne
Risque externe
Risque
stratégique
Risque
opérationnel
Risque social
Risque
environnemental

11. 2. Les types de risque
Selon la nature
Selon le niveau
Risque
inhérent
Risque résiduel
Risque
potentiel
Risque possible
Risque avéré

12. Classification selon l’origine
• Risque interne : C’est le risque résultant de l’organisation et
du fonctionnement de l’entreprise; ses facteurs sont en
grande partie maîtrisables.
Exemple : Mauvaise protection des informations, ne pas
disposer de ressources nécessaires, personnel non qualifié,…
• Risque externe : C’est le risque produit par des facteurs
externes indépendants de l’organisation et du fonctionnement
de l’entreprise. Ces facteurs sont difficilement maîtrisables.
Exemple : Instabilité politique, régression économique, risque
d’évolution de la législation,…
12

13. Classification selon la nature
• Risque inhérent : c'est le risque qu'une erreur
significative se produise compte tenu des
particularités de l'entreprise , de ses activités, de son
environnement, de la nature des comptes et de ses
opérations. Il correspond dans son ensemble à la
probabilité selon laquelle ses résultats se développent
de manière imprévisible.Ce risque ne dépend pas du
dispositif de contrôle mis en place par l'entreprise..
13

14. Risque inhérent
Risque inhérent
Il s’agit des risques liés à:
- L’activités de l’entreprise : sa taille, ses marchés et
produits, sources d’approvisionnement , risque de non
recouvrement des créances, fluctuations de l’activité…
-Sa structure de capital : existence d’un associé majoritaire,
manipulation du résultat et abus de biens;
- Sa structure financière: insuffisance du Fonds de
Roulement, des capitaux propres ou des problèmes de
gestion…
-L’organisation: insuffisance du personnel administratif…
-L’importance de certains postes du bilan. Ex: Clients

15. Classification selon la nature
• Le risque de non contrôle : c'est le risque que le système
de contrôle interne de l'entreprise ne prévienne pas ou ne
détecte pas de telles erreurs. C'est le risque lié aux
insuffisances du dispositif de contrôle mis en place au sein
d'une entreprise.
• Le risque de non détection : C'est le risque résiduel après
le passage de l'audit interne ou du risk-manager. Ce risque
est dû soit à une mauvaise interprétation des conclusions
d'une mission d'audit ou de diagnostic du risk manager,
soit à une insuffisance d'investigation lors des travaux...
15

16. • Le risque résiduel : C'est le risque qui subsiste
après l'application des politiques de maîtrise des
risques.
16
Classification selon la nature

17. Classification selon le niveau
• Risque potentiel : C’est un risque théoriquement
susceptible de se produire si aucun contrôle n’est exercé
pour l’empêcher ou le détecter et corriger les erreurs qui
pourraient en résulter. Ce risque est identifié à partir des
guides professionnels et de l'expérience du risk manager.
• Risque avéré : C’est un risque déjà matérialisé et son
impact doit être évalué afin de définir une politique efficace
pour sa maîtrise.
• Risque possible ou réalisable : C’est un risque potentiel
contre lequel l’entreprise ne s’est pas dotée de moyens pour
le détecter, le limiter, ou le corriger
17

18. 18
Risque stratégique
Risque social et humain
Risque environnemental
Risque opérationnel
Classifications selon l’activité

19. Classification selon l’activité
• Le risque social et humain : c'est l'ensemble des facteurs
internes ou externes à l'entreprise d'origine humaine et sociale,
susceptibles d'affecter temporairement, durablement, voire
définitivement le fonctionnement de l'entreprise concernée. Le
capital humain est une des composantes du patrimoine de
l’entreprise, la perte du savoir-faire et de connaissances sont
des risques majeurs qui préoccupent les dirigeants.
• Le risque environnemental : c'est l'ensemble des facteurs
internes et externes liés à l'environnement dans lesquels
fonctionne l'entreprise et susceptibles d'empêcher l'atteinte de
ses objectifs.
19

20. Classification selon l’activité
 Le risque stratégique : Il est lié à l’absence d’une vision, au
déploiement d’une mauvaise stratégie, à l’absence de veille
technologique,…
 Le risque opérationnel : se définit comme le risque de pertes
dues à une inadéquation ou à une défaillance des procédures, des
personnels et des systèmes internes. Il touche au modèle
économique de l’entreprise, à son fonctionnement, à sa chaîne de
valeur ( la production, le transport, la distribution, les achats…).
 Le comité de Bâle II adopte une classification assez précise des
différents types de risques opérationnels .
20

