Documente Academic
Documente Profesional
Documente Cultură
GUIDE D’AUDIT
Cartographie
des risques
Groupe Professionnel
Assurance
CARTOGRAPHIE DES RISQUES
ISBN : 2-915051-16-X
REMERCIEMENTS DE L’IFACI
L’IFACI tient tout particulièrement à remercier les participants du groupe Assurance qui ont
conçu et rédigé ce cahier :
GUIDE D’AUDIT 3
CARTOGRAPHIE DES RISQUES
4 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
REMERCIEMENTS DU PRÉSIDENT
DU GROUPE PROFESSIONNEL ASSURANCE DE L’IFACI
Je tiens à remercier Jean-Marc GUITEAU et l’ensemble des participants aux différentes ses-
sions du groupe de travail pour leur persévérance et la très grande qualité du travail
réalisé. Il nous appartient désormais, dans un environnement d’audit et de contrôle
interne qui ne manque pas de sujets d’actualité, notamment sur le plan réglementaire, de
relever le défi d’une future contribution qui ne pourrait être que tout aussi remarquable.
Jean-Yves PELISSON
Président du Groupe Professionnel Assurance de l’IFACI,
Directeur de l'Audit Général Groupe AGF
GUIDE D’AUDIT 5
CARTOGRAPHIE DES RISQUES
6 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
INTRODUCTION ................................................................................................... 9
PRÉAMBULE ...................................................................................................... 11
I. LA DÉMARCHE .............................................................................................. 13
1.1 Conditions préalables ..................................................................................................... 13
1.1.1 Volonté forte des dirigeants .................................................................................... 13
1.1.2 Passage obligé par la cartographie des processus ............................................... 13
1.1.3 Utilisation de deux approches complémentaires : Top Down et Bottom Up . 14
1.1.4 Positionnement des opérationnels au cœur du dispositif ................................. 17
1.1.5 Communication à tous les niveaux ....................................................................... 18
1.1.6 Actualisation régulière ............................................................................................. 18
1.2 Etapes de la construction d’une cartographie des risques ....................................... 19
1.2.1 Définir les objectifs ................................................................................................... 19
1.2.2 Répertorier les processus ........................................................................................ 19
1.2.3 Identifier les risques ................................................................................................. 19
1.2.4 Evaluer les risques ................................................................................................... 20
1.2.5 Eviter les écueils ....................................................................................................... 20
II. LA NOTION DE RISQUE ................................................................................. 21
2.1 Définition du risque ........................................................................................................ 21
2.2 Typologie des risques ..................................................................................................... 21
2.3 Mesure du risque ............................................................................................................ 22
2.4 Niveau de granularité .................................................................................................... 23
2.5. Evaluation des risques .................................................................................................. 24
2.6 Quelques exemples ......................................................................................................... 27
2.6.1 Exemples d’évaluation des risques ....................................................................... 27
2.6.2 Exemple du processus de souscription de contrat automobile ........................ 27
III. LES MENACES IGNORÉES ............................................................................ 30
3.1 Risques ignorés ................................................................................................................ 30
3.2 Méthodologies possibles pour identifier les risques « ignorés » ............................. 31
3.2.1 Exemples de facteurs d’alerte ................................................................................. 31
3.2.2 Priorisation du traitement des menaces ignorées ............................................... 32
CONCLUSION .................................................................................................... 33
ANNEXES .......................................................................................................... 35
ANNEXE 1 : Glossaire ............................................................................................................. 37
ANNEXE 2 : Evaluation des risques majeurs ...................................................................... 39
ANNEXE 3 : Exemple de restitution de la démarche de cartographie associée au
processus de gestion immobilière .................................................................. 55
ANNEXE 4 : Typologie des risques ....................................................................................... 60
ANNEXE 5 : Détail des macro processus d’une entreprise d’assurance ......................... 79
ANNEXE 6 : Démarche de cartographie : processus de souscription d’un contrat
d’assurance automobile ................................................................................... 81
ANNEXE 7 : Tableau des menaces ........................................................................................ 87
GUIDE D’AUDIT 7
CARTOGRAPHIE DES RISQUES
8 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
INTRODUCTION
Dans ce contexte, la démarche mise en œuvre a consisté à identifier dans un premier temps
les éléments constitutifs d’une cartographie des risques. Ainsi, ont été dissociés les « maté-
riaux de base » que sont les processus, les risques définis selon le COSO 21 comme, la
« possibilité qu’un évènement se produise et ait une incidence défavorable sur la réalisa-
tion des objectifs », les éléments de maîtrise de ces risques et la mesure de leur efficacité.
1
Ouvrage traduit en français par l’IFACI et PwC en 2005 sous le titre « Le Management des risques de
l’entreprise » - copyright en français IFACI.
2
Tout comme « Bâle II » pour le secteur bancaire, la directive européenne « Solvabilité II » prévue en juillet 2007
a pour objectif principal de faire en sorte que les exigences imposées aux entreprises d’assurance reflètent mieux
les risques auxquels celles-ci sont réellement confrontées.
GUIDE D’AUDIT 9
CARTOGRAPHIE DES RISQUES
10 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
PRÉAMBULE
Contexte :
Depuis une vingtaine d'années, des dispositifs plus ou moins complets ont vu le jour au
plan international. Les affaires ENRON, WORLDCOM, VIVENDI, pour ne citer que les
plus symptomatiques, ont provoqué une nouvelle prise de conscience. Les différents codes
ou lois promulgués, que ce soit le TURNBULL GUIDANCE en Angleterre, le SARBANES-
OXLEY ACT aux Etats-Unis, ou la Loi de Sécurité Financière plus proche de nous répon-
dent à l’objectif principal de donner l’assurance aux administrateurs, aux actionnaires, aux
clients, aux partenaires, aux autorités de contrôle, que les activités sont maîtrisées grâce à
un contrôle interne efficient.
La loi de sécurité financière publiée en août 2003 et le décret du 3 janvier 2005 pour les
Sociétés d’Assurance mutuelles, imposent au Président du Conseil d’Administration ou
de Surveillance de rendre compte, dans un rapport, des procédures de contrôle interne
mises en place; ces procédures, pour leur partie relative à l’élaboration et au traitement de
l’information comptable et financière, devant faire l’objet en outre d’un rapport spécial des
commissaires aux comptes.
Même si les rapports portant sur les exercices 2003 et 2004 font état de descriptions du
dispositif de contrôle interne et des principaux risques sans appréciation de l’efficacité du
dispositif, on peut penser qu’il s’agit d’une première étape.
Cette loi et ce décret incitent à identifier les risques liés aux activités de la société, l’analyse
des risques constituant un des points majeurs de tout dispositif de contrôle interne.
Même si les fonctions de contrôle interne sont apparues plus récemment dans le domaine
de l'Assurance que dans le secteur bancaire, de nombreuses Sociétés d'Assurance n'ont
bien sûr pas attendu la promulgation de la LSF pour se préoccuper d'audit et de contrôle
internes, l'évaluation du risque étant, par nature, au cœur du métier d'Assureur.
On peut simplement observer que ce contexte, pour certaines Sociétés d'Assurance, est
venu conforter et légitimer les activités d'audit et de contrôle internes déjà en place et, que
pour d'autres , cela a été l'occasion de les organiser.
Mais au-delà du respect de la loi, le renforcement du contrôle interne est source de valeur
ajoutée et permet notamment de :
• favoriser la transparence et la fiabilité des informations financières ;
• optimiser l’efficacité de l’organisation et des processus ;
• garantir le respect des lois et règlements ;
• assurer la qualité de la gouvernance.
La dimension « risque » vient enrichir la vision des dirigeants en complément des axes
stratégiques et opérationnels et devient un élément de management à part entière.
GUIDE D’AUDIT 11
CARTOGRAPHIE DES RISQUES
12 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
I. LA DÉMARCHE
Cette partie aurait pu tout aussi bien s’intituler « Principes à respecter », ou les « Facteurs
clés de succès », ou plus encore « Nos convictions », dans la mesure où elle regroupe les
principales conditions à réunir pour réussir une cartographie des risques. Ces conditions
sont au nombre de six.
• La Direction Générale, qui doit donner l’impulsion à l’ensemble du dossier, mais sur-
tout créer les conditions et mettre en place les moyens de réaliser cette cartographie des
risques, ce qui passe inévitablement par l’allocation de ressources dédiées. Plus large-
ment, le Comité de Direction doit être complètement partie prenante, ne serait-ce que
parce que chaque Directeur, qu’il soit opérationnel ou fonctionnel, doit initier cette
démarche dans sa propre Direction.
Il y a de multiples raisons d’élaborer une cartographie des processus dans une entreprise :
simple modélisation des process, migration d’un système d’information vers un autre,
harmonisation des process après fusion d’entreprises… Mais il en est au moins une qui la
rend indispensable : l’élaboration de la cartographie des risques.
GUIDE D’AUDIT 13
CARTOGRAPHIE DES RISQUES
Dans le cadre d’une démarche de cartographie, il est possible de distinguer parmi les nom-
breuses méthodes possibles deux grandes approches. La première consiste à partir des
processus pour identifier les différents risques de l’entreprise, la seconde est basée sur un
recensement des risques par le Comité de Direction. Ces deux possibilités ne s’opposent
pas mais se complètent :
Domaine
Processus
Opérations
Bottom up
Tâches élémentaires
Cette partie reprend les grandes séquences de chaque méthode, discute des avantages et
des inconvénients de chacune et indique les écueils à éviter.
Dans cette démarche, le risque est appréhendé dans une vision globale de l’entreprise.
L’approche consiste à faire identifier les risques majeurs par les membres du Comité de
Direction. Ainsi, les dangers sont recensés au regard de la stratégie suivie par l’entreprise.
Une autre approche consiste à identifier les risques par parties prenantes (salariés, action-
naires, clients, etc.) afin de recenser les menaces qui pèsent sur l’entreprise. Cette dernière
approche a été testée par le Groupe de travail, mais elle ne s’est toutefois pas avérée opé-
rationnelle.
Au cours de cette phase, il s’agit de remplir le double objectif de mise en cohérence des
risques identifiés avec les activités de l’entité et d’exhaustivité de la cartographie.
En effet, les risques mis en évidence au niveau de la démarche Top-Down doivent être rat-
tachés aux processus de l’activité.
Ce rapprochement a également pour effet bénéfique de s’assurer de la complétude de
l’analyse.
14 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Les risques d’une compagnie d’assurance sont analysés en approche « Top-Down » avec
la Direction générale, en s’appuyant sur une représentation graphique bidimensionnelle
(fréquence/impact) sous forme de matrice de criticité (cf. annexe 2). La finalité d’une telle
approche est de schématiser le profil de risques propre à la compagnie, et de déterminer
un ordre de priorité des risques majeurs pour leur traitement.
Les niveaux de criticité en impact (perte potentielle en unités de valeur) pourront cor-
respondre à des seuils fixés dans le cadre de la gestion des fonds propres (ceux de la
société mère et ceux de la filiale concernée) et dans le cadre de la réassurance (réassurance
des événements catastrophiques, réassurance par sinistre).
Les niveaux de criticité en fréquence (nombre de survenances possibles d’un risque en une
année), pourront être faibles (inférieurs à un seuil très bas pouvant correspondre à celui
recommandé par BALE II), moyens, élevés et certains (c’est à dire avec survenance certaine
plusieurs fois dans l’année).
