Gestion Du Risque Opérationnel Inhérent Aux Activités Bancaires Juillet 2020
Gestion Du Risque Opérationnel Inhérent Aux Activités Bancaires Juillet 2020
Gestion Du Risque Opérationnel Inhérent Aux Activités Bancaires Juillet 2020
En effet, l’environnement, de plus en plus complexe et mouvant, dans lequel évoluent les
établissements de crédit nécessite la mise en place des systèmes de Contrôle
Interne, en vue d’analyser, de mesurer et de maîtriser les risques inhérents aux
différentes activités de la banque, en complémentarité du dispositif prudentiel. C’est
pourquoi, au niveau aussi bien du législateur que des instances d’organisation,
de surveillance et de supervision des activités bancaires, d’importantes
mesures sont généralement prises, pour créer les meilleures conditions
d’exercice, d’exploitation et de développement de ces institutions bancaires.
C’est dans cette perspective, que la Commission Bancaire en Afrique Centrale (COBAC)
a mis en place une réglementation visant à réorganiser et à renforcer le système de
gestion des risques (le Contrôle Interne) dans les établissements de crédit de la
sous-région, notamment le Règlement R-2001/07 modifié par le Règlement R-
2016/04.
TOTAL Classification: Restricted Distribution
Trainis Congo.
TOTAL - All rights reserved Tous droits réservés. Tél: +242 06 623 59 77. Site web: www.trainis.com
3
I- Les risques Bancaires
Il existe une multitude de risques bancaires. Cependant, autour des fonctions
essentielles de la banque, notamment la collecte des ressources et la distribution
des crédits, on peut distinguer les risques suivants :
1- Le risque de liquidité :
C’est le risque pour une banque de ne pas pouvoir tenir ses engagements de
paiement, notamment :
• quand la banque ne dispose pas de liquidités suffisantes pour couvrir les besoins
de retrait des dépôts des clients ;
• quand la banque rencontre des difficultés pour lever des ressources sur le marché
à un coût normal pour couvrir ses besoins ;
• quand en raison de pertes importantes, la banque se trouve dans un état
d’illiquidité extrême pouvant conduire à sa propre faillite, du fait de retraits massifs
de fonds ou de fermeture de lignes de crédit interbancaires qu’une situation peut
entraîner ;
• quand pour des raisons exogènes, crise économique, réglementation contraignante
entraînant des fermetures de certains segments du marché, la banque connaît des
difficultés de trésorerie.
4- Le risque de taux d’intérêt : C’est le risque qui, sous l’effet d’une variation des
taux d’intérêts, détériore la situation patrimoniale de la banque et pèse sur
l’équilibre de son exploitation. Il demeure un sujet délicat dans la mesure où il
existe de nos jours une pluralité de taux avec des formules diverses. On pourrait
citer notamment, les taux directeurs de la banque Centrale, les taux du marché
monétaire, du marché financier (obligations), les taux de placement à court terme
ou les taux débiteurs/créditeurs des banques.
TOTAL Classification: Restricted Distribution
Trainis Congo.
TOTAL - All rights reserved Tous droits réservés. Tél: +242 06 623 59 77. Site web: www.trainis.com
6
I- Les risques Bancaires
5- Le risque de change : La détention de créances et de dettes en devises
expose la banque au risque de change. Des gains ou des pertes en
monnaie locale peuvent sanctionner les variations des cours de ces
devises. L’on tentera de neutraliser ce risque par des ajustements de
positions de change, devise après devise. Des instruments existent pour
couvrir les gaps qui subsistent.
Le risque opérationnel est donc un risque subi, contrairement aux risques métiers et
stratégiques. Il est parfois diffus et difficile à appréhender de par la multitude de
formes qu’il peut endosser.
1. Fraude interne
2. Fraude externe
3. Pratiques en matière d’emploi et de sécurité du travail
4. Clients, produits et pratiques commerciales
5. Dommages occasionnés aux actifs physiques
6. Interruption de l’activité et dysfonctionnements des systèmes
7. Exécution, livraison et gestion des processus
Ces sept (7) familles bâloises représentent le niveau 1 de l’arborescence des risques.
