cartographie des risques-mémoire de fin d'Études

Cartographie des risques-Cas de l’entreprise CHAABI LLD

1 Meriem S’KAR, ISCAE 2009/2010 Mémoire de fin d’études

Mémoire de fin d’études :

« La cartographie des risques, un outil idoine pour un audit interne basé sur les risques.

Cas de l’entreprise CHAABI LLD »

Etudiante : Meriem S’KAR

Professeur encadrant ; M.ELATTAR



Si l’élaboration du présent mémoire reste emportée par les données techniques et

professionnelles du monde de travail, la présente page, quant à elle, sera consacrée à

l’expression de mes sentiments de reconnaissance et de remerciements à toute

personne qui m’a aidée durant toute la période de stage.

Je tiens à remercier M. Mouflih Hamid, responsable qualité et marketing pour son

encadrement et de m’avoir présenté l’aide et l’assistance dont j’avais besoin et ce

malgré ses multiples préoccupations.

Un remerciement spécial à tout le personnel de l’entreprise CHAABI LLD pour sa

coopération et sa patience.

J’en profite pour remercier également tout le corps professoral de l’ISCAE et

particulièrement Monsieur ELATTAR Mehdi pour son encadrement et ses conseils.

Remerciements



Au cours de ces dernières années dans une période ou la recherche de productivité et d’économie des coûts sont devenus la préoccupation du monde des affaires, les risques ne cessent d’augmenter dans l’économie et la fréquence des défaillances d’entreprise est de plus en plus importante. Ce qui a mis en évidence la nécessité de disposer d’outils de pilotage et de contrôle de plus en plus efficaces pour renforcer la résistance et la dynamique de l’entreprise ou l’organisation.

En effet, la conduite des affaires impose désormais une véritable culture de contrôle diffusé dans les fonctions aussi bien administratives qu’opérationnelles. En d’autres termes, tous les acteurs de la vie économique sont directement concernés par la qualité du contrôle développé dans leurs entités, qui permettra de limiter les risques de défaillance et d’optimiser l’efficacité des opérations. Mais encore faudra-t-il disposer d’un système de contrôle interne bien adéquat et actualisé, un système permettant de détecter, en temps voulu tout dérapage par rapport aux objectifs de rentabilité visés par l’entreprise et de limiter les aléas. Dans ce contexte, il n’est pas étonnant que se manifeste une demande croissante pour des systèmes d’audit interne plus performants et permettant une maîtrise parfaite de tout genre de risque entravant la réalisation des objectifs de l’entreprise et ceci grâce à des outils développés qui contribuent au recensement des différents aléas et risques qui peuvent surgir, et en assurent une bonne maîtrise. Dans ce sens, le présent mémoire se propose de contribuer à l’élaboration d’une cartographie des risques pour les différents cycles ou processus de l’entreprise CHAABI LLD. Cette démarche implique la nécessité de comprendre la notion de maîtrise des risques et ses différents outils, ainsi que les nouvelles pratiques de l’audit basé sur les risques. La mise en place d’une cartographie des risques implique enfin une connaissance de ces étapes de réalisation, ce qui permettra de se doter d’un canevas aidant à la mise en place d’une cartographie générale répondant aux besoins d’audit à CHAABI LLD. Dans une première étape j’essaierai de présenter le système de contrôle interne et son rôle crucial dans l’organisation et le rôle de l’audit interne pour évaluer et améliorer son efficacité en mettant en exergue la nouvelle orientation de l’audit interne vers la maîtrise des risques. Je vais procéder, dans une deuxième étape, à la présentation de la notion du risque et de maîtrise des risques, pour pouvoir par la suite expliquer le concept Cartographie des risques et les étapes clés de son élaboration. Et enfin, dans une troisième étape, je présenterai les phases de l’élaboration de la dite cartographie des risques pour le cas de l’entreprise CHAABI LLD.

Introduction



Introduction ...................................................................................................... 3 Première partie : la cartographie des risques : un outil idoine pour un audit interne basé sur les risques ............................................................................................................................................... 5

Chapitre 1 : La maîtrise des risques : une préoccupation du contrôle interne ........................... 6

I. Le système de contrôle interne ........................................................................................ 6

II. Réglementation Bâle 2/ risques opérationnels ............................................................... 12

III. L’audit interne et son rôle dans l’évaluation et l’amélioration du contrôle interne .......... 16

1. Définition et objectifs de l’audit interne .................................................................. 16

2. Rôle de la fonction d’audit interne........................................................................... 19

3. Focus sur l’audit qualité .......................................................................................... 19

Chapitre 2 : La cartographie des risques : un outil de maîtrise des risques ............................. 30

I. Notion du risque et gestion du risque ............................................................................ 30

II. La cartographie des risques : ......................................................................................... 36

1. Définition/ finalité/utilisateurs ................................................................................. 36

2. Référentiels utilisés ................................................................................................. 38

3. Acteurs de la cartographie des risques ..................................................................... 39

4. Etapes d’élaboration................................................................................................ 40

5. Clés de réussite et écueils à éviter............................................................................ 41

Deuxième partie : Cas pratique : cartographie des risques de CHAABI LLD ............................. 43

Chapitre 1 : Etapes d’élaboration de la cartographie des risques .......................................... 43

I. Définition du cadre de référence ................................................................................... 43

II. Recensement des processus (cartographie des processus) .............................................. 46

III. Identification des risques .............................................................................................. 60

IV. Analyse de la maîtrise des risques ................................................................................. 60

V. Evaluation des risques .................................................................................................. 61

Chapitre 2 : Cartographie des risques finale ................................................................................... 62

Conclusion ................................................................................................................................. 84

Bibliographie ............................................................................................................................ 85

Sommaire



Première Partie : La cartographie des risques : un outil idoine

pour un audit interne basé sur les risques



Chapitre 1 : La maîtrise des risques, une préoccupation du contrôle interne

I. Système du Contrôle Interne et maîtrise des risques : 1. Définition et objectifs:

Le contrôle interne est généralement défini comme l’ensemble des dispositifs visant la maîtrise des activités et des risques de toute nature, permettant la régularité (au sens du respect de la réglementation externe et interne), la sécurité et l’efficacité des opérations. Selon l’Ordre des Experts Comptables (France, dès 1977), le CI est défini comme étant : « L’ensemble des sécurités contribuant à la maitrise de l’entreprise. Il a pour but d’un coté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre l’application es instructions de la direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la pérennité de celle-ci. » Cette définition est relayée - Par celle du « Consultative Committee of accountancy » de Grande Bretagne donnée en

1978 : « Le contrôle interne comprend l’ensemble des systèmes de contrôle financiers et autres, mis en place par la direction afin de pouvoir diriger les affaires de l’entreprise de façon ordonnée et efficace, assurer le respect des politiques de gestion sauvegarder les actifs et garantir autant que possible l’exactitude et l’état complet des informations enregistrées ». - Et par celle de « l’American Institute of Certified Public Accountants » en la même année

1978 : « Le contrôle interne est formé de plans d’organisation et de toutes les méthodes et Procédures adoptés à l’intérieur d’une entreprise pour protéger ses actifs, contrôler l’exactitude des informations fournies par la comptabilité, accroître le rendement et assurer l’application des instructions de la direction. »

Les définitions sont variées : « dispositifs », « moyens », « procédés », « systèmes »…mais elles ne sont pas fondamentalement contradictoires. On perçoit bien que tous s’accordent pour préciser qu’il ne s’agit pas là d’une fonction, mais « d’un ensemble mis en œuvre par les responsables de tous niveaux pour maitriser la fonctionnement de leurs activités ». Le contrôle interne concourt à la réalisation d’un objectif général que l’on peut décliner en objectifs particuliers. L’objectif général c’est la continuité de l’entreprise dans le cadre de la réalisation des buts poursuivis. Cette définition globale par les objectifs admise par la plupart des grandes entreprises1 a le mérite de mettre certains éléments en évidence :

1 Groupe SHELL-Business Control Guidelines : « le cadre du contrôle interne doit garantir avec un degré raisonnable de certitude la réalisation des objectifs de la société ».



Ø Le contrôle interne n’est pas un ensemble d’éléments statiques, il doit également être apprécié d’une manière dynamique, chacun des éléments qui le composent ayant sa place dans le processus de fonctionnement de l’entreprise.

Ø Tous les niveaux de management sont concentrés au même titre que la direction générale, tous étant considérés comme des managers ayant à mettre en place un contrôle interne.

Ø On assigne de façon réaliste comme finalité l’assurance raisonnable d’atteindre les objectifs. En effet, un contrôle qui viserait un fonctionnement parfait pour parvenir à coup sûr aux résultats escomptés serait à la fois paralysant et hors de prix, donc irréaliste. Le contrôle interne n’est pas conçu pour garantir la réussite de l’organisation, son objectif est relatif et non absolu. Pour atteindre cet objectif général, on assigne au contrôle interne des objectifs permanents, que l’on retrouve d’ailleurs dans la définition de l’ordre des Experts comptables et dans les définitions subséquentes. Suivant la définition de l’ordre des experts comptables, on peut les regrouper sous 4 rubriques :

- Sécurité des actifs :

Il ne faut pas comprendre par là seulement les actifs immobilisés de toute nature, les stocks, les actifs immatériels, mais également deux autres éléments non moins essentiels : • Les hommes, qui constituent l’élément le plus précieux du patrimoine de l’entreprise de

l’entreprise ; et on retrouve ici la notion de risque, au sens le plus large du terme : sécurité, risque social.

• L’image de l’entreprise qui peut se trouver détruite par un incident fortuit dû à une mauvaise maîtrise des opérations (cf. les accidents, connus de tous de l’Amoco Cadiz ou de l’Exxon Valdez qui ont nui gravement aux sociétés concernées).

Enfin, et pour être complet, on peut ajouter dans la liste des actifs qui doivent être valablement protégés par le système de Contrôle Interne, la technologie (aussi bien technique que de gestion) ainsi que les informations confidentielles de l’entreprise. - Qualité des informations : L’image de l’entreprise se reflète dans les informations qu’elle donne à l’extérieur et qui concernent ses activités et ses performances. Il est nécessaire que tout soit en place pour que « la machine à fabriquer des informations » fonctionne sans erreur et sans omissions. Et plus précisément, ces contrôles internes doivent permettre à la chaîne des informations d’être fiables et vérifiables, exhaustives, pertinentes et disponibles. - Respect des directives :

C’est une notion plus large que le « respect des politiques, plans, procédures, lois et réglementations » de la Norme 320. En effet, les directives englobent naturellement les dispositions législatives et réglementaires, mais elles ne se limitent pas aux politiques, plans et procédures (il peut y avoir des dispositions individuelles ou conjoncturelles). Or les



dispositifs de contrôle interne doivent éviter que les audits de conformité ne révèlent des failles ou des erreurs, ou des insuffisances dues à l’absence de respect des instructions. Les causes premières de ce phénomène peuvent être diverses : mauvaise communication, défaut de supervision, confusion des tâches, etc. dans tous les cas la qualité du Contrôle Interne est en cause. - Optimisation des ressources. Le contrôle interne ne doit pas se mettre en place dans la seule perspective du respect d’une norme ; il doit viser l’efficacité et pour se faire avoir l’ambition d’une gestion optimale. L’organisation d’un dispositif de contrôle interne doit se concevoir et s’envisager d’un double point de vue : - Le contrôle interne de l’entité : Quelles sont les règles qui gouvernent une organisation pour permettre au contrôle interne de s’implanter et de prospérer ? - Mais aussi, le cadre ainsi défini, comment chacun va s’organiser pour gérer au mieux ses affaires, pour avoir un bon contrôle interne ? Ce sont les pierres qui composent l’édifice. C’est le contrôle interne de chaque activité. En gros, le contrôle interne permet de : -S’assurer de la conformité aux lois et règlements et aux normes internes, -S’assurer de la qualité de l’information comptable et financière, -Prévenir et détecter les fraudes et les erreurs, -Veiller à la performance financière, -Porter à la connaissance de la Direction Générale des données exhaustives, précises et régulières nécessaires à la prise de décision et à la gestion des risques.

2. Principes fondamentaux du contrôle interne Les principes fondamentaux du contrôle interne peuvent être résumés dans les points suivants : • Implication directe de l’organe exécutif dans l’organisation et le fonctionnement du dispositif du contrôle interne, • Responsabilité de l’ensemble des acteurs, • Couverture exhaustive des activités et des risques, • Définition claire des tâches, de séparation effective des fonctions d’engagements et de contrôle, • Processus de décision fondé sur les délégations formalisées et à jour comportant un double regard pour tout engagement significatif de quelque nature qu’il soit, pouvant se traduire par la nécessité d’un accord préalable ou d’un avis, le cas échéant, de la part des fonctions de contrôle ( ex :Nouvelles activités ou nouveau produits), • Normes et procédures, • Déploiement de fonctions de contrôle spécialisées, • Information de l’organe délibérant (Conseil de surveillance : stratégie et politique de risque limites globales opérationnelles fixées aux prises de risques, suivi de limites, activités, résultats des contrôles permanent et périodique). 9



3. Obligation de disposer du contrôle interne :

Disposer d’un contrôle interne est une obligation réglementaire édictée par : • Comité de Bâle de la BRI, • Règlement CRBF 97-02 modifié en juin 2007(Applicable à l’ensemble des filiales de banques et aux organismes de crédits français), • Circulaire BAM n°40/G/2007 relative au Contrôle Interne des établissements de crédit. 10 Cette obligation a été renforcée à compter du 1er janvier 2006 en France et à partir du mois d’août 2007 au Maroc : -Extension du dispositif de contrôle interne aux activités essentielles externalisées, -Confirmation du rôle primordial des managers et de leurs équipes dans les contrôles permanents opérationnels.

Le contrôle interne constitue un instrument de gestion et de maîtrise de l’ensemble des risques encourus ; Son rôle doit être : - efficace, - se concevoir sur base consolidée, - s’étendre aux succursales à l’étranger, - concourir à la fiabilité des états financiers. Pour être efficace, il faut que les systèmes de contrôle des opérations et des procédures : -soient adaptés aux activités et à la taille, aux implantations et aux risques, -respectent certains principes comme la séparation des fonctions, l’utilisation de moyens adaptés (qualitatifs et quantitatifs), le réexamen périodique de la pertinence des systèmes, une durée limitée du cycle d’investigations… Les réglementations imposent aux établissements de crédits et aux entreprises d’investissement :

- Une obligation de résultat. - Dispositif adapté et efficace. - Une obligation de moyens. - Mise en place d’un dispositif.

4. Composantes du dispositif de contrôle interne :

§ Composantes du contrôle interne : Les quatre composantes essentielles du dispositif du contrôle interne sont :

-Une organisation comptable et du traitement de l’information (comptabilité, système d’information), Un système de documentation et d’information (procédures, reportings),



-Un système de mesure et de surveillance des risques et des flux, Un système de contrôle qui comprend des contrôles permanents, des contrôles de conformité ainsi que des contrôles périodiques. 14 Le système de contrôle inclut toutes les vérifications réalisées à tous les niveaux de l’entreprise par l’ensemble des collaborateurs. Il a pour objectif de vérifier l’existence, l’adéquation et l’efficacité du contrôle interne et permet d’en apporter une justification probante. Il vise également l’amélioration constante de ce dispositif par la mise en œuvre d’actions correctrices appropriées. 15

§ Niveaux de contrôle : Il faut notamment 3 niveaux de contrôles : -Permanent de 1er degré (au sein des unités), -Permanent de 2ème degré (unités spécialisées), -Périodiques (contrôle des contrôles) ; 17 Ø Le contrôle permanent est assuré:

-Au 1er degré, de façon courante à l’initiation d’une opération et en cours de validation de l’opération, par les opérateurs, la hiérarchie au sein de l’unité ou par les systèmes automatisés de traitement des opérations, -Au 2èmedegré-1er niveau, après validation de l’opération, par des agents distincts de ceux ayant engagé l’opération, pouvant exercer des activités opérationnelles, -Au 2èmedegré-2ème niveau, par des agents exclusivement dédiés, sans pouvoir d’engagement impliquant une prise de risque. Ø Le contrôle périodique (3ème degré) :

Vérifications ponctuelles de toutes les activités et fonctions de l’entreprise y compris le contrôle permanent et le contrôle de la conformité par une unité indépendante (Audit Inspection).

5. Obligations strictes de documentation et d’information : -Nécessaire formalisation des procédures et documentation des programmes, -Mise à disposition de tableaux de bord sur les risques et états de synthèse sur la mesure des risques, -Centralisation des informations chez le responsable des Contrôles Permanents.

6. Les risques à couvrir par le contrôle interne :

Les risques à prendre en compte au titre de la réglementation sont : - Risque de crédit, y compris le risque de concentration et le risque résiduel, - Risques de marché, - Risques financiers structurels (risques de taux d’intérêt global, risque de liquidité intraday, et risque règlement/ livraison),



- Risques opérationnels (y compris le plan de continuité des activités, sécurité des moyens de paiements, externalisation), - Risques de non-conformité, - Risques juridiques. - Le risque d’image et le risque stratégique bien qu’ils ne soient pas intégrés dans les réglementations, ils doivent faire l’objet d’une surveillance particulière compte tenu de leurs impacts financiers sous-jacents et de leurs conséquences. Les banques est les établissements de crédits sont principalement soumis aux risques de crédit, de marché et aux risques opérationnels : -Le risque de crédit se définit comme l’incertitude d’une contrepartie d’accomplir ses obligations. Ce risque existe pour toute créance client. -Le risque de marché, existe dès qu’un portefeuille est exposé aux fluctuations des paramètres des marchés. -Le risque opérationnel quant à lui se divise en deux catégories: risques endogènes et risques exogènes. Les premiers sont internes à l’établissement et comprennent les risques humains (erreurs d’opérateur de saisie par exemple), inhérents au processus (cas ou il n’y a pas de mécanisme de gestion de crise dans le processus) ou inhérents au système lui-même (cas de système d’information indisponible pendant un jour par exemple). Les seconds sont externes à l’activité (incendie dans les locaux, inondation des salles serveurs…) Le tableau suivant reprend les principales catégories de risques et les causes de leurs survenances :



Exemples d’événements majeurs :

7. Les limites du contrôle interne :

Tout système de contrôle interne, aussi bien que conçu et appliqué soit-il, ne peut fournir au plus qu'une assurance raisonnable au management quant à la réalisation des objectifs de l'entreprise.

Le contrôle interne est considéré comme : - Une garantie de succès pour l’entreprise. - Une solution à tous les maux existants et potentiels frappant l’entreprise. En revanche, il est soumis à un certain nombre de limites qui lui sont inhérentes: - Le contrôle interne porte sur des données répétitives et non sur des données

exceptionnelles. - Il se heurte à des résistances psychologiques au contrôle. - Il ne peut éviter les dysfonctionnements dus à des défaillances humaines, qu'il s'agisse, par

exemple, d'un jugement erroné, ou à de simples erreurs. - En outre, la connivence permet toujours de contourner les contrôles. - Enfin, une autre limite réside dans la nécessité de tenir compte du coût des contrôles et de

le comparer aux avantages attendus. Si le coût est très élevé par rapport aux avantages reçus, les contrôles n’ont pas lieu d’être.

II. Réglementation Bâle 2 / Risques Opérationnels :

La réforme Bâle II du ratio de solvabilité bancaire s'inscrit dans une démarche mondiale de réglementation de la profession bancaire remontant à la fin des années 80, dont l’objectif premier est de prévenir les faillites. Cette réforme repose sur la quantification de la relation entre risques et fonds propres, ces derniers représentant le moyen ultime permettant de faire face à des pertes importantes. En pratique, il s’agit de respecter un ratio réglementaire entre fonds propres et actifs pondérés par leur niveau de risque.



Mais cette réforme va plus loin : elle s'attaque au processus métier d'évaluation et de gestion des risques, dans une perspective qualité. Au-delà de la dimension financière qui est le calcul des fonds propres à allouer, Bâle II prend en compte et place ses exigences sur les systèmes de notation et de surveillance. Bien plus, et c'est l'aspect le plus novateur, la réforme ne se limite plus aux seuls risques financiers « classiques », comme le risque de crédit ou les risques de marché, mais couvre aussi le risque « Opérationnel ».

1. Focus sur les Risques Opérationnels

a. Définition réglementaire du Risque Opérationnel : Le Risque Opérationnel (RO) est le risque de perte: - résultant de l’inadaptation ou de la défaillance de procédures, personnes, systèmes internes, ou résultant d’événements externes (catastrophe, incendie, agressions, changement de lois ou de réglementations, etc.), - à l’exclusion du risque de réputation2 et du risque stratégique. Le Risque Opérationnel est défini pour la première fois par la réglementation comme un risque à part entière. Selon les enquêtes réalisées par le Comité de Bâle en 2001 auprès de 89 établissements bancaires, il se situerait en deuxième position quant à son importance en exigence de fonds propres soit : - après le risque de crédit, - mais avant le risque de marché. 25Les risques opérationnels sont décomposés par le comité de Bâle en sept catégories de risques: -Fraude interne; -Fraude externe; -Pratiques en matière d’emploi et de sécurité; -Clients, produits et pratiques commerciales; -Dommages aux actifs corporels; -Dysfonctionnement de l’activité et des systèmes; -Exécution, livraison et gestion des processus. 26

2 Le risque d’image est toutefois inclus dans la définition des risques opérationnels de certaines institutions.



Cette décomposition institue une approche différente, basée sur des évènements générateurs de pertes, et non plus sur des types de risques comme cela était le cas auparavant. 27

28



b. Nouvelle réglementation Bâle 2 identifiant le Risque Opérationnel Le Risque Opérationnel est un composant du nouvel accord dit de Bâle 2 (divisé en trois piliers) sur le Capital Réglementaire visant à définir un nouveau ratio de solvabilité pour remplacer le ratio Cooke.

Pour la première fois, le RO va : - faire l’objet d’une dotation spécifique en capital (Pilier 1 de l’Accord) être suivi et évalué par les régulateurs qui pourront augmenter l’allocation de capital RO si la gestion des Risques Opérationnels n’est pas jugée satisfaisante (Pilier 2 de l’Accord) - être inclus dans la communication financière des banques au marché (Pilier 3 de l’Accord). 29 La réglementation Bâle 2 propose trois méthodes de calcul des exigences en Fonds Propres au titre des Risques Opérationnels :

* A.M.A : «Advance Measurement Approach»: Approche en méthode avancée ** RCSA : «Risk and Control Self-Assessment»: Auto-évaluation des risques et des contrôles



2. Approche de couverture des Risques Opérationnels :

L’approche de mesure avancée (A.M.A) entre en vigueur au 1er janvier 2008.Dans le cadre de l’A.M.A, les éléments de mesure des Risques Opérationnels sont : ð Données historiques : - La collecte de pertes internes. - La comparaison des pertes internes avec les pertes externes.

ð Données prospectives : - L’analyse des scénarios des risques extrêmes potentiels - L’auto-évaluation des risques et du dispositif de prévention et de contrôle de ces

risques (RCSA)3 ou cartographie des risques des risques. - Les indicateurs clés de risque (KRI)4

La collecte des pertes internes renseigne sur le passé. Les autres éléments du dispositif permettent d’avoir une vision prospective des risques potentiels. La gestion des Risques Opérationnels : Les établissements de crédits et les AMC entendent ainsi transformer cette contrainte réglementaire en une véritable opportunité d’optimisation de gestion du risque. A cette fin, les objectifs poursuivis par les établissements de crédits dans ce domaine sont nombreux et variés, mais aussi complémentaires : - Meilleure compréhension et appropriation des risques opérationnels encourus - Meilleure connaissance du niveau de maîtrise des risques opérationnels et de l’impact potentiel d’une concrétisation de ces risques - Allocation cohérente des ressources nécessaires à la réduction de ces risques - Meilleure communication externe sur les risques opérationnels, notamment auprès des investisseurs et des agences de notation, et réduction du risque d’image - Allocation des fonds propres permettant de mesurer avec pertinence la performance réelle des activités, après prise en compte des risques opérationnels.

III. L’audit interne et son rôle dans l’évaluation du contrôle interne. 1. Définition et objectifs de l’audit interne :

De simple point de vue du vocabulaire, observons que le terme « Audit Interne » trouve sa définition dans les mots :

3 RCSA : Risk and Control Self Assessment 4 KRI: Key Risk Indicators



- Audit qui, fidèle à sa racine latine (Audio, Audire : écouter), montre la réelle définition d’écoute de la fonction. Son caractère générique est naturellement employé pour tout ce qui constitue une analyse et une opinion sur une situation.

- Interne car l‘audit est ici exercé par du personnel de l’entreprise. Il s’oppose ainsi à « externe » relevant d’intervenants extérieurs.

L’audit interne est une fonction relativement récente puisque son apparition (ou sa réapparition, diraient certains) remonte à la crise économique de 1929 aux Etats-Unis. C’est une fonction universelle : ce qualificatif doit être compris dans un double sens : c’est une fonction universelle car elle s’applique à toutes les organisations, mais c’est aussi une fonction universelle car elle s’applique à toutes les fonctions là où elle s’exerce. C’est une fonction permanente dans l’entreprise, mais c’est une fonction qui est périodique pour ceux qui la rencontrent. Les « audités » (chefs de services, chefs de départements, directeurs…) reçoivent les auditeurs en mission pour 1 semaine ou 2 semaines ou 3 mois ; puis, mission terminée, ceux-ci s’en vont. Ils reviendront dans 2 ans, dans 3 ans o dans 5 ans selon une fréquence qui sera fonction de l’importance du risque dans l’unité auditée. Donc fonction à éclipses dans la mesure où le travail n’est pas exercé en permanence au même endroit. L’Audit Interne a pour objectif d’assurer, au sein de l’entreprise, une double fonction de sécurité et de progrès : - Fonction de sécurité : elle contribue, par ses vérifications et par ses analyses, à

l’information de la Direction Générale et des managers, opérationnels et fonctionnels, sur le degré de maîtrise des processus et le niveau d’efficacité de l’organisation interne :

§ fiabilité du fonctionnement des entités ; § niveau de protection de l’organisation vis à vis de son environnement ; § rationalisation de l’utilisation des moyens ; § efficacité finale des activités et des procédures de gestion qui les concernent.

- Fonction de progrès : elle participe, par ses études et par ses réflexions, à l’identification

et à la conception des mesures correctives et des améliorations souhaitables, tant des dispositifs et des procédures de contrôle interne en vigueur, que des modes de prise des décisions pratiqués dans l’organisation.

L’Audit Interne se distingue des autres entités - avec lesquelles il doit entretenir d’étroites relations de coordination et de complémentarité - par sa compétence générale, c’est à dire sa vocation à intervenir dans toutes les activités, structures et types de problèmes, d’une part, et par le caractère discontinu et non permanent de ses interventions dans le cadre de missions ponctuelles préalablement définies d’autre part.



2. Rôle de la fonction d’audit interne : - Evaluer le « Contrôle Interne », c’est à dire les modes d’organisation et de travail ainsi

que les dispositifs de contrôle qui doivent permettre de maîtriser la gestion, d’informer les responsables hiérarchiques concernés sur les résultats des audits et de proposer des mesures correctives et des actions d’améliorations.

Il doit, à ce titre : • Examiner la fiabilité et la qualité des informations financières et opérationnelles (statistiques), ainsi que la sûreté des moyens utilisés pour les recueillir, les traiter et les présenter ; • Examiner les systèmes et les procédures qui ont pour objet d’assurer le respect des politiques, des plans et des directives internes, ainsi que des lois et des réglementations administratives intéressant significativement les activités et les moyens de l’Office, et, simultanément, vérifier que l’organisation s’y conforme effectivement ; • Examiner les dispositions prises pour protéger le patrimoine de l’Office et si nécessaires, vérifier l’existence et la valeur des actifs tant corporels qu’incorporels. - Evaluer l’efficacité de l’organisation, au regard des objectifs. - Informer les managers sur les résultats des audits. - proposer des mesures correctives et des actions d’amélioration. Il doit, à ce titre : • Apprécier si les moyens (humains, matériels, intellectuels et financiers) mis en œuvre sont acquis, organisés et utilisés de façon économique et productive, et s’ils sont convenablement adaptés aux objectifs auxquels ils sont affectés. • Vérifier que les opérations et les programmes (projets non répétitifs) des unités sont exécutés conformément aux objectifs fixés. • Apprécier la pertinence des objectifs, leur degré d’ambition et de faisabilité, ainsi que leur cohérence avec les finalités de l’entreprise.

3. Focus sur l’audit qualité : Vu que l’entité où j’ai effectué mon stage de fin d’études à savoir l’entreprise CHAABI LLD fonctionne selon un système de management par la qualité, je me trouve dans l’obligation de traiter de l’audit qualité.

a. Définition, objectifs et principes généraux : L’audit qualité est défini comme étant un «Examen méthodique et indépendant en vue de déterminer si les activités et résultats relatifs à la qualité satisfont aux dispositions préétablies et si ces dispositions sont mises en œuvre de façon effectives et sont aptes à atteindre les objectifs. »



Selon la norme ISO 8402 : 1995, « L'audit Qualité s'applique essentiellement mais n'est pas restreint à un système Qualité ou à des éléments de celui-ci, à des processus, des produits ou des services. » La norme ISO / CD1 19011 : 2001 le définit comme un « Processus systématique, indépendant et documenté permettant d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits. » L’audit qualité a pour objectif de : - Déterminer la conformité où la non conformité des éléments du système Qualité aux

exigences prescrites. - Déterminer l'efficacité du système qualité mis en œuvre à satisfaire aux objectifs qualité

prescrits. - Donner à l'audité l'occasion d'améliorer son système Qualité. - Satisfaire aux exigences réglementaires. - Permettre l'enregistrement du système Qualité de l'organisme audité. L’audit qualité repose sur les principes généraux suivants :

- L'audit est un outil de management source d'information pour actions de la Direction. - Objectivité, indépendance et transparence dans la planification. - Approche systématique et cohérence. - Déontologie. - Confidentialités dans les résultats.

L'organisme doit régulièrement mener des audits internes afin de déterminer si le système de management de la qualité : - Est conforme aux exigences de la présente Normes internationale. - Est mis en œuvre et entretenu de manière efficace. L'organisme doit planifier le programme d'audit en tenant compte de l'état et de l'importance des activités et des domaines à auditer, ainsi que des résultats des audits précédents. Le domaine d'application, la fréquence et les méthodes d'audit doivent être définis. Les audits doivent être effectués par des personnes différentes de celles qui ont réalisé l'activité auditée. Une procédure documentée doit préciser les responsabilités et les exigences pour mener des audits, assurer leurs indépendances, enregistrer et transmettre les résultats à la Direction. La Direction doit entreprendre des actions correctives opportunes en fonction des déficiences détectées lors de l'audit. Les actions de suivi doivent inclure la vérification de l'application des actions correctives ainsi que le compte rendu des résultats de cette vérification.



b. La mesure des écarts :

1 - Zone de conformité / efficacité 2 - Ecarts documentaire 3 - Ecarts d'application 4 - Sur qualité - Le référentiel peut être un référentiel ISO (ISO 9001 / ISO TS 169494) ou autre. - Le système correspond au système de management de la qualité (procédures, instructions, manuel qualité, ...)

c. Le référentiel/ les normes :

- Documents internes propres à l’entreprise auditée : § Manuel d’organisation (qualité, environnement, etc) § Procédures internes. § Règles écrites d’organisation décrivant les fonctions, les respnsabilités et autorités, les

démarches pour parvenir à l’objectif recherché. - Document que le client impose contractuellement à l’entreprise auditée : commandes, spécifications, cahier

des charges. - Document normatifs ou réglementaires applicables (normes de sécurité, lois & décrets…).

Catégories d’audits Référentiels Audit « produit » Spécifications

Plans Cahier des charges ...

Audit « processus » Modes opératoires Matrices de polyvalences et polycompétences Gammes de contrôle Synoptiques de fabrication

Audit « système » Manuel Qualité / Environnement Organigramme Procédures organisationnelles Instructions et/ou modes opératoires Normes et règlements



d. Types et catégories d’audit qualité : Type d’audit Intervenants Objectifs Interne

Auditeurs internes Améliorer le fonctionnement. - Accroître la confiance en interne.

Fournisseurs

Auditeurs clients Donner confiance au client.

Certification

Organismes accrédités Prouver à l’ensemble des clients (nationaux et internationaux) qu’ils peuvent avoir confiance

Les catégories La situation examinée Audit " produit " Résultat d'un travail :

- un service - un matériau - un matériel

Audit " processus " Enchaînement des opérations de production et spécifications pour élaborer tout ou partie d'un produit.

Audit " système " Dispositions et règles d'organisation auxquelles est soumis tout ou partie du personnel.

e. Méthodologie et conduite de l’audit qualité :

Schéma général :

Déroulement de l’audit qualité :

PROGRAMMATION

L'autorité nécessaire pour diriger des programmes d'audit est conférée par la Direction de



l'organisme. Ces objectifs peuvent se fonder sur : - des priorités de le Direction, - des orientations commerciales, - des exigences relatives au système de management, - des exigences réglementaires, L'étendue du programme d'audit et sa préparation tient compte de facteurs tels que : - les types, la durée et la fréquence des audits à réaliser, - le secteur industriel ou le type d'affaires, - le nombre, la situation, l'importance, la complexité et la localisation des activités à auditer, - les Normes, les réglementations, la législation, les politiques et les autres critères d'audit, - le besoin d'accréditation et d'enregistrement / de certification, - les résultats de programmes d'audit précédents, - la langue, les aspects culturels et sociaux, - la recherche et le développement, - l'influence des parties intéressées. La responsabilité de la Direction des programmes d'audit est attribuée à un ou plusieurs responsables de programme d'audit. Les besoins en ressources peuvent comprendre : - des ressources financières pour développer, mettre en œuvre diriger et améliorer les activités d'audit. - les outils et techniques d'audit, la durée, les déplacements, et autres besoins liés aux audits, - les auditeurs et les experts techniques qui peuvent être nécessaires pour soutenir les activités d'audit, - un programme de formation pour obtenir et préserver les compétences des auditeurs et améliorer les performances. - une expertise linguistique et la compréhension des aspects culturels et sociaux. Il est recommandé que les auditeurs aient reçu une formation pour développer les connaissances et les capacités nécessaires à la réalisation d'audits. Cette formation peut être effectuée par l'organisme dans lequel travaille l'auditeur ou par un organisme externe. Les auditeurs doivent êtres formés dans les domaines suivants : - La connaissance des normes par rapport auxquelles les audits des systèmes de management de la qualité et de management environnemental peuvent être effectués. - Les techniques d'examen, de questionnement, d'enregistrement des informations, d'évaluation et de compte rendu - Les aptitudes nécessaires pour communiquer et planifier, organiser et diriger un audit.



Les connaissances, les capacités et les qualités personnelles peuvent être obtenues par la formation, et leur obtention peut être démontrée au moyen d'examens oraux ou écrits ou d'observations directes. Mise en œuvre du programme d'audit : La mise en œuvre de chaque programme d'audit comprend :

- la documentation et la communication du programme d'audit,

- les activités de coordination et de planification,

- la désignation d'auditeurs et d'équipes d'audit,

- l'attribution des ressources nécessaires aux équipes d'audit,

- la réalisation d'audits conformément aux programmes d'audits,

- la revue des enregistrements d'audits,

- la revue et la diffusion des rapports d'audit au client de l'audit et aux autres parties spécifiées, - les activités de suivi d'audits.

Surveillance - Revue du programme d'audit : Il convient de surveiller et de revoir le programme d'audit pour évaluer si les objectifs ont été atteints et pour identifier des opportunités d'améliorations. Il est recommandé d'effectuer la surveillance à l'aide d'indicateurs de performances tels que : - les performances des auditeurs et des équipes d'audit, - la conformité aux programmes d'audit et de plannings, - les retours d'information positifs et négatifs du client, de l'audité et des auditeurs. Une revue de programme d'audit est organisée en examinant les résultats de la surveillance. Enregistrements : Il convient de conserver des enregistrements comme défini dans des procédures documentées, pour démontrer le fonctionnement efficace du programme d'audit. Ces enregistrements comprennent généralement : - les enregistrements de programme d'audits tels que les résultats des revues de programmes d'audit - les enregistrements d'audits tels que plans d'audits, rapports d'audit, rapports de non conformités, rapports d'actions correctives,



- les enregistrements relatifs au personnel d'audit tels que les enregistrements relatifs à la qualification, la formation et les compétences. Il convient de fonder chaque audit individuel sur des objectifs, un champ et des critères d'audit clairement définis. Les objectifs d'audit sont par exemples : - déterminer la conformité du système de management à des exigences spécifiées, - évaluer la conformité aux exigences légales, - confirmer l'efficacité du système de management mis en œuvre à atteindre des objectifs spécifiés. Le champ de l'audit décrit l'étendue et les limites de l'audit en termes de facteurs tels que l'emplacement physique, les activités et les processus. Constitution de l'équipe d'audit L'équipe d'audit est établie par les responsables du programme d'audit et peut se composer d'auditeurs, d'auditeurs en cours de formation et d'experts techniques, travaillant sous la Direction du responsable de l'équipe d'audit.

Pour décider de la taille et de la composition de l'équipe d'audit, il est recommandé de tenir compte des éléments suivants:

- Les objectifs, le champ, les critères, le ou les localisation(s) et la durée estimée de l'audit, - les exigences en matière de compétences, y compris la langue,

- la nécessité de préserver l'indépendance de l'équipe d'audit par rapport aux activités à auditer et d'éviter les conflits d'intérêts,

- la capacité des membres de l'équipe d'audit à travailler ensemble pour optimiser leurs compétences et interagir efficacement avec l'audité de manière à obtenir la combinaison collective de connaissances, d'aptitudes et de qualité personnelles, nécessaire pour effectuer l'audit de manière efficiente.

- le client de l'audit ou l'audité à le droit de demander le remplacement de membres particuliers de l'équipe d'audit pour des motifs valables.

PREPARATION Le responsable d'audit élabore avec les auditeurs un plan pour les activités d'audit qui comprend :

• Définition de la finalité de l'audit. (but, à quoi sert-il ?) • Délimitation du champ de l'audit. (périmètre, terrain de jeu : une activité, un service

- l'identification des sites, des activités ou des processus du système de management de l'audité qui sont essentiels pour atteindre les objectifs de l'audit.)

• Connaissance de l'entité auditée : Prendre connaissance de l'activité (documentation & matériel, la (les) langue(s) de travail et de rapport d’audit).



• Instruction des dossiers. • Etablissement d'un questionnaire : Guide d'entretien (avec thèmes) • Elaboration d'un plan d'audit • Notification : pas d'audit surprise, un audit doit être programmé.

REUNION D'OUVERTURE La responsabilité du responsable de l'équipe d'audit, la réunion d'ouverture comprend : - la présentation mutuelle des participants, y compris un résumé de leurs rôles et un encouragement à une participation active à l'audit, - la revue des objectifs et champs de l'audit, - l'accord sur le calendrier de l'audit et d'autres dispositions pertinentes, avec l'audité, par exemple le moment et la date de la réunion de clôture, toutes les réunions intermédiaires entre l'équipe d'audit et la Direction de l'audité, et tout changement de dernière minute, - une courte présentation des méthodes et procédures à utiliser pour mener l'audit, - la confirmation de circuits de communication officiels entre l'équipe d'audit et l'audité, - la confirmation de la disponibilité de toutes les ressources et installations nécessaires à l'équipe d'audit, - la confirmation des questions relatives à la confidentialité, - la confirmation de l'existence de procédures de sécurité, d'urgence et de contrôle d'accès pour l'équipe d'audit, - la confirmation que pendant l'audit, l'audité sera tenu informé de l'avancement et que, si les objectifs de l'audit se révèlent irréalisables, le responsable de l'équipe d'audit en analysera les raisons avec l'audité et le client de l'audit. - la confirmation de la disponibilité, des rôles et de l'identité de tous les guides, - Dans de nombreux cas, une démarche simplifiée peut être adoptée, en fonction des objectifs et du champ de l'audit. Réunion d'ouverture : § Accueil par la Direction du secteur audité. § Présentation des auditeurs et des interlocuteurs du secteur audité. § Présentation des organismes audités et auditeurs :

- par la Direction du secteur audité. - par le responsable d'audit.

§ Plan de la réunion : Explication de la démarche d'audit : - Finalité. - Champs. - Programme (modification éventuelle compte tenu des contraintes ). - Déontologie des auditeurs : pas de culpabilisation, pas d'inquisition. - Objectif de l'audit : mettre en place des actions de progrès. - Confidentialité des auditeurs. § Appel à la coopération, à la transparence.

Sous la responsabilité du responsable de l'équipe d'audit, la réunion d'ouverture comprend :



- la présentation mutuelle des participants, y compris un résumé de leur rôles et un encouragement à une participation active à l'audit,

- la revue des objectifs et champs de l'audit,

- l'accord sur le calendrier de l'audit et d'autres dispositions pertinentes, avec l'audité, par exemple le moment et la date de la réunion de clôture, toutes les réunions intermédiaires entre l'équipe d'audit et la Direction de l'audité, et tout changement de dernière minute,

- une courte présentation des méthodes et procédures à utiliser pour mener l'audit, - la confirmation de circuits de communication officiels entre l'équipe d'audit et l'audité, - la confirmation de la disponibilité de toutes les ressources et installations nécessaires à l'équipe d'audit,

- la confirmation des questions relatives à la confidentialité,

- la confirmation de l'existence de procédures de sécurité, d'urgence et de contrôle d'accès pour l'équipe d'audit,

- la confirmation que pendant l'audit, l'audité sera tenu informé de l'avancement et que, si les objectifs de l'audit se révèlent irréalisables, le responsable de l'équipe d'audit en analysera les raisons avec l'audité et le client de l'audit.

- la confirmation de la disponibilité, des rôles et de l'identité de tous les guides, - Dans de nombreux cas, une démarche simplifiée peut être adoptée, en fonction des objectifs et du champ de l'audit.

CONDUITE : Recueil - Vérification d'informations :

Les informations peuvent être obtenues et vérifiées de différentes façons et auprès de différentes sources, telles que :

- entretiens,

- observation des activités, de l'environnement et des interfaces entre les fonctions, - documentation, par exemple politique, objectifs, plans, procédures documentées, instructions, licences et permis, spécifications, dessins, commandes, - enregistrements, tels qu'enregistrement de contrôle, procès verbal de réunion, rapport ou registre de réclamations clients, rapports d'audit, programmes de surveillance et résultats de masures existants,

- résumés et analyse des données, mesures et indicateurs de performance. - rapports provenant d'autres sources, par exemples retours d'information du client, rapports externes et évaluations de fournisseurs.



Constats d'audit

Constats : évaluation des preuves recueillies par rapport aux critères d'audit. Un constat d'audit peut être une conformité ou une non-conformité.

Les membres de l'équipe d'audit revoient leurs constats à intervalles adéquats au cours de l'audit, et notamment avant la réunion de clôture avec l'audité.

Les non-conformités par rapports aus exigences spécifiées sont identifiées et enregistrées de manière claire et concise, comprise par l'audité et corroborées par des preuves d'audit. Il y a lieu de revoir les non-conformités avec un représentant de l'audité approprié pour obtenir un constat de faits. Par sa reconnaissance des faits, l'audité indique que les faits contenus dans le rapport de non conformité sont exacts et déclare qu'il a compris la non-conformité. Toute divergence d'opinion concernant les faits est résolue. Les points non résolus sont enregistrés.

Critères d'audit Preuves d'audits Ensemble de politiques, déclarations de faits ou autres informations, pertinents pour l'audit, et qui sont vérifiés. (les preuves d'audit peuvent être qualitatives ou quantitatives)

Enregistrement, déclaration de faits ou autres informations, pertinents pour l'audit, et qui sont vérifiés, (les preuves être qualitatives ou quantitatives)

§ Constats d'audit

Résultats de l'évaluation des preuves d'audit recueillies par rapport aux critères d'audit. § Conclusions d'audit

Résultats d'un audit obtenus par l'équipe d'audit après avoir étudié tous les constats d'audit

REUNION DE CLOTURE :

Avant la réunion de clôture, les membres de l'équipe d'audit se réunissent pour : - revoir les constats et toutes autres informations appropriées recueillies pendant l'audit,

- préparer une liste complète des constats de l'audit,

- s'accorder sur les conclusions de l'audit,

- définir les rôles et les tâches pour la réunion de clôture,

- préparer des recommandations, si cela est prévu dans le plan d'audit,

- discuter des actions de suivi d'audits ultérieurs si nécessaire.

Dirigée par le responsable de l'équipe d'audit, en présence des responsables des fonctions auditées, elle a pour objectifs de :

- présenter les constats et conclusions d'audit (comprises et acceptées par l’audité),



- résoudre toutes les divergences d'opinion (ou faire le constat des divergences),

RAPPORT D'AUDIT :

Le responsable de l'équipe d'audit est chargé de la préparation, de la précision et de l'exhaustivité du rapport d'audit,

Le rapport d'audit fournit un compte rendu fidèle de l'audit et contient des conclusions de la mission d’audit.

SUIVI D'AUDIT :

L'audité est chargé de déterminer et de déclencher toutes les actions correctives nécessaires pour traiter une non-conformité. Il convient de mener les actions correctives et les actions de suivi ultérieures qui peuvent inclure des audits supplémentaires, dans les délais convenus. Il convient que l'audité informe le client de l'audit de l'état d'avancement des activités d'action corrective. Il convient de vérifier les actions correctives conformément à la procédure documentée appropriée. Un rapport de suivi peut être préparé et diffusé d'une façon similaire à celle du rapport d'audit original.



Chapitre 2 : La Cartographie des risques : outil de maîtrise des risques

I. Notion du risque et maîtrise des risques. 1-La notion du risque : Le risque peut être défini comme étant une conséquence plus ou moins prévisible pouvant affecter l’atteinte des objectifs d’une organisation .il existe plusieurs types de risques selon le genre d’activités réalisées par l’entreprise, les caractéristiques propres de ses opérations, l’environnement dans lequel les biens sont produits et les services sont rendus, Le risque est également une incertitude, menace ou opportunité (résultant d’une action ou inaction) que l’entreprise doit anticiper, comprendre et gérer pour protéger ses actifs, atteindre ses objectifs dans le cadre de sa stratégie et créer de la valeur. Ainsi, nous pourrons distinguer deux types de classification des risques auxquels une entreprise peut être confrontée. La première classification consiste à classer les risques en deux types : - Les risques spéculatifs, qui sont l’essence même de l’entreprise : investir des capitaux

dans une nouvelle usine, se lancer sur de nouveaux marchés, lancer un nouveau produit …ces prises de risques sont conscientes, et elles ont pour objet d’engendrer un profit.

- Les risques purs, traditionnellement définis comme étant le résultat du hasard, ce sont des événements (tels que les incendies, explosions, atteinte à l’environnement…) engendrés par l’activité de l’entreprise qui se réalisent à la suite de concours de circonstance et sur lesquels il est possible d’agir de manière préventive ou moyennant un refinancement.

La deuxième classification comporte les risques suivants : - Le risque inhérent, est celui qui existe en soi sans tenir compte des mécanismes de

contrôle et de maîtrise présents dans l’entreprise .on dit aussi, que c’est celui que l’on retrouve dans l’environnement des activités humaines, qui fait partie de l’existence.

- Le risque de non contrôle, on le définit comme la probabilité qu’une mesure de contrôle ou un mécanisme de contrôle faille à prévenir ou à détecter une menace présente que l’on veut absolument éviter.

- Le risque de non détection : c’est la probabilité qu’une mauvaise conclusion soit tirée des résultats de travaux d’audit interne ou d’autres analyses effectuées par des personnes habilitées. On retrouve cela normalement en matière de comptabilité publique.

- Le risque résiduel, c’est le risque qui subsiste après l’application des techniques de maîtrise des risques.

Plus précisément, Le risque est, selon l’institut de l’audit interne (IIA :institute of internal auditors) : « la possibilité qu’il se produise un événement susceptible d’avoir un impact sur la réalisation des objectifs .le risque se mesure en termes de conséquences et de probabilités. » En effet, nous retenons la définition du risque selon l’institut de l’audit interne pour les raisons suivantes :



- La transversalité de la définition fait qu’elle peut être applicable dans n’importe quel domaine, au niveau de toute entreprise ou de ses processus, il suffit qu’il y ait des objectifs à atteindre ou à réaliser.

- La perception du risque sous une forme quantitative (probabilité et impact) qui permet l’évaluation du risque selon des critères simples, mesurables et reproductibles.

- La définition de l’IIA est une définition normée et sert de base pour l’identification et l’évaluation des risques dans le cadre de la démarche de la maîtrise des risques.

2- La maîtrise des risques :

a)Définition :

La maîtrise des risques est l’ensemble des initiatives souhaitables qu’une entreprise devrait adopter pour faire face aux principaux risques inhérents à ses activités. En d’autres termes, maîtriser les risques c’est prendre les initiatives pour éviter les ennuis et pour ne pas manquer les opportunités. C’est une démarche managériale qui existe souvent mais de manière non globale et non structurée. Sa possession procure un avantage compétitif majeur puisqu’elle permet une meilleure : § Efficacité dans l’atteinte des objectifs. § Sécurité dans la protection des actifs. § Transparence vis-à-vis des parties prenantes.

b) La valeur de la maîtrise des risques

L’aspect organique : La maîtrise des risques bénéficie davantage à l’organisation puisqu’elle permet de ne maintenir que les dispositifs efficaces. La maîtrise des risques est plus susceptible de couvrir l’ensemble des préoccupations des gestionnaires puisqu’elle fonde son analyse sur les risques plutôt que de repérer et d’analyser les mécanismes de contrôle. Ainsi, la maîtrise des risques permettra de préciser les risques et d’évaluer les moyens qu’empruntent les gestionnaires pour atténuer ceux-ci. En d’autres termes, la maîtrise des risques va permettre de valoriser tout dispositif de contrôle interne adopté puisque ne sera retenu que le dispositif permettant : § La fiabilisation : elle est atteinte, en adoptant une approche systématique des bonnes

pratiques face aux risques identifiés de survenance d’ennuis. § La stimulation : ceci en systématisant les bonnes initiatives face aux risques identifiés de

ratage d’opportunité. § La simplification : par la maîtrise des risques permettra de ne maintenir que les dispositifs

utiles et de ce fait, éliminer les contrôles bureautiques ou autres non légitimés par un risque quelconque.



§ La délégation : en maîtrisant les risques et en adoptant des contrôles internes adéquats, le top management pourra déléguer sans risque les responsabilités.

§ La transparence : un dispositif de contrôle interne basé sur la maîtrise des risques permet de mieux assurer les actionnaires et les met en confiance.

L’aspect économique La maîtrise des risques confère un avantage concurrentiel majeur ; En effet, en réduisant les coûts évitables futurs, la maîtrise des risques permet de restreindre les coûts liés aux risques inhérents de majoration de coûts normaux prévus ou de minoration de gains normaux prévus. Ainsi, la maîtrise des risques se veut un outil quantitatif de mesure de la valeur économique et permettra à l’ingénierie de maîtrise (assistance à la maîtrise des risques) et à l’ingénierie de fonctionnement (direction générale, stratégie et développement) d’apprécier l’efficacité économique à partir du niveau des coûts liés aux risques futurs. L’aspect financier L’aspect financier de la maîtrise des risques consiste en la mise en place et en une surveillance des principes d’indemnisation financière, sur les risques difficilement maîtrisables, mais assurables. A ce titre, il incombe au directeur financier de gérer ces différents risques, soit de les transférer (cas assurances) ou de les traiter (cas instruments financiers (option, swap.)

c) Frontière de la maîtrise des risques au sein du management globale des risques : Le management global des risques : La maîtrise des risques s’inscrit dans le cadre de la gestion des risques qui vise à identifier les risques à l’échelle de l’entreprise, à mesurer financièrement l’ensemble des risques, à prendre en compte cette mesure du risque dans l’appréciation des performances des activités et à mettre en place des processus de suivi des risques intégrés à la gestion des opérations. Ceci nécessite au préalable, la mise en place d’une architecture de gestion globale des risques afin de doter l’entreprise de moyens nécessaires pour réussir l’intégration de la gestion des risques dans les processus de gestions opérationnelle et stratégique de l’entreprise. A défaut de ce dispositif, les risques ne peuvent être analysés, divulgués, comparés et gérés d’une manière cohérente et efficace à tous les niveaux de l’organisation considérée dans son ensemble .les principaux éléments d’un dispositif de management des risques sont : § Des politiques et des directives claires et cohérentes en matière de management des

risques. § Des moyens adaptés à la diffusion d’information sur les risques et à leur analyse.



§ Une définition claire des responsabilités et des pouvoirs en matière de gestion des risques, et leurs attributions à des personnes clés.

§ Des procédures et des programmes de gestion des risques adéquats. § Et un dispositif adéquat de suivi et de revue des processus de management des risques

(audit) permettant notamment de tirer en permanence les enseignements de l’expérience acquise au sein de l’entreprise.

La position de la maîtrise des risques au sein du management global des risques : La maîtrise des risques est l’un des trois thèmes du management globale des risques qui sont : l’économie des risques (RISK ECONOMICS), la maîtrise des risque elle même, et le financement du risque (RISK FINANCING). L’économie des risques intervient lors de la prise de décision sur les choix des investissements et projets arrêtés par l’entreprise, avec l’assistance de la direction de la stratégie .l’économie des risques a pour objet de traiter les aspects stratégiques de l’entreprise ainsi que les nouvelles orientations. Le support est assuré par la direction de la stratégie et l’objectif étant d’évaluer le couple (risque / opportunité). Une fois les décisions prises, la maîtrise des risques intervient pour veiller à ce que les objectifs tracés initialement (lors de la prise de décision) soient atteints. L’objectif est, à cet effet, d’évaluer les risques susceptibles d’entraver la réalisation des objectifs et d’élaborer les plans d’action idoines. Le support à la maîtrise des risques est assuré par la direction business control où contrôle général. Le financement du risque par contre, se situe directement après la maîtrise des risques puisqu’il tâchera de gérer tout risque jugé non maîtrisable (difficile). Ainsi, le financement des risques pourra faire l’objet d’un transfert du risque (sous-traitance) ou un financement pur moyennant un contrat d’assurance ou une provision contre le risque .le support du financement du risque est assuré par la direction financière.

d) le sens de la démarche de la maîtrise des risques : Tout dirigeant désireux de structurer la maîtrise des risques se pose les questions suivantes : comment initier la démarche ? Où commencer ? La mise en place de la maîtrise des risques s’appuie en premier lieu sur la définition du risque. Comme nous avons cités précédemment, nous préconisons la définition normée du risque de l’institut de l’audit interne. Sur la base de cette définition, les risques seront dans un premier temps identifiés, analysés, évalués, de manière subjective par les managers de l’entreprise en faisant appel aux quatre notions suivantes : objectifs, risques, contrôle et alignement.



Les objectifs Dans la mesure où les risques sont définis comme les éléments pouvant avoir un impact sur la capacité de l’entreprise à réaliser ses objectifs, il est important de commencer par répertorier les objectifs qui concernent l’ensemble soumis à l’examen : l’entreprise dans sa globalité, la fonction, l’unité opérationnelle ou le processus .ils sont ensuite comparés à ceux du niveau inférieur ou supérieur, et ainsi de suite selon une approche pyramidale. Cette première étape permet notamment de s’interroger sur la cohérence effective entre les objectifs des différents niveaux de l’organisation et de mettre en évidence le cas échéant les risques liés à une situation d’incohérence, de flou dans la définition ou d’incompréhension des objectifs. Les risques Les risques sont ensuite identifiés sur la base des objectifs répertoriés lors de la phase précédente. Il est procédé ainsi pour chaque niveau d’organisation de l’entreprise, en partant du niveau le plus global sans pour autant atteindre, les sous processus élémentaire au risque d’alourdir le processus d’identification des risques .après synthèse et mise en cohérence, les risques sont évalués puis hiérarchisés en considèrent leurs probabilités d’occurrence et leurs conséquences potentielles. Le contrôle La notion de contrôle recouvre d’une part les réponses apportées par le management pour gérer le risques et d’autre part le dispositif de contrôle donnant l’assurance au management que ces réponses sont effectives .les réponses aux risques comprennent les dispositifs de prévention, de protection et de transfert du risque sur autrui ou l’acceptation pure et simple du risque. L’alignement Il convient enfin de s’assurer de la cohérence entre objectifs, risques et contrôle à un niveau donné ou d’un niveau à l’autre de l’organisation ou encore entre unités comparables de l’entreprise. En effet, une approche globale des risques implique toutes les activités et tous les niveaux de l’organisation dans l’entreprise. Pour éviter les zones non couvertes et les redondances dans le dispositif global d’identification et d’évaluation des risques, il faut s’assurer que chaque activité et chaque niveau de l’organisation agissent dans le même sens. Tous les éléments nécessaires au diagnostic d’ensemble sont alors réunis et il s’ensuit, le cas échéant, un plan d’action pour améliorer la situation. Le processus de la maîtrise des risques Le processus de la maîtrise des risques suppose un dispositif de maîtrise des risques global et construit sur la base d’éléments structurés et adaptés au contexte de l’entreprise. Il s’agit d’établir un cadre, de recenser les processus, d’identifier les risques, les évaluer, les hiérarchiser (cartographie des risques) et de traiter ces dits risques.



Ce processus est continuellement amélioré, il permet de faire évoluer la cartographie des risques (identification …hiérarchisation) préétablie et de faire passer les risques d’une zone de criticité à une zone de couverture. Aussi, il s’agit d’effectuer des revues d’audit interne pour évaluer le dispositif de maîtrise des risques selon la figure ci-dessous :

Etapes de la méthodologie Le processus d’évaluation globale des risques peut être réparti en deux phases : Une phase d’identification, évaluation et traitement des risques Une phase de revue du processus (audit interne) Etape1 : Lors de cette étape, on définit un cadre, et on identifie les risques affectant les ressources de l’organisation .on peut distinguer les ressources humaines, techniques, informationnels, financières ou naturelles. Etape 2 : La deuxième phase concerne la revue indépendante (audit interne) du dispositif d’évaluation des risques pour une amélioration continue du processus et afin de s’assurer de la pertinence de chaque étape d’évaluation des risques.



II. La cartographie des risques :

1. Définition, utilisateurs et finalité: a. Définition :

«Ce processus, qui cartographie par type de risque les diverses unités, fonctions organisationnelles ou chaînes d’opérations, peut repérer les zones de faiblesse et permettre d’établir des priorités pour l’action à entreprendre par l’organe de direction»5 34 La cartographie des risques opérationnels doit permettre de : -Évaluer périodiquement les risques portés par les processus au sein des métiers, -Établir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles, -Surveiller les processus sensibles à l’aide d’indicateurs (à déterminer par filiales et métiers), -Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques, -Satisfaire aux critères qualitatifs d’éligibilité aux AMA Bâle II, -Compléter les éléments en entrée du modèle interne de calcul d’allocation des fonds propres aux métiers / filiales (notamment les scénarios de risques opérationnels) 35 En terme de résultats, la cartographie des risques doit fournir une gestion différenciée par nature de risque.

5 Définition de BAM (Projet de recommandations générales relatif au dispositif de gestion des risques opérationnels)



b. Utilisateurs :

La cartographie des risques est un des outils de pilotage des Risques Opérationnels. Il intéresse à terme différents acteurs…

Avec ce projet stratégique, les établissements seront en mesure de passer de la gestion des RO au pilotage des RO. 38 La cartographie des risques est une approche participative, générique et opérationnelle : -pour que les acteurs s’y reconnaissent et se l’approprient, -pour être applicable à tout type d’activité, -pour donner rapidement des résultats concrets, -pour l’ajuster et l’enrichir par rapport aux réalités et préoccupation du terrain, -pour tester son «appropriation»par les acteurs, -pour la doter d’un vecteur de communication interne et externe, -pour en tirer les conséquences pratiques en vue d’un déploiement à moindre coût, pour garantir le succès de son déploiement -afin de faire émerger et partager les expériences et les meilleures pratiques, -pour garantir homogénéité et cohérence en vue d’une certification par le régulateur.

c. Finalité :

La cartographie a pour but d’évaluer la qualité du dispositif de prévention et de contrôle et de quantifier l’exposition aux risques opérationnels. Pour ce faire, il s’agit de:



40 En pratique, la démarche de la cartographie des risques consiste à rencontrer les acteurs des risques au quotidien et leur demander: -De quelle activité s’agit-il? Domaine/Processus/Acteurs -Quel est le «problème»redouté (avéré ou potentiel)? Risque -Quelles sont les principales causes? Cause -Quelle est la nature des préjudices induits? Conséquences -Avec quelle fréquence ce problème peut-il survenir? Combien cela coûte-t-il en moyenne par an et combien cela pourrait-t-il coûter dans un scénario pessimiste mais plausible? Cotation -Que pourrait-on faire pour mieux anticiper, détecter et gérer ce problème (plans d’actions)? Indicateurs/ Mesures.

2. Référentiels utilisés :

L’exercice de la cartographie des risques s’appuie sur:

-Le référentiel RO : la classification des catégories et sous-catégories d’évènement de RO déjà mise en œuvre dans l’entreprise pour la collecte des pertes internes.

-Le référentiel Cartographie des risques : le référentiel des questionnaires métier, également appelés «scorecards métier», spécifiques à chaque métier ou fonctionnel, regroupant les facteurs de risque pertinents pour le métier considéré et les questions d’évaluation associées.



3. Les acteurs de l’exercice Cartographie :

-Le noteur : Les noteurs sont les responsables d’entité en charge de noter les cartographies de risques intrinsèques et /ou les scorecards entité:

-Le noteur de la cartographie des risques intrinsèques évalue son niveau d’exposition aux risques face aux catégories ou sous-catégories d’événement.

-Le noteur d’une scorecard entité reçoit pour notation la scorecard entité élaborée par le modélisateur. Le noteur évalue son dispositif de prévention et de contrôle en répondant aux questions d’évaluation associées àces facteurs de risque. Il justifie sa note par l’existence de procédures de prévention et de contrôle ou d’indicateurs clés de risque.

-Le valideur Les cartographies des risques intrinsèques et les scorecards entité notées sont envoyées par les noteurs à leur hiérarchie pour validation. Le valideur est la personne en mesure de valider les notes et les justifications associées avant consolidation en vérifiant notamment la cohérence des notes pour l’ensemble des entités de son périmètre. Le valideur doit être différent du noteur.

-Le modélisateur Il élabore la scorecard entité. Le modélisateur est un expert métier qui est en mesure d’identifier l’ensemble des risques internes et externes auxquels est exposée l’entité évaluée. Pour le premier exercice, il peut s’agir de l’ORM (responsable des risques opérationnels) de l’entité en concertation avec les responsables des entités ; à la cible, le modélisateur pourra être le responsable de l’entité. Lors de l’élaboration des scorecards entité, le modélisateur identifie :

-le périmètre à couvrir

-les facteurs de risques pertinents (en les pondérant éventuellement) au vu de la cartographie des risques intrinsèques : le modélisateur de la scorecard entité doit vérifier la cohérence de la scorecard entité avec la cartographie des risques.



-les responsables des activités en charge de la notation des scorecards entité

-…et leur hiérarchie, en charge de valider ces notations ainsi que les justifications associées.

-L’Inspection et l’Audit L’Inspection et l’Audit revoient périodiquement l’ensemble du système d’évaluation et sa conformité aux exigences réglementaires, en s’attachant notamment à vérifier les points suivants : l’application effective du processus de la cartographie dans l’entreprise,

-la fiabilité et l’exhaustivité des évaluations des profils des risques,

-la cohérence entre la notation et sa justification.

Remarque : Réglementairement, les acteurs de l’exercice de la Cartographie ne doivent appartenir ni aux services d’Audit Interne ni à l’Inspection Générale, afin de préserver l’indépendance de ces derniers. Toutefois, l’Audit Interne peut apporter son expertise lors de la mise en place initiale du dispositif de gestion des RO.

4. Étapes d’élaboration :

Etape 1 : Définir le cadre de référence :

Définir la stratégie et les attentes de l’opération de cartographie (le périmètre à l’intérieur duquel les risques doivent être analysés et la profondeur de l’analyse)

Ainsi, on débute par : • définir le contexte de la cartographie. • déterminer les objectifs pris en considération pour la cartographie. • l’horizon temporel retenu pour la cartographie. • les parties prenantes prises en considération afin de prendre en compte leurs objectifs

et leurs perceptions des risques.

Etape 2 : Recenser les processus :

Décrire la méthodologie adoptée pour recenser les processus existants au sein de l’entité. Cela consiste à repérer et à cerner les différentes chaînes d’activités qui caractérisent le fonctionnement de l’entreprise et qui contribuent à un objectif commun. è Elaborer une Cartographie des Processus.

Etape 3 : Identifier les risques :

L’objectif de cette étape est d’obtenir une liste exhaustive des risques pesant sur l’organisation, avec leurs descriptions et leurs interactions. - Objet du risque : élément sur lequel porte le risque. - Causes du risque : éléments à l'origine du risque. - Conséquences des risques : expression de l'impact des risques.



ð Plusieurs approches sont possibles: - Brainstorming. - Entretiens individuels. - Diagnostic général (sur la base des rapports antérieurs de l’audit interne et externe)

pour plus d’exhaustivité.

Etape 4 : Analyser la maîtrise des risques de l'entreprise :

Recensement des éléments de maîtrise des risques. - Cotation des éléments de maîtrise des risques. - Cotation de l'efficacité des éléments de maîtrise des risques : ces éléments permettent-ils de réduire sensiblement le niveau de risque inhérent identifié ?

Etape 5 : Organiser et évaluer (coter) les risques :

L’objectif de cette étape est d’évaluer les risques, et de les organiser en familles ou catégories de risques. L’évaluation du risque se traduit par la détermination de la probabilité de sa survenance et sa gravité. Pour cela on procédera à la construction d’une échelle de probabilité (ex : très peu probable, peu probable, plus d’une chance sur deux de se produire, quasi certain) et une échelle de gravité (ex : risque non significatif, significatif et très significatif).

Etape 6 : Cartographie des risques finale : - Mise en relation des risques identifiés avec l’efficacité des actions de maîtrise. - Définir un plan d’action pour limiter le niveau de risque.

5. Clés de réussite et Écueils à éviter.

a. Les clés de réussite : •Avoir le soutien de la Direction •Faire adhérer les participants / créer un climat de confiance :

– Communiquer sur la démarche et sa valeur ajoutée – Faire le lien avec les objectifs personnels des participants – Garantir qu’aucune information ne soit remontée sans en avoir préalablement discuté

avec les intéressés – Respecter la confidentialité

•Prendre en compte le temps : Procéder à l’évaluation sur un délai court, avec présentation rapide des résultats •Profil du Risk Manager : Faire preuve d'écoute et de créativité ;

b. Ecueils à éviter : •Démarrer la démarche par la recherche d’un système d’informations •Absence de rigueur :

– Remontée d’informations partielles à la Direction avant la fin de l’exercice



– Maximisation de risques pour obtenir des ressources, sous-estimation par crainte de représailles / jugements

– Considérer la gestion des risques comme le réceptacle des doléances – Ne pas objectiver les risques «biens connus »qui sont finalement sous-estimés – Mauvais libellé des risques

•Effet de mode : faire une cartographie pour être à la mode.



Deuxième Partie : Cas pratique : cartographie des risques de

CHAABI LLD



Chapitre 1 : Etapes d’élaboration de la cartographie des risques de CHAABI LLD

I. Définition du cadre de référence :

J’essaierai de présenter d’une manière très brève l’entreprise CHAABI LLD ainsi que son activité, parce que l’objectif de la deuxième partie de ce mémoire est de se focaliser sur la cartographie des risques de CHAABI LLD.

Chaabi LLD est une filiale du Groupe Banque Populaire spécialisée dans la location longue durée de véhicules et la gestion de flottes automobiles.

CHAABI LLD vient d’obtenir une double certification ISO 9001 pour l’ensemble de ses activités. Cette consécration réaffirme l’engagement volontaire de l’Institution dans le service à sa clientèle et l’amélioration continue de la qualité.

Après avoir obtenu le certificat NM ISO 9001 de la part du SNIMA le 08 Janvier 2009 au Ministère du Commerce, de l’Industrie et des Nouvelles Technologies, Chaabi LLD décroche un deuxième certificat de la part de TÜV Rheinland Group le 17 Mars 2009 attestant la conformité de son système de management aux exigences de la norme internationale ISO 9001. Cette double certification est le fruit d’un travail d’équipe entrepris tout au long de l’année 2008 au cours de laquelle l’ensemble des processus opérationnels et de support ont été normalisés autour d’une politique qualité construite sur quatre axes : loyauté, efficacité, exactitude et développement (LEED). Des indicateurs de suivi des performances ont été mis en place permettant ainsi une veille continuelle et une amélioration continue des prestations offertes.

À l’image de l’entreprise, l’équipe de Chaabi LLD est jeune, dynamique et mobilisée pour la satisfaction totale des clients. En plus de la disponibilité et la flexibilité des employés de CLLD, l’expérience large du métier de la Location Longue Durée leur a permis de développer une expertise et un savoir-faire pointus. Plaçant la qualité des prestations et la satisfaction des clients au cœur de leurs préoccupations.

L’organisation de Chaabi LLD se veut simple et fonctionnelle pour garantir une réactivité optimale et un service de qualité. Sa plate-forme technique est composée de techniciens hautement qualifiés qui disposent des dernières innovations technologiques et informatiques. En relation constante avec les réseaux et services techniques des constructeurs et prestataires, cette plate-forme intervient pour suivre les interventions sur les véhicules, réduire les délais d’intervention et contrôler la qualité de leur exécution. La Direction technique intègre également un service « assistance courte durée » qui assure le suivi du remplacement du véhicule principal. Le service Info-drive, est l’interface unique pour toutes les opérations liées à l’automobile 24 h / 24 et 7 j / 7.



La Location longue durée est une solution flexible associant l'acquisition de véhicules et leur gestion. Elle offre toute une panoplie de prestations et de services avantageux moyennant un loyer mensuel forfaitaire calculé selon une durée et un kilométrage initialement déterminés.

La location longue durée est basée sur le principe que l'utilisateur ne devrait payer que la valeur de dépréciation du véhicule pendant sa période d'utilisation. La valeur de dépréciation étant la différence entre la valeur d'acquisition et la valeur vénale du véhicule à la fin de la période d'utilisation.

Des modèles différents de véhicules peuvent avoir des valeurs vénales totalement différentes et sont sanctionnés soit positivement soit négativement par le marché de l'occasion. Cette valeur vénale ou valeur résiduelle est prise en compte dans les loyers.

La location longue durée présente les avantages suivants :

• Des véhicules neufs et toujours opérationnels • Tous les frais sont pris en charge par le loueur • Les prestations sont livrées sur tout le territoire voire à l'étranger • Un véhicule de remplacement en cas d'immobilisation du véhicule principal loué • La flexibilité des contrats • La possibilité, pour le conducteur, de racheter le véhicule.

L'acquisition d'un véhicule sur fonds propres à crédit, en leasing ou le prendre en LLD ont chacun des avantages et des inconvénients. Le choix dépend aussi bien de critères financiers que qualitatifs. Ces critères qualitatifs peuvent également avoir des conséquences pécuniaires importantes.

Autofinancement Crédit Leasing LLD Propriété du véhicule X X Bénéfice des tarifs constructeurs sur les volumes X Externalisation de la gestion du parc X Fiscalité automobile avantageuse X Sollicitation de la trésorerie X Sécurisation du budget d'utilisation X Véhicule de remplacement X Assistance 24 h / 24 et 7 j / 7 X Préservation de la structure bilancielle X Conseil d'un expert en gestion de flottes X



Après avoir présenté, dans la première partie de ce mémoire, les principes généraux de la conception de la cartographie des risques, je me propose dans cette deuxième partie de l'appliquer à un cas concret, celui de l’entreprise CHAABI LLD. Je tiens à préciser que l’ensemble des travaux effectués lors du stage se base sur l’ensemble des documents qui ont été mis à ma disposition durant la période du stage notamment le manuel qualité, le manuel des procédures, fiches d’identité processus, norme ISO 9001 v 2008, les conventions avec les fournisseurs, les dossiers clients…et surtout sur les entretiens menés auprès des employés de l’entreprise CHAABI LLD.

La mission consiste à élaborer une cartographie des risques de CHAABI LLD.

La cartographie des risques porte sur tous les processus de l’entreprise CHAABI LLD et donc la mission implique presque tous les acteurs de CHAABI LLD.

La durée de la mission : Février et Mars 2010

Objectifs de la mission : identifier les zones de risques, faire l’inventaire des risques et les formaliser dans une cartographie.

II. Recensement des processus : (Cartographie des processus) Schéma général d’une opération LLD



L’entreprise CHAABI LLD compte neuf processus ; chaque processus est dirigé par un pilote :

- Processus LLD : il a pour finalité d’Identifier les prospects, d’analyser leurs attentes les transformer en clients et les fidéliser.

- Processus Info-drive : son objectif est de Préserver de manière efficiente le patrimoine automobile de Chaabi LLD dans le respect des normes techniques et réglementaires en vue de la satisfaction des clients finaux (conducteurs et locataires) et la maximisation de la valeur des VO.

- Processus assurance : il concerne tout ce qui est Gestion des sinistres, prise en charge des passagers et remise en état du véhicule sinistré dans les délais.

- Processus dynamique d’amélioration : ce processus assure le suivi, la surveillance et l’amélioration du SMQ et des processus.

- Processus management : ce processus est mis en place pour :

• Définir la politique et les objectifs à atteindre et les décliner aux niveaux appropriés et suivre les résultats obtenus. • Assurer le bon fonctionnement de Chaabi LLD et veiller à l’amélioration du système en place • Améliorer la compétitivité des produits mis à la disposition des clients, leur adaptation et leur renouvellement. • S’assurer à tout moment que les exigences éthiques, légales et réglementaires sont respectées et appliquées. • Assurer les actions de relations publiques idoines. • Identifier les opportunités et menaces de l’environnement • Evaluer les forces et faiblesses de Chaabi LLD

- Processus achat : il a pour objectif d’Assurer l’achat des biens et services dans les conditions optimums de coûts et de délai.

- Processus finances : il permet d’assurer le suivi comptable et financier de l’entreprise (facturation, comptabilité, trésorerie, recouvrement, règlements fournisseurs, déclarations sociales et fiscales) en vue de maîtriser les coûts et d’assurer le bon fonctionnement. Revendre les véhicules restitués

- Processus infrastructure : Assurer le bon fonctionnement de toutes les installations de la société (Electricité, Plomberie, Téléphonie, SI)

- Processus RH : Mettre à la disposition des différents processus des ressources humaines compétentes et motivées pour l’accomplissement des tâches et des objectifs qui leur sont fixés.

Chaque processus est représenté par une carte d’identité processus qui détaille les éléments suivants :

- Les finalités du processus - Les activités du processus. - Les différents flux.



- Les services rendus au client final. - Les ressources mises en œuvre. - Les enregistrements. - Les relations avec les autres processus. - Les documents. - Les moyens de surveillance processus.

Je me contenterai de vous présenter l’analyse de trois processus, les processus propres au secteur de la location longue durée des véhicules à savoir : LLD, Info-drive et Assurance.

1. Processus LLD :

Comme je l’ai précisé plus haut, ce processus a pour finalité l’identification des prospects, l’analyse de leurs attentes, la transformation de ces prospects en clients et leur fidélisation.

Ce processus est actuellement piloté par le directeur commercial (qui n’est autre que le directeur général !); ses acteurs principaux sont : Directoire, Assistante commerciale, Cadre commercial, Cadre Marketing. Les opérations principales :

• Procédure prospection • Procédure offre • Procédure risque • Procédure contrat • Procédure marchés publics • Procédure livraison • Procédure gestion de fins de contrats • Procédure restitution.



Les différents flux du processus sont résumés dans le schéma suivant



Narratif du processus LLD : Le processus LLD est déclenché par un appel téléphonique du client pour avoir une offre. Une étude faisabilité est effectuée à ce niveau. Une offre est établie sur le progiciel @Locpro6 et soumise au directeur commercial pour validation. Si elle est validée, l’offre est envoyée au client et classée par l’assistante commerciale. Si l’offre est acceptée par le client, une étude du risque a lieu. Celle-ci est soumise à l’approbation du directeur commercial. Si le dossier est approuvé par le directeur commercial, l’assistante commerciale envoie le contrat au client pour signature ; ce contrat est constitué de trois éléments : Conditions générales (elles sont les mêmes pour tous les contrats), conditions particulières (concernent particulièrement le véhicule commandé), et l’ordre de prélèvement; entre temps, une commande du véhicule est destinée au concessionnaire

6 Le Progiciel de gestion utilisé à CHAABI LLD



Lorsque le contrat est en cours de validation chez le client, La Direction Technique demande au fournisseur une facture pro forma. A la réception des contrats LLD, ces derniers sont signés par la DAF et le Directoire. Les données des bons de commande reçus sont saisies sur @Locpro . Le bon de commande est transmis au fournisseur. La Direction Technique crée un dossier véhicule qui contiendra tous les papiers relatifs au véhicule objet du contrat. Après réception du bon de commande, le concessionnaire prépare une demande de mise en circulation provisoire (DMCP) indiquant : - Le numéro WW - Le numéro de châssis - La date et le modèle Cette DMCP est envoyée à la Direction Technique. Dés sa réception, La Direction Technique saisit l’immatriculation provisoire sur ALOCPRO et prépare la demande d’affectation du véhicule en location (DAVL) en trois exemplaires, la demande de mise en service d’un véhicule en location (DMS) en 2 exemplaires et la liste du parc cumulé. La procédure d’assurance provisoire est déclenchée en ce moment. Par la suite, la Direction Technique adresse un dossier gris à la commune pour apposer le cachet et la signature sur le certificat de résidence. Le dossier complet composé des éléments susmentionnés est adressé au service des mines. Ce dernier en accuse réception contre récépissé de dépôt. Le service des mines adresse la carte grise dans un délai de 30 jours maximum après le dépôt du dossier. Les données de l’immatriculation définitive sont saisies sur @Locpro et la demande d’assurance définitive est déclenchée maintenant. La Direction Technique prépare la demande d’achats de vignettes sur un état indiquant : - Le nom du client - Le modèle du véhicule - L’immatriculation - Le nombre des chevaux fiscaux - Le montant de la vignette Cet état est transmis à la DAF qui le contrôle et émet un chèque du montant des vignettes. La Direction Technique se charge de payer et de récupérer les vignettes et saisie les réceptions dans l’état de suivi. La Direction Technique contrôle les délais de réception et prépare la livraison du véhicule. A la réception du W de chez le concessionnaire, la Direction Technique saisit l’immatriculation provisoire sur @Locpro , prépare la demande d’assurance, établit le tableau d’amortissement du véhicule et envoie le tout au courtier qui est l’intermédiaire entre CHAABI LLD et la société d’assurance. Ce dernier prépare l’assurance provisoire.



Après réception de la carte grise, la Direction Technique saisit l’immatriculation définitive sur @Locpro , prépare une demande d’assurance définitive et l’envoie au courtier d’assurance. Une copie de la demande est classée dans le dossier véhicule. A la réception de l’attestation d’assurance définitive de la part du courtier, celle-ci est classée dans le dossier véhicule. Au moins 5 jours avant la date prévue de livraison, la Direction Technique appelle le fournisseur pour confirmer la date de livraison et renseigne le client sur la date et le lieu exact. La Direction Technique envoie au fournisseur le guide conducteur et le PV de livraison en deux exemplaires. Le fournisseur réalise un état des lieux du véhicule et vérifie la disponibilité des accessoires commandés. Le fournisseur délivre le véhicule au client et lui fait signer les deux exemplaires du PV de livraison. Le fournisseur retourne le PV de livraison signé par le client à la Direction Technique. Celle-ci corrige les éventuelles remarques et renseigne la date de livraison pour début de facturation. La surveillance de ce processus se fait via les indicateurs processus suivants :

• Nombre de visites clients • Sort des leads. • Renouvellement des contrats • Taux de réalisation des objectifs • Restitution des véhicules • Taux de marges

2. Processus Info-drive:

Ce processus se caractérise par l’intensité de ses activités. En effet, c’est le cœur même de l’activité de l’entreprise CHAABI LLD. Il a pour objectif de Préserver de manière efficiente le patrimoine automobile de Chaabi LLD dans le respect des normes techniques et réglementaires en vue de la satisfaction des clients finaux (conducteurs et locataires) et la maximisation de la valeur des ventes d’occasion. Son intensité vient du nombre important des appels par jour et le nombre des demandes traitées et par conséquent du nombre des commandes passées (plus d’une centaine de commandes par jour en moyenne). C’est là où commencent les prestations de l’entreprise outre la location longue durée. C'est-à-dire les entretiens préventifs, entretiens curatifs, suivi des véhicules de CHAABI LLD partout où ils se trouvent. Trois procédures essentielles caractérisent ce processus : • Procédure entretien (procédure info-drive) • Procédure réception des appels • Procédure de livraison



Le pilotage de ce processus est assuré par le responsable informatique et met en interaction les acteurs suivants : Chef de parc (actuellement absent !), Techniciens SAV, Concessionnaires, Prestataires, Responsable assurance, Expert, Assistance. Les principaux flux de ce processus sont résumés par le schéma suivant : La surveillance de ce processus est faite à l’aide du calcul des indicateurs processus suivants : • Procédure entretien • Procédure réception des appels • Procédure de livraison • Convention avec les prestataires • Liste des prestataires agréés • Contrats validés et signés • Guide du conducteur Dans le cadre de l’entretien ou de réparations, l’utilisateur du véhicule CHAABI LLD s’adresse au centre d’appels (à la direction technique). Son appel est reçu par une téléopératrice qui se charge de faire le diagnostic de la demande du client en remplissant une « fiche électronique7 ». Cette dernière est transférée au Technicien SAV8. Celui-ci établit le bon de commande (accord) qui sera envoyé au fournisseur (garage ou centre de visite technique). Le Flow charte suivant résume de manière claire la procédure Info-drive :

7 Contient les infos concernant le client, le véhicule, le type d’intervention, l’intervention même, la localisation du véhicule… 8 Service après vente.



Procédure Info-drive :



3. Processus Assurance :

L’objectif principal du processus Assurance est la Gestion des sinistres, prise en charge des passagers et remise en état du véhicule sinistré dans les délais. Les opérations principales sont : - Procédure sinistres. - Procédure remplacement. - Procédure cartes vertes. Ce processus est piloté par le responsable assurance et surveillé grâce aux indicateurs suivants : • Taux de sinistralité • Dépassement en remplacement. Les principaux flux du processus assurance sont présentés dans le schéma suivant : Après la survenance du sinistre, l’entreprise CHAABI LLD exige une déclaration régulière du client sur papier en-tête précisant les circonstances de l’accident. 1/ Déclaration d’accident : Le document de base du sinistre peut être soit un constat amiable soit un constat de police, soit un procès verbal établi par la police ou par la gendarmerie. CLLD joint à sa propre déclaration faite auprès de son assureur celle reçue de son client.



2/ Dépôt de véhicule : Si le véhicule est immobilisé, CLLD fait intervenir le service de MAROC ASSISTANCE pour le remorquage, sinon il sera déposé directement par le conducteur au garage réparateur. 3/ Procédure des réparations : Il y a lieu de distinguer deux modes de réparations : 3- A/ Si le dossier est traité dans le cadre de la procédure des garages conventionnés, les réparations seront prises en charge par la compagnie d’assurance et ce comme suit : * Responsabilité totale ou partielle : - Avant les réparations :

Désignation de l’expert par l’assureur. Préparation du devis des réparations par le garagiste Prise des photos par l’expert Accord de l’expert sur le devis des réparations présenté par le garage réparateur Le garage réparateur formule une demande de prise en charge adressée à la compagnie d’assurance qui doit être signée par CLLD, L’expert arrête sa fiche des travaux qui définit le montant supporté par la compagnie et celui restant à la charge de CLLD.

- Après les réparations :

L’expert se présente pour la prise des photos et pour le contrôle. Le garage réparateur adresse la quittance d’indemnité reçue de la compagnie d’assurance à CLLD. Celle-ci adresse un bon de commande au garage conventionné pour le montant de la franchise restant à sa charge. Récupération du véhicule.

• Responsabilité dégagée : La procédure des réparations demeure la même, mais CLLD ne supporte aucune franchise. 3-B/ Si le dossier sinistre est traité dans le cadre normal de l’indemnisation : - Avant les réparations : L’expert désigné par l’assureur se présente pour la prise des photos et donne son accord pour entamer les réparations. - Après les réparations : CLLD règle le montant de la facture des réparations directement au garage réparateur CLLD transmet les originaux des factures à son assureur. L’expert établit son rapport d’expertise arrêtant le montant de l’indemnisation, La compagnie adresse à CLLD une quittance d’indemnité en fonction de sa part de responsabilité dans l’accident, et le cas échéant déduit le montant de la franchise restant à sa charge.



4/ Indemnisation : a- dans le cadre de la procédure des garages conventionnés : Le montant de l’indemnisation reste à la charge de la compagnie d’assurance déduction faite du montant de la franchise dans le cas où notre responsabilité est engagée. b- dans le cadre normal de l’indemnisation : La quittance d’indemnité doit être retournée signée à la compagnie Réception du chèque d’indemnité. Pour répondre aux besoins de ses clients en toutes circonstances et à tout moment, une procédure d’astreinte est mise en place au sein de la plateforme technique de CHAABI LLD pour les heures non ouvrables. Ainsi chaque semaine une personne de la plateforme technique Info Drive est en astreinte. La dite personne a l’obligation de rester dans un périmètre de 30 Km de Casablanca et doit être joignable par tous moyens (GSM, Téléphone fixe, etc…). Les appels téléphoniques envers le centre Info Drive sont systématiquement renvoyés vers un poste fixe de la direction technique. Une fois le planning d’astreinte est affiché, le secrétariat de la direction se charge d’effectuer le renvoi pendant les heures non ouvrables vers le poste GSM de la personne en astreinte. L’équipe en astreinte devra se référer aux procédures et normes en vigueur pour répondre aux demandes d’interventions et réclamations des clients pendant la période de l’astreinte. Le tableau suivant regroupe les différents événements qui peuvent subvenir et les actions à entreprendre :



Le planning d’astreinte est établi pour le trimestre suivant par le Directeur Technique au plus tard 10 jours avant la fin du trimestre en cours. Les congés annuels sont pris en compte dans l’établissement dudit planning. Une fois visé par les personnes concernées et par la direction technique, le planning est remis à la direction générale et affiché au centre Info Drive.

A la fin de la période d’astreinte, le responsable établit un rapport d’astreinte qu’il remet aux directions techniques et commerciales, en précisant la nature des évènements auxquels l’équipe astreinte a été confrontée ainsi que les dispositions prises pour la résolution de ces évènements.

Les cartes vertes autorisent le client à utiliser le véhicule en dehors du territoire marocain. Lorsque le client veut utiliser le véhicule loué à l’étranger, il adresse une demande de cartes vertes sur papier en-tête à la Direction Technique. Cette dernière envoie la demande au courtier d’assurance. La Direction Technique prépare un bon de commande sur @Locpro sur appel de la prime d’assurance par le courtier.



A la réception du bon de commande, le courtier envoie les cartes vertes et la facture. La réception des cartes vertes entraîne la préparation d’une autorisation de sortie signée par la DAF ou le Directoire. Les cartes vertes et l’autorisation de sortie sont envoyées au client. La facture reçue de la part du coutier est validée par la Direction Technique, visée par la DAF puis retournée à la Direction Technique qui valide le paiement sur @Locpro. La DAF se charge de refacturer les cartes vertes au client bénéficiaire.

III. Identification des risques :

Grâce à l’analyse des processus, l’observation sur place de l’ensemble des procédures, les entretiens avec les employés, les tests de cheminement9, les sondages…j’ai pu identifier les zones de risque :

Les risques identifiés tout au long de l’analyse étaient inscrits dans un tableau qui permet de décrire le risque en indiquant sa cause, sa conséquence et la direction/service concerné(e).

IV. Analyse de la maîtrise des risques de l'entreprise :

Il s’agit de recenser les éléments de maîtrise du risque en question (contrôle interne) et d’évaluer leur degré d’efficacité.

Il s’agit, en fait, de vérifier s’il existe un contrôle donné pour éliminer ou réduire ce risque et mesurer son degré d’efficacité. Le but est de relever les risques pour lesquels le contrôle interne n’est pas efficace ou n’existe même pas.

9 Pour s’assurer de la bonne description de la procédure par rapport aux pratiques



V. Evaluer (coter) les risques :

Pour évaluer les risques, je me suis basée sur une échelle suivante :

- Impact :

Note 1 2 3 4 5 Impact (I) Non

significatif Mineur Modéré Majeur Très

significatif

- Probabilité :

- Criticité :

Probabilité*Impact

- Efficacité du Contrôle interne :

Coef Evaluation du CI

1 Contrôle Inexistant

2 Contrôle insuffisant

3 Contrôle adéquat

4 Contrôle trop important

5 Contrôle exagéré

Probabilité (P) Note

> 90% Quasiment

5 certain

50-90% Probable 4 30-50% Possible 3 10-30% Peu probable 2

< 10% Rare 1



Exemple de risque analysé selon les critères cités plus haut :

Les risques recensés sont catégorisés en plusieurs familles. Dans notre cas, les types de risques dégagés :

è Risques de marché.

è Risques de concentration.

è Risques juridiques.

è Risques de trésorerie.

è Risque de crédit client.

è Risques informatiques.

è Risques humains.

è Risques opérationnels.

è Risques sanitaires.

N° du R

Description du risque Resp. Contrôle interne Evaluation Criticité Effi cacité CI Anomalie Conséquences I P

R 1

Risque d’impayés

Dévaluation des créances clients.

DAF/ DC

• Analyse risque. • Suivi hebdomadaire des comptes clients, des délais de paiement. • Procédure de recouvrement. • Affacturage (Maroc factoring)

5 3 4 2



Chapitre 2 : Cartographie des risques finale de Chaabi LLD et plan d’action.

Après avoir inventorié les risques, les avoir analysés et cotés, il y a lieu de proposer un plan d’action, c'est-à-dire un ensemble d’actions à entreprendre en vue d’éliminer les risques ou réduire leurs impacts/probabilités.

Voici, à présent, le résultat final de ce travail : la cartographie des risques de CHAABI LLD :



Risque mineur

Risque modéré

Risque majeur

Risque critique

Les numéros indiqués sur la grille en haut représentent les risques détaillés dans la matrice suivante :

N.B : Pour la majorité des risques identifiés, il n’existe pas de contrôle interne qui permet de les maîtriser, c’est pourquoi j’ai omis la colonne qui concerne le contrôle interne.



N° du Risque

Description du risque Resp Evaluation du risque

Efficacité du CI

Actions à entreprendre

Anomalie Conséquences I P C

Risques de marché R1 Risque lié à la volatilité des prix des

véhicules chez les concessionnaires. Les montants des offres (devis) changent constamment.

DAF DC

3 3 3 1 Mise en place d’une comptabilité analytique.

R2 Risque lié à l’absence de visibilité sur le marché de l’occasion et absence d’une loi qui réglemente l’activité des intermédiaires.

La valeur de revente des véhicules récupérés n’est pas déterminée d’une manière fiable.

DC, DAF

4 4 4 1 Etudes de marché périodiques.

R3 Risque lié à l’indisponibilité des véhicules chez les concessionnaires.

Retards livraisons insatisfaction clients. DC 3 4 4 2 Notification clients en cas d’indisponibilité.

R4 Risque lié au manque de segmentation des clients.

- Mauvaise connaissance des segments du marché et par conséquent des clients cibles.

- Difficulté d’adapter les services aux attentes de chaque catégorie de client cible.

DC

4 3 4 1 Elaborer une stratégie de marché claire et précise (segmentation /ciblage/ positionnement).



Risques de concentration R5

Risques liés à la concentration des ventes: 20% des clients apportent à CHAABI LLD 80% du CA.

La poursuite du mouvement de concentration des ventes de services, qui se traduit par un nombre plus restreint de clients, pourrait affecter la marge opérationnelle de CLLD ou représenter un risque de contrepartie en cas de défaut d’un client majeur, notamment compte tenu du contexte économique et financier actuel.

DG, DC

5

2

4

1

• Une étude des secteurs d’activité des

clients principaux doit être faite (si tous les clients appartiennent à la même activité, ou dépendent des mêmes produits finaux, l’entreprise reste dans une situation risquée en raison de la dépendance sectorielle qu’elle subit).

• Il convient de déterminer des critères pertinents de regroupement des clients afin de mettre en exergue des dépendances difficiles à détecter, a priori.

• Diversifier les clients (cibler plus de PME).

Concentration sur les clients publics (ONE, ONEP, TGR, AL OMