Gestion des risques, contrôle interne et formes d’audit
Construire une cartographie des risques, apprécier leur criticité, positionner le contrôle interne selon les principes du COSO et distinguer audit interne et externe.
Objectifs de la leçon
À l’issue de cette leçon, vous devez être capable de :
- identifier les risques rencontrés par l’organisation ;
- analyser les risques rencontrés par l’organisation ;
- mettre en œuvre les outils de gestion des risques ;
- construire une cartographie des risques ;
- apprécier la criticité des risques ;
- positionner le contrôle interne par rapport au contrôle de gestion ;
- distinguer les différentes formes d’audit : audit interne / audit externe ;
- analyser une situation, formuler des préconisations et communiquer les résultats dans une logique de déploiement de la stratégie de l’organisation.
Introduction
Dans les leçons précédentes, le contrôle de gestion a été mobilisé pour accompagner les choix stratégiques, piloter les processus, conduire les projets, améliorer la qualité et accompagner le changement. La présente leçon prolonge cette logique : une stratégie ne peut être correctement déployée que si l’organisation maîtrise ses risques.
Autrement dit, la performance globale ne dépend pas seulement de la fixation d’objectifs, de budgets ou d’indicateurs. Elle suppose aussi la capacité à :
- détecter ce qui peut empêcher l’atteinte des objectifs ;
- hiérarchiser les menaces ;
- mettre en place des dispositifs de prévention, de détection et de correction ;
- s’assurer que les processus fonctionnent de manière fiable ;
- contrôler si les dispositifs sont réellement efficaces.
La gestion des risques n’est donc pas un sujet périphérique. Elle est au cœur du déploiement de la stratégie de l’organisation. Une stratégie ambitieuse, sans maîtrise des risques, produit souvent des dérives : surcoûts, retards, non-qualité, rupture d’activité, erreurs d’information, pertes financières, atteinte à l’image ou non-conformité.
1. La gestion des risques au service du déploiement de la stratégie
1.1 Pourquoi gérer les risques ?
La gestion des risques consiste à repérer, analyser et traiter les événements susceptibles d’affecter l’atteinte des objectifs de l’organisation.
Elle sert directement le pilotage stratégique pour plusieurs raisons :
- elle sécurise les plans d’action ;
- elle fiabilise les processus ;
- elle réduit les pertes liées aux dysfonctionnements ;
- elle améliore la qualité des décisions ;
- elle protège les ressources, la réputation et la continuité de l’activité.
Une organisation peut avoir une stratégie pertinente sur le papier, mais échouer dans son exécution si elle ne maîtrise pas ses risques opérationnels, organisationnels ou informationnels.
1.2 Le lien avec le contrôle de gestion
Le contrôle de gestion vise à aider au pilotage de la performance, à travers des objectifs, des indicateurs, des budgets, des analyses d’écarts et des préconisations.
La gestion des risques, elle, se concentre sur ce qui peut compromettre cette performance.
Les deux démarches sont donc complémentaires :
- le contrôle de gestion demande : où veut-on aller et avec quels résultats ?
- la gestion des risques demande : qu’est-ce qui peut empêcher d’y arriver ?
Le contrôleur de gestion n’est pas forcément le responsable de tous les dispositifs de maîtrise, mais il doit être capable de :
- intégrer le risque dans l’analyse d’une situation ;
- alerter sur les zones de vulnérabilité ;
- proposer des mesures de sécurisation ;
- communiquer les résultats de manière structurée.
2. Identifier les risques rencontrés par l’organisation
2.1 Définition d’un risque
Un risque est un événement potentiel dont la survenance peut avoir un impact négatif sur l’atteinte des objectifs.
Deux idées sont essentielles :
- le risque est incertain : il ne s’est pas encore nécessairement produit ;
- le risque a un impact : il peut dégrader la performance, la qualité, les délais, les coûts ou l’image de l’organisation.
2.2 Les différents types de risques
La cartographie des risques suppose d’abord de distinguer les différents types de risques. Selon les organisations, les catégories varient, mais on retrouve généralement les familles suivantes.
a) Les risques stratégiques
Ils menacent les orientations fondamentales de l’organisation :
- mauvais positionnement ;
- choix de développement inadapté ;
- dépendance excessive à un marché, un client ou un fournisseur ;
- lancement d’une offre non rentable.
Exemple : une entreprise investit massivement dans une activité en déclin sans avoir correctement anticipé l’évolution de la demande.
b) Les risques opérationnels
Ils concernent le fonctionnement quotidien des processus :
- erreurs de production ;
- ruptures d’approvisionnement ;
- retards logistiques ;
- défaillance d’un équipement ;
- mauvaise coordination entre services.
Exemple : un défaut de planification entraîne une rupture de stock et l’impossibilité d’honorer les commandes.
c) Les risques financiers
Ils affectent les ressources financières ou les équilibres économiques :
- dérive des coûts ;
- insuffisance de trésorerie ;
- impayés ;
- mauvaise rentabilité d’un projet ;
- erreurs dans l’information de gestion.
d) Les risques liés à la qualité et aux dysfonctionnements
Le programme vise explicitement la gestion stratégique de la qualité et l’analyse des dysfonctionnements. Ces risques sont centraux dans le déploiement opérationnel de la stratégie.
Ils peuvent se traduire par :
- non-conformité d’un produit ou d’un service ;
- réclamations clients ;
- rebuts ;
- retouches ;
- surconsommation de ressources ;
- insatisfaction des usagers ou clients.
Un dysfonctionnement est un écart entre le fonctionnement attendu d’un processus et son fonctionnement réel.
Exemple : une procédure prévoit une double vérification des commandes, mais dans la pratique cette étape est contournée, ce qui génère des erreurs de livraison.
e) Les risques humains et organisationnels
Ils proviennent des personnes, des compétences ou de l’organisation du travail :
- absentéisme ;
- turnover ;
- insuffisance de formation ;
- mauvaise répartition des responsabilités ;
- conflits de rôles ;
- défaut de communication.
f) Les risques informationnels
Ils concernent la fiabilité et la circulation de l’information :
- données incomplètes ;
- erreurs de saisie ;
- retard de remontée d’information ;
- indicateurs non fiables ;
- reporting incohérent.
g) Les risques de conformité ou réglementaires
Même si cette leçon n’a pas pour objet de développer les réglementations sectorielles, une organisation peut être exposée à des risques de non-respect de règles applicables à son activité, avec des conséquences sur ses processus et sa performance.
2.3 Méthodes d’identification des risques
Identifier les risques rencontrés par l’organisation ne consiste pas à dresser une liste abstraite. Il faut partir de la réalité de l’organisation.
Les principales démarches sont :
- analyse des processus ;
- entretiens avec les responsables opérationnels ;
- observation des dysfonctionnements passés ;
- exploitation des incidents, anomalies, réclamations et écarts ;
- revue des objectifs stratégiques et opérationnels ;
- analyse des interfaces entre services.
2.4 Exemple d’identification sur un processus
Prenons un processus de traitement des commandes.
Objectif du processus : livrer au bon client, le bon produit, au bon prix, au bon moment.
Risques identifiés :
- erreur de saisie de commande ;
- absence de validation tarifaire ;
- rupture de stock ;
- retard d’expédition ;
- erreur de facturation ;
- mauvaise transmission entre service commercial et logistique.
On voit déjà que le risque ne se limite pas à la finance : il touche la qualité, les délais, la satisfaction client et la fiabilité de l’information.
3. Analyser les risques rencontrés par l’organisation
Identifier un risque n’est qu’une première étape. Il faut ensuite analyser les risques rencontrés par l’organisation.
3.1 Les dimensions de l’analyse du risque
L’analyse d’un risque repose généralement sur plusieurs questions :
- quelle est la cause du risque ?
- quel événement redoute-t-on ?
- quelles seraient les conséquences ?
- quels dispositifs existent déjà pour le maîtriser ?
- quel est le niveau de gravité du risque ?
Cette analyse permet d’éviter deux erreurs fréquentes :
- traiter tous les risques de la même manière ;
- se focaliser sur les symptômes sans traiter les causes.