21. Les catégories des risques opérationnels
Catégories Exemples
1. Les Fraudes internes Transaction non enregistrée
intentionnellement, Détournement de
capitaux, d'actifs,
2. Les Fraudes externes Vol, Contrefaçon, Piratage, Vol
d'informations
3. Les Pratiques en matière d'emploi et
de sécurité sur le lieu de travail
Questions liées aux rémunérations,
avantages liés à la résiliation d'un
contrat, Activités syndicales,
Responsabilité civile ...
4. Les Clients, produits et pratiques
commerciales
Violation du devoir fiduciaire, de
recommandation, Connaissance de la
clientèle, Conformité, Diffusion
d'informations, Utilisations abusives
d'information ...
5. Les Dommages aux actifs corporels Tremblement de terre, Cyclone
Vandalisme, Terrorisme

22. Les catégories des risques opérationnels
6. L'Exécution, livraison et gestion
des processus
Mauvaise communication, erreur de
saisie de données ou erreur de
chargement, non respect des dates
limites, anomalie du système, erreur
comptable, …

23. 23
Risques globaux liés à l’Organisation
Risques inhérents à la nature des
procédures observées
 Risques liés à la conception et au
fonctionnement des systèmes
Autres classifications du risque

24. 24
• Risques structurels et organisationnels qui
sont de nature à influencer l'ensemble des
opérations de l‘Organisation
• Pour auditer l’entité concernée, l'auditeur
doit donc identifier les risques qui la
distinguent des entités
Risques Globaux liés à l’Organisation

25. 25
• Risques de procédures récurrentes : résultant de
l'activité quotidienne de : achats, ventes, paie, etc..
• Risques de procédures régulières : saisies à des
intervalles de temps plus ou moins réguliers:
inventaires physiques, évaluations de fin d'exercice,
etc..
• Risques de procédures non courantes : opérations ou
décisions qui sortent du domaine de l'activité
courante: réévaluation, fusion, restructuration, etc..
Risques inhérents à la nature des procédures
observées

26. 26
Risques liés à la conception
et au fonctionnement des systèmes
• Risques de conception : systèmes de saisie et de
traitement des opérations ne permettent pas de
prévenir des erreurs ou détecter celles qui se
produisent pour les corriger (défaillance des
procedures).
• Risques de fonctionnement : contrôles prévus peuvent
ne pas être effectués (mauvaise application des
contrôles prévus) (négligence, manque de formation,
surcharge de travail, non-respect des procedures, etc.).

27. 3.Les caractéristiques d’un risque
27

28. Les caractéristiques d’un risque
• Le libellé : Il s’agit d’une description succincte et non ambiguë du risque.
• Les causes :C’est l'ensemble des événements pouvant conduire à sa
manifestation tels des faits, des contraintes…
• Les conséquences :« Résultat d'un événement » – ISO 73 [ISO]. Ils
décrivent l'ensemble des impacts potentiels du risque sur le projet. Ces
impacts peuvent affecter le budget, les délais, les charges d’un projet, la
qualité ou les performances des logiciels produits, voire remettre en cause
l'existence même du projet.
• Le propriétaire ou pilote : « Personne ayant les compétences et/ou
l'autorité de recueillir des informations sur le risque, d'en assurer le suivi et
d'indiquer des stratégies de réduction de ce risque.». Le propriétaire d'un
risque est un élément clé du processus car c'est la personne qui a la meilleure
connaissance du risque et il est important de l'associer aux différentes phases
du processus.
28

29. Les caractéristiques d’un risque
Le risque se mesure en termes de probabilité d’impact et de criticité :
• La probabilité d'apparition : qui renvoie à la probabilité d’occurrence
de l’évènement dont les conséquences sont préjudiciables . Cette probabilité
Peut être évaluée de manière qualitative ou quantitative. L'évaluation qualitative
consiste à affecter une valeur sur une échelle ordinale : faible, moyen, fort.
L'évaluation quantitative affecte une valeur numérique à cette probabilité.
• L'impact ou gravité: « Mesure des conséquences du risque » .Cette
caractéristique donne une estimation des conséquences du risque.
• L'exposition ou criticité : « Niveau d'importance d'un risque résultant de la
combinaison des caractéristiques quantifiées du risque, à savoir sa gravité, sa
probabilité d'apparition et/ou sa probabilité de détection » -AFNOR . Cette
caractéristique est déterminée en fonction de la probabilité, de l'impact et/ou de
la détectabilité du risque.
.
29

30. Illustration selon le COSO
– Estimer le risque de chaque activité/fonction selon
deux critères : sa fréquence c.à.d. sa probabilité
de survenue et sa gravité c.à.d. l’impact négatif
du risque;
– Apprécier la gravité du risque et sa fréquence selon
une échelle:
Faible(1); Moyen(2); Elevé(3).
– Chaque risque est évalué globalement:
Exemple : Risque réglementaire de la fonction achat:
 Gravité : 2
 Fréquence : 1
 D’où le risque réglementaire : 2 x 1 = 2
30