Leur thématique étant générique, il faut descendre à un niveau 2 voire 3 afin
d’adapter ce découpage aux activités spécifiques de chaque entreprise.
Certaines familles comme l’Exécution, livraison et gestion des processus vont contenir
un très grand nombre de déclinaisons et donc concentrer un grand nombre de
risque.
Les familles bâloises servent donc à segmenter les risques mais ne préjugent pas de
leur répartition.
Il existe des liens entre les risques opérationnels et les autres risques. En effet, les
risques générés par les activités bancaires sont de plusieurs types :
❑ Les risques métiers : Ce sont des risques pris en toute connaissance de cause
puisqu’ils sont propres à l’activité principale et que l’on peut espérer en tirer un gain,
une marge ou une certaine forme de rémunération du risque pris. C’est le cas du
risque crédit.
❑ Les risques endogènes : Ils trouvent leur source en interne et sont à éviter. Ils sont
souvent liés à un mauvais encadrement des risques acceptés. On peut ranger
aisément dans cette catégorie les différentes défaillances et dysfonctionnements tels
que les erreurs de saisie ou les fraudes internes.
❑ Les risques exogènes : ce sont des risques pour lesquels on maîtrise rarement la
survenance mais dont il es possible de limiter éventuellement l’impact. Il s’agit
souvent de risques d’indisponibilités des locaux ou des systèmes d’informations
provoquées par des destructions du siège, de crue d’un fleuve, de pandémie, etc.
Il peut exister une interaction entre le risque opérationnel et les risques métiers/activités.
En effet, certains risques liés au métier peuvent être associés au risque opérationnel,
lié à la réalisation de ladite activité ou dudit métier et ainsi amplifier les impacts en
cas de survenance de l’évènement (survenance du risque métier). Ces risques sont
qualifiés de « risques frontières ».
Quelques exemples :
▪ Association risque opérationnel /risque de contrepartie
o Convention ou contrat de prêt non soumis à la signature du client
o Incompréhension sur les termes d’un traité de réassurance
C’est une question qui peut trouver sa réponse dans des cadres normatifs
comme le COSO 2 ou réglementaire comme Solvabilité 2, mais cet appétit
au risque doit avant tout être déterminer par rapport au référentiel « métier
de l’entreprise ». A partir de là, les risques métiers peuvent faire l’objet
d’une prise de décisions sur leur « juste » niveau, au regard de la
« stratégie de l’entreprise ».
Le rapport des deux valeurs ne doit alors pas être inférieur à 8% dans les
propositions des accords de Bâle 1.
(1) Calcul Fonds propres nets : Cf. Règlement COBAC R-93/02 modifié par le règlement COBAC R-2001/01
Pilotage
In
n fo
atio Activités rm
ic at
un de io
n
m et
om c
et
c contrôles om
m
n un
a ti o ic
rm ati
In
fo Evaluation des risques on
Environnement de contrôle
Les cinq (5) composantes du Contrôle Interne définis par le COSO permettent
d’atteindre les trois (3) objectifs suivants :
❑ L’efficacité et efficience (performance) des opérations ;
❑ La fiabilité et intégrité des informations financières et comptables ;
❑ Conformité aux lois, règlements, procédures et contrats.
Le COSO2 a mis en œuvre une notion nouvelle, celle d’Enterprise Risk Management
(ERM) ou « gestion globale du risque ». Ce qui fait dire à certains que le COSO1 est
un référentiel de Contrôle Interne, et le COSO2 est plutôt un référentiel de
management des risques.
Les objectifs du Management des risques ont été définis par le COSO 2, en ajoutant aux
trois (3) objectifs du contrôle interne définis par le COSO1 (opérationnel, financier et
de conformité), un objectif (ou une dimension) stratégique, en précisant ainsi le
découpage (de l’organisation) par destination (niveau entreprise, niveau directions ou
divisions, niveau unités opérationnelles, niveau filiales).
L’évaluation des risques consiste donc à élaborer une cartographie des risques qui, est
déclinée au niveau opérationnel, dans le cadre des missions d’assurance (A) de l’Audit
interne.
En l’absence de Risk manager, c’est l’audit interne qui élabore la cartographie des
risques de l’organisation, mais le plus souvent sans utiliser les outils statistiques, souvent
très élaborés, qui sont la spécificité du Risk management. La norme 2100 précise bien
que dans ce cas l’audit interne doit jouer un rôle proactif, en participant à la mise en
place d’un processus de management des risques, rentrant dans le cadre d’une mission
de conseil (C).
On perçoit bien à quel point les deux fonctions Risk management et audit interne sont
voisines. Elles vont même jusqu’à se confondre lorsqu’il n’y a pas de Risk manager. En
effet, la définition d’une stratégie et les propositions de solutions sont autant de
préconisations pour améliorer le contrôle interne. En cela, le Risk manager prépare le
terrain pour l’auditeur interne. Cependant :
• le rôle de l’audit interne ne saurait se confondre avec celui du Risk manager ;
• c’est au management qu’incombe la responsabilité majeure de la gestion des
risques, laquelle ne peut être déléguée.
La fonction Risk management n’est pas présente dans toutes les organisations en
tant que fonction individualisée et spécifique. Mais, bien ou mal, le risque est toujours
géré et pris en charge, soit d’une façon disperse par tous les acteurs de
l’organisation, soit précisément comme complément à une autre fonction (audit
interne, assurance, qualité…). Seules les grandes organisations disposent d’un
Risk manager (Directeur des risques, Risk Officer, etc.).
Toute organisation est censée établir une stratégie pour sa gouvernance, consistant
à définir un plan à moyen terme destiné à donner des orientations à suivre pour les
prochaines années à l’ensemble de l’entreprise. Pour permettre à tous les
collaborateurs d’aller dans la même direction, ladite stratégie est déclinée en
objectifs annuels, alloués à chaque direction opérationnelle. Enfin, ce sont ces
objectifs qui sont traduits au travers le budget.
Cependant, définir des objectifs n’implique pas forcément de les atteindre car, il existe
des risques que ces objectifs ne soient pas accomplis. Il est donc impératif, pour
une entreprise, de maîtriser ses risques, afin que sa stratégie devienne réalité.
C’est ici que le contrôle interne trouve sa raison d’être, à savoir qu’il permet de
maîtriser les risques de ne pas atteindre les objectifs stratégiques.
Le contrôle interne est donc l’une des composantes du Management global des
risques.
Contrôle
Stratégie Objectifs Risques
interne
Par ailleurs, comment maîtriser les risques qui impactent tout niveau hiérarchique,
tout métier au sein de l’entreprise, tout processus mis en œuvre pour la réalisation
des tâches, sans fédérer tout le personnel autour du contrôle interne et donc de la
gestion des risques. En effet, la gestion des risques concerne tout le monde,
c’est-à-dire que c’est l’affaire de tous dans une organisation.
Il est donc nécessaire que les dirigeants (la Gouvernance) donne l’impulsion en terme
du contrôle au sein de l’organisation et que cette impulsion soit reliée par le
management, pour finalement se concrétiser grâce aux collaborateurs de chaque
service.
Enfin, il est nécessaire, comme tout dispositif transverse dans une entreprise, qu’une
supervision soit mise en œuvre, afin de s’assurer que les contrôles sont effectifs et de
bonne qualité. C’est là, le rôle des fonctions dites de contrôles comme le Risk
Manager, le contrôle permanent et l’Audit interne.
L’implication de tous les acteurs de la chaîne des processus est alors une
question cruciale car, seuls les opérationnels sont capables d’appréhender
finement le risque opérationnel. Les organisations doivent donc adopter une
culture de gestion des risques afin de maîtriser les risques.
