Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Institut de l'Audit Interne GUIDE D’AUDIT L E S C A H I E R S D E L A R E C H E

Institut de l'Audit Interne GUIDE D’AUDIT L E S C A H I E R S D E L A R E C H E R C H E Étude du Processus de Management et de Cartographie des Risques Conception, mise en place et évaluation Groupe Professionnel Industrie et Commerce L E S C A H I E R S D E L A R E C H E R C H E GUIDE D’AUDIT Étude du Processus de Management et de Cartographie des Risques Conception, mise en place et évaluation Groupe Professionnel Industrie et Commerce Institut de l'Audit Interne 2 É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S G U I D E D ' A U D I T REMERCIEMENTS L’IFACI tient tout particulièrement à remercier les participants du groupe Industrie et Commerce qui ont conçu et rédigé ce cahier : Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ; Frédéric Bel, Chef du Département Qualité/Audit Interne, Primagaz ; Florence Bergeret, Responsable de la Recherche, IFACI ; Pierre de Magnitot, Audit Manager, Giat Industrie ; Rick Floore, Internal Audit Manager, Sodexho Alliance ; Alain Hocquet, Risk Manager, France Telecom ; Christian Lesné, Consultant, IFACI ; Rosa Mendes, Auditrice Interne, Michelin ; Marzio Panelli, Auditeur Interne, Michelin ; Thomas Puissant, Audit Implementation Manager, Rhodia ; Catherine Veillet-Michelet, Directrice de l’Audit Interne, Bayard Presse ; Christian Zerbi, Responsable de l’Audit Interne, Metro Cash and Carry France. Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total, pour sa relecture avisée, ainsi qu’à Emmanuel Du Moulin, Directeur de l’Audit Interne de Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric Robert, Auditeur Interne de Renault, pour leur participation aux échanges ayant conduit à l’élaboration de ce cahier. Louis Vaurs Délégué Général IFACI – Paris – Décembre 2003 ISBN : 2-915051-02-X Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l’auteur, ou de ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de l’article 40). Cette représen- tation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les articles 425 et suivants du Code Pénal. 3 É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S G U I D E D ' A U D I T 4 É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S G U I D E D ' A U D I T SOMMAIRE Résumé ............................................................................................................................................................................................................ 7 Introduction ........................................................................................................................................................................................... 9 1. Le processus de management des risques (PMR) ............................................... 10 1.1. Les objectifs du PMR ..................................................................................................................................................................... 10 1.2. Les grandes phases du PMR .................................................................................................................................................. 11 2. Les acteurs du PMR ...................................................................................................................................................... 12 3. Le rôle de l’audit interne dans le PMR ................................................................................... 18 3.1. En présence d’un PMR ................................................................................................................................................................ 18 3.2. En l’abscence d’un PMR ............................................................................................................................................................. 22 4. La cartographie des risques, élément clé du PMR ............................................ 24 4.1. Définition et objectifs d’une cartographie ................................................................................................................. 24 4.2. Exemples de risques majeurs en environnement industriel et commercial ............................ 25 4.3. Exemple : Approche Bottom-up ............................................................................................................................................ 27 4.4. Exemple : Approche Top-down .............................................................................................................................................. 32 4.5. Une démarche d’auto-évaluation ...................................................................................................................................... 37 4.6. La communication de la cartographie des risques ........................................................................................... 40 Conclusion – Gérer les risques liés à la mise en place d’un PMR ....... 41 5 É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S G U I D E D ' A U D I T Annexes : Annexe 1 – Exemples de processus de management des risques ....................................................................... 44 1.1. Grand groupe multi-filiales et multi-établissements ........................................................................ 44 1.2. Groupe de presse de taille moyenne..................................................................................................................... 45 Annexe 2 – Exemple de Business Process Model et de questionnaire de description de processus ............................................................................................................................................................................ 49 2.1. Business Process Model................................................................................................................................................... 49 2.2. Questionnaire de description de processus................................................................................................... 50 Annexe 3 – Exemples de guide d’audit du processus achat.................................................................................... 53 3.1. En milieu industriel.............................................................................................................................................................. 53 3.2. En milieu commercial......................................................................................................................................................... 61 Annexe 4 – Risque industriel : la directive Seveso......................................................................................................... 83 Annexe 5 – Glossaire.................................................................................................................................................................................... 85 Annexe 6 – Bibliographie......................................................................................................................................................................... 86 6 É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S G U I D E D ' A U D I T RÉSUMÉ Selon la dernière enquête de l’IFACI menée en France, près des deux tiers des entreprises ayant répondu ont mis en place un processus de management des risques, mais les pra- tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dans d'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa- rate, il nous a semblé nécessaire d’écrire un guide aidant à la réflexion puis à l’élaboration d’un processus de management des risques adapté à un environnement industriel et commercial. Ce guide s’appuie sur les pratiques mises en œuvre dans une dizaine d’entreprises, grands groupes ou de taille moyenne. Il ne s’agit en aucune manière d’un document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques au processus de management des risques. La première partie met en lumière les objectifs et la démarche d’un processus de manage- ment des risques : • Les risques de l’entreprise sont identifiés ; • La direction générale (1) et les opérationnels déterminent le niveau de risques acceptable ; • Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques ; • Un suivi permanent est effectué, en particulier pour réévaluer périodiquement les risques et l’efficacité des contrôles internes ; • Le Conseil (2) et la direction générale sont informés périodiquement des résultats et enseignements du processus de management des risques. Les rôles et responsabilités des acteurs majeurs du processus sont définis dans la deuxième partie : le Conseil, la direction générale, les comités spécialisés du Conseil, l’audit interne, le risk management, le management et les opérationnels, le contrôleur de gestion et, en tant que prestataires externes, les commissaires aux comptes. Parmi ces acteurs, l’audit interne se distingue par son rôle fondamental dans le processus de management des risques. En effet, dans le cadre de leurs activités courantes, on attend des auditeurs internes qu’ils identifient et évaluent les risques significatifs. La vision d’en- semble qu’ils ont de l’entreprise et de ses processus les y aide nécessairement. Ce rôle est approfondi dans la troisième partie à l’aide de questions clés liées aux éléments du processus les plus importants. En l’absence d’un processus de management des risques, quelques orientations sont données pour l'initier (prendre conscience des risques et de l’importance du contrôle interne, promouvoir la démarche, aider l’entreprise à identifier et évaluer les risques et faire évoluer le processus). 7 É T U D E D U P R O C E S S U S D E M A N A G E M E N T E T D E C A R T O G R A P H I E D E S R I S Q U E S G U I D E D ' A U D I T (1) Par direction générale, on entend également comité exécutif, directoire, comité de direction, … (2) Par Conseil, on entend conseil d’administration, conseil de surveillance, … La construction de la cartographie des risques, abordée dans la quatrième partie, est une étape clé du processus. En fonction de la culture et de l’environnement de l’entreprise, deux approches peuvent être adoptées pour élaborer une cartographie des risques : – l’approche bottom up, ou remontée des risques opérationnels vers les risques majeurs, – l’approche top-down, à partir des risques majeurs identifiés pour les différentes parties prenantes. Ces deux approches peuvent se combiner. En effet, il est important de souligner uploads/Industriel/cahier-de-la-recherche-processus-management-et-carto-des-risques 1 .pdf