equipe au travail - table La démarcheronde

Définition et enjeux

Il existe une multitude de définitions mais l’essentiel est de retenir la finalité de la démarche c’est-à-dire de recenser et de prioriser les facteurs ou zones de risques qui pourraient avoir des conséquences sur les activités d’une structure et de sa performance. Elle s’inscrit dans un cadre de sécurisation et de gestion des risques qu’ils soient d’origine interne (stratégie, gouvernance, opérationnel, ressources humaines, système d’information, etc.) ou d’origine externe (concurrrence, législation-réglementation, environnement, cyberattaque).

Les objectifs sont nombreux dont quelque-uns peuvent être cités :

  • avoir une bonne connaissance de l’organisation de la structure ;
  • maîtriser les processus du contrôle interne ;
  • permettre d’avoir une traçabilité de l’information financière en toute transparence ;
  • fiabiliser la restitution financière ;
  • permettre de s’adapter rapidement et efficacement aux risques identifiés.

La démarche

Afin de structurer la démarche, il convient de définir la nature des axes de risques à étudier. En effet, chaque évènement peut générer des risques sur plusieurs axes (finances, RH, etc.). Pour chaque nature d’axe sélectionnée, les actions suivantes doivent être engagées :

  • Identifier les risques sur l’ensemble des processus ;
  • Evaluer les impacts potentiels et leurs conséquences ;
  • Evaluer la probabilité de survenance et d’occurrence ;
  • Evaluer la maîtrise du risque ;
  • Prioriser les risques et établir une matrice de criticité.

Une cotation du niveau de risque sera établie, en prenant en considération les évènements qui pourront atténuer les risques (coefficient de pondération).

Ces étapes sont à réaliser pour tous les risques, pour chaque évènement identifié pour couvrir l’ensemble des processus, de leurs acteurs et ceci pour tous les niveaux hiérarchiques concernés. La compréhension de la démarche devra être explicitée, formalisée et accessible. Elle s’inscrit dans le temps et se doit d’être évolutive et adaptable à la structure et à son environnement en revoyant régulièrement l’évolution des évènements pour prendre en compte les actions mises en oeuvre et leurs évolutions.

Les 5 actions à engager pour structurer la démarche

Identification des acteurs de la cartographie des risques

Le plus souvent la responsabilité de la mise en place de la cartographie des risques revient à l’instance dirigeante qui va soit créer un service dédié (à l’instar d’un service d’audit interne ou de contrôle de gestion), soit désigner les personnes responsables (porteurs du projet). Cette démarche sera alors dupliquée pour chaque fonction / activité au sein de la structure.

Pour le volet « finances », la structure pourra retenir des processus distincts selon son organisation et importance significative :

  • Investissements ;
  • Trésorerie - Placements financiers ;
  • Recherche de fonds issus de la générosité du Public ;
  • Gestion des ressources ;
  • Gestion des dépenses ;
  • Gestion des ressources humaines ;
  • Gestion et suivi budgétaire ;
  • Etc.

Identification et qualification des risques

À ce stade, le recensement ne concernera que la structure concernée. La démarche peut toutefois s’appuyer sur des risques théoriques connus dans d’autres structures (benchmark, études statistiques, etc.). On pourait l’apparenter à une démarche de contrôle interne approfondi.

Quelques exemples peuvent être cités pour le processus « Ressources humaines - rémunération » :

  • Les personnes habilitées à valider les heures effectuées ne sont plus ou mal identifiées ;
  • Le logiciel de relevé des heures et peu ou mal utilisé par les chefs de services ;
  • Les suivis des congés ne sont pas matérialisés (réf de l’évènement : RH-R1) ;
  • Les suivis des rattrapages d’heures ne sont pas matérialisés ;
  • La réception des arrêts de travail ne sont pas toujours traitées immédiatement et/ ou transmis au responsable paie.

Chaque évènement recensé et chaque risque inhérent sera répertorié et évalué. Si l’analyse porte sur le plan financier, le niveau de l’impact financier estimé prendra en considération une probabilité d’occurrence et d’évolution de cette occurrence.

Exemple

Le risque d’une cyberattaque qui engendrerait des conséquences financières très importantes, peut être considérée comme à faible risque compte tenu du nombre de cas connu à un instant « T ». Ce risque sera réévalué si d’autres associations de même secteur subissent des attaques ou si les attaques se multiplient. De cette première analyse une estimation du risque sera positionnée évènement par évènement (niveau brut).

Les mesures d’atténuation des risques

Chaque évènement ayant été doté d’une estimation du niveau brut de risque, il convient d’identifier si la structure a elle-même engagé une démarche de prévention de survenance ou de gestion du risque identifié. Selon les mesures prises, un coefficient de pondération sera déterminé.

Dans notre exemple de cyberattaque

Le risque financier sera atténué si la structure procède régulièrement à des actions spécifiques (actions de sensibilisation du personnel, gestion de mot de passe renforcée, formation du personnel, renforcement de la maintenance informatique, couverture d’assurance adaptée, etc.). À l’inverse, le degré de risque peut être augmenté s’il existe des failles avérées (défaut de conformité en matière de RGPD, etc.) ou que les répercussions en matière de notoriété ou de réputation pour l’association s’avèrent majeures (perte de confiance des donateurs, des financeurs).

Restitution pour une prise de décision

Une hiécharchisation selon les critères décrits sera à présenter pour permettre aux responsables de prendre les décisions dans l’objectif d’établir un plan d’action qui sera bien évidemment à positionner dans le temps selon les degrés d’urgence décidés.

Pour aider à ordonnancer les risques, des matrices d’aides à la décision sont disponibles mais doivent être adaptées à chaque structure. Cet ordonnancement suit des règles logiques qui sont présentées dans des matrices de criticité et de priorisation. Leurs formes peuvent être les suivantes :

Matrice de criticité - flèche montante : Prbabilité d'occurrence - flèche droite : niveau d'impact
Matrice de priorisation - flèche montante : Criticité - flèche droite : niveau de maîtrise

Sur la base des axes de réflexion, une restitution adaptée sera construite en faisant apparaître pour chaque évènement identifié, la cotation retenue et l’impact sur la nature du risque souhaité. Cette matrice pourra être complétée par des observations de toute nature (commentaires du responsable, action correctrice à mener, etc.).

Exemple d’illustration et de restitution de la démarche

Afin d’illustrer la restitution de la démarche, nous pouvons illustrer la matérialisation d’une cotation de risque pour un évènement en considérant le cas suivant :

  • Nature : l’axe retenu par la Direction est l’incidence sur « l’arrêté des comptes annuels »
  • Service ou action sélectionnée : service des Ressources Humaines
  • Évènement retenu : suivi des décomptes de la prise de congés payés.

Afin d’affiner l’analyse la Direction souhaite identifier pour la nature retenue les risques en matière :

  • D’exhaustivité de la comptabilisation ;
  • D’affectation comptable ;
  • De la régularité des comptes établis.

L’analyse de l’évènement a permi de matérialiser plusieurs risques potentiels dont deux peuvent être présentés :

  • Évaluation de la dette pour congés payés
  • Risque de réclamation en justice.

Les incidences pour le premier évènement (évaluation de la dette pour congés payés) seront les suivantes :

  • Exhaustivité : le manque de suivi formalisé (ou non) ne permet pas de garantir l’exhaustivité de la valorisation et de la comptabilisation des dettes sur congés payés.
  • Régularité : la production des comptes annuels peut être impacté si l’écart de valorisation est significatif.
  • Imputation comptable : cette rubrique n’est pas concernée par l’évènement car les risques portent sur l’évaluation de la dette et/ou de la provision.

Les niveaux de risques « bruts » seront les suivants :

  • probabilité : le niveau brut du risque est élevé (8/10) car un défaut d’application de procédure a été détecté dans une majorité de services ;
  • impact : le niveau brut du risque est modéré (5/10) car le défaut de procédure ne concerne que les jours de la 5e semaine.

Le niveau brut de la cotation a été estimé à 6/10 car le risque ne repose que sur une partie du suivi des congés limitant ainsi le caractère significatif de la valorisation de la dette sur congés payés.

La prise en compte des mesures de prévention mises en place qui consistent à réaliser un recoupement avec le suivi des heures même s’il est fait a postériori limite la probabilité du risque. De même une communication du décompte des jours restants avec chaque salarié atténu l’impact financier.

Après prise en compte de ces mesures le niveau net de la cotation du risque est estimé à 1,2 soit de fait un risque faible par rapport à la « nature  » du risque analysé (incidence sur l’arrêté des comptes). La même analyse devra être faite pour le risque de réclamation en justice (risque portant principalement sur le défaut de valorisation de provision pour risque Prud’homal par exemple).

Le tableau illustrant ces exemples pourrait se présenter ainsi :

Matrice de priorisation - flèche montante : Criticité - flèche droite : niveau de maîtrise
  ÉVÉNEMENT IMPACT DU RISQUE NATURE « ARRÊTÉ COMPTABLE » NIVEAU DE RISQUE « BRUT » MESURES DE PRÉVENTION NIVEAU DE RISQUE « NET »
PROCESSUS RÉF DESCRIPTION IDENTIFICATION DU RISQUE EXHAUSTIVITÉ RÉGULARTITÉ AFFECTATION COMPTABLE CRITICITÉ IMPACT NIVAU COTATION « BRUT » RISQUE « BRUT » COEF DE PONDÉRATION RISQUE « NET »
RH RÉMUNÉRATIONS RH-R1 Les suivis des congés ne sont pas tous matérialisés Evalutation de la dette pour congés payés × × 8 5 6 Recoupement avec le logicile de suivi des heures fait a postérioro + communication décompte du salarié en fin d’année 6 2/10 1
RH RÉMUNÉRATIONS RH-R1 Les suivis des congés ne sont pas tous matérialisés Risque de réclamation en justice × 0 3 7 Aucun Prud’hommes sur le sujet au cours des 3 dernières annaées 6 1/10 1

Le plan d’action

La finalité de la cartographie d’évaluation des risques va être de les hiérarichiser pour permettre aux responsables de définir les priorités et d’élaborer un plan d’action. Ce plan est le plus souvent pluriannuel mais doit toujours pouvoir être ajusté aux évolutions.

Le tableau présenté peut être un support et être incrémenté par la description des actions à mener ainsi que les degrès d’urgence retenus.

La cartographie des risques comme outil de pilotage

Au-delà de sa vocation d’outil d’aide à la décision, ce document va pouvoir être utilisé comme un outil de pilotage pour la gouvernance de l’association. Comme tout outil, amené à évoluer dans le temps, il devra être mis à jour et suivi de manière régulière.

Auteur

Acteur majeur de l’expertise comptable en France, In Extenso accompagne au quotidien plus de 6 000 acteurs de l’économie sociale.
ess.inextenso.fr