Carto Des Risques Par Audit
Carto Des Risques Par Audit
Carto Des Risques Par Audit
Abstract—Les risques perçus dans une activité d’entreprise, fonctionnels et conjoncturels et de fonder le processus de
depuis la base jusqu’au plus haut niveau de la gouvernance, gouvernance des risques sur la définition d’un référentiel
peuvent être considérés comme une photo instantanée des risques d’acceptabilité unique quel que soit le type de risque abordé.
globaux perçus de l’entreprise. Chacun de ces risques impacte un L’analyse des risques à la lumière d’un tel référentiel permet de
ou plusieurs des processus ou fonctions de l’entreprise regroupés
les hiérarchiser et d’en déduire les risques majeurs afin de
selon la norme ISO 9001 en trois grandes catégories :
management, soutien et réalisation. La méthode de macro- prioriser la mise en œuvre des actions de maîtrise. Lorsque le
cartographie des risques par audit s’inscrit dans la norme ISO système est une entreprise de grande taille, dont l’organisation
31000, et est fondée sur un processus d’analyse invariant dont les est fondée sur un nombre élevé de processus et de fonctions qui
données d’entrées sont : (i) la cartographie des processus peuvent de surcroît être distribuées géographiquement,
d’entreprise et la pondération de leur importance vue par la l’application en première approche des méthodes inductives
gouvernance ; (ii) le plan d’audit, construit avec la gouvernance, d’analyse fine des risques comme l’AGR (Analyse Globale des
qui répartit le recueil de données sur les processus et sous- Risques) [1] deviennent dispendieuses en ressources humaines
processus, dans les différents établissements de l’entreprise ; (iii) et financières. Préalablement, il est avantageux d’établir un
la construction des référentiels d’acceptabilité des risques au
premier diagnostic en mettant en œuvre la macro-cartographie
niveau des activités de base et au niveau de la gouvernance et des
matrices de transfert qui les lient ; (iv) le recueil des perceptions des risques par audit. Cette méthode est fondée sur le recueil de
des risques par des audits au niveau des activités des sous- la perception des risques au niveau des activités de base, puis
processus et fonctions de base. Le traitement de ces données par son transfert aux niveaux supérieurs d’organisation et son
les algorithmes de la méthode permet d’établir les cartographies évaluation dans le référentiel d’acceptabilité des risques de la
des risques initiaux et résiduels à tous les niveaux de l’entreprise. gouvernance de l’entreprise. Rapide et facile à mettre en œuvre
La photographie des risques fournie est à la fois bottom-up, à grande échelle, la méthode permet de cartographier les
utilisant un premier référentiel d’acceptabilité des risques au risques perçus à tous les niveaux de l’entreprise (Fig. 1),
niveau des activités, et top-down utilisant un second référentiel fournissant les éléments de décision relatifs aux risques
d’acceptabilité au niveau de la gouvernance. Ce diagnostic
stratégiques majeurs. Elle répond au standard de l’ISO31000
permet d’identifier les risques majeurs pour la gouvernance, et
d’identifier les fonctions ou processus critiques qui demanderont [6].
une analyse des risques plus fine, comme l‘AGR (Analyse GOUVERNANCE DE L’ENTREPRISE
Globale des Risques), pour la construction d’un plan de maîtrise
des risques accompagné d’une analyse de son financement. Bien Risques stratégiques majeurs
que nouvellement développée la macro-cartographie des risques
par audit a par exemple été mise en œuvre au CNES (Centre Stratégie
National d’Etudes Spatiales) à la SHAM ou à l’EFS
(Etablissement Français du Sang).
Macro
Index Terms— cartographie des risques d’entreprise, cartographies
des risques
gouvernance des risques, perception des risques, audit, risques
majeurs
I. INTRODUCTION
Le management global des risques est aujourd’hui un
prérequis pour garantir les performances, la pérennité et la Activités de base ou de support de l’entreprise
sécurité des activités (Entreprises, Projets) et des produits [1-
Fig. 1. Elaboration de la cartographie des risques
5]. Devant l’augmentation de la complexité technique et
organisationnelle des systèmes et l’émergence de risques II. CONCEPTS PRELIMINAIRES
nouveaux (environnements naturels, technologiques, sociaux-
économiques, cybercriminalité…), il est indispensable Le danger dont la notion précède celle de risque est défini
d’aborder dans une même démarche les risques structurels, comme un potentiel de préjudice ou de nuisance aux
personnes, aux biens ou à l’environnement. Ce concept abstrait L’ensemble de ces zones est visualisé respectivement en
couvre aussi bien des éventualités physiques ou matérielles vert, jaune et rouge sur la Fig. 2.
accessibles par nos sens que des éventualités immatérielles La criticité du risque, est le résultat d’une fonction de
comme l’énergie potentielle ou cinétique. De façon plus décision associée à une échelle de valeurs politique, éthique,
générale, un danger peut être une substance (produit toxique. . religieuse, économique, qui pour chaque risque évalué associe
.), un objet (virus, astéroïde…), un phénomène (inondation, ou non une action de réduction ou de contrôle. La criticité du
séisme, changement climatique, réaction exothermique. .) ou risque ne doit pas être confondue avec le risque moyen qui est
un processus (erreur de diagnostic, erreur de décision. . .). Ce le produit de la probabilité par la gravité du risque et n’est
préliminaire étant fait, le risque met en jeu deux notions. qu’un paramètre d’évaluation et non de décision.
L’une, qualitative qui concerne son origine, à savoir Enfin, à la notion d’acceptabilité du risque s’ajoute celle du
l’exposition du système au danger, appelée situation financement du risque. Il est fondé :
dangereuse, qui, suivant les circonstances, peut se transformer • d’une part sur l’évaluation du bénéfice/risque, c’est-à-
en événement redouté avec des conséquences de différentes dire le rapport des gains potentiel liés à la présence d’une
natures et importances. L’autre, quantitative qui est la « mesure opportunité par rapport aux pertes potentielles liées à la
» en termes de probabilité et de gravité de l’incertitude de la présence d’un danger. Une telle évaluation nécessite d’aborder
situation dangereuse ou de l’événement redouté. Si sur une conjointement pour un même système l’analyse des risques
échelle de temps, l’événement redouté est considéré à l’instant positifs et l’analyse des risques négatifs ;
présent, alors sa probabilité d’occurrence concerne ses causes • d’autre part sur l’évaluation des pertes/risque, c’est-à-
qui appartiennent à son passé tandis que la gravité concerne ses dire le rapport des pertes attendues si on ne fait rien et des
conséquences qui appartiennent à son futur. coûts liés à la mise en œuvre d’actions de réduction des
Le risque d’un événement est un concept abstrait qui risques. La décision de traitement du risque est politique si les
nécessite donc de prendre en compte de façon globale son coûts sont supérieurs aux pertes et économiques si les pertes
passé, son présent et son futur. Il en résulte que le couple « sont supérieures aux coûts.
probabilité–gravité » est indissociable et doit être considéré
comme une variable bidimensionnelle. Classe de Intitulé de la
Intitulés des décisions et des actions
Par-là même un risque n’est ni une probabilité, ni une criticité classe
gravité, mais les deux en même temps. Il s’ensuit qu’une C1 Acceptable Aucune action n’est à entreprendre
décision associée à un risque ne peut être prise sur la base
Tolérable sous On doit organiser un suivi en termes de gestion
d’une seule de ses deux composantes. De sa nature C2
contrôle du risque
bidimensionnelle, pour laquelle il n’existe pas de relation
On doit refuser la situation et prendre des
d’ordre, il découle que l’on ne peut hiérarchiser formellement C3 Inacceptable mesures en réduction des risques
deux risques de façon directe par le couple gravité–probabilité. sinon … on doit refuser toute ou partie de l’activité
Dans la pratique, l’identification des risques est faite en
utilisant un ensemble d’outils méthodologiques traitant de p5
V5
façon complémentaire de la nature des événements et de leurs Très probable
RISQUE
localisations spatiale et temporelle. L’évaluation des risques est V4
p4
INACCEPTABLE
faite, d’une part, sur l’incertitude de l’occurrence en utilisant Probable
p3
soit une échelle d’index de vraisemblance (analyse qualitative V3
RISQUE
Peu probable
ou semi-quantitative) ou de valeurs de probabilité (analyse p2
TOLERABLE
1) Niveau de l’activité
5 1 2 3 3 3
4 1 2 3 3 3
3 1 1 2 3 3
2 1 1 2 2 3
La gravité caractérise la perception du préjudice, du 1 1 1 1 2 2
dommage ou de la perte. L’échelle associée est structurée en 5
niveaux chacun associé à la description de la nature des
conséquences (Tableau 5)
TABLEAU 10. Exemple d’échelle de criticité au niveau
L’effort caractérise les moyens et investissements perçus supérieur (Système, Processus ou Sous-processus)
comme nécessaires pour maîtriser le risque (Tableau 9). Gravité
1 2 3 4 5
TABLEAU 9. Echelle d’effort
Vraisemblance
5 1 2 3 3 3
4 1 2 2 3 3
3 1 1 2 3 3
2 1 1 2 2 3
1 1 1 1 2 2
évalués avec le référentiel d’acceptabilité « Sous- Min 9.0 20.0 12.0 15.0 12.0 16.0 15.0 15.0 15.0 25.0 12.0 10.0 12.3 16.0
CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX PAR PROCESSUS CARTOGRAPHIE DES RISQUES RESIDUELS GLOBAUX PAR PROCESSUS
Max
Max
Management Moy Moy
Management
Min Min
IV. EXEMPLES DE RESULTATS
offre une vision synthétique des risques par activités Fig. 13. Cartographies « Système » des risques initiaux et
distribuées géographiquement. Son analyse permet notamment résiduels par processus (diagramme de Kiviat)
de détecter des dysfonctionnements spécifiques à certains
établissements, mais aussi de questionner les données de
CARTOGRAPHIE DES RISQUES INITIAUX A PARTIR DE REGROUPEMENTS DE CARTOGRAPHIE DES RISQUES RESIDUELS A PARTIR DE REGROUPEMENTS DE
SOUS-PROCESSUS SOUS-PROCESSUS
Max Max
Sécurité physique 2
Management (RH) Produits Gouvernance
(matériel) Produits Gouvernance
1
Sécurité physique
Professionnels
(personnes)
Environnementaux Réglementaires
Système
Sociaux
d'information
Ethiques
Fig. 17. Cartographies « Système » des risques initiaux et
CARTOGRAPHIE DES RISQUES RESIDUELS GLOBAUX PAR DANGER résiduels par catégories de dangers d’entreprise (regroupement des
Stratégiques STRAT
Max
Moy
sous-processus)
Logistiques Matériel LMAT Juridiques JUR
Min
Logistiques transport LTRAN Financiers FIN
GRAVITE GRAVITE
G1 G2 G3 G4 G5 G1 G2 G3 G4 G5 Ces cartographies fournissent non seulement les niveaux de
V5 V5 risques moyens, mais aussi les risques minimum et maximum.
Ces intervalles min-max représentent à la fois la dispersion des
V4 V4
valeurs des différentes activités pour un sous-processus ou
VRAISEMBLANCE
VRAISEMBLANCE
S4
S5
V3
S8
S10
R2
S1
R9
R10
R6
R8 R1
S3
M2M1
M4
V3 processus donné, mais aussi la dispersion des valeurs
R7 M3 S6 M5
S2 R5
R3
S5 S1
S4
R9
S10R8
S3 R1
recueillies des paramètres lorsqu’une même activité est auditée
V2 V2 S8
M4M2S2
R2 R6 M1
R10S6M5 R5
R7
M3
R3
plusieurs fois (si par exemple elle est répartie sur plusieurs
sites). L’analyse de cette dispersion est tout aussi fondamentale
R4
V1 V1
R4
Sécurité physique
un premier plan d’action de maîtrise des risques
Management (RH) MRH
(matériel) SMAT
doit être mis en place afin de réduire les risques
Sécurité physique (produit) Management (projet)
SPRO MPRJ initiaux inacceptables ou tolérables sous contrôle,
Sécurité physique
(personnes) SPER
Professionnels PROF afin de les rendre acceptables ou de les maintenir
Médico-techniques MED Image IMA à un niveau tolérable. La réalisation de ces actions
Environnementaux ENV Réglementaires REG doit être planifiée et programmée, et les résultats
Sociaux SOC Système d'information SI
Ethiques ETH doivent être mesurés, en réalisant par exemple de
nouveaux audits ciblés ;
SOUS-PROCESSUS M1
CARTOGRAPHIE DES RISQUES INITIAUX DU SOUS-PROCESSUS M1 PAR
DANGER des analyses de risques plus fines, comme l’AGR
Max
Commerciaux COMR
Management (Org)
MORG
L’AGR permet de détailler les risques au niveau
Sécurité physique
Management (RH) MRH
des sous-systèmes ou des fonctions, en identifiant
(matériel) SMAT
Logistiques Matériel
Stratégiques
Juridiques
A1
analyse du financement du risque (coûts des
PROCESSUS M1
Logistiques
transport
Financiers risques sans action et coûts des actions). Cette
Commerciaux Management (Org) dernière est indispensable pour la prise de
Sécurité physique
Management (RH)
décision, qui peut être économique quand le coût
(matériel)
de traitement est inférieur au coût du risque non
Sécurité physique Management
(produit) (projet) traité, politique quand le coût du risque non traité
Sécurité physique
(personnes)
Professionnels est supérieur au coût du traitement.
Médico-techniques Image
REFERENCES
Environnementaux Réglementaires
Sociaux
Système
d'information
[1] Desroches A, 2013. Le management des risques par l’analyse
Ethiques
globale des risques, Transfusion Clinique et Biologique, Volume 20,
Issue 2, pp 198-210, ISSN 1246-7820,
Fig. 18. Exemples de cartographies « Système » des risques http://dx.doi.org/10.1016/j.tracli.2013.02.002.
initiaux et résiduels par dangers (diagramme de Kiviat) [2] Desroches A, et al., 2010. Le management des risques des
entreprises et de gestion de projet. Ed Hermes science.
[3] Desroches A, et al., 2009. Principes et pratiques de l’analyse
V. CONCLUSION préliminaire des risques. Ed Hermes science.
[4] Cooper D. F. et al., 2005. Project Risk Management
La macro-cartographie des risques par audits est une Guidelines – Managing Risk in Large Projects and Complex
méthode statique. La complexité du système analysé est Procurements.
implicitement prise en compte à travers la finesse de la [5] Loosemore M., et al., 2006. Risk management in projects. 2nd
description de ses processus, sous-processus et activités qui le Edition. Ed Taylor and Francis.
modélisent. Celle-ci est visualisée par le plan d’audits. Le [6] Norme ISO 31000:2009. Management du Risques – Principes
caractère dynamique est obtenu par l’évolution des et Lignes Directrices.
environnements dangereux auxquels le système est exposé et [7] Norme ISO 9001:2008. Systèmes de management de la
par la récurrence périodique des audits. qualité.
[8] Sghaier W, 2014. Méthode systématique de reconception des
A raison d’une à deux heures par audit, le recueil des
processus intégrant la maîtrise des risques : contribution à la
données est très rapide et peu coûteux, surtout en s’appuyant réingénierie des processus de l’EFS. Thèse de 3ième cycle. Ecole
sur les auditeurs internes déjà en place dans l’entreprise. De Centrale Paris.
plus, les données d’audits internes ou externes déjà existantes [9] Monnot V., 2012. Cartographie des risques des établissements
peuvent utilisées pour établir le plan d’audit de la macro- de santé sur la base d’audits : point de vue de l’assureur. Thèse
cartographie ou pour renseigner les entrées de l’analyse. professionnelle de l’Ecole Centrale Paris