La manifestation d’un risque est précédée par une ou des causes et suivie par une ou
des conséquences. Ainsi, l’adoption d’une logique causale permet d’identifier le fait
générateur, la cause première, de définir les éléments de pertes, c’est-à-dire les
conséquences, ainsi que les éléments susceptibles d’amplifier soit les causes soit les
conséquences.
L’analyse du risque opérationnel est un exercice délicat car elle nécessite des
discussions approfondies avec les opérationnels afin de remonter le plus en amont
possible dans la recherche de causalité. Cette étude permet en remontant à la cause
première, d’élaborer des dispositifs de maîtrises des risques afin d’absorber ou de
limiter les impacts. Aussi, si la cause n’est pas maîtrisable, il sera possible de pallier
cette fatalité par la mise en place d’un Plan de Continuité d’Activité (PCA).
Idéalement, pour avoir une bonne maîtrise des risques, il faut systématiser les analyses
très en amont des projets quel que soit le type de projet (SI, réorganisation,
restructuration). Il faut avoir le courage de regarder et d’anticiper les risques pour
pouvoir en évaluer les impacts.
TOTAL Classification: Restricted Distribution
Trainis Congo.
TOTAL - All rights reserved Tous droits réservés. Tél: +242 06 623 59 77. Site web: www.trainis.com
42
VII- Le pilotage du risque opérationnel : le Dispositif
Le dispositif de pilotage des risques opérationnels doit permettre la détection le plus tôt
possible des risques et incidents de nature opérationnelle pouvant avoir des
conséquences financières ou d’image. Il doit permettre d’analyser et d’apprécier le
plus précisément possible les impacts de ces risques.
De plus, le dispositif doit pouvoir alerter et mobiliser les principaux responsables concernés
par les risques, qu’ils en soient à l’origine ou qu’il en subissent les conséquences.
Aussi, il doit permettre de définir les plans d’actions nécessaires, y compris en termes
d’instruments de financement du risque. Enfin, il doit disposer d’outils de pilotage à
destination du Directoire, des directions et d’autres parties prenantes du dispositif.
Le point primordial est que ce dispositif doit avant tout se reposer sur un réseau de
« correspondants risque opérationnel », capables de servir de relais
d’informations et également d’alerter et de gérer les incidents. En contrepartie, ces
correspondants risques doivent également être alimentés en informations et disposer
d’un retour sur investissement via des reportings. L’important est que toute
l’entreprise soit « innervée » par une filière risque opérationnel pour assurer une
analyse fine des risques et une réactivité forte face aux incidents.
Toutefois, s’il existe des méthodes, force est de reconnaître que l’identification des
risques reste aussi affaire de bon sens, faisant appel à l’observation des faits avérés
mais aussi à l’imagination réaliste de faits potentiels (la détection de ces derniers,
naturellement entachée de subjectivité, est toujours sujet de débats, … « vous dites
ça, mais qu’est-ce qui vous prouve que cela va arriver »… parfois rien!), faisant aussi
appel à un gros zest d’expérience (et là encore le cadre de référence de
l’identificateur sera perçu comme suspect). En réalité, même organisé autour d’un
registre précis, la recherche des risques s’apparente à une recherche des
dysfonctionnements qui pourraient perturber peu ou prou l’entreprise ;
dysfonctionnement qui pourraient empêcher l’entreprise d’atteindre ses objectifs,
définition même du risque.
L’analyse des scénarios permet une approche globale de la gestion des risques en
prenant en compte des risques pour lesquels il existe peu d’histoire, notamment les
risques peu probables dont les impacts potentiels sont élevés. Le but de l’analyse des
risques est de permettre d’identifier l’arbre de défaillance et la chaîne causale,
comprenant notamment les faiblesses et les facteurs de risques.
Les indicateurs de risques ont pour objectifs d’alerter le management de l’entreprise, aux
différents niveaux de l’organisation, sur les évolutions porteuses de risques, grâce à
une évaluation régulière des améliorations ou des détériorations du profil de
risques et de l’environnement de prévention et de contrôle.
Pour être optimal, des seuils d’alerte doivent être déterminés et un suivi régulier doit
permettre d’anticiper des évolutions porteuses de risques opérationnels et donc de
réagir de manière adéquate. En effet, il faut être préparé à agir lorsque ces seuils sont
dépassés grâce à la mise en place des plans d’actions.
Le suivi des indicateurs de risques permet une gestion proactive et prospective des
risques opérationnels et également de relever les signaux faibles, parfois
annonciateurs d’un évènement majeur ou simplement d’une dégradation du dispositif.
TOTAL Classification: Restricted Distribution
Trainis Congo.
TOTAL - All rights reserved Tous droits réservés. Tél: +242 06 623 59 77. Site web: www.trainis.com
49
VIII- Les outils de gestion et de pilotage du risque opérationnel
Un client non souhaité, est un client disposant ou non d’un compte ouvert au sein d’une
banque, mais avec lequel la banque ne souhaite plus ou pas être en relation pour de
nombreuses raisons, dont particulièrement des cas de fraude.
Un suivi devra être effectué sur le traitement des réclamations, afin d’identifier les
incidents de risque opérationnel, ainsi que les solutions apportées.
N° Référence Date de Nom du Numéro de Adresse Type ou Anomalie Date Date de Observation
d’ordre de la réception ou client Téléphone mail du nature de la déclarée d’envoi clôture de la ou
réclamation d’ouverture concerné du client client réclamation (Description Solution de la réclamation Difficultés
(Année, de la (A définir de l’incident) Canal apportée réponse rencontrées
mois, jour- réclamation dans un au client
N° d’ordre) Menu
déroulant)
1
2
3
4
5
8- Le Contrôle Interne
En effet, le contrôle interne est une activité que tout le monde doit exercer, en vue de
s’assurer de la maîtrise des risques découlant des activités quotidiennes réalisées
dans une organisation, c’est-à-dire de s’assurer, que les procédures et processus sont
maîtrisés, dans l’option d’amélioration qualité.
L’environnement, de plus en plus complexe et mouvant, dans lequel évoluent les banques
nécessite de mettre en place des systèmes de Contrôle Interne, en vue d’analyser, de mesurer et
de maîtriser les risques inhérents aux différentes activités de la banque, en complémentarité du
dispositif prudentiel de la commission bancaire. C’est dans cette perspective, que la COBAC
(Commission Bancaire en Afrique Centrale) a mis en place une réglementation visant à
réorganiser et à renforcer le Contrôle Interne dans les établissements de crédit de la sous-
région, notamment le Règlement COBAC R-2001/07 modifié par le Règlement COBAC R-
2016/04. Le Contrôle interne bancaire répond donc à une exigence réglementaire et est composé
du « Contrôle Permanent » et du « Contrôle Périodique ».
• Le « Contrôle Périodique » représente l’ensemble des test réalisés par l’Audit Interne, en vue
de s’assurer de la fiabilité et de la pertinence des contrôles permanents, afin de recommander des
mesures d’amélioration continue du dispositif de Contrôle Interne. En effet, l’Audit interne est une
fonction qui a pour finalité d’évaluer le niveau du contrôle interne d’une organisation, c’est-à-dire
sa capacité à atteindre ses objectifs et donc de maîtriser les risques inhérents à son activité.
Le champ d’action de l’Audit Interne porte sur toutes les activités d’une organisation ; d’où la
nécessité d’établir, sur la base d’une cartographie des risques, un plan pluriannuel des missions
d’Audit interne (3 à 5 ans). Les contrôles réalisés ont pour objectifs d’identifier les
dysfonctionnements ou faiblesses du Contrôle Interne, afin d’émettre les recommandations
destinées à corriger les anomalies détectées et à éviter leur reproduction.
Dans le cadre d’une mission d’audit, vous avez élaboré la matrice des risques et des
contrôles ci-jointe du dispositif d’accueil client de votre organisation (voir page
suivante). Parallèlement, vous avez recueilli auprès des responsables la liste suivante
des plans d’action qu’ils désirent mettre en œuvre pour améliorer cet accueil :
a) Suivi psychologique des agents agressés
b) Enquête auprès des clients sur les horaires d’ouverture des locaux d’accueil
c) Dispositif d’alarme
d) Développement de nouveaux modes de contact avec la clientèle (plateformes
téléphonique, internet)
e) Procédures dégradées de fonctionnement
f) Définir un profil de poste « agent d’accueil »
g) Agents de sécurité à l’entrée des locaux d’accueil
h) Enquêtes auprès des agents d’accueil sur leurs conditions de travail
i) Analyse des réclamations des clients
j) Négociations collectives en vue d’une adaptation des conventions.
TAF : Positionner dans la matrice chaque plan d’action en fonction du risque qu’il
couvre (un plan d’action ne couvre qu’un seul risque) et de la nature du contrôle
qu’il représente (détectif, préventif, correctif). Indiquer les numéros des risques
les mieux maîtrises et les moins maîtrisés.
TOTAL Classification: Restricted Distribution
Trainis Congo.
TOTAL - All rights reserved Tous droits réservés. Tél: +242 06 623 59 77. 54
Site web: www.trainis.com
55
Cas pratique N°1 (suite) :
Sélection de la stratégie de contrôle qui permettra de mieux maîtriser le risque
Facture
Comptabilisation Bon de livraison (BL) Comptabilité
Bon de commande (BC)
Chèque,
Règlement Trésorerie
Facture
3- Commande
(service achats- 4- Réception
Approvisionnement) (Prescripteur)
2- Sélection du
Fournisseur 5- Comptabilisation
(Comité Achats) Identification des points de contrôle (PC)
de la facture du F/S
(service comptabilité)
1- Expression
du besoin 6- Règlement de
(service demandeur) la facture
(Trésorerie)
La société X souhaite se développer à l’international. En particulier, elle vise deux sociétés cotées :
une en Finlande et l’autre au Portugal. Les deux sociétés sont relativement semblables.
Toutefois, la société X estime qu’il est trop tôt pour se lancer publiquement dans une campagne
d’acquisitions et elle estime que révéler immédiatement ses intentions aurait pour conséquences de
faire augmenter les cours de façon sensible, ce qui conduirait la société X à payer plus cher son
acquisition. De même, l’annonce d’une OPA sur l’une des deux aurait pour conséquence une
hausse des cours de l’autre. En outre, les financements ne sont pas encore en place.
Aussi, en attendant le moment le plus propice pour lancer l’opération, elle décide de « collecter »
sur le marché un certain nombre de titres en se fixant un cours maximum. Cependant, puisqu’elle
ne peut se lancer en direct, elle décide d’utiliser une banque comme intermédiaire, la banque BSD.
Le contrat de portage avec la banque précise les conditions dans lesquelles la banque doit acheter
les titres et stipule que la société devra racheter les actions lors de son OPA ou au plus tard dans
les 18 mois au prix duquel, la banque les aura payés, plus une commission de portage.
Problèmes :
❑ Une seule personne a connaissance d’un projet majeur de l’entreprise
❑ Cette personne a-t-elle le droit d’engager la société sur de telles opérations ?
❑ Cette personne a-t-elle les compétences juridiques pour négocier des contrats aussi complexes
(contrat de portage) ?
Risques :
❑ Que se passe-t-il en cas d’indisponibilité de cette personne (décès, empêchements)?
❑ Comment se protéger contre l’indélicatesse de cette personne (fraude) ?
❑ Quels sont les risques financiers pour l’entreprise, en cas de détournement de marché ou de non-
débouclage de l’opération ?
❑ Comment cette situation est-elle compatible avec le bonne information de la société sur cette
situation, sur son évolution ?
Recommandations :
❑ Fixer et faire connaître le montant maximum d’engagement que le président peut prendre au nom
de la société.
❑ Mettre en place une structure permettant de s’assurer de la Conseil d’Administration est informé de
tout engagement pris par la société.
❑ S’assurer qu’au moins une deuxième personne est susceptible de prendre le relais de façon
opérationnelle en cas d’empêchement du Président.
Une société de 600 Millions d’Euros de CA environ, œuvrant dans le domaine de la publicité et filiale d’un
grand groupe international, a une équipe comptable et financière composée de 11 membres, dont un
directeur financier accaparé par son Reporting, cinq personnes travaillant à plein temps sur le suivi des
travaux en cours, un chef comptable et quatre employés comptables.
Le principal fournisseur fait partie du même groupe (fournisseur interco). Ce compte enregistre des
transactions importantes et son solde mensuel est en moyenne d’1 million d’Euros. Ce fournisseur est
réglé par traite.
Certaines traites ne sont en fait pas envoyées ; le chef comptable efface le bénéficiaire et le remplace par
son propre nom, puis il passe l’écriture comptable suivante :
Débit : Fournisseur interco 70 (Somme effectivement envoyée)
Débit : TVA déductible 30 (somme détournée), sachant que la société est imposable à la TVA sur
les encaissements.
Crédit : Banque : 100
Au lieu de :
Débit : Fournisseur interco : 100
Crédit : Banque : 100
Afin que le fournisseur ne réclame pas le montant détourné, le chef comptable représente au
paiement les mêmes factures et procède de la même façon pour d’autres factures jointes.
Pour que le détournement ne soit pas découvert en interne, le chef comptable s’arrange pour que
les écritures passées au débit du compte TVA déductible viennent compenser la TVA collectée, de
sorte que la société n’a que peu de TVA à payer.
Ainsi, la trésorerie, élément important du Reporting, est correcte; c’est le fisc qui est pénalisé.
Causes :
❑ Exigence du siège
❑ Absence de ressources pour le Reporting
❑ Non-planification du Reporting
Conséquences :
❑ Pas de contrôles des opérations
❑ Absence du Management des équipes
Recommandations :
❑ Recrutement d’une ressource pour le Reporting
❑ Mise en place d’une planification formalisée du Reporting.
Établi par : Approuvé par :
Constat n°2 : Utilisation d’un stylo à encre effaçable pour établissement de chaque traite
Causes :
❑ Meilleur moyen pour la correction des erreurs.
NB : La cause est parfois difficile à trouver à priori et est parfois identifiée à postériori.
Conséquences :
❑ Source de fraude
Recommandations :
❑ Utiliser des stylos à encre indélébile pour l’établissement des traites et autres documents.
Établi par : Approuvé par :
Causes :
❑
Conséquences :
Recommandations :
Causes :
❑
Conséquences :
Recommandations :
Causes :
❑
Conséquences :
Recommandations :
Causes :
❑
Conséquences :
Recommandations :
La cartographie des risques est un outil de gestion des risques qui permet
d’indiquer de façon claire et précise l’ensemble des risques d’une
organisation. Il s’agit donc d’un inventaire des risques qui permet d’atteindre
les trois objectifs suivants :
1) inventorier, évaluer et classer les risques de l’organisation ;
2) informer les responsables afin que chacun soit en mesure d’y adapter le
management de ses activités ;
3) permettre à la Direction Générale, et avec l’assistance du Risk Manager
(Gestionnaire de risque), d’élaborer une politique de risque qui va
s’imposer à tous :
▪ aux responsables opérationnels dans la mise en place de leur
système de contrôle interne
▪ aux auditeurs internes pour élaborer leur Plan d’Audit, c’est-à-
dire fixer les priorités.
4ème étape : Evaluation des solutions existantes pour réduire le risque brut et
détermination du risque net : Evaluation des Dispositifs de Maîtrise des
Risques (DMR)
Juridique
Défaut dans la sécurité d’accès Accès non sécurisés aux données, aux applications, aux salles serveurs : Mauvaise
gestion des habilitations, contournements des règles trop contraignantes.
Risque lié à la gestion des changements Risque dans l’identification des besoins, les évolutions, les tests, la mise en
production.
Exploitation informatique défaillante Sauvegardes, traitements automatiques, interfaces
Défaut de performance informatique Obsolescence, inadéquation aux besoins, indisponibilité, non-traçabilité
Important : Les différentes cotations des risques doivent être validées avec
les responsables opérationnels concernés.
TOTAL Classification: Restricted Distribution
Trainis Congo.
TOTAL - All rights reserved Tous droits réservés. Tél: +242 06 623 59 77. 75
Site web: www.trainis.com
VIII- Elaboration de la Cartographie des risques : 76
Exemple d’une clé de cotation de la fréquence du risque (référentiel de fréquence)
Attention: Pour les risques diffus (ex. : perte de compétence), indiquer un niveau 6.
Il est important d’utiliser des codes couleurs pour indiquer en noir ou en rouge
ce qui est vraiment dangereux et en vert ou en orange ce qui l’est moins.
On peut numéroter les risques pour ne pas surcharger le tableau et indiquer les
numéros dans une légende en dessous. On peut également ajouter des
flèches pour voir si grâce aux moyens de contrôle, le risque a été réduit.
L’élaborer de la cartographie des risques n’est pas une fin en soi, car permet de faire un état des lieux
pour mettre en place des outils correctifs et de se poser les bonnes questions au bon moment. A ce
titre, la cartographie des risques est un outil incontournable dans la gestion des risques de l’entreprise.
Elle peut non seulement être demandé par les dirigeants mais aussi les actionnaires et certaines
parties prenantes (banquiers, salariés…). La cartographie des risques peut aussi être le déclencheur
pour la réalisation d’un plan de continuité d’activité (PCA).
Un plan de continuité d’activité (PCA) est document expliquant la procédure que l’entreprise doit
élaborer et mettre en place en cas de survenance d’un risque qui l’empêcherait de pouvoir continuer
son activité. Les risques les plus courants sont aujourd’hui une panne du système informatique. On parle
donc surtout de plans de continuité d’activité dans ce domaine. La mise en du Plan de continuité d’activité
est réglementaire et donc obligatoire dans le secteur bancaire.
La fréquence de survenance du risque d’incendie varie selon l’activité de l’entreprise et sera plus élevée
dans les entreprises industrielles qui utilisent des substances inflammables que dans les entreprises de
services, mais l’impact est toujours le même : pertes importantes. Les solutions à mettre en place par
l’entreprise pour réduire ce risque doivent avoir un impact sur la probabilité de survenance (comme la
vérification de l’électricité) ainsi que sur la réduction des effets en cas de survenance du risque (présence
d’extincteurs dans l’entreprise, simulation d’incendie, détection d’incendie…). Toutefois, la solution qui peut
aussi être mise en place (principalement ou de façon complémentaire) est d’assurer l’entreprise. Elle
permet de reporter le risque financier sur un tiers.
Impact 1 2 3 4
Impact : sur le
résultat De 1 à 3% De 3 à 10% De 10 à 25% > À 25%
Impact : Non Absence Amende mais Amende et Interruption
respect de la d’amende et pas interruption importante et
réglementation absence d’interruption d’activité prolongée
d’interruption d’activité d’activité
d’activité
2 – Catégorie de fraude
Le contrôle n’a d’intérêt que si l’entreprise est capable d’en tirer des
conséquences. Par exemple, en favorisant les changements demandés par
les opérationnels ou en générant une valeur ajoutée à même de favoriser
l’appropriation du dispositif par les opérationnels.
FIN
MERCI DE VOTRE ATTENTION !!!