The webinar covers:
• Appréhender les sous étapes de l’étape appréciation des risques.
• Connaître les outils et techniques pour l’identification, l’analyse et l’évaluation des risques.
• Savoir choisir les outils et techniques à bon escient
Presenter:
Le webinaire est présenté par Zied Boudriga, formateur certifié par PECB et Directeur des risques Opérationnels et des Marchés à l’ArabTunisian Banket.
Link of the recorded session published on YouTube: https://youtu.be/nIFP9V5qzSM
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : les outils et les techniques à utiliser
1. Présenté Par zied boudriga
3 Mars 2016
1
L’identification, l’analyse et l’évaluation des risques selon
l’ISO 31000 : les outils et les techniques à utiliser3 mars 2016
2. Zied Boudriga
Directeur Risques opérationnels
& Marchés - ATB
Zied Boudriga est formateur certifié PECB, Certified ISO 31000 Lead Risk Manager – PECB, Certified
ISO 27005 Lead Risk Manager - PECB, Certified ISO 9001 Profesional Auditor – PECB, Certification in
Risk Management Assurance (CRMA) – IIA, Certified Internal Auditor (CIA) – IIA. Auteur de l’ouvrage
« L’Audit Interne : Organisation et Pratiques » - septembre 2012.
Boudriga.zied@hotmail.com Zied boudriga
4. 4
Au cours de ce webinar les points suivants seront abordés :
Appréhender les sous étapes de l’étape appréciation des risques.
Connaître les outils et techniques pour l’identification, l’analyse et
l’évaluation des risques.
Savoir choisir les outils et techniques à bon escient,
Ce webinar
5. 5
Toute activité d’une organisation implique des risques qu’il convient de gérer. Le
processus de management des risques facilite la prise de décision.
Introduction
Le management des risques comprend l’application de méthodes logiques et
systématiques permettant:
de communiquer et de consulter tout au long de ce processus;
d’établir le contexte de l’organisation afin d’identifier, d’analyser d’évaluer et
de traiter les risques liés à une activité, un processus, une fonction ou un
produit;
de surveiller et d’examiner l’évolution des risques;
De rapporter et de consigner les résultats de manière appropriée.
6. 6
Toute activité d’une organisation implique des risques qu’il convient de gérer. Le
processus de management des risques facilite la prise de décision.
Introduction
Le management des risques comprend l’application de méthodes logiques et
systématiques permettant:
de communiquer et de consulter tout au long de ce processus;
d’établir le contexte de l’organisation afin d’identifier, d’analyser d’évaluer et
de traiter les risques liés à une activité, un processus, une fonction ou un
produit;
de surveiller et d’examiner l’évolution des risques;
De rapporter et de consigner les résultats de manière appropriée.
7. o ISO 73 – 2009 : Management du risque - Vocabulaire
7
o ISO 31000 - 2009 : Principes et lignes directrices de mise en œuvre.
o ISO 31010 – 2009 : Gestion du risques – techniques d’évaluation du risque.
o ISO 31004 – 2013 : Management du risque - Lignes directrices pour
l’implémentation de l’ISO 31000 .
o ISO 27005 – 2011 : Technologies de l'information -- Techniques de sécurité --
Gestion des risques liés à la sécurité de l’information.
La famille ISO relative au risque
9. C’est un cadre générique d’ISO pour toutes les normes liées au management
du risques (environnement, santé, sécurité et qualité etc.).
9
Fournit des principes et des lignes directrices générales sur le management des
risques.
Peut s’appliquer à tout type de risque, quelle que soit sa nature.
N’a pas pour vocation de servir de base de certification.
La norme ISO 31000 - 2009
10. Etablissement du contexte
Identification des risques
Analyse des risques
Évaluation des risques
Traitement des risques
Surveillance
Communicationetconcertation
Appréciation des risques
10
Le processus de management des risques selon l’ISO 31000
11. Identification des risques
Analyse des risques
Évaluation des risques
Appréciation des risques
11
Le processus de management des risques selon l’ISO 31000
12. L’appréciation des risques a pour objet de fournir des informations et une analyse
factuelles permettant de prendre des décisions avisées sur la manière de traiter
des risques particulières et faire un choix parmi différentes options.
12
L’appréciation des risques (suite…)
L’appréciation des risques permet aux décideurs et aux responsables de mieux
appréhender les risques susceptibles d’avoir un impact sur les objectifs, ainsi que la
pertinence et l’efficacité des contrôles déjà en place.
Les résultats de l’appréciation des risques doivent être utilisés pour alimenter les
processus de prise de décision de l’organisation.
13. L’appréciation des risques présente les principaux avantages suivantes:
1. Compréhension du risque et de son impact potentiel sur les objectifs.
2. Apport d’information pour la prise de décision.
3. Participation à la compréhension des risques afin de sélection des options
de traitement.
4. Identification des principaux facteurs contribuant aux risques et des
maillons faibles d’un système ou d’une organisation.
5. Comparaison des risques avec ceux d’autres systèmes, technologies ou
approches.
6. Communication sur les risques et l’incertitudes.
7. Aide à l’établissement de priorités.
13
L’appréciation des risques (suite…)
14. L’appréciation des risques présente les principaux avantages suivantes:
8. Prévention des accidents fondée sur une enquête post-accidentelle.
9. Choix entre différentes de traitement du risque.
10. Satisfaction à des exigences réglementaires.
11. Apport d’information permettant d’évaluer le niveau de tolérance au risque
en fonction de critères préalablement définis.
12. Évaluation des risques liés à la mise au rebut en fin de vie.
14
L’appréciation des risques (suite…)
15. Il convient que les responsables chargés de l’appréciation des risques soient bien
informés des éléments suivants:
• Le contexte et les objectifs de l’organisation.
• L’étendu et le type de risques tolérables et la manière dont doivent être
traités les risques inacceptables.
• La manière dont l’appréciation des risques est intégrée dans les processus
de l’organisation.
• Le rapporteur, la responsabilité et l’autorité en matière d’appréciation des
risques.
• Les ressources disponibles pour l’appréciation des risques.
• La manière dont l’évaluation des risques sera rapportée et examinée.
15
L’appréciation des risques (suite…)
16. L’organisme identifie les sources de risque, les domaines d’impact, les événements,
ainsi que leurs causes et conséquences potentielles.
16
Cette étape a pour objectif de dresser une liste exhaustive des risques basée sur
les événements susceptibles de provoquer, de stimuler, d’empêcher, de gêner, ou
de retarder l’atteinte des objectifs.
Indentification des risques
17. L’analyse du risque implique la prise en compte des causes et sources de risque,
de leurs conséquences positives et négatives, et de la vraisemblance que ces
conséquences surviennent.
17
Le risque est analysé en déterminant les conséquences et leur vraisemblance, ainsi
que d’autres attributs du risque.
Analyse des risques
18. L’analyse du risque consiste à ESTIMER les conséquences et leurs
vraisemblance pour les événements identifiés en tenant compte de la présence (ou
non) et de l’efficacité de toutes les mesures existantes.
18
Les conséquences et leurs vraisemblance sont combinées pour déterminer la
criticité du risque.
Analyse des risques (suite …)
19. L’évaluation du risque consiste à comparer le niveau de risque déterminé au cours
du processus d’analyse aux critères de risque établis lors de l'établissement du
contexte.
19
Sur la base de cette comparaison, il est possible d'étudier la nécessité d'un
traitement.
Evaluation des risques
21. La norme ISO 31010 est destinée à refléter les bons usages en matière de choix et
d’utilisation des techniques d’appréciation des risques et ne fait pas référence à
des notions nouvelles ou en cours de développement n’ayant pas atteint un niveau
satisfaisant de consensus professionnel.
21
La norme ISI 31010
La norme ISO 31010 est par nature générale de sorte qu’elle puisse servir de guide
dans de nombreuses industries et pour différents types de systèmes.
22. L’appréciation des risques peut être réalisée à divers degrés de profondeur et de
détail et par de nombreuses méthodes, de la plus simple à la plus complexe.
22
Les outils et techniques d’appréciation
Il convient que la forme de l’appréciation et son résultat soient cohérents avec les
critères de risque développés dans le cadre de l’établissement du contexte.
23. Il convient de choisir la ou les techniques sur la base de facteurs applicables, tels
que:
• Les objectifs de l’étude. Les objectifs de l’appréciation des risques auront un
effet direct sur les techniques utilisées.
• Les besoins des décideurs. Dans certains cas, un niveau de détail est
nécessaire pour prendre une bonne décision, alors que dans d’autres cas,
une compréhension plus générale est suffisante.
• Le type et l’ensemble des risques en cours d’analyse.
• L’amplitude potentiel des conséquences.
• Le degré de compétence, ainsi que les besoins en ressources humaines et
autres. Une méthode simple, correctement mise en œuvre, peut souvent
donner de meilleurs résultats qu’une procédure plus sophistiquée
d’application médiocre.
23
Les outils et techniques d’appréciation (suite …)
24. Il convient de choisir la ou les techniques sur la base de facteurs applicables, tels
que (suite…):
• La disponibilité des informations et de données. Certaines techniques
nécessitent plus d’information et de données que d’autres.
• Les exigences réglementaires et contractuelles.
24
Les outils et techniques d’appréciation (suite …)
25. Disponibilité des ressources
Les ressources et capacités pouvant avoir un impact sur le choix des techniques
d’appréciation des risques comprennent:
Les compétences, l’expérience, la capacité et les aptitudes de l’équipe
d’appréciation des risques.
Les contraintes liées au temps et aux ressources de l’organisation.
Le budget disponible si des ressources externes sont requises.
25
Les outils et techniques d’appréciation (suite …)
26. L’annexe A de la norme ISO 31010 illustre les relations conceptuelles entre les
différentes catégories de techniques d’appréciation des risques et les facteurs liés à
une situation à risque donnée.
26
Les outils et techniques d’appréciation (suite …)
27. 27
Les outils et techniques d’appréciation (suite …)
Outils et techniques Processus d’appréciation des risques
Identification
des risques
Analyses des risques Evaluation
des risques
Conséquence Probabilité Niveau de
risque
Brainstorming PA NA NA NA NA
Entretiens PA NA NA NA NA
Technique Delphi PA NA NA NA NA
Listes de contrôle PA NA NA NA NA
Analyse préliminaire du
danger
PA NA NA NA NA
Etudes de danger et
d’exploitabilité (HAZOP)
PA PA A A A
HACCP PA PA NA NA PA
Evaluation des risques
environnementaux
PA PA PA PA PA
28. 28
Les outils et techniques d’appréciation (suite …)
Outils et techniques Processus d’appréciation des risques
Identification
des risques
Analyses des risques Evaluation
des risques
Conséquence Probabilité Niveau de
risque
SWIFT PA PA PA PA PA
Analyse de scénario PA PA A A A
Analyse d’impact sur
l’activité
A PA A A A
Analyse des causes
profondes
NA PA PA PA PA
Analyse des modes de
défaillance et de leurs
effets
PA PA PA PA PA
Analyse par arbre de
panne
A NA PA A A
29. 29
Les outils et techniques d’appréciation (suite …)
Outils et techniques Processus d’appréciation des risques
Identification
des risques
Analyses des risques Evaluation
des risques
Conséquence Probabilité Niveau de
risque
Analyse par arbre
d’événements
A PA A A NA
Analyse causes
conséquences
A PA PA A A
Analyse des causes et de
leurs effets
PA PA NA NA NA
Analyse des niveaux de
protection (LOPA)
A PA A A NA
Arbre de décision NA PA PA A A
Analyse de fiabilité
humaine
PA PA PA PA A
30. 30
Les outils et techniques d’appréciation (suite …)
Outils et techniques Processus d’appréciation des risques
Identification
des risques
Analyses des risques Evaluation
des risques
Conséquence Probabilité Niveau de
risque
Analyse « nœud
papillon »
NA A PA PA A
Maintenance basée sur la
fiabilité
PA PA PA PA PA
Analyse des conditions
insidieuses (Analyse
transitoire)
A NA NA NA NA
Analyse de Markov A PA NA NA NA
Simulation de Monte-
Carlo
NA NA NA NA PA
Analyse bayésienne et
réseaux de Bayes
NA PA NA NA PA
31. 31
Attributs d’un choix d’outils d’appréciation des risques
Outils et techniques Processus d’appréciation des risques
Identification
des risques
Analyses des risques Evaluation
des risques
Conséquence Probabilité Niveau de
risque
Courbes FN A PA PA A PA
Indices de risque A PA PA A PA
Matrice conséquence /
probabilité
PA PA PA PA A
Analyse coût / bénéfice A PA PA PA A
Analyse de décision à
critères multiples (ADCM)
A PA A PA A
32. 32
Les outils et techniques d’appréciation (suite …)
Type de technique
d’appréciation
Description Pertinence de facteurs influents Résultat
quantitatifRessources
et aptitudes
Nature et
degré
d’incertitude
complexité
37. QUESTIONNAIRE D’IDENITFICATION DES RISQUES INHERENTS
37
La fiche QIRI
1. Citer au moins 3 tâches dont vous êtes chargés (ou bien décrire en style
télégraphique en quoi consiste votre travail ?) :
…………………………
………………………...
…………………………
38. 38
La fiche QIRI (suite…)
2. Quelles sont les contraintes qui entravent le bon déroulement de chacune de
ces tâches, au moins une contrainte pour chaque tâches (ou bien qu’est ce qui
pourrait mal tourné pour chaque tâche au cours de déroulement de chaque
tâche) ?
Tâche n° 1 :
- Contrainte n° 1.1 :
- Contrainte n° 1.2 :
- Contrainte n° 1.3
Tâche n° 2 :
- Contrainte n° 2.1 :
- Contrainte n° 2.2 :
- Contrainte n° 3.3 :
Tâche n° 3 :
- Contrainte n° 3.1 :
- Contrainte n° 3.2 :
- Contrainte n° 3.3 :
39. 39
La fiche QIRI (suite…)
3. Donner une appréciation de la possibilité de la survenance de ces contraintes
selon l’échelle suivante : faible – moyen – élevé.
4. Donner une appréciation de l’effet que pourrai avoir la non réalisation de
chacune des tâches sur votre travail ou le travail des autres selon l’échelle
suivante : mineur – modéré – grave.
41. 41
PRÉSENTATION
Le brainstorming est une technique de recherche collective inventée en 1939 par
Alex Faickney Osborn (1888-1966 publicitaire américain) et basée sur la
stimulation de l’imagination, dans le but d’obtenir le maximum d’idées sur un
sujet précis.
Alex Osborn a présenté pour la première fois le brainstorming en 1948 dans son
livre « your creative power » .
42. 42
PRÉSENTATION -suite-
Le Brainstorming (Remue-méninges) permet de produire, en groupe, un maximum
d’idées dans un temps court (de 30 mn à 2h). Il s’applique aux différentes étapes
de la démarche de résolution de tous problèmes : identifier les préoccupations de
participants, rechercher les causes possibles du problème, rechercher des
solutions.
43. 43
MODE D’EMPLOI
Une séance de brainstorming à BBDO New York à la fin des années 50
Sur le mur, à droite, les
quatre règles de base :
1. Aucune critique des idées
émises
2 Pas de limite à
l'imagination
3. Le plus d'idées possibles
4. Le rebond systématique
sur les idées des autres
44. 44
MODE D’EMPLOI -suite-
Les 5 phases du brainstorming:
Phase 1: constituer le groupe.
Phase 2: cadrer le sujet.
Phase 3: émettre spontanément le plus d’idées possible et en les notant
toutes.
Phase 4: regrouper, enrichir et reformuler les idées collectées.
Phase 5: sélectionner les meilleures idées ou les solutions réalisables.
47. 47
Le diagramme cause à effet ou diagramme d’Ichikawa, du nom du professeur
japonais qui l’a développé en 1943, est une représentation graphique simple qui
pour un effet (un défaut, une caractéristique, un phénomène) cherche à identifier
l’ensemble des causes pouvant l’affecter.
PRÉSENTATION -suite-
49. 49
MODE D’EMPLOI
Construire un diagramme cause - effet, c’est construire une arborescence qui de
l’effet va remonter dans toutes les causes possibles (branches), dans les causes
secondaires (petites branches) et jusqu’aux détails (feuilles).
51. 51
MODE D’EMPLOI -suite-
Déroulement:
1. Définir clairement l’effet sur lequel vous souhaitez agir directement.
2. Lister les causes les plus probables du problème (par brainstorming, par
exemple).
3. Classer les parmi les cinq familles de causes (voir ci-dessous).
4. Etablir des sous-familles lorsque le nombre de causes par famille le justifie.
5. Tracer le diagramme causes/effet (Ishikawa).
52. Etape n° 1:
Placer une flèche horizontalement, pointée vers le problème identifié ou le but
recherché.
Effet
MODE D’EMPLOI -suite-
53. Etape n° 2:
Lister les causes les plus probables du problème (par brainstorming, par exemple).
MODE D’EMPLOI -suite-
54. Etape n° 3:
Regrouper les causes potentielles en familles, appelées communément les cinq M.
Effet
M 1M 2M 3
M 4M 5
MODE D’EMPLOI -suite-
55. Effet
Etape n° 4:
Inscrire sur des mini flèches, les causes rattachées à chacune des familles. Il faut
veiller à ce que toutes les causes potentielles apparaissent.
M 1M 2M 3
M 4M 5
MODE D’EMPLOI -suite-
56. Effet
Etape n° 5: Rechercher parmi les causes potentielles exposées, les causes réelles
du problème identifié. Ce sera notamment la cause la plus probable qu’il restera à
vérifier dans la réalité et à corriger.
M 1M 2M 3
M 4M 5
X
X
XX
X
X
X
X
X
MODE D’EMPLOI -suite-
57. 57
L’utilisation des 5 M permet d’éviter de privilégier les pistes les plus évidentes, et
d’analyser également les autres pistes.
On peut se limiter à trois ou quatre familles si cela est suffisant, ou bien encore
augmenter le nombre de famille en cas de besoin. Mais il faut faire attention à la
lisibilité du diagramme.
On peut remplacer les 5 M par d’autres familles plus adaptées à l’entreprise ou à
un contexte particulier.
MODE D’EMPLOI -suite-
59. 59
PRÉSENTATION
La réaction habituelle face à un problème ou une situation non désirée, c’est daller
directement à la solution.
Ou plutôt … ce qui semble être la solution.
60. 60
PRÉSENTATION -suite-
Dans la plupart des cas, la cause identifiée est une cause indirecte et secondaire,
voire carrément une conséquence. Bien souvent, ce n’est pas la cause racine.
61. 61
PRÉSENTATION -suite-
La méthode des 5P ou 5 Pourquoi (en anglais : 5 Why's ou 5W) est une méthode
de résolution des problèmes orientée vers un but précis et unique: l’identification
des causes racines d’une situation, d’un disfonctionnement, d’un phénomène
observé etc.
62. 62
MODE D’EMPLOI
La méthode des 5 Pourquoi repose sur un questionnement systématique :
1. Décrire et identifier clairement un phénomène en se posant la question « Que
se passe t-il ? »
2. Énoncer le problème en répondant à la première question commençant par
Pourquoi : Ex. Pourquoi ce phénomène est-il apparu ? ;
3. La réponse à ce premier « Pourquoi » est une cause symptomatique. Elle
devient le nouveau problème à résoudre ;
4. Reformuler une nouvelle question commençant par « Pourquoi », afin de
trouver le pourquoi du pourquoi ;
5. A travers chacune des réponses obtenues, remonter graduellement les causes
symptomatiques pour mettre en évidence les causes fondamentales du
phénomène observé. En général, avant le 5ème « Pourquoi », les causes racines
du problème sont élucidées.
64. 64
POUQUOI 5 FOIS P?
Mais pourquoi 5 fois ? Pourquoi pas 4, pourquoi pas 6 ?
Le nombre d’itérations n’a pas beaucoup d’importance et il est communément
admis que 5 “boucles” suffisent pour atteindre la cause racine ou s’en approcher
très près.
D’ailleurs, dans la majorité des cas, 3 itérations suffisent.
66. 66
ANALYSE PAR ARBRE DE PANNE
Technique AAP permet d’identifier et d’analyser les facteurs qui peuvent
contribuer à un événement indésirable spécifié (appelé « évènement de tête »),
Les facteurs de causalités sont identifiés de manière déductive et organisés de
manière logique et graphique, sous la forme d’une arborescence décrivant les
facteurs de causalité et leurs relations logiques à l ’événement de tête.
67. GÉNÉRALITÉS
Arbre de causes ou de défaillances.
Démarche apparue dans les années 1960.
Domaines militaire et aéronautique puis nucléaire, chimique, etc.
Analyse de :
fiabilité,
disponibilité,
sécurité.
Apparition de cette méthode car il devenait nécessaire de prendre en compte
les combinaisons de pannes : augmentation de la sécurité des systèmes et
donc de leur complexité.
Analyses qualitatives et quantitatives
68. 68
PRINCIPES DE BASE
Définition de l‘Événement Indésirable (EI) fondamentale.
Nota : Événement Indésirable ou Événement Redouté.
Ex : Incendie.
Démarche déductive :
Décomposition successive aux niveaux inférieurs.
Représentation par :
Opérateurs logiques.
Événements.
Symbole de transfert.
69. 69
PRINCIPES DE BASE
Définition de l‘Événement Indésirable (EI) fondamentale.
Nota : Événement Indésirable ou Événement Redouté.
Ex : Incendie.
Démarche déductive :
Décomposition successive aux niveaux inférieurs.
Représentation par :
Opérateurs logiques.
Événements.
Symbole de transfert.
70. 70
CONSTRUCTION DE L’ARBRE DE PANNE
E1 E2
E
E3C ED
BA
Combinaison d'événements
Élémentaire
Non élémentaire mais non
développé ou non développé
momentanément
Événement conditionnel
Case configuration
71. Décomposition binaire
Défaillance intrinsèque.
Non commande.
Exemple pour un système mécanique : EI = “L’hélice ne tourne pas”
Par scénario,
par phase du cycle de vie
ou / et AMDEC sous-système
système.
* : HS : Hors Service ** NC : Non
Commandé DI : Défaillance Intrinsèque
EI
Hélice HS*
(DI)
Hélice non commandée (NC**)
Arbre cassé
(DI)
Arbre NC
Moteurs NC
Moteur 1 cassé Moteur 2 cassé
Moteurs cassés (DI)
“L’hélice ne tourne
pas”
Suite possible
HÉLICE
ARBRE
MOTEUR1
MOTEUR2
flux mécanique
sens de décomposition
CONSTRUCTION DE L’ARBRE DE PANNE -suite-
73. 73
ANALYSE DE FIABILITÉ HUMAINE
On emploie souvent le terme d'« erreur humaine » pour expliquer l'origine des
accidents majeurs. Il est désormais évident que les facteurs humains et
organisationnels jouent un rôle important dans l'occurrence de la plupart des
accidents,
L’importance de la méthode AFH a été illustrée par différents accidents au cours
desquels des erreurs humaines critiques ont contribué au déclenchement d’une
séquence d’événements catastrophique.
75. 75
ANALYSE DE FIABILITÉ HUMAINE -suite-
L’analyse de fiabilité humaine (AFH) porte sur l’impact des personnes sur les
performances du système. Elle peut être utilisée pour évaluer les influences de
l’erreur humaine sur le système.
76. 76
ANALYSE DE FIABILITÉ HUMAINE -suite-
Les effets de l’erreur dépendent des propriétés du système et du contexte dans
lequel se produit.
80. Le tableau suivant présente une échelle de la probabilité d’occurrence :
Almost certain Presque certain 6
Very likely Très probable 5
Likely Probable 4
Possible Possible 3
Unlikely Improbable 2
Rare Rare 1
Echelle de la vraisemblance
80
81. La hiérarchisation des risques est définie directement à partir de l’impact de
l’événement redouté.
Catastrophic Catastrophique 6
Cretical Critique 5
Major Majeur 4
Moderate Modéré 3
Minor Mineur 2
Negligible Negligeable 1
L’impact
81
89. Les responsables opérationnels sont chargés notamment d’évaluer les risques et
les contrôles en place dans leurs unités.
INTRODUCTION
Les entreprises ont intérêt à développer des techniques et des outils centrés sur
l’évaluation des processus de management des risques et de contrôle interne, ainsi
que sur l’identification des moyens pour les améliorés.
La mise en œuvre d’une démarche de Risk Control Self Assessment constitue un
moyen utile et efficace d’évaluation des risque et du contrôle interne.
89
90. Le Risk Control Self Assessment (RCSA) est un processus initiée par la Haute
Direction, supportée par la hiérarchie et mise en œuvre et utilisée par les
opérationnels pour évaluer l’efficacité de contrôle interne de leurs activités.
Le RCSA aide les organisations à atteindre leurs objectifs.
DÉFINITION DU RCSA
90
93. LES PHASES DU PROCESSUS RCSA
ÉLABORATION MISE EN ŒUVRE
Conception
PROCESSUS CONTROL SELF ASSESSMENT
Déploiement ExploitationTravaux préalables:
-Cadrage du projet,
-Cadre de référence
de contrôle interne,
-Formation.
Ateliers
Enquêtes
Études et analyses
93
94. LES ACTEURS DU RCSA
Direction Générale
Management
Opérationnels
Ligne hiérarchique
ReportingReporting
Audit Interne
Animateur
Reporting
Conseil d’Administration et/ou Comité d’Audit
1
2
3
5
4
5
94
95. Prend la décision de la mise en œuvre du processus CSA,
décide de l’utilisation qui en sera faite, désigne l’animateur et
approuve la méthode et les outils utilisés.
LES ACTEURS DU RCSA -suite-
La Direction Générale1
Pilote le projet CSA.
95
96. Apporte son point de vue sur la pertinence des moyens et des
outils.
LES ACTEURS DU RCSA -suite-
Le Management2
Mobilise ses équipes sur la mise en place et l’évaluation des
contrôles.
Valide les plans d’actions et en vérifie la mise en œuvre.
96
97. Effectuent les travaux d’auto-évaluation et proposent les plans
d’action afin d’améliorer les contrôles.
LES ACTEURS DU RCSA-suite-
Les opérationnels3
97
98. Donne les critères de réalisation et anime le processus CSA:
coordination de conception du référentiel de contrôle interne;
définition et mise en œuvre des outils;
formation et information;
support aux utilisateurs.
LES ACTEURS DU CSA -suite-
L’animateur4
Il est le chef du projet CSA.
L’animateur peut être le management des risques.
98
99. Est une partie prenante du projet RCSA et peut apporter son
expertise à l’animateur pour les phases amont de la réalisation
du projet RCSA.
LES ACTEURS DU RCSA -suite-
L’Audit Interne5
Il est client du processus RCSA.
L’audit interne peut être chargé de la fonction « animateur
RCSA » en l’absence d’un mangement des risques.
99
100. En tant qu’organe faisant partie de la gouvernance
d’entreprise, il/elle s’intéresse aux résultats du processus
RCSA.
LES ACTEURS DU RCSA -suite-
Le Conseil d’Administration et/ou le Comité d’Audit6
Les résultats du processus RCSA peuvent lui être remontés par
la Direction Générale.
100
101. Trois outils peuvent être utilisés dans une démarche
RCAS:
1. L’atelier de travail.
2. L’enquête (basée sur des questionnaires).
3. L’étude et analyse.
LES OUTILS DU CSA
101
102. Détecter les erreurs.
Détecter les fraudes.
CE QUE LE CSA NE PEUT PAS FAIRE?
102