Qu’est-ce qu’une cartographie des risques ? À quoi sert-elle ? En quoi audit interne et cartographie des risques sont-ils étroitement liés ? Décryptage.
Crises économiques, conflits armés, épidémie mondiale, réchauffement climatique, incertitudes politiques, cyberattaques, corruption,… : les organisations évoluent dans un monde de plus en plus instable. Dans ce contexte, la gestion des risques – ou risk management en anglais – monte en puissance dans les organisations. Mettre l’accent sur le management des risques, c’est pouvoir mieux les anticiper et bâtir des stratégies de défense adaptées.
La cartographie des risques est l’outil central du risk management. Projet transversal à l’entreprise, son élaboration peut être confiée, selon les contextes et les organisations, au risk manager, à un membre du comité de gestion des risques, à un consultant externe… Déclinée pour chaque processus, la cartographie des risques est aussi un outil précieux de la panoplie de l’audit interne.
La cartographie des risques, c’est quoi ?
Une représentation visuelle des risques
La cartographie des risques est un outil d’identification, d’évaluation, de hiérarchisation et de suivi des risques internes à l’entreprise (endogènes) et externes (exogènes).
Représentation graphique et visuelle, elle facilite la compréhension des risques. Ceux-ci sont classés selon leur criticité. Celle-ci est évaluée en fonction de deux facteurs : la gravité de leur impact et la probabilité de leur survenance.
La cartographie des risques peut être globale à toute l’entreprise ou partielle. C’est le cas par exemple de la cartographie des risques relatifs à la corruption. Depuis 2017, elle doit être mise en place par les entités de plus de 500 salariés et leurs filiales, en conformité avec la loi Sapin 2.
Pour être efficace et pertinente, la cartographie doit être vivante et mise à jour, généralement au moins une fois par an.
Pourquoi élaborer et décliner la cartographie des risques ?
« Pourquoi élaborer une cartographie des risques ? » revient à se poser la question « pourquoi mettre en place une politique de gestion des risques ? ». Car la cartographie n’est qu’un outil. Elle sert de base à la définition d’un plan d’actions pour maîtriser et réduire les niveaux de risques.
Quelle que soit leur taille, les organisations ont un intérêt stratégique, financier et commercial à développer le management des risques, à leur échelle. Une gestion des risques performante est l’assurance, pour ses clients et partenaires, que la société agit en conformité avec les lois et règlements, sécurise les données et assure la continuité opérationnelle de ses activités. C’est aussi un moyen de protéger son patrimoine et ses actifs. Pour être encore plus efficace, la cartographie globale des risques peut être déclinée en mini cartographies, par processus et par projet. Elles sont des outils essentiels dans le cadre des audits internes.
Comprendre les liens entre audit interne et cartographie des risques
Qu’est-ce que l’audit interne ?
Une structure d’audit interne est incontournable dans les établissements bancaires, les compagnies d’assurance ainsi que dans les sociétés commerciales cotées et toutes les sociétés faisant appel à l’épargne public. C’est par ailleurs une fonction de plus en plus répandue dans les grandes organisation et celles évoluant dans des secteurs stratégiques sensibles. Les auditeurs internes ont une mission d’assurance, d’évaluation, d’appui et de conseil. Ils interviennent à la demande des instances dirigeantes pour analyser et mesurer l’efficacité des processus et activités de l’entreprise. Leurs missions intègrent un plan de recommandations amenant la mise en œuvre de plans d’actions.
L’audit interne, co-pilote de la cartographie des risques
En l’absence de risk manager, le service d’audit interne peut dans certaines situations se voir confier la responsabilité de la cartographie des risques. Mais si un auditeur interne détient toutes les compétences pour la construire, il lui est beaucoup plus délicat d’assurer sa mise en œuvre opérationnelle. Comment pourrait-il en effet contrôler objectivement une démarche dont il est en charge ? L’audit interne a en revanche toute sa légitimité pour contribuer à l’identification et l’évaluation des risques. Sa participation est même souhaitable. Il a en effet la vision globale de tous les processus de l’organisation. Lorsqu’il réalise un audit, il analyse naturellement les points forts et faibles du processus et les risques majeurs. Ses bilans fournissent donc des informations très précieuses pour enrichir la cartographie des risques.
L’audit interne, évaluateur de la cartographie des risques
L’équipe d’audit interne a la responsabilité d’évaluer le dispositif global de gestion des risques de l’organisation. Cette mission est inscrite dans le Cadre de Référence Internationale des Pratiques Professionnels de l’audit interne (CRIPP). La norme 2120 stipule précisément que « L’audit interne doit évaluer l’efficacité des processus de management des risques et contribuer à leur amélioration ». L’objectif de l’auditeur ? Donner l’assurance aux dirigeants que le dispositif permet de gérer de façon efficiente les risques majeurs de l’entité.
Dans le cadre de cette mission, l’audit interne est en mesure d’assurer entre autres le contrôle de la cartographie, de son actualisation, de sa mise en œuvre et de son suivi.
La cartographie des risques, un outil au service de l’audit interne
La cartographie, un outil central de la panoplie de l’auditeur interne
La cartographie des risques est un des outils opérationnels incontournables de l’audit interne. Un audit peut intégrer une mini cartographie. Avec cet outil, l’auditeur analyse les risques inhérents à l’activité et aux contrôles mis en œuvre.
La cartographie globale des risques, complétée par ces mini cartographies réalisées dans chaque audit :
- Aident l’auditeur dans sa mission de conseil aux dirigeants. Décider revient en effet souvent à arbitrer entre différents risques.
- Permettent à l’auditeur de suivre les risques majeurs identifiés dans ses audits et la mise en place et l’efficacité de ses recommandations.
Les mini cartographies sont une source incontournable d’alimentation, d’actualisation et de suivi de la cartographie globale des risques de l’organisation.
Un logiciel dédié pour fiabiliser l’audit et la cartographie des risques
Réaliser un audit nécessite rigueur, cohérence et exhaustivité. L’auditeur jongle en permanence entre de nombreux interlocuteurs, de multiples documents et informations.
Un logiciel dédié à l’audit interne permet de personnaliser et fiabiliser la planification et le déroulement de la mission. Tous les documents et informations sont centralisés et tracés. Les fonctionnalités collaboratives de partage, de relance automatique et de planification offrent un vrai gain de productivité et de temps. L’outil peut simplifier également la rédaction, la diffusion et le suivi des recommandations et des plans d’actions. Autre avantage ? Ces logiciels disposent généralement d’une fonctionnalité dédiée à la cartographie des risques afin de faciliter son élaboration et son actualisation en temps réel. En synthèse, la cartographie des risques est l’outil transversal de base pour déployer une politique de gestion des risques performante et optimiser le déroulé des audits internes au sein de l’organisation. Recourir à un logiciel d’audit interne intégrant ces deux volets est l’assurance de réaliser des audits et cartographies rigoureux et exhaustifs.