3.2 Cause, événement, conséquence
Une bonne analyse distingue :
- la cause : origine du risque ;
- l’événement : ce qui peut se produire ;
- la conséquence : l’effet sur l’organisation.
Exemple :
- Cause : absence de procédure claire de validation ;
- Événement : commande enregistrée avec une remise erronée ;
- Conséquence : perte de marge, litige commercial, correction comptable.
3.3 L’analyse des dysfonctionnements
Dans une logique de gestion stratégique de la qualité, l’analyse des risques doit intégrer les dysfonctionnements.
Un dysfonctionnement peut être :
- ponctuel ou récurrent ;
- localisé ou transversal ;
- visible ou latent.
L’enjeu n’est pas seulement de constater un défaut, mais de comprendre :
- où il apparaît dans le processus ;
- à quelle fréquence ;
- avec quelles conséquences ;
- pourquoi les dispositifs existants n’ont pas empêché sa survenance.
Exemple : si les réclamations clients augmentent, il faut déterminer si la cause est liée à la production, à la logistique, à la saisie des commandes ou à la communication interne.
4. La cartographie des risques
4.1 Définition
La cartographie des risques est un outil de représentation structurée des risques d’une organisation. Elle permet de :
- recenser les risques ;
- les classer par catégories ;
- apprécier leur niveau ;
- hiérarchiser les priorités d’action.
C’est un outil fondamental pour mettre en œuvre les outils de gestion des risques.
4.2 Pourquoi cartographier ?
La cartographie est utile car elle :
- donne une vision globale des vulnérabilités ;
- facilite les arbitrages ;
- aide à concentrer les efforts sur les risques majeurs ;
- sert de support de communication entre directions, opérationnels et contrôle de gestion ;
- rend visible le lien entre risques et objectifs stratégiques.
4.3 Étapes de construction d’une cartographie des risques
Étape 1 : définir le périmètre
Il faut préciser ce que l’on cartographie :
- l’ensemble de l’organisation ;
- une activité ;
- un site ;
- un processus ;
- un projet.
Étape 2 : recenser les risques
Le recensement s’appuie sur :
- les processus ;
- les objectifs ;
- les incidents passés ;
- les entretiens ;
- les retours d’expérience.
Étape 3 : qualifier chaque risque
Pour chaque risque, on décrit :
- son intitulé ;
- sa cause ;
- ses conséquences ;
- les dispositifs de maîtrise existants.
Étape 4 : évaluer le risque
On apprécie sa criticité.
Étape 5 : hiérarchiser et prioriser
Les risques les plus critiques deviennent prioritaires pour l’action.
Étape 6 : proposer des actions
Il s’agit de définir des mesures de prévention, de détection ou de correction.
Étape 7 : communiquer et mettre à jour
Une cartographie n’est pas figée. Elle doit être revue lorsque l’organisation évolue, qu’un projet démarre, qu’un incident survient ou qu’un processus change.
5. La notion de criticité des risques
5.1 Définition de la criticité
La criticité des risques correspond au niveau de gravité d’un risque, apprécié à partir de critères d’évaluation.
Dans la pratique, la criticité repose souvent sur deux composantes :
- la probabilité de survenance ;
- l’impact si le risque se réalise.
Plus un risque est probable et plus son impact est fort, plus sa criticité est élevée.
5.2 Pourquoi mesurer la criticité ?
La mesure de la criticité permet de :
- distinguer les risques majeurs des risques secondaires ;
- allouer les ressources de contrôle de façon pertinente ;
- justifier les priorités d’action ;
- objectiver les arbitrages managériaux.
Sans appréciation de la criticité, la gestion des risques devient une simple liste, peu utile au pilotage.
5.3 Exemple de grille simple
On peut utiliser une échelle de 1 à 4.
Probabilité :
- 1 : faible ;
- 2 : modérée ;
- 3 : élevée ;
- 4 : très élevée.
Impact :
- 1 : faible ;
- 2 : significatif ;
- 3 : fort ;
- 4 : majeur.
Criticité = Probabilité × Impact
Exemple :
- rupture ponctuelle d’un petit fournisseur non stratégique : 2 × 2 = 4 ;
- erreur récurrente de facturation affectant de nombreux clients : 3 × 4 = 12 ;
- panne d’un système central bloquant l’activité : 2 × 4 = 8.
5.4 Limites de l’approche
La criticité ne doit pas être utilisée mécaniquement. Une même note peut recouvrir des situations différentes. L’analyse qualitative reste indispensable.
Par exemple :
- un risque peu probable mais catastrophique peut exiger un traitement prioritaire ;
- un risque fréquent mais peu grave peut générer une forte dégradation cumulative de la performance.
6. Mettre en œuvre les outils de gestion des risques
Le programme attend que l’on sache mettre en œuvre les outils de gestion des risques. La cartographie n’est qu’un premier outil. La gestion des risques implique un ensemble cohérent d’actions.
6.1 Les grandes réponses possibles au risque
Face à un risque, l’organisation peut :
- éviter le risque : abandon d’une activité ou d’un mode opératoire ;
- réduire le risque : mise en place de contrôles ou de procédures ;
- transférer le risque : assurance, sous-traitance encadrée ;
- accepter le risque : si son coût de traitement est disproportionné par rapport à son enjeu.
6.2 Les outils de gestion des risques dans l’organisation
Parmi les outils mobilisables :
- cartographie des risques ;
- procédures et modes opératoires ;
- séparation des tâches ;
- validations hiérarchiques ;
- contrôles de cohérence ;
- indicateurs d’alerte ;
- tableaux de bord ;
- analyse des incidents et retours d’expérience ;
- dispositifs de suivi des anomalies ;
- actions correctives et préventives.
6.3 Exemple : risque d’erreur de facturation
Risque identifié : erreur sur le montant facturé.
Causes possibles :
- remises mal paramétrées ;
- ressaisie manuelle ;
- absence de validation tarifaire.
Conséquences :
- perte de marge ;
- litige client ;
- image dégradée ;
- correction administrative.
Outils de gestion des risques :
- référentiel tarifaire unique ;
- blocage des modifications non autorisées ;
- contrôle automatique des écarts ;
- validation des remises exceptionnelles ;
- revue périodique des anomalies.
On voit ici que la gestion des risques se traduit concrètement par des dispositifs de maîtrise intégrés aux processus.
7. Le contrôle interne : objectif et positionnement par rapport au contrôle de gestion
7.1 Définition du contrôle interne
Le contrôle interne est un ensemble de dispositifs organisés, formalisés et permanents visant à maîtriser les activités de l’organisation.
Son objectif est de donner une assurance raisonnable sur :
- le bon déroulement des opérations ;
- la fiabilité des informations ;
- la maîtrise des risques ;
- le respect des règles internes.
Le programme demande de comprendre le contrôle interne : objectif, positionnement par rapport au contrôle de gestion.
7.2 Pourquoi le contrôle interne est indispensable
Une organisation ne peut pas s’appuyer uniquement sur la compétence individuelle ou la confiance informelle. Lorsque l’activité se développe, il faut des règles, des responsabilités et des vérifications.
Le contrôle interne répond à plusieurs besoins :
- sécuriser les processus ;
- prévenir les erreurs et anomalies ;
- détecter rapidement les écarts ;
- rendre les informations plus fiables ;
- soutenir l’exécution de la stratégie.
7.3 Positionnement par rapport au contrôle de gestion
Le contrôle de gestion et le contrôle interne ne se confondent pas.
Le contrôle de gestion
Il est orienté vers :
- la performance ;
- les objectifs ;
- les résultats ;
- les écarts ;
- l’aide à la décision.
Le contrôle interne
Il est orienté vers :
- la maîtrise des processus ;
- la sécurité des opérations ;
- la prévention et la détection des anomalies ;
- la fiabilité de l’information ;
- la réduction des risques.
Leur complémentarité
Le contrôle de gestion peut révéler un écart de marge, de délai ou de qualité. Le contrôle interne aide à comprendre si cet écart provient d’un dispositif insuffisant de validation, de séparation des tâches ou de supervision.
En résumé :
- le contrôle de gestion pilote ;
- le contrôle interne sécurise.
Les deux contribuent au déploiement de la stratégie de l’organisation.
8. Les principes du COSO
Le programme mentionne les principes du COSO dans la partie sur le contrôle interne. Sans entrer dans un niveau technique excessif, il faut en comprendre la logique générale.
Le COSO est un référentiel de contrôle interne largement utilisé pour structurer la maîtrise des risques.
8.1 Les objectifs du dispositif
Le COSO vise à fournir un cadre permettant à l’organisation de mieux maîtriser ses activités.
8.2 Les grandes composantes du contrôle interne selon le COSO
On peut présenter le contrôle interne autour de cinq composantes.
1. Environnement de contrôle
Il s’agit du cadre général dans lequel s’exercent les contrôles :
- culture de maîtrise ;
- clarté des responsabilités ;
- comportement des dirigeants ;
- discipline organisationnelle.
Sans environnement de contrôle sérieux, les procédures restent théoriques.
2. Évaluation des risques
L’organisation doit identifier et analyser les risques qui menacent ses objectifs.
On retrouve ici la logique de cartographie et de criticité.
3. Activités de contrôle
Ce sont les mesures concrètes de maîtrise :
- autorisations ;
- rapprochements ;
- vérifications ;
- validations ;
- séparation des tâches ;
- contrôles automatiques ou manuels.
4. Information et communication
Le contrôle interne suppose que l’information utile circule correctement :
- remontée des anomalies ;
- diffusion des procédures ;
- accès à une information fiable ;
- partage des alertes.
5. Pilotage du dispositif
Le contrôle interne doit être suivi, évalué et amélioré. Un dispositif non révisé se dégrade avec le temps.
8.3 Intérêt du COSO pour le contrôleur de gestion
Le COSO aide à structurer l’analyse lorsqu’un problème de performance est observé.
Exemple : si un projet accumule retards et surcoûts, l’analyse peut porter sur :
- l’environnement de contrôle : responsabilités mal définies ;
- l’évaluation des risques : risques initiaux sous-estimés ;
- les activités de contrôle : absence de validation des jalons ;
- l’information : reporting tardif ;
- le pilotage : absence de revues périodiques.
9. Lien entre gestion des risques, qualité et dysfonctionnements
La gestion stratégique de la qualité et l’analyse des dysfonctionnements sont étroitement liées à la gestion des risques.
9.1 La qualité comme enjeu stratégique
La qualité n’est pas seulement une conformité technique. Elle influence :
- la satisfaction client ;
- les coûts de non-qualité ;
- l’image de l’organisation ;
- la fidélisation ;
- la compétitivité.
Un défaut de qualité est donc un risque stratégique autant qu’opérationnel.
9.2 Les dysfonctionnements comme signaux faibles
Les dysfonctionnements révèlent souvent des risques mal maîtrisés :
- erreur répétée de saisie ;
- retards récurrents ;
- anomalies de stock ;
- incohérences de données ;
- réclamations fréquentes.
Le rôle du contrôleur de gestion est d’utiliser ces signaux pour :
- objectiver le problème ;
- en mesurer l’impact ;
- proposer des actions correctives.
9.3 Exemple d’analyse intégrée
Une entreprise de services constate une baisse de satisfaction client.
Constats :
- hausse des délais de traitement ;
- multiplication des erreurs administratives ;
- augmentation des réclamations.
Analyse des risques :
- risque opérationnel : surcharge du processus ;
- risque qualité : prestations non conformes ;
- risque humain : formation insuffisante ;
- risque informationnel : données clients mal mises à jour.
Préconisations :
- formaliser les étapes critiques ;
- renforcer les contrôles de cohérence ;
- mettre en place un suivi des anomalies ;
- clarifier les responsabilités ;
- intégrer des indicateurs qualité dans le tableau de bord.
10. Les différentes formes d’audit : audit interne et audit externe
Le programme demande de distinguer les différentes formes d’audit : audit interne / externe.
10.1 Définition générale de l’audit
L’audit est une démarche d’examen structurée visant à apprécier une situation, un dispositif ou des informations au regard de critères définis.
L’audit produit un constat, une appréciation et souvent des recommandations.
10.2 L’audit interne
L’audit interne est réalisé au sein de l’organisation, pour son compte. Il vise à évaluer :
- les processus ;
- les dispositifs de contrôle interne ;
- la maîtrise des risques ;
- l’efficacité du fonctionnement.
Finalité de l’audit interne
L’audit interne aide l’organisation à s’améliorer. Il a une vocation de diagnostic et de progrès.
Exemples de missions d’audit interne
- audit du processus achats ;
- audit de la gestion des stocks ;
- audit du traitement des commandes ;
- audit d’un projet en dérive ;
- audit d’un dispositif de contrôle interne.
Ce que l’audit interne apporte
- identification des faiblesses ;
- évaluation des contrôles existants ;
- recommandations d’amélioration ;
- diffusion des bonnes pratiques.
10.3 L’audit externe
L’audit externe est réalisé par un intervenant extérieur à l’organisation. Dans le cadre du programme ici visé, il s’agit surtout de le distinguer de l’audit interne, non d’entrer dans la méthodologie détaillée de l’audit légal, qui sera approfondie dans d’autres leçons.
L’audit externe présente plusieurs caractéristiques :
- regard indépendant de l’organisation ;
- appréciation fondée sur des critères définis ;
- restitution formalisée des conclusions.
10.4 Différences essentielles entre audit interne et audit externe
| Critère | Audit interne | Audit externe | |---|---|---| | Position | Au sein de l’organisation ou pour son compte | Intervenant extérieur | | Finalité dominante | Amélioration du fonctionnement | Appréciation indépendante | | Objet fréquent | Processus, risques, contrôle interne | Informations ou dispositifs examinés selon une mission définie | | Temporalité | Souvent récurrente, continue | Souvent périodique ou ponctuelle | | Utilité | Aide au pilotage et au progrès | Sécurisation par regard externe |
10.5 Point de vigilance
Il ne faut pas opposer audit interne et audit externe. Ils sont complémentaires.
- L’audit interne connaît mieux les processus et peut intervenir plus fréquemment.
- L’audit externe apporte une distance et une indépendance utiles.
11. Méthode d’analyse d’une situation et formulation de préconisations
Le programme insiste sur la capacité à analyser une situation, formuler des préconisations et communiquer les résultats.
11.1 Démarche structurée
Face à un cas de gestion, on peut suivre les étapes suivantes :
1. Comprendre le contexte
- quels sont les objectifs de l’organisation ?
- quel processus est concerné ?
- quels symptômes sont observés ?
2. Identifier les risques
- quels événements peuvent empêcher l’atteinte des objectifs ?
- à quelles catégories de risques appartiennent-ils ?
3. Analyser les causes et conséquences
- d’où viennent les dysfonctionnements ?
- quels impacts ont-ils sur les coûts, la qualité, les délais, l’image ?
4. Apprécier la criticité
- quels risques sont prioritaires ?
- lesquels exigent une action immédiate ?
5. Examiner les dispositifs existants
- quels contrôles sont déjà en place ?
- sont-ils suffisants, formalisés, appliqués ?
6. Formuler des préconisations
Les préconisations doivent être :
- concrètes ;
- hiérarchisées ;
- cohérentes avec les enjeux ;
- réalistes au regard des moyens.
7. Communiquer les résultats
La communication doit être claire, structurée et orientée décision.
12. Cas pratique d’application
12.1 Situation
Une PME industrielle connaît depuis six mois :
- une hausse des retours clients ;
- des écarts de stocks ;
- des retards de livraison ;
- une baisse de marge sur certaines commandes.
La direction souhaite comprendre les causes et sécuriser le déploiement de sa stratégie de croissance.
12.2 Analyse de la situation
Objectif stratégique concerné
Soutenir la croissance sans dégrader la qualité ni la rentabilité.
Risques identifiés
- risque qualité : produits non conformes ;
- risque opérationnel : mauvaise coordination production-logistique ;
- risque informationnel : stocks non fiables ;
- risque financier : baisse de marge liée aux retours et reprises ;
- risque organisationnel : responsabilités de contrôle mal définies.
Dysfonctionnements observés
- absence de contrôle final systématique ;
- mises à jour de stock retardées ;
- priorités de production modifiées sans information complète ;
- retours clients mal exploités comme source d’apprentissage.
12.3 Cartographie simplifiée
| Risque | Probabilité | Impact | Criticité | |---|---:|---:|---:| | Non-conformité produit | 3 | 4 | 12 | | Écart de stock | 3 | 3 | 9 | | Retard de livraison | 4 | 3 | 12 | | Baisse de marge liée aux reprises | 3 | 3 | 9 |
12.4 Analyse du contrôle interne
Les dispositifs apparaissent insuffisants :
- procédures peu formalisées ;
- séparation des responsabilités incomplète ;
- contrôles de cohérence limités ;
- remontée d’information tardive.
12.5 Préconisations
- Formaliser les étapes critiques du processus : contrôle qualité, validation de sortie, mise à jour des stocks.
- Mettre en place des contrôles de cohérence entre production, stock et expédition.
- Créer un suivi systématique des anomalies et des retours clients.
- Hiérarchiser les risques dans une cartographie mise à jour trimestriellement.
- Renforcer la communication interservices par un reporting court et régulier.
- Prévoir une mission d’audit interne ciblée sur le processus commandes-livraisons.
12.6 Communication des résultats
La restitution à la direction doit distinguer :
- les faits observés ;
- les risques majeurs ;
- les causes probables ;
- les impacts ;
- les actions prioritaires ;
- les bénéfices attendus.
13. Conseils de méthode pour une synthèse rédigée
Dans une copie ou une note, il faut éviter la simple juxtaposition d’outils.
Une bonne réponse doit :
- partir des objectifs de l’organisation ;
- relier les risques aux processus ;
- hiérarchiser par criticité ;
- distinguer contrôle de gestion, contrôle interne et audit ;
- proposer des actions concrètes.
Formulation attendue
On peut structurer une synthèse ainsi :
- Constat : quels dysfonctionnements ou signaux ?
- Analyse des risques : nature, causes, conséquences, criticité.
- Appréciation des dispositifs existants : contrôle interne suffisant ou non.
- Préconisations : actions de maîtrise, suivi, audit éventuel.
- Effets attendus : amélioration de la qualité, réduction des pertes, sécurisation de la stratégie.
14. Points à retenir
- La gestion des risques contribue directement au déploiement de la stratégie de l’organisation.
- Il faut savoir identifier les risques rencontrés par l’organisation puis analyser les risques rencontrés par l’organisation.
- La cartographie des risques recense, classe et hiérarchise les risques.
- La criticité des risques permet de prioriser les actions, généralement à partir de la probabilité et de l’impact.
- La gestion stratégique de la qualité et l’analyse des dysfonctionnements sont des composantes majeures de la maîtrise des risques.
- Le contrôle interne vise la maîtrise des processus, la fiabilité de l’information et la réduction des anomalies.
- Le contrôle interne est complémentaire du contrôle de gestion : le premier sécurise, le second pilote.
- Le référentiel COSO structure l’approche du contrôle interne autour d’un environnement de contrôle, d’une évaluation des risques, d’activités de contrôle, d’une information-communication et d’un pilotage du dispositif.
- Les différentes formes d’audit doivent être distinguées : audit interne / audit externe.
- Enfin, il faut toujours analyser une situation, formuler des préconisations et communiquer les résultats de manière claire et opérationnelle.
Mémo final
Démarche express
- Définir l’objectif à sécuriser.
- Identifier les risques par processus.
- Analyser causes, événements et conséquences.
- Évaluer la criticité.
- Examiner le contrôle interne existant.
- Proposer des actions de maîtrise.
- Communiquer une synthèse structurée.
Distinctions clés
- Risque : événement potentiel défavorable.
- Criticité : niveau de gravité du risque.
- Cartographie des risques : représentation hiérarchisée des risques.
- Contrôle interne : dispositifs de maîtrise des activités.
- Contrôle de gestion : pilotage de la performance.
- Audit interne : évaluation interne des processus et contrôles.
- Audit externe : appréciation indépendante par un intervenant extérieur.