La matrice de criticité pourra enfin être représentée sous trois versions : les risques bruts,
les risques résiduels acceptés et les risques résiduels réels.
Enfin une méthodologie peut être développée afin d’appuyer l’évaluation des risques
majeurs sur le niveau de qualité du contrôle interne et de la maîtrise des risques (voir
annexe 2).
GUIDE D’AUDIT 15
CARTOGRAPHIE DES RISQUES
Une première identification des risques est réalisée au cours des entretiens avec les opéra-
tionnels. Comme pour le recensement des processus, la description des risques peut se
faire soit sur la base d’un questionnaire soit de manière ouverte, facilitant ainsi l’identifi-
cation de risques.
Cette première identification est construite conjointement par le management de l’activité
opérationnelle et les équipes en charge de la cartographie.
Le recensement des risques étant réalisé à partir de différentes activités prises isolément,
il apparaît important d’identifier également les risques liés aux interrelations entre ces acti-
vités.
Ce n’est qu’une fois cette étape franchie que ces risques pourront être classés. Plusieurs
possibilités sont alors offertes. L’entreprise peut faire le choix d’une typologie spécifique à
l’entreprise, en fonction du domaine d’activité et des objectifs définis pour la démarche.
Avant de se lancer dans cette étape, il convient de définir un certain nombre de principes
structurants tels que les méthodes d’évaluation des risques. Elles sont différentes selon
qu’il s’agit de répondre à une question de stratégie ou d’analyse de type rentabilité/risque.
Les risques sont évaluables quantitativement par les informations recueillies dans le cadre
de l’analyse des processus. Ce sont soit des données déjà existantes : statistiques et
tableaux de bord, bases incidents, comptes techniques, … ; soit des données constituées
pendant la démarche d’identification des risques : comptage d’opérations et d’anomalies,
mise en place de statistiques d’observation, etc. De même que pour la démarche « bottom-
up », il est préférable que ce travail soit réalisé avant tout par les opérationnels concernés.
En résumé, l’évaluation pourra être soit qualitative et être établie sur la base de rapports
de l’audit interne ou d’avis d’experts, soit semi-quantitative et basée sur un système de
notation du couple fréquence/impact, soit quantitative quand un chiffre de perte proba-
ble est associé à un risque
Cette phase est essentielle dans la démarche de cartographie dans la mesure où elle per-
met de s’assurer de la meilleure identification des risques de l’entreprise. En effet, l’iden-
tification des risques inhérents aux processus opérationnels de l’entreprise ne permet pas
de prendre en compte certains dangers dits stratégiques. Par exemple, le risque d’image
ou bien le risque légal (responsabilité des dirigeants) pourrait être omis sans la réalisation
de cette étape. Pour répondre à ce besoin, ces risques stratégiques doivent être étudiés et
rapprochés de la cartographie obtenue par l’analyse des processus.
Selon les participants du groupe de travail qui ont entrepris une démarche de cartographie
au sein de leur entreprise, la construction s’effectue en référence permanente avec la typo-
logie des risques afin de veiller à ne pas oublier certains risques. Ce rapprochement per-
met également l’élaboration de tableaux de cartographie, tableaux dont des exemples sont
joints en annexe 3.
16 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
En revanche, c’est une démarche consommatrice de temps dans la mesure où elle requiert
la tenue de nombreux entretiens et la collecte d’informations en masse. Par ailleurs, elle
peut s’avérer coûteuse en termes de compétences et de systèmes car la collecte des don-
nées nécessite souvent le recours à des outils adaptés.
Quant à l’approche Top-down, elle permet une mise en œuvre plus légère puisque les
entretiens nécessaires sont moins nombreux et ne nécessitent pas une analyse des proces-
sus. L’examen des risques stratégiques permet également de s’assurer de la prise en
compte plus immédiate des processus transversaux ou managériaux, ce qui peut être plus
en adéquation avec les attentes de la Direction générale.
Cependant, elle présente l’inconvénient d’être moins précise, tant dans l’identification des
risques que dans leur quantification. Par ailleurs, les opérationnels n’étant pas associés, ils
peuvent avoir du mal à s’approprier la démarche.
Le groupe de travail considère ces deux démarches comme complémentaires et c’est pour-
quoi il recommande, dans la mesure du possible, de les combiner en fonction des moyens
et des délais accordés.
En effet, ces deux approches, non seulement ne s’opposent pas, mais sont complémentai-
res. Elles peuvent être conduites soit de façon successive, soit de façon simultanée, la ques-
tion du choix pouvant se poser lors du démarrage d’un projet de cartographie.
L’approche Top Down facilite la fixation de priorités d’actions dans ce qui remonte de
l’approche Bottom Up, et cette dernière permet de valider et de compléter les éléments res-
sortis dans l’approche Top Down.
Ces deux méthodes ont ainsi naturellement vocation à alimenter et faire vivre la carto-
graphie.
Enfin, il convient de préciser que, quelles que soient la ou les méthodes utilisées, nous ne
pouvons jamais être certain de couvrir l'exhaustivité des risques.
On entend ici par opérationnels, l’ensemble des collaborateurs qui agissent dans l’entre-
prise : les commerciaux (qu’ils soient salariés ou mandataires), les gestionnaires (tant en
production qu’en sinistres ou prestations), mais aussi tous les collaborateurs fonctionnels
GUIDE D’AUDIT 17
CARTOGRAPHIE DES RISQUES
Ils doivent s’approprier la démarche et être les premiers consultés, quelles que soient les
méthodes mises en œuvre, que celles-ci reposent sur des questionnaires individuels, des
ateliers ou des interviews.
Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielle
dans la mise en œuvre du dispositif de contrôle interne.
Encore faut-il, ensuite, faire vivre cette cartographie des risques, en l’actualisant régulière-
ment. A défaut, et compte tenu de la rapidité de l’évolution de la vie de l’entreprise, cette
cartographie deviendrait rapidement inopérante et l’entreprise perdrait le bénéfice de
l’investissement réalisé au départ. Mais, là aussi, cela nécessite d’allouer un minimum de
ressources à la maintenance de cet outil.
Enfin, des facteurs tels que les évolutions réglementaires, les nouveaux risques, les incer-
titudes croissantes liées à l'environnement, rendent indispensables cette actualisation.
18 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Ces six conditions présentées ci-dessus constituent une situation quasi-idéale, dont il faut
essayer de se rapprocher. Bien évidemment, le principe de réalité fait que certaines condi-
tions seront imparfaitement remplies, ce qui ne doit pas empêcher la production d’une car-
tographie des risques.
Quelle que soit l’approche utilisée – Top Down ou Bottom Up – la démarche d’élaboration
d’une cartographie des risques ne peut réussir que si les cinq étapes ci-dessous sont fran-
chies.
Nous sommes, lors de cette première étape, dans l’environnement de contrôle interne.
Quels sont les objectifs découlant de la stratégie et ce, pour chaque entité de l’entreprise,
en fonction de son organisation : par métier, par zone géographique, par segment de mar-
ché… ?
Quels résultats en attend l’entreprise : objectifs de chiffre d’affaires, de production, de
marge technique, de qualité de service client, de produits financiers, de résultat d’exploi-
tation… ?
Quels sont les principaux processus de l’entité concernée ? Permettent-ils l’atteinte des
objectifs ?
Il faut, ici, notamment dans l’approche Bottom Up avec les opérationnels, certes décom-
poser les macro-processus en sous-processus (ou processus spécialisés) mais aussi veiller
à ne pas descendre à un niveau trop fin (les tâches élémentaires par exemple), ce qui ren-
drait la cartographie complexe, voire inopérante. Il convient en effet de rester au niveau
des processus supposés porteurs de risques significatifs.
Dans chaque entité, qu’elle soit opérationnelle ou fonctionnelle et processus par processus,
il est indispensable de procéder à l’identification des risques, au sens d’événements venant
perturber l’atteinte des objectifs, en utilisant pour ce faire, toutes les méthodes appropriées
(cf. documents joints en annexe 2). Mais s’arrêter à la seule identification des risques serait
néanmoins insuffisant.
GUIDE D’AUDIT 19
CARTOGRAPHIE DES RISQUES
Ausitôt après avoir identifié un risque, l’étape suivante consiste à l’évaluer au regard des
deux paramètres fondamentaux en la matière, que sont l’impact (I) et la fréquence (F), là
aussi en utilisant les approches méthodologiques les plus adaptées (cf. documents en
annexe 2), telles que la matrice de criticité.
Il s’avère utile également de bien préciser que l’on travaille sur le risque brut, le risque rési-
duel, résultant de la mise en œuvre des éléments de maîtrise.
Quelle que soit la démarche retenue, les écueils sont nombreux et il convient d’en tenir
compte dès le début de la mise en œuvre de la cartographie.
Le recensement des processus et des risques inhérents ne doit pas descendre, en matière
de granularité, à un niveau de finesse excessive. De même, la recherche de l’exhaustivité
des risques peut conduire à un long travail d’identification ; certains de ces risques s’avé-
rant in fine non significatifs ou non pertinents.
L’absence d’outils dédiés et le recours à des produits bureautiques divers peut rendre la
consolidation et l’exploitation des informations difficiles.
Par ailleurs, une approche trop dirigiste lors des entretiens peut entraîner une identifica-
tion partielle des risques, l’opérationnel rencontré étant cantonné à un cadre délimité par
des questionnaires ou cartographies de référence.
De plus, les opérationnels peuvent être réticents à indiquer certains risques du fait d’une
approche trop inquisitrice, installant de fait un climat moins propice aux échanges et à
l’expression spontanée des risques.
20 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Un risque est communément défini comme « une menace qu’un événement ou une action se
produise dans le futur et entraîne des effets négatifs pour l’entreprise dans les objectifs qu’elle s’est
fixée ».
L’IFACI définit le risque (lexique « Les mots de l’Audit ») comme étant « un ensemble
d’aléas susceptible d’avoir des conséquences négatives sur une entité et dont le contrôle interne et
l’audit ont notamment pour mission d’assurer autant que faire se peut la maîtrise ».
Dans une approche plus internationale, la définition du Risque proposée dans le COSO 2
est la suivante : « Possibilité qu’un évènement se produise et ait une incidence défavorable sur la
réalisation des objectifs ».
Cette connotation négative du risque doit se transformer en « une opportunité que l’entre-
prise doit anticiper, comprendre et gérer dans le cadre de sa stratégie pour atteindre ses objectifs et
créer de la valeur ». Ceci repose également sur l’élaboration d’une cartographie des risques.
En préalable, il convient de préciser que la typologie des risques telle que l’a abordée le
groupe de travail ne porte pas sur les risques acceptés et garantis dans le cadre du métier
d’assureur mais sur ceux découlant de la mise en œuvre opérationnelle de ce métier.
Le risque est inhérent à l’activité de l’entreprise. Deux catégories majeures de risques sont
alors rencontrées :
• les risques endogènes, propres à l’activité de l’entreprise, qui sont liés à ses processus,
son organisation, son système d’information, son management, etc. ;
• les risques exogènes dont l’origine provient de l’environnement de l’entreprise : les
clients, les fournisseurs, les sociétaires ou actionnaires, les concurrents, les marchés
financiers, les catastrophes naturelles ; l’entreprise ayant peu de prise sur cette dernière
catégorie de risques.
GUIDE D’AUDIT 21
CARTOGRAPHIE DES RISQUES
Le groupe de travail a élaboré une « Nomenclature des risques d’une entreprise d’assuran-
ces » (présentée en annexe 4) permettant de lister et structurer les risques encourus par une
compagnie d’assurance et ainsi avoir un vocabulaire commun. Sans être exhaustive, cette
nomenclature descend à un niveau de détail suffisant pour être exploitable, c’est à dire
pour définir non seulement les risques au niveau de l’entreprise d’assurance, mais aussi au
niveau de chaque secteur opérationnel de l’entreprise.
La démarche de modélisation des risques ainsi mise en œuvre a conduit à les désigner par
leur cause, c’est à dire l’origine première du phénomène dont il résulte :
Chacune de ces 6 familles a ensuite été déclinée en risques de niveau 2, au nombre de 31,
lesquels ont été à leur tour déclinés en risques de niveau 3, au nombre de 164.
Ainsi, selon le niveau auquel l’entreprise souhaite descendre, elle peut travailler sur un
nombre plus ou moins grand de risques, permettant alors un degré de finesse variable
dans la vision des risques encourus.
Les composantes du risque sont explicitement définies tant par la définition ISO du risque
que dans le glossaire des Normes professionnelles de l’audit interne, voire dans le cadre
de COSO 2 : « la possibilité que se produise un événement qui aura un impact sur la réalisation
des objectifs. Il se mesure en termes de conséquences et de probabilité. »
1
Ce découpage est certes différent de celui proposé dans Solvabilité II, mais il semble aux membres du groupe de
travail qu’il est plus proche des préoccupations des opérationnels.
22 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
a En terme de conséquences :
• Quelle est la conséquence si le risque se concrétise ? Il est toutefois possible qu’elle soit
selon les situations favorable ou défavorable. Il semble de bon sens d’évacuer de la
démarche le fait que la survenance d’un risque soit source de gain et d’opportunité
pour l’entreprise.
Les différentes conséquences se déclinent en grandes catégories, à savoir :
• perte financière (baisse des revenus ou hausse des coûts), directe ou indirecte, immé-
diate ou à terme ;
• responsabilité civile et/ou pénale ;
• sanctions légales et/ou professionnelles ;
• dégradation de l’image.
Plutôt que de conséquences, nous parlerons d’impact.
a En terme de probabilité :
• Quelle est la probabilité de survenance du risque ? C’est la possibilité plus ou moins
forte de subir les conséquences de l’événement considéré, à tout moment ou dans le
temps, on parlera alors de fréquence de survenance.
Enfin, il faut préciser à quel niveau de risque on se situe, risque brut ou risque résiduel,
dans la mesure où il convient de tenir compte de l’existence d’éléments visant justement à
réduire les conséquences de sa survenance :
• le risque brut mesure le risque sans aucun élément de maîtrise : absence de procédu-
res, absence de contrôle interne, absence de système informatique,…
• le risque résiduel ou le risque net mesure le risque après mise en place des éléments de
maîtrise : contrôle interne, couverture financière, transfert du risque…
La liste des risques identifiés et évalués se représente ensuite sous forme d’une « carto-
graphie des risques » suivant un axe « fréquence » et un axe « impact potentiel ».
On entend par granularité le niveau de détail sur lequel peut se construire une cartogra-
phie. La définition de la granularité est essentielle car plus le niveau de détail est fin, et
plus le travail correspondant d’identification des risques est important. Elle impacte donc
l’élaboration de la cartographie et sa maintenance ultérieure. Choisir le bon niveau de gra-
nularité est également important afin de calibrer la démarche aux moyens disponibles et
au planning souhaité.
Ainsi, cinq niveaux complémentaires de granularité, du plus large au plus particulier, ont
été identifiés :
• le métier : IARD, Vie, Assistance, Réassurance… ;
• le domaine : pour le métier IARD : Habitat, Auto, transport aérien… ;
• le processus : pour les particuliers : processus souscription, processus sinistres, proces-
sus prestations… ;
GUIDE D’AUDIT 23
CARTOGRAPHIE DES RISQUES
Ces niveaux sont indépendants de la nature – managériale, métiers, supports – des modes
opératoires (cf. annexe 2).
Le groupe de travail s’est accordé pour désigner le niveau médian « processus » comme le
niveau pertinent d’une cartographie. En effet, celui-ci constitue d’une part le meilleur com-
promis entre le temps passé à l’élaboration de la cartographie et le degré de pertinence de
la vision des risques. D’autre part, c’est le niveau d’équilibre permettant de faire conver-
ger et de relier les éléments obtenus à partir de chacune des deux principales méthodes (Top
Down et Bottom Up).
La question se pose donc de savoir comment apprécier le risque : par niveaux de fréquence
(très probable, probable, peu probable ou très peu probable) ou selon une appréciation
financière des impacts (quel est le coût estimé de la survenance d’un risque ?). L’évaluation
d’un risque consiste à apporter des informations justifiables sur la fréquence et les impacts
du risque.
L’appréciation doit être qualitative avant d’être quantitative. Cependant, cette apprécia-
tion est insuffisante en général et doit être complétée par une évaluation de l’impact et de
la fréquence de survenance (sa probabilité). En effet, le risque brut peut être résumé selon
l’équation suivante :
Le risque brut est rarement celui effectivement supporté par l’organisation, car il suppo-
serait une attitude complètement passive de cette dernière. Il s’agit en effet de son impact
avant intervention des éléments de protection, éléments qui conduisent à maîtriser totale-
ment ou partiellement le risque pour le contenir dans des zones acceptables en terme de
conséquences. Ces éléments de maîtrise transforment donc le risque brut en un risque rési-
duel.
Il s’avère, de façon couramment admise, que l’appréciation des risques bruts et résiduels
est du ressort des opérationnels, qui en appréhendent plus aisément les impacts. Toutefois,
cette estimation doit faire l’objet d’une confrontation avec la ou les personnes en charge de
la cartographie afin de « valider » les hypothèses retenues en terme d’impact et de fré-
quence. Le cas échéant en cas de divergence de vue, il peut être utile de faire trancher la
question par un comité ad-hoc.
En effet, nous pouvons être confrontés au fait que certains opérationnels ont tendance à
minorer les impacts potentiels d’un risque dont ils ont la responsabilité. De plus, il est pos-
sible que les opérationnels ne pensent pas aux risques majeurs à fréquence très faible. En
tout état de cause, l’entité en charge de l’élaboration de la cartographie des risques doit
veiller à la cohérence d’ensemble, notamment pour permettre une consolidation des
risques pertinente.
24 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Apprécier les éléments de fréquence constitue également une difficulté pour l’élaboration
de la cartographie. Pour y parvenir, il convient de recenser toutes les sources possibles
d’information (discussions avec les opérationnels, les contrôleurs internes, les auditeurs
internes et les commissaires aux comptes, lecture des rapports d’audit existants, docu-
ments du secteur, bases internes d’incidents, etc.).
L’idée est de nourrir l’argumentation pour confirmer l’appréciation réalisée. Ceci sert
ensuite de base de discussion avec l’opérationnel afin de recueillir son avis sur cette fré-
quence. Dans le cas contraire, il convient de procéder à un arbitrage en vue de s’accorder
sur une fréquence potentielle.
Cette démarche itérative permet alors d’associer une fréquence à chaque couple proces-
sus / risque.
Niveau 1 2 3 4
Très peu probable Peu probable Probable Très probable
En temps > 3 ans 1 - 3 ans 6 mois - 1 an < 6 mois
En volume < 1% 1-5% 5 - 10 % >= 10 %
L’échelle de temps peut être adaptée bien sûr selon la stratégie de l’entreprise et la nature
des risques qu’elle encourt.
Par convention, il est préférable de retenir que plus le risque est grand, plus le chiffre doit
l’être. De plus l’échelle proposée est une échelle paire, ceci afin de « prendre parti » et de
catégoriser le risque, ce qui évite les risques « moyens » ne permettant pas une analyse per-
tinente.
GUIDE D’AUDIT 25
CARTOGRAPHIE DES RISQUES
Le tableau ci après illustre la démarche d’évaluation selon les possibilités de mesure effec-
tive du risque.
Façon :
Qualitative Semi-quantitative Quantitative
Estimation de :
Moyenne attendue
la fréquence poten- du nb de survenance
tielle de la surve- dans l’horizon de
Nul/faible/moyen/
nance du risque (f) temps choisi
fort
(Bâle II : f = N x p) *
ou
échelle numérique à
nombre pair de
l’impact potentiel, en Montant sur échelle
niveaux
termes de coût finan- de valeur continue
cier (« severity ») (ex. : millions d’€)
Enfin, la responsabilité de l’évaluation des risques doit être clairement arrêtée. Bien que
les opérationnels soient les seuls propriétaires du risque, la responsabilité de l’évaluation
peut toutefois être partagée. A cette fin, la démarche peut s’appuyer sur des expertises
externes ou des techniques utilisées au sein des départements de Risk Management,
d’audit ou de Contrôle internes.
26 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
fréquence faible et par ailleurs difficile à estimer car elle implique direc-
Probabilité
tement la compétence des collaborateurs !
Le groupe de travail s’est penché sur l’analyse de ce processus afin de confirmer la validité
des outils méthodologiques définis. Ce processus offre un double avantage, celui d’être
partagé par le plus grand nombre d’entreprises représentées au sein du groupe de travail
et d’être facilement appréhendable par les non spécialistes, ces derniers ayant pour la plu-
part des voitures à assurer à titre personnel.
GUIDE D’AUDIT 27
CARTOGRAPHIE DES RISQUES
La démarche du groupe s’est réalisée en deux temps, le premier consistant à valider les
niveaux de granularité, puis la typologie des risques.
Le groupe a ainsi retenu une structuration du processus comme suit, selon la nomencla-
ture suivante :
- Processus : Niveau 3,
- Opération : Niveau 4,
- Tâche élémentaire : Niveau 5.
Le processus « Souscription automobile » peut alors être découpé en éléments suivants (le
chiffre entre parenthèse correspondant au niveau de granularité) :
2. Souscription (3)
- Acceptation (4)
- Enregistrement (4)
- Emission de police (4)
28 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Organisation & Cahier des charges, spécifications Non respect des procédures
Gestion détaillées (30202),
Commissionnement inadapté
Rémunération
(30306)
GUIDE D’AUDIT 29
CARTOGRAPHIE DES RISQUES
Les assureurs sont des gestionnaires des risques, c’est leur spécialité, leur métier. Pourtant
dans certaines circonstances des risques réputés identifiés, connus et maîtrisés peuvent
prendre des proportions imprévues lorsqu’ils se combinent ou lorsque qu’un évènement
frappe simultanément plusieurs organes de la société tels que :
• les fonctions de management ;
• le financier : actif / passif (réserves), Cash-Flow, réassurance ... ;
• les fonctions opérationnelles de souscription et de gestion de sinistres ;
• les fonctions support telles que l’informatique et les ressources humaines.
Il suffit alors que des facteurs aggravants extérieurs interviennent pour que ces évène-
ments deviennent de véritables menaces pour les sociétés les plus solides. Ces facteurs
aggravants extérieurs peuvent provenir des médias, de l’intervention des pouvoirs poli-
tiques ou juridiques, des régulateurs, du pouvoir législatif…
A ces menaces sur des risques identifiés s’ajoutent celles sur les risques dits « ignorés »
c'est à dire soit totalement inconnus, soit connus seulement par des experts ou des per-
sonnes averties mais qui ne sont pas pris en compte par les compagnies d’assurance, faute
d'information, de sensibilisation ou de prise de conscience, voire d'« impasse stratégique ».
« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne sont pas
encore perçus ni gérés par les professionnels du risque. Ils se situent à la jonction de la
technique et de l'homme dans toutes ses dimensions: santé, culture, mode de vie, droit, éco-
nomie, politique... et peuvent conduire à des sinistres catastrophiques pour le secteur de
l'assurance.
Il ne s’agit donc pas de risques de développement, risques que l’état de la Science ne per-
met pas de détecter au moment de la souscription et dont l’assureur peut tenter de se pro-
téger par des exclusions mais de risques latents non pris en compte par le souscripteur.
(SCOR sept. 2002) ».
Si cette définition s’applique plus volontiers à des risques assurés, la problématique est
identique pour les risques opérationnels.
Le groupe de travail a ainsi recensé six types de menaces, dont le détail est joint en annexe
8:
• évènements Naturels : Tsunami par exemple ;
• nouveaux Produits / Nouvelles technologies : OGM, virus informatiques… ;
• santé : manipulations génétiques, aléa thérapeutique … ;
• sociétés / Politique : terrorisme, guerre… ;
30 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Les risques identifiés dans chaque type de menace sont mis en correspondance avec les
risques identifiés dans la nomenclature des risques.
Cette analyse est de nature qualitative. En effet, il n’existe pas d’éléments probants pour
obtenir une évaluation quantitative des risques ignorés. En outre, ces risques sont suppo-
sés avoir des impacts extrêmes, susceptibles de faire disparaître l’entreprise.
Les données recueillies par l’analyse aboutissent à une représentation graphique sous
forme de radar, représentant les 6 axes (un par type de menace), du profil d’exposition de
l’entreprise à ces risques.
A titre d’illustration, pour les risques d’événements naturels et liés aux nouvelles techno-
logies :
GUIDE D’AUDIT 31
CARTOGRAPHIE DES RISQUES
Plus généralement, des scénarios de risques peuvent être modélisés afin de tester la résis-
tance de l’entreprise, avec l’objectif d’accroître la flexibilité et la réactivité du système de
gestion des risques et du dispositif de contrôle interne.
La mesure de l’exposition aux risques d’un domaine donné pourrait être représentée par
l’aire de la surface étoilée, ce qui permettrait de définir des priorités de traitement des
risques relatifs aux menaces ignorées.
En outre, plus la surface étoilée est allongée vers le haut, plus l’impact des facteurs aggra-
vants d’origine extérieure est important, et plus il sera difficile à l’entreprise de faire face
aux risques relevant de ce domaine. Il convient alors en toute première priorité de limiter
l’exposition à de tels risques notamment par des mesures de veille préventive.
Cette méthode, présentée ici succinctement dans ses grands principes, nécessite un appro-
fondissement méthodologique et une adaptation spécifique à chaque entreprise.
32 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
CONCLUSION
Dans un monde de plus en plus complexe et imprévisible, les Dirigeants des sociétés
d’Assurance ont bien compris que la gestion des risques garantissait des informations éco-
nomiques, stratégiques, structurelles ou encore opérationnelles, plus fiables et de
meilleure qualité.
Même si les responsables des organisations ont une vision et une approche globale des
risques inhérents à leurs activités, construire une cartographie des risques ne peut que leur
apporter de nouveaux éléments d’observation destinés à mieux maîtriser et orienter leurs
objectifs.
C’est pour cette raison que les Dirigeants doivent être convaincus de l’intérêt d’une carto-
graphie des risques, encourager et participer activement à sa mise en place.
Les applications d’une cartographie des risques sont nombreuses et conduisent les utilisa-
teurs à privilégier tel ou tel aspect des résultats obtenus afin de redéfinir leurs priorités.
Du Conseil d’Administration à la Direction Générale, en passant par les responsables opé-
rationnels, les gestionnaires de risques, les contrôleurs internes et les auditeurs internes,
chacun pourra utiliser la cartographie comme support à des actions propres à leur organi-
sation.
Toute cartographie des risques ne doit pas être une fin en soi mais un point de départ à
l’action.
Simple dans son principe mais complexe à élaborer, une cartographie doit, tout d’abord,
recevoir l’approbation et l’adhésion de tous les participants afin que les résultats reflètent
la réalité de l’organisation et de ses risques.
Pendant et après sa réalisation, les opérationnels doivent s’approprier la cartographie en
prenant conscience des risques importants et essentiels, entreprendre une démarche
volontariste d’analyse de ces risques pour, enfin, définir un plan d’actions destiné à
réduire l’exposition aux risques identifiés.
Le succès d’une cartographie des risques réside dans son utilisation future, dans la capa-
cité des utilisateurs à la faire vivre dans le temps.
C’est dans ce sens que le référentiel commun qui vous a été présenté a été construit.
GUIDE D’AUDIT 33
CARTOGRAPHIE DES RISQUES
34 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
ANNEXES
A N N E X E S
Annexe 1 : Glossaire
GUIDE D’AUDIT 35
CARTOGRAPHIE DES RISQUES
A N N E X E S
36 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
ANNEXE 1 : GLOSSAIRE
RISQUE
« Le risque est la possibilité qu’un évènement se produise et ait une incidence défa-
vorable sur la réalisation des objectifs ».
(COSO 2)
Le risque est la possibilité que se produise un événement ou une action ayant des
effets négatifs sur la réalisation des objectifs de l'Entreprise.
***
A N N E X E S
RISQUE RÉSIDUEL (ou RISQUE NET)
Risque existant encore, après que le management ait mis en place des mesures pour
le maîtriser : description de procédures, dispositifs de contrôle interne, assurances…
***
***
RISQUE AVÉRÉ
Risque qui s'est déjà réalisé dans le passé, dans l'Entreprise (ou dans une autre
Entreprise similaire).
RISQUE POTENTIEL
Risque identifié, et donc connu, mais qui ne s'est pas encore produit dans l'Entreprise.
***
RISQUES IGNORÉS
« Risques nouveaux, nés de l'évolution technique, économique et humaine, qui ne
sont pas encore perçus ni gérés par les professionnels du risque. Ils se situent à la
jonction de la technique et de l'homme dans toutes ses dimensions : santé, culture,
mode de vie, droit, économie, politique… et peuvent conduire à des sinistres catas-
trophiques pour le secteur de l'assurance.
GUIDE D’AUDIT 37
CARTOGRAPHIE DES RISQUES
***
PROPRIÉTAIRE DE RISQUE
Personne chargée de s'assurer que les risques liés aux activités dont elle est respon-
sable sont correctement traités. En général l’opérationnel.
***
***
38 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
I. Introduction
1.1 Rappel de la démarche de gestion des risques
A N N E X E S
Etape 2 Répertorier les processus
Ensembles organisés de traitements permettant l’atteinte des objectifs
GUIDE D’AUDIT 39
CARTOGRAPHIE DES RISQUES
Façon :
Qualitative Semi-quantitative Quantitative
Estimation de :
Moyenne attendue
la fréquence poten- du nb de survenance
tielle de la surve- dans l’horizon de
Nul/faible/moyen/
nance du risque (f) temps choisi
fort
(Bâle II : f = N x p) *
ou
échelle numérique à
nombre pair de
l’impact potentiel, en Montant sur échelle
niveaux
termes de coût finan- de valeur continue
A N N E X E S
40 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Comment ?
1/ Qualitatif : description des effets
De pair souvent avec l’identification des risques
Attention : les risques de gravité maximale (paralysie d’un centre de gestion,
panne informatique générale, …) doivent être traités en 1ère priorité sans néces-
A N N E X E S
siter d’évaluation supplémentaire.
2/ Semi-quantitatif : impact/fréquence, par des méthodes d’auto-évaluation
et/ou de représentation des risques dans des échelles de valeurs discrètes.
Exemple : matrice de criticité : approche manageriale pour une présentation
synthétique du profil de risques et la priorisation de leur traitement.
3/ Quantitatif : impact/fréquence, par des méthodes techniques
Elles peuvent être faites pour des risques difficiles à appréhender ou à quantifier :
• risques stratégiques audités par un cabinet,
• risques informatiques inventoriés dans le cadre d’une enquête MEHARI,
• risques RH analysés par un sondage du personnel,
• …
GUIDE D’AUDIT 41
CARTOGRAPHIE DES RISQUES
IMPACT
Critique
POTENTIEL *
PRIORITÉ 3
ZONE DE
A N N E X E S
Moyen
SURVEILLANCE
(RISQUES
RÉSIDUELS)
-> PRIORISATION DE
Faible LA GESTION DES RISQUES
<--------------------------- Faible ------------------------> < Moyenne > < Elevée > < Certaine >
FRÉQUENCE POTENTIELLE *
* échelles logarithmiques
42 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
La perte financière maximale acceptable doit ne pouvoir survenir qu’avec une très
faible probabilité (proposée ici à 0,1%), correspondant au seuil de tolérance. Par
exemple une chute de météorite, un tremblement de terre dans une zone sans activité
sismique, etc., ne nécessitent pas de mesure de gestion spécifique.
Au-delà de cette fréquence, le risque maximum résiduel doit baisser (traitement des
risques de priorité 3).
A N N E X E S
Pour chaque risque identifié :
a la fréquence potentielle d’un risque est évaluable sur la base :
• du nombre de réalisations d’une procédure et du nombre d’incidents observés
(ex. : nombre annuel de règlements par chèque et d’incidents)
• de statistiques internes (exemple : fréquence des sinistres auto corporels)
• de l’exposition de l’objet du risque à un phénomène (exemple : situation d’un bâti-
ment dans une zone inondable, selon les cartes MRN)
• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)
• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-
view)
a l’impact financier potentiel d’un risque est évaluable sur la base :
• de montants comptabilisés (exemple : prestations payées par chèque)
• de statistiques internes (exemple : moyenne des sinistres auto corporels)
• de montants prédéfinis (garanties prévues par une police MRH)
• d’une expertise (valeur d’un bâtiment, maximum d’une perte d’exploitation, …)
• d’informations de marché (exemple : statistiques FFSA pour un type d’événement)
• d’une enquête auprès des collaborateurs concernés (questionnaire de risque, inter-
view)
a Préliminaires
• Nous prenons l’exemple d’une compagnie IARD, en faisant une analyse des
risques considérés comme majeurs, hors risques financiers. Les évaluations pré-
sentées ne sont pas propres à une compagnie particulière.
• Nous préconisons que cette méthode soit mise en œuvre avec des remises à jour
régulières par un même service de l’entreprise (service de gestion des risques,
audit interne, …).
GUIDE D’AUDIT 43
CARTOGRAPHIE DES RISQUES
• Cette méthode doit permettre une représentation commune des risques d’une
entreprise d’assurance quelle que soit la nature de ces risques. Notamment, les
seuils utilisés dans la gestion « cœur de métier » de l’assureur sont intégrés dans
les échelles utilisées, permettant un étalonnage homogène et cohérent des niveaux
de risque (rétentions des risques par événement ou par sinistre individuel prises
en compte dans les programmes de réassurance).
a Echelles :
a Matrice n°1 : représentation des risques bruts, évalués selon une démarche Top-
Down
44 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
d'une part (effet de protection) et sur la fréquence d'autre part (effet de préven-
tion). On évalue ainsi la performance de la gestion du risque, sur une échelle de
1 (moindre performance) à 4 (performance maximale).
- pour chaque risque, en fonction de son intensité potentielle brute [ou de sa fré-
quence potentielle brute] et de la performance optimale de sa gestion, d'un pas-
sage du risque brut au risque résiduel selon la table suivante :
Performance /
4 3 2 1
risque brut
4 1 2 3 4
3 1 1 2 3
2 1 1 1 2
A N N E X E S
1 1 1 1 1
a Matrice n° 3 : passage du brut au résiduel atteint (se situant quelque part entre
le résiduel souhaité et le brut)
L'effet optimal des mesures de gestion des risques et de contrôle interne pris en
compte précédemment est, en réalité, plus ou moins atténué, en fonction de la qua-
lité du dispositif de contrôle interne. L'hypothèse faite de façon uniforme est celle
d'un contrôle interne de qualité bonne mais pas optimale (note 2 sur une échelle
de 0 à 3), pour tous les risques considérés.
La performance réelle de la gestion de chaque risque est alors évaluée en utilisant
la table suivante :
Qualité du CI /
4 3 2 1
performance cible
4 1 2 3 4
3 1 1 2 3
2 1 1 1 2
1 1 1 1 1
Puis, le risque résiduel est évalué en croisant le risque brut avec la performance
réelle.
GUIDE D’AUDIT 45
CARTOGRAPHIE DES RISQUES
Remarque :
Cette présentation comporte beaucoup d'hypothèses. La mise en œuvre de cette
méthode doit s'accompagner d'une adaptation au cas spécifique d'une entreprise
donnée, et d'évaluations consistantes sur :
A N N E X E S
46 GUIDE D’AUDIT
GUIDE D’AUDIT
MATRICE DE CRITICITE D'ORIGINE : RISQUES BRUTS
(Hypothèse : aucune réaction de l'entreprise)
CARTOGRAPHIE DES RISQUES
I
4 * cat nat* sinistre technologique * cumul de sinistres* judiciaires
n
t
e extrême / illimité
n
s * tarification* non-conformité des souscriptions* normes de
i calcul des PM* suffisance des PSAP* réglementation du
* déviation de la sinistralité* fréquence des
travail* diffusion de l'information* non-conformité des
t 3 * cumul de souscription sinistres de pointe* malveillance de tiers*
opérations de distribution aux réglementations en vigueur*
concurrence* cycles tarifaires
é IT* juridiques* protection des données sur les personnes*
pilotage interne* communication externe
p seuil critique
o
t
* hygiène* non-respect de la confidentialité*
e * défaillance d'un courtier* immeubles détournement fonds de clients* blanchiment*
2 * comptabilité générale* Fiscal
n d'exploitation interfaces inter-services* fournisseurs de
services
t
i seuil moyen
e
l
l * conservation des documents
1
e
négligeable
1 2 3 4
< seuil de tolérance seuil de tolérance - 5 % 5 % - 100 % > 100 %
Fréquence potentielle
47
A N N E X E S
A N N E X E S
48
MATRICE DE CRITICITE CIBLE : RISQUES RESIDUELS POSSIBLES
(Hypothèse : bon système de gestion des risques et contrôle interne optimal)
GUIDE D’AUDIT
GUIDE D’AUDIT
MATRICE DE CRITICITE EN COURS : RISQUES RESIDUELS ATTEINTS
(Hypothèse : bon système de gestion des risques et bon niveau de contrôle interne)
CARTOGRAPHIE DES RISQUES
I
n 4
t
e
extrême / illimité
n
s
i
t 3 * judiciaires
seuil critique
p
o
* tarification* non-conformité des souscriptions*
t fréquence des sinistres de pointe* cat nat*
* déviation de la sinistralité* protection des
e 2 sinistre technologique* juridiques* malveillance * cumul de sinistres
données sur les personnes
de tiers* pilotage interne* communication
n externe* concurrence* cycles tarifaires
t
i seuil moyen
49
A N N E X E S
CARTOGRAPHIE DES RISQUES
Elles peuvent être nécessaires pour des risques quantifiables pas encore gérés ou pas
mesurés assez précisément pour une gestion efficace. L’estimation doit en général
être confiée à un expert :
A N N E X E S
Une méthode appliquée dans un domaine donné peut se voir appliquée dans un
autre domaine en fonction de sa pertinence par rapport au contexte. Par exemple, la
« value at risk » peut avoir des applications dans le domaine général (adaptation aux
risques opérationnels).
50 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Objet type
Nom de la Profil de
évalué ou Description
méthode l’évaluateur
exemple
Value at risk Quantile au seuil
(VaR) et d’aversion du risque de la Analyste
Risques de taux
méthodes distribution supposée du financier
dérivées risque
Besoins en fonds
Pourcentage de données
Risk based propres
comptables indicatrices de Comptable
Capital (réglementation
A N N E X E S
l’importance du risque
US)
Valorisation des biens
Bien, fonds de matériels et immatériels
Expertise
commerce, aux prix de marché en Expert spécialisé
financière
entreprise tenant compte des
engagements ou passifs
Analyste
Résultats
Modélisation comptable, financier, expert
Simulation prévisionnels
technique et financière comptable,
Actif net
actuaire
Analyste
Processus de notation
Analyse Vie et santé des financier,
incluant l’analyse des
financière entreprises économiste
bilans
(agences)
GUIDE D’AUDIT 51
CARTOGRAPHIE DES RISQUES
Objet type
Nom de la Profil de
évalué ou Description
méthode l’évaluateur
exemple
Contrats Souscripteur,
Inventaire des
Mesure des d’assurance, responsable
engagements d’un
engagements traités de réassurance de
portefeuille
réassurance protection
Evaluations actuarielles
Simulation du
des impacts d’un risque
compte de Portefeuille vie Actuaire
sur l'embedded value d'un
résultat vie
portefeuille d'assurance vie
Evaluations actuarielles ou
Simulation du statistiques des impacts
Portefeuille non- Actuaire ou
compte de d’un risque sur un
vie statisticien
résultat non-vie portefeuille d'assurance
non-vie
52 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Objet type
Nom de la Profil de
évalué ou Description
méthode l’évaluateur
exemple
Marketing, expert
Comparaison avec des
Benchmarking Ratio S/P dans le domaine
compagnies concurrentes
concerné
Rapprochement
Evaluation
Poste comptable risques/comptes et Comptable
comptable
mesures de sensibilité
Exploitation de séries
Phénomène
statistiques pour la
A N N E X E S
récurrent :
modélisation d'un risque,
attaque de virus,
sa simulation et
dégât des eaux,
Méthodes l'évaluation de son impact
panne
d’analyse (exemple : utilisation d'une Statisticien
d’électricité,
statistique base incidents
temps de
informatiques avec
réalisation d’une
impacts subis pour
procédure
l'évaluation du coût
donnée, etc.
maximum possible)
GUIDE D’AUDIT 53
CARTOGRAPHIE DES RISQUES
A N N E X E S
54 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
A N N E X E S
ANNEXE 3 : EXEMPLE DE RESTITUTION DE LA DÉMARCHE
DE CARTOGRAPHIE ASSOCIÉE AU PROCESSUS
DE GESTION IMMOBILIÈRE
GUIDE D’AUDIT 55
CARTOGRAPHIE DES RISQUES
CARTOGRAPHIE
OBJECTIFS :
Proposer et mettre en œuvre des opérations d'achat et de vente Identification des risques et des
d'immeubles dans le cadre de la politique globale de gestion des actifs
du Groupe.
Ref
N° Processus clés risque Risques associés
IFACI
1 Investissement et Désinvestissement
56 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
DES RISQUES
éléments de maîtrise existants
A N N E X E S
1 Expérience collaborateurs, prestataires externes Satisfaisant
2 Formation collaborateurs, existence de procédures Manque de procédures
3 Management des collaborateurs, dossiers formalisés
1 Processus identifiés, délégations de pouvoir.
Satisfaisant
3
1 Compétence collaborateurs
2 Compétence collaborateurs, diversité des sources d'informations
2 Existence de procédures, visites in situ, analyse contradictoire des dossiers.
3 Management des collaborateurs, GPEC
Satisfaisant
3 Comité de pilotage immobilier
Satisfaisant
2 Gestion prévisionnelle trésorerie, gestion actif/passif
2 Gestion prévisionnelle trésorerie, gestion actif/passif
4
2 Surveillance des prestations
3 Contrat de prestations
3 Veille, compétence collaborateurs, formation, expertise interne et externe.
2 Règles de bonne conduite
GUIDE D’AUDIT 57
CARTOGRAPHIE DES RISQUES
CARTOGRAPHIE
OBJECTIFS :
Identification des risques et des
Gérer les actifs immobiliers du Groupe, qu'ils soient détenus à des
fins de placement ou d'exploitation, selon un objectif de valorisation
et de rentabilité.
Ref risque
N° Processus clés Risques associés
IFACI
2 Gestion immobilière
58 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
DES RISQUES
éléments de maîtrise existants
A N N E X E S
3 Contrats de prestation validés juridiquement
4 Règles de bonne conduite
2 Profondeur du marché
Satisfaisant
2 Contrôle des documents fournis Back up prestataires à regarder
3
4
2 Ordonnancement des traitements
1 Système informatique intégré (liens baux, quittancement)
2 Offres concurrentes, délégation de l'activité
2 Contrôle de la saisie des baux
2 Dispositif de contrôle interne, formation des collaborateurs, gestion des incidents
3 Sauvegardes quotidiennes
2 Veille juridique
Satisfaisant
2 Expertise collaborateurs, informations sur coût des travaux
4 Procédure d'appels d'offres
2 Paiements en fin de travaux
2 Sollicitation d'architectes…
2 Expertise externe, possibilité de délégation
3
4 Contrats de maintenace, sélection des fournisseurs
1 Appels d'offres
2
4 Assurance RC
2
Satisfaisant
2 Locaux à usage d'exploitation
2
3 Expertise annuelle des biens immobiliers
2
3 Surveillance des prestations
2 Profondeur du marché.
1 gestion des accès, implantations réparties.
1 Assurance des biens détenus.
GUIDE D’AUDIT 59
CARTOGRAPHIE DES RISQUES
A N N E X E S
60 GUIDE D’AUDIT
Nomenclature des risques IFACI Assurance 2006
Famille de Nb risques
GUIDE D’AUDIT
Niveau 1 Risques niveau 1 Niveau 2 Risques niveau 2
risques niveau 3
R101 Solvabilité 3
R104 Endettement 2
R202 Technique 3
R203 Souscription 8
R205 Provisionnement 3
61
A N N E X E S
A N N E X E S
62
Nomenclature des risques IFACI Assurance 2006
Famille de Nb risques
Niveau 1 Risques niveau 1 Niveau 2 Risques niveau 2
risques niveau 3
Risques provenant directement de la mise en place
R3 Opérationnels et de la mise en œuvre des moyens et procédures
de fonctionnement
R301 Production 4
R302 Humain 24
R303 Commercial 7
R304 Organisation 6
R402 Fiscalité 5
GUIDE D’AUDIT
Nomenclature des risques IFACI Assurance 2006
GUIDE D’AUDIT
Famille de Nb risques
Niveau 1 Risques niveau 1 Niveau 2 Risques niveau 2
risques niveau 3
R5 Pilotage Risques relatifs au management d'entreprise
CARTOGRAPHIE DES RISQUES
R501 Stratégie 2
63
A N N E X E S
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et
quasi-fonds propres inférieur au minimum
réglementaire
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et
quasi-fonds propres inférieur au minimum
réglementaire
R1 Financiers Risques de gestion de bilan ou financière R101 Risques de solvabilité Risques résultant d'un niveau des fonds propres et
quasi-fonds propres inférieur au minimum
réglementaire
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
A N N E X E S
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R102 Adéquation Actif/Passif Risques résultant d'une inadéquation, en montant ou
en structure, entre le passif correspondant aux
engagements pris envers les clients et l'actif mis en
représentation
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
R1 Financiers Risques de gestion de bilan ou financière R103 Gestion d'actifs Risques relatifs à la gestion des actifs
64 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R10101 Risques de solvabilité réglementaire en social Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au
minimum réglementaire en social pour chaque entité
R10102 Risques de solvabilité réglementaire en Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au
consolidé minimum réglementaire dans les comptes consolidés (solvabilité ajustée)
R10103 Risques de solvabilité de marché Risques résultant d'un niveau des fonds propres et quasi-fonds propres inférieur au
montant estimé par les analystes ou les marchés financiers entraînant un seuil de
déclenchement de "triggers"
R10201 Risques de liquidité Correspond à une évolution du passif à court terme engendrant des insuffisance d'actifs
réalisables
R10202 Risques de limitation par catégorie d'actif ou Correspond à un manque de diversification, tant à l'actif qu'au passif, qui conduit à une
de passif exposition trop forte sur un risque particulier (type de risque assuré, risque de taux, risque
actions, …)
R10203 Risques de disparités de lignes de passifs Correspond à une structure de passif éclatée et difficile à mettre en adéquation avec des
actifs
A N N E X E S
R10204 Risques de couverture imparfaite Se matérialise par une inadaptation ou une insuffisance de la structure des actifs au
regard de celle des passifs
R10205 Risques de taux Risques d'inadéquation actif/passif provenant du comportement des marchés de taux
R10206 Risques actions Risques d'inadéquation actif/passif provenant du comportement des marchés d'actions
R10207 Risques de change Risques d'inadéquation actif/passif provenant du comportement des marchés de devises
R10208 Risques immobiliers Risques d'inadéquation actif/passif provenant du comportement des marchés immobiliers
R10301 Risques de trésorerie Résulte d'un manque de liquidités disponibles à court terme pour faire face aux
obligations de règlement
R10302 Risques de refinancement Est la conséquence d'une inadéquation ou d'un défaut de financement permettant
d'obtenir les liquidités suffisantes pour faire face aux obligations de règlement
R10304 Risques de non-diversification Correspond à un manque de diversification dans le placement des actifs qui conduit à
une exposition trop forte sur un risque particulier (actions, taux, crédit)
R10305 Risques de taux Conséquence d'une évolution des taux d'intérêt sur la valeur des actifs obligataires
R10306 Risques de change Est lié à la variation de valeur d'une devise par rapport à l'euro, et à l'impact de cette
variation sur la valeur des actifs en devises
R10307 Risques actions Conséquence d'une évolution des marchés actions, ou d'une trop forte dépendance vis à
vis de ce type d'actif
R10308 Risques immobiliers et fonciers Conséquence d'une évolution des marchés immobiliers et fonciers, ou d'une trop forte
dépendance vis à vis de ce type d'actif
R10309 Risques de règlement livraison Découle de la séparation des circuits de transfert des biens échangés lors d'une
opération sur titres ou devises, pouvant conduire à la livraison du premier bien sans
réception effective de l'autre, ou bien avec un dénouement tardif
R10310 Risques de contre-partie Découle du défaut de la contrepartie à une opération, au moment où elle doit remplir ses
obligations (absence de paiement à l'échéance, …)
R10311 Risques émetteur Lié au défaut de l'émetteur préalablement à la réalisation de ses obligations
(remboursement d'un emprunt à l'échéance, …)
R10312 Risques crédit Correspond à la variation de la qualité de crédit d'un émetteur conduisant à
l'augmentation de la prime de risque attendue par ses créanciers
R10313 Risques d'évaluation d'actifs Risques résultant de la surestimation d'un élément d'actif, pouvant entraîner notamment
une constatation de moins-value en cas de cession ou d'ouverture de capital, ou un
provisionnement suite à révision
R10314 Risques de gestion des participations en titres Risques résultant de carences dans le suivi et la gestion des participations :
cotés franchissement involontaire de seuil de détention, …
R10315 Risques de rentabilité insuffisante des Risques résultant d'un niveau de rentabilité annuelle insuffisant pour amortir les coûts
participations et filiales d'acquisition
R10316 Risques relatifs aux informations disponibles Risques de non-disponibilité des informations nécessaires à la gestion des actifs
sur le marché
R10317 Risques crédit réassureurs Risque de défaillance d'un réassureur réduisant ses capacités à remplir ses
engagements
GUIDE D’AUDIT 65
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu
égard aux charges de remboursement ou aux taux
des emprunts en cours
R1 Financiers Risques de gestion de bilan ou financière R104 Endettement Risques résultant d'un endettement trop important eu
égard aux charges de remboursement ou aux taux
des emprunts en cours
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon
contractuelle à des tiers, et non représentées au
bilan
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon
contractuelle à des tiers, et non représentées au
bilan
R1 Financiers Risques de gestion de bilan ou financière R105 Engagements hors bilan Risques résultant de garanties accordées de façon
contractuelle à des tiers, et non représentées au
bilan
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche
marketing assurance
R2 Assurance Risques spécifiques aux activités d'assurance R201 Marketing Risques résultant d'une mauvaise démarche
marketing assurance
R2 Assurance Risques spécifiques aux activités d'assurance R202 Technique Risques résultant de caractéristiques des produits
nuisant à leur rentabilité (provenant ou non de la
réalisation de risques production ou marketing)
Risques spécifiques aux activités d'assurance Risques résultant de caractéristiques des produits
A N N E X E S
66 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R10401 Risques d'endettement inadéquat Niveau d'endettement du Groupe inexistant, l'empêchant d'optimiser ses ressources ou
sa rentabilité
R10402 Risques de surendettement Niveau d'endettement du Groupe trop élevé, pouvant entraîner une crise de liquidité ou
rendre impossible le financement de la croissance du Groupe
R10501 Risques d'engagements sur valorisation Risques que certains engagements reçus sur actifs soient surévalués ou ne puissent être
d'actifs recouvrés
R10502 Risques d'engagements sur valorisation de Risques que certains engagements donnés sur passifs soient insuffisamment estimés ou
passifs non recensés au bilan
R10503 Risques de caution ou assimilés Risques que les garanties, avals ou cautions ne soient pas suffisamment évalués ou
recensés dans les comptes
R20101 Risques de mauvaise analyse des marchés Risques provenant d'une mauvaise identification des besoins, d'une mauvaise
cibles segmentation clientèle, …, conduisant à l'élaboration de produits inadaptés
R20102 Risques d'erreur de communication marketing Décalage entre le contenu d'un message et sa compréhension, ou sa prise en compte,
par le destinaire de l'information, et risques de publicité trompeuse
R20201 Risques de définition produit (contrat Risques provenant d'une définition des conditions d'assurance ou de réassurance
d'assurance ou traité de réassurance en impropres à une viabilité économique (quelle que soit la tarification)
acceptation)
Risques issus de tarifs soit insuffisants par rapport au coût réel des garanties et frais de
A N N E X E S
R20202 Risques de tarification (assurance ou
réassurance acceptée) gestion, soit trop élevés et générateurs d'anti-sélection
R20203 Risques de non-rentabilité des produits Risques de non-rentabilité à moyen ou long terme
d'assurance ou des traités de réassurance
acceptés
R20301 Risques de non-conformité aux normes de Risques provenant du non-respect des règles et guides de souscription
souscription
R20302 Risques de qualité insuffisante de l'objet du Souscriptions de mauvaise qualité, quant aux risques soucrits, malgré leur conformité aux
risque règles
R20303 Risques de cumul de souscription Dépassement des engagements acceptables sur un même site, un même client, ou un
même risque d'assurance
R20304 Risques de cumul souscription/actif Effets cumulatifs dus à la dépendance ou la corrélation entre des risques de souscription
et des risques sur les actifs
R20305 Risques d'apérition Risques relatifs à la gestion des coassurances ou des coréassurances
R20306 Risques de coassurance non apéritrice ou de Risques de mauvaise gestion ou d'informations insuffisantes émanant de l'apériteur ou du
coréassurance suiveuse coréassureur leader
R20307 Risques de recouvrement des primes Risques de non-paiement ou de retard de règlement de sa prime par le contractant
R20308 Risques d'annulation, de résiliation, de Fréquence élevée de chute ou de réductions de contrats (arrêt du paiement des primes)
réduction
R20401 Risques de déviation de la sinistralité Evolution défavorable de la charge sinistre dans une ou plusieurs catégories d'assurance,
d'une façon plus ou moins rapide (augmentation de fréquence ou d'intensité)
R20402 Risques de fréquence des sinistres de pointe Survenance plus fréquente qu'attendu, de sinistres de montant élevé
R20403 Risques de cumul de sinistres Survenance d'un sinistre catastrophique, d'un cumul RC ou sériel, ou d'un cumul de
sinistres entre plusieurs branches
R20405 Risques de longévité (rentes viagères) Durée de survie des rentiers supérieure à ce qui avait été pris en compte dans les tarifs
de rentes
GUIDE D’AUDIT 67
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à
l'évolution de la charge sinistres et prestations en
cours ou à venir
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à
l'évolution de la charge sinistres et prestations en
cours ou à venir
R2 Assurance Risques spécifiques aux activités d'assurance R205 Provisionnement Risques résultant d'un provisionnement inadapté à
l'évolution de la charge sinistres et prestations en
cours ou à venir
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices
attribuées aux assurés vie
R2 Assurance Risques spécifiques aux activités d'assurance R206 Participations aux bénéfices Risques relatifs aux participations aux bénéfices
attribuées aux assurés vie
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les
réassureurs
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les
réassureurs
R2 Assurance Risques spécifiques aux activités d'assurance R207 Réassurance de protection Risques résultant des conditions négociées avec les
réassureurs
R2 Assurance Risques spécifiques aux activités d'assurance R208 Législatif et réglementaire Risques résultant d'une mauvaise application du
A N N E X E S
R3 Opérationnels Risques provenant directement de la mise en R301 Production Risques résultant de défauts dans la chaîne de
place et de la mise en œuvre des moyens et réalisation, de vente, ou de gestion d'un produit
procédures de fonctionnement commercial ou administratif
R3 Opérationnels Risques provenant directement de la mise en R301 Production Risques résultant de défauts dans la chaîne de
place et de la mise en œuvre des moyens et réalisation, de vente, ou de gestion d'un produit
procédures de fonctionnement commercial ou administratif
R3 Opérationnels Risques provenant directement de la mise en R301 Production Risques résultant de défauts dans la chaîne de
place et de la mise en œuvre des moyens et réalisation, de vente, ou de gestion d'un produit
procédures de fonctionnement commercial ou administratif
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
68 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R20501 Risques relatifs aux montants de provisions de Risques résultant de provisions insuffisantes devant la charge sinistres à venir
primes (hors PM)
R20502 Risques relatifs aux montants de provisions Risques résultant de provisions mathématiques (vie et rentes auto) insuffisantes face aux
mathématiques (PM) prestations à régler
R20503 Risques relatifs aux montants de provisions Risques résultant de provisions pour sinistres insuffisantes devant la charge en sinistres
pour sinistres survenus
R20601 Risques relatifs à l'application des clauses de Risques résultant d'attributions de PB aux assurés non conformes aux clauses des
PB contrats
R20602 Risques relatifs au niveau de PB Risques résultant d'un niveau insuffisant des attributions de PB aux assurés (au vu de la
concurrence, des caractéristiques du produit, des attentes des assurés)
R20701 Risques d'inadéquation des couvertures de Programme de réassurance insuffisant pour protéger correctement un portefeuille,
réassurance compte tenu de la rétention supportable par l'entreprise
R20702 Risques de surcoût de la réassurance Traités de réassurance tarifés trop cher
R20703 Risques de litige avec les réassureurs Risques de contestation de garantie par un réassureur
A N N E X E S
réglementaires sur les produits
R30104 Risques de délai Temps de réalisation d'un processus opérationnel ou fonctionnel non conforme à celui qui
était assigné au processus pour l’atteinte de son objectif
R30201 Risques d'erreur Risques d'erreurs humaines dans la réalisation des opérations, quelles qu'elles soient
R30202 Risques de non-respect des procédures Risques que des procédures soient dénaturées, contournées, mal appliquées,
inappliquées ou annulées
R30203 Risques de recrutement inadéquat Risques générés par des "erreurs d'embauche"
R30205 Risques de perte de capital humain Risques de gestion prévisionnelle de l'emploi insuffisante, de perte d'"homme clé", de
débauchage de personnel
R30206 Risques relatifs aux coûts salariaux Risques d'un niveau de salaire globalement plus élevé que ce qu'il ne devrait être compte
tenu de l'état du marché du travail, conduisant à des surcoûts portant préjudice à la
compétitivité de l'entreprise
R30207 Risques d'inadéquation de la formation du Risques d'insuffisance du niveau de formation/qualification par rapport aux tâches à
personnel accomplir
R30209 Risques de non-adéquation de la politique de Mauvaise prise en compte des besoins à court, moyen et long terme en compétences
gestion RH avec la stratégie compte tenu des axes de développement privilégiés par le plan stratégique
GUIDE D’AUDIT 69
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
A N N E X E S
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R302 Humain Risques résultant de l'intervention humaine dans les
place et de la mise en œuvre des moyens et activités
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R303 Commercial Risques résultant de défauts dans les réseaux ou les
place et de la mise en œuvre des moyens et forces de vente
procédures de fonctionnement
70 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R30210 Risques relatifs à la diffusion de l'information et Risques de carences ou maladresses dans la diffusion des messages et des données en
des données en interne interne (hors logistique courrier interne)
R30211 Risques de rémunération inadaptée Risques générés par une rémunération des salariés non commerciaux inadéquate avec
(entraînant des réactions individuelles) les profils et postes occupés
R30212 Risques conventionnels ou contractuels Risques générés par les conditions de collaboration contractualisées
R30214 Risques d'hygiène et de santé mentale Risques de maladie due à un défaut d'hygiène ou à des conditions d'emploi génératrices
de troubles physiques ou mentaux
R30215 Risques d'accident Risques d'accident subi par les dirigeants, commerciaux et salariés dans le cadre du
travail dans les bureaux ou durant les déplacements professionnels
R30216 Risques de détournement de fonds ou de Risques de détournement de fonds ou de biens matériels de la compagnie par
biens matériels de l'entreprise un membre du personnel, un mandataire, un courtier, …
A N N E X E S
R30217 Risques de non-respect de la confidentialité Risques de divulgation à des tiers d'informations stratégiques de la compagnie
par un membre du personnel
R30218 Risques de détournement de fonds de clients Risques de détournement de fonds appartenant à un client de la compagnie, par
un intermédiaire ou un membre du personnel
R30219 Risques de fraude à l'assurance, de collusion Fraude de la part d'un assuré ou bénéficaire; entente préjudiciable aux intérêts de la
compagnie entre :
- un tiers à la compagnie et un employé ou un intermédiaire ;
- un employé et un intermédiaire ;
- deux ou plusieurs intermédiaires ;
- deux ou plusieurs employés.
R30220 Risques de blanchiment Fait "d'apporter un concours à une option de placement, de dissimulation ou de
conversion du produit direct ou indirect d'un crime ou d'un délit" (cf. Code Pénal art 324-
1)
R30221 Risques relatifs aux règles de déontologie Non-respect par un membre du personnel des règles régissant la profession en matière
financière d'éthique
R30222 Risques relatifs au respect de la loi Défaut d'application de la loi informatique et libertés
informatique et libertés
R30223 Risques relatifs à la déontologie commerciale Non-respect de la déontologie des relations avec un réseau d'apporteurs
vis à vis des intermédiaires
R30301 Risques de non-conformité des opérations de Non-respect de la déontologie en matière de conseil au client, actes commerciaux non
distribution aux réglementations en vigueur conformes au droit de la concurrence et de la consommation (vente liée, …) ou aux
règles de démarchage, …
R30302 Autres risques de mauvaise appréciation/prise Mauvaise appréciation et prise en compte des véritables besoins du client, de sa situation
en compte de la situation/des besoins d'un fiscale, familiale ou professionnelle avec un impact négatif sur le choix du contrat, le
client mode de règlement, etc..
R30303 Risques de réseau insuffisant Nombre insuffisant de vendeurs pour atteindre les objectifs de vente
R30304 Risques d'impréparation du réseau Risques d'insuffisance de préparation par la formation, l'information, et la non-
communication des objectifs
R30305 Risques de non-respect des limites de Abus ou non-respect de pouvoir de délégation de la part d'un délégataire commercial ou
délégation commerciale mandataire
R30306 Risques de commissionnement inadapté Risques générés par un système ou une grille de commissionnement des intermédiaires
non conforme avec les objectifs de vente ou de rentabilité
R30307 Risques de défaillance d'un courtier Risques générés par la faillite d'un courtier
GUIDE D’AUDIT 71
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R304 Organisation Risques résultant de défauts dans l'organisation de
place et de la mise en œuvre des moyens et l'entreprise et de ses procédures
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R305 Systèmes d'information Risques résultant de défauts, défaillances ou
place et de la mise en œuvre des moyens et dysfonctionnements de l'outil informatique (matériels
A N N E X E S
72 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R30401 Risques d'inadéquation de l'organisation Risques d'inadéquation de l'organisation fonctionnelle aux activités, à la mise en
fonctionnelle œuvre de la stratégie, au profil des compétences disponibles, à la gestion des
relations avec les intermédiaires et avec les clients, …
R30402 Risques d'inadéquation de l'organisation des Risques d'inadéquation des processus et procédures aux objectifs stratégiques
processus et procédures ou aux risques
R30403 Risques d'interface inter-services Risques de dysfonctionnement des interfaces entre plusieurs fonctions, qu'elles
s'appuient sur des moyens humains, de connectique, informatiques ou autres moyens
logistiques
R30404 Risques de surcoût Organisation entraînant des coûts de fontionnement trop élevés
R30405 Risques de délégation de pouvoir Mauvaise attribution de pouvoir de délégation (défaut de compétence, incohérence avec
l'organisation, …)
R30406 Risques d'ordonnancement Mauvaise attribution de pouvoir d'ordonnancement (défaut de compétence, incohérence
avec l'organisation, …)
R30501 Risques de stabilité de l'outil informatique Correspond à un outil informatique qui ne garantit pas de façon certaine les objectifs
auxquels il est assigné
A N N E X E S
R30502 Risques de pérennité de l'outil informatique Correspond à un outil informatique pour lequel la durée de vie est incertaine
R30503 Risques de données informatiques Données informatiques erronées, non conformes aux attentes
R30504 Risques d'administration informatique Correspond à la défaillance des activités dévolues à la surveillance et aux contrôles d'un
réseau informatique, des données introduites dans un système, du parc informatique, du
bon déroulement des traitements
R30505 Risques de paramétrage informatique Correspond à une erreur dans le paramètrage des systèmes informatiques ou une non-
mise à jour des paramètres (règles de gestion ou données paramètres erronnées),
pouvant notamment être à l'origine de dysfonctionnements d'interfaces
R30506 Risques de réseau informatique Correspond à un réseau informatique non conforme aux objectifs qui lui sont assignés :
sécurisé, stable, sans perte de données, maintien du débit normalement attendu, …
R30507 Risques de plan de continuité informatique Non-continuité de l'exploitation par absence de procédures de secours en cas de
difficultés graves dans le fonctionnement des systèmes informatiques
R30508 Risques de recette Correspond à des tests, jeux d'essais incomplets qui peuvent induire des erreurs plus ou
moins graves en production
R30509 Risques de panne informatique Arrêt de fonctionnement du système soit en laison avec un risque précédent soit du fait
d'un événement extérieur
R30601 Risques générés par les immeubles Risques de sinistre (incendie, dommages à des tiers, …), risques relatifs à la continuité
d'exploitation (en propriété ou en location) des opérations, risques relatifs à la gestion des immeubles (hors sécurité du personnel)
R30602 Risques relatifs au matériel Risques relatifs à la gestion du matériel, hors immeubles et informatique
R30603 Risques d'accueil Risques relatifs à la qualité de l'accueil assumé par les hôtesses et les standardistes
R30604 Risques de transport Risques générés par les déplacements des commefciaux, du personnel et des dirigeants,
les transports d'objets et les déménagements
R30605 Risques de courrier Risques logistiques générés par la réception et la communication en interne du courrier
externe et du courrier interne
R30606 Risques relatifs à la conservation des Défaut de mode de classement ou de manipulation des documents (rangement, transfert,
documents archivage)
R30607 Risques de surcoût Risques de payer des produits ou des services plus cher que le marché
GUIDE D’AUDIT 73
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
A N N E X E S
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R3 Opérationnels Risques provenant directement de la mise en R307 Relations avec les tiers Risques résultant de défaillance de qualité dans les
place et de la mise en œuvre des moyens et relations avec les tiers
procédures de fonctionnement
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de Risques de traitements comptables inexacts, non
comptabilisation justifiés ou non traçables
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de Risques de traitements comptables inexacts, non
comptabilisation justifiés ou non traçables
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de Risques de traitements comptables inexacts, non
comptabilisation justifiés ou non traçables
R4 Comptables Risques relatifs au domaine comptable R401 Opérations de Risques de traitements comptables inexacts, non
comptabilisation justifiés ou non traçables
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales
R4 Comptables Risques relatifs au domaine comptable R402 Fiscalité Risques de manquement aux obligations fiscales
R4 Comptables Risques relatifs au domaine comptable R403 Etats réglementaires Risques de la production d'états inexacts
74 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R30701 Risques de notation Risques de mauvaise notation par une agence spécialisée
R30702 Risques juridiques et de mise en cause Risques de mise en cause judiciaire ou non, par une association de consommateurs, par
la presse, ou par un client important, de litige sur l'application d'un contrat
R30703 Risques de contractualisation insuffisante Risques d'absence de formalisation des rapports avec un tiers ou de contractualisation
insuffisante
R30704 Risques relatifs à la protection des données Risques de non-respect de la confidentialité des données personnelles, notamment
sur les personnes concernant les obligations de la loi Belorgey
R30705 Risques fournisseurs de services (y compris Risques de non-respect par un fournisseur de son contrat de prestation, risque de
délégataires de gestion externes) mauvaise qualité des services, risque de grève
R30706 Risques fournisseurs de matériels Risques de non-respect par un fournisseur de son contrat de prestation, risque de
mauvaise qualité des produits
R30707 Risques de maintenance Risques de défaillance dans le service de maintenance, de grève, de pérennité du
fournisseur et de non-respect de la confidentialité
A N N E X E S
R30708 Risques sur la gestion de situation de crise Messages ou annonces ne montrant pas une maîtrise des risques suffisante, en situation
de crise
R30709 Risques de malveillance Risques d'actes de malveillance de la part de tiers : vol, dégradations, attaques diverses
dont hacking et virus informatique, intrusions ou destruction de données informatiques,
diffusion de fausses nouvelles et dénigrement
R40101 Comptabilité générale entité sociale Risques liés à la présentation de données sociales comptables inexactes et ne reflétant
pas l'image fidèle de l'entreprise
R40102 Comptabilité générale de consolidation Risques liés à l'enregistrement de retraitements de consolidation inexacts et ne
permettant pas la constitution d'une image fidèle du Groupe
R40103 Risques de non-traçabilité Risques liés à la perte de traçabilité d'opérations comptables, entre les écritures d'origine
(comptabilisation technique ou divisionnaire) et la comptabilité générale
R40104 Justification des écritures Risques liés à la perte ou l'inexistence de pièces justificatives d'écritures comptables
R50102 Risques relatifs au pilotage stratégique des Risques provenant de déficiences du pilotage
activités et des filiales
R50201 Risques de planification Prise en compte insuffisante ou erronée dans les procédures de planification et de suivi
des objectifs des services
R50301 Autres risques de pilotage interne Risques provenant d'une mauvaise interprétation ou utilisation des données utilisées par
le pilotage du contrôle interne, le pilotage des opérations commerciales, …
R50401 Risques de communication externe Politique de communication sur l'identité de l'entreprise inadéquate au marché, aux
intermédiaires, aux interlocuteurs financiers ou institutionnels, …
R60101 Risques législatifs et réglementaires Risques liés à l'apparition de nouvelles lois ou réglements, et à leur application
R60102 Risques judiciaires Risques liés à l'évolution du droit et aux décisions des tribunaux
GUIDE D’AUDIT 75
CARTOGRAPHIE DES RISQUES
Niveau
Niveau 1 Famille Définition Risques Niveau 1 Risques Niveau 2 Définition Risques Niveau 2
2
R6 Externes Risques générés par l'environnement de R602 Secteur de l'assurance Risques résultant du comportement des acteurs du
l'entreprise marché de l'assurance
R6 Externes Risques générés par l'environnement de R602 Secteur de l'assurance Risques résultant du comportement des acteurs du
l'entreprise marché
R6 Externes Risques générés par l'environnement de R602 Secteur de l'assurance Risques résultant du comportement des acteurs du
l'entreprise marché de l'assurance
R6 Externes Risques générés par l'environnement de R602 Secteur de l'assurance Risques résultant du comportement des acteurs du
l'entreprise marché
R6 Externes Risques générés par l'environnement de R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché
l'entreprise prestataire
R6 Externes Risques générés par l'environnement de R603 Prestataires, partenaires Risques d'évolution défavorable d'un marché
l'entreprise prestataire
R6 Externes Risques générés par l'environnement de R604 Risques provenannt d'un manquement aux
l'entreprise Déontologie, conformité,
règles de bonne conduite, aux normes
image
professionnelles ou aux valeurs de la société
R6 Externes Risques générés par l'environnement de R604 Risques provenannt d'un manquement aux
l'entreprise Déontologie, conformité,
règles de bonne conduite, aux normes
image
A N N E X E S
76 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
Niveau
Risques Niveau 3 Définition Risques Niveau 3
3
R60201 Risques de concurrence Risques résultant de l'exercice d'activités similaires par d'autres entreprises
R60202 Risques relatifs aux cycles tarifaires Risques résultant de la pression du marché à pratiquer des taux tarifaires bas
(cyclique en général)
R60203 Risques d'image du secteur de l'assurance Risques résultant de la mise en cause publique de pratiques particulières d'une
ou plusieurs compagnies (hors entente), ou d'erreurs de communication publique
R60302 Risques fournisseurs Risques d'évolution défavorable d'un marché (disparition des fournisseurs, accroissement
des prix)
R60401 Risques déontologiques Risques découlant d'un manquement aux règles de bonne conduite,
R60402 Risques de non conformité Risques liés à l'absence de respect des lois, réglementations, normes professionnelles
A N N E X E S
R60403 Risques d'image Risques liés à une perception négative de l'entreprise
R60502 Risques politiques Risques de guerre civile, d'émeutes, de guerre étrangère, d'attentats et de terrorisme
R60503 Risques climatiques, de catastrophe naturelle Sinistres causés par les forces de la nature
R60505 Risques de sinistre technologique Sinistres dus à des substances, matières, ondes ou radiations issues de la technologie
humaine
R60506 Autres risques technologiques Risques d'obsolescence de l'outil de travail, d'espionnage par les nouvelles voies de la
communication, …
GUIDE D’AUDIT 77
CARTOGRAPHIE DES RISQUES
A N N E X E S
78 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
A N N E X E S
ANNEXE 5 : DÉTAIL DES MACRO PROCESSUS
D’UNE ENTREPRISE D’ASSURANCE
GUIDE D’AUDIT 79
CARTOGRAPHIE DES RISQUES
Processus
commer- • Marketing • Commercial
ciaux
A N N E X E S
Processus
Processus • Gestion de sinistres • Recouvrement primes • Réassurance
opération-
centraux coassurance
nels
Processus
technolo- • Technique produits
giques
Processus support
80 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
A N N E X E S
ANNEXE 6 : DÉMARCHE DE CARTOGRAPHIE :
PROCESSUS DE SOUSCRIPTION D’UN CONTRAT
D’ASSURANCE AUTOMOBILE
GUIDE D’AUDIT 81
CARTOGRAPHIE DES RISQUES
Elaboration de référentiels
Les outils Référentiel macro-processus
communautaires
Mise en œuvre des points d’amélioration du • Analyse des contrôles chap. III
contrôle interne
82 GUIDE D’AUDIT
GUIDE D’AUDIT
Etape 2 par entité (itérative) Etape 1 par entité
CARTOGRAPHIE DES RISQUES
83
A N N E X E S
CARTOGRAPHIE DES RISQUES
VENDRE UN •Identifier le client ¸Client testant les zones de délégation tarifaire, VIP, …
CONTRAT •Découvrir ses besoins ¸Démarche non adaptée, identification erronée ou incomplète, …
•Proposer un contrat ¸Contrat/garanties choisis inappropriés, risques hors champ
d’acceptation, …
•Etablir un devis ¸Erreurs de tarification, sur l’objet du risque (choix véhicule
erroné), …
SOUSCRIRE •Contrôler les pièces ¸Erreur de relevé d’infos (ex. : non-prise en compte d’informations
UN CONTRAT particulières, pièce non valide, pièce falsifiée, …)
•Délivrer un contrat ¸Attestation hors champ d'application, délivrance à tort d'un
certificat d'assurance définitif, non-respect des consignes de
souscription, …
ENCAISSER •Proposer une formule de ¸Client non solvable, formule de paiement inadaptée
UNE paiement
COTISATION •Encaisser une cotisation ¸Détournement d'un acompte versé, moyen de paiement frauduleux,
…
84 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
• Risques mineurs, non pris en compte dans l’analyse mais bien traités dans la réalité
(risques d’accueil, de transport, …)
• Risques de délai
=> analyse complémentaire et ajoût
• Risques gérés globalement (qualité des services et prestations) sans prise en compte
spécifique : risques de mise en cause par des tiers
A N N E X E S
• Risques non traités/non gérés au niveau de l’Agence : risques de concurrence, devant
être pris en compte dans la démarche marketing définie par le service Marketing de la
Compagnie
GUIDE D’AUDIT 85
CARTOGRAPHIE DES RISQUES
A N N E X E S
86 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
A N N E X E S
ANNEXE 7 : TABLEAU DES MENACES
GUIDE D’AUDIT 87
CARTOGRAPHIE DES RISQUES
Exogènes
Exemple d'événements catastrophiques Facteurs aggravants
Catastrophe
Santé 2 6 6 0
R30702 Conséquences judiciaires des nouvelles maladies Sang contaminé 1 1
R60406 Aléa Thérapeutique oui Infection nosocomiale 1
R60404 Épidémie SRAS - Chine 1 1 1
R60401 Dérive des coûts médicaux 1 1
R30702 Tabac / Alcool / Drogue oui procès US anti-tabac 1 1
R60406 Biologie/Clonage 1 1
R60406 Manipulation génétique 1 1
Sociétés / Politique 3 6 5 2
R60402 Terrorisme / Attentats WTC 2001 3 025 21 Md$ 1 1
R60402 Grève/émeute/Mouvements populaires / Guerre 1 1
R60405 Accidents Technologiques ou aériens AZF 2001 30 1.5 Md€ 1
R60102 Histoire Esclavage/Holocauste 1 1 1
R30702 Harcèlement racisme sexisme oui 1 1 1
R60405 Pollution de l'environnement 1 1 1
R30601 Pollution des locaux oui Moisissures 1 1
Économie Finance 0 3 1 1
R10307 Chute de la Bourse 1929/1987/2000
R10306 Variations des taux de change oui 1
R10305 Fluctuation des taux d'intérêt oui
R60401 Chute de la Croissance - Déflation
R60101 Changements réglementaires sur les ratios 1
R60101 Changements sur les régimes des taxes 1
R30701 Perte d'agrèment / Dégradation agences de notation 1 1
88 GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
4 M1 M2 M3 M4 F1 F2 F3 F4 O1 O2 O3 O4 S1 S2 S3 S4
3 0 2 0 0 2 4 3 3 7 0 2 3 4 0 3 0
1 1 1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1
A N N E X E S
1 1 1 1 1 1 1 1
1 1
1
1 1 1 1 1 1
1
2 0 1 1 1 0 2 1 1 2 7 4 1 2 0 0 1
1 1
1 1
1 1 1
1 1
1 1 1 1 1 1 1
1 1 1 1 1
1 1 1 1 1
0 0 1 0 0 0 0 1 0 0 7 7 1 0 1 1 0
1 1 1 1
1 1
1 1
1 1 1 1
1 1 1
1 1
1 1
2 1 7 3 1 2 0 4 4 4 5 2 3 2 2 0 1
1 1 1 1 1 1 1 1 1 1 1
1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1
1 1 1 1 1
1 1 1 1
1 1 1 1 1 1 1
1 3 3 1 7 3 3 1 0 1 2 6 0 0 7 5 0
1 1 1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1 1
1 1
1 1 1 1 1 1
1 1 1 1 1 1
1 1 1 1 1 1 1 1
4 2 5 3 4 2 3 3 0 1 6 4 1 0 4 5 1
1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1 1 1
1 1 1 1 1 1
1 1 1 1 1
1 1 1 1 1 3 1 1 3
GUIDE D’AUDIT 89
A N N E X E S
90
Événements naturels Sociétés / Politique Facteurs aggravants
Facteurs aggravants 20
15
15
10 10
Support 5 Management
Support 5 Management
0
0
0
0
0 0
GUIDE D’AUDIT
CARTOGRAPHIE DES RISQUES
GUIDE D’AUDIT 91
Réalisation : Ebzone Communication (ebzone@ebzone.fr)
Impression : Compédit Beauregard S.A. - 61600 La Ferté-Macé
N° d’imprimeur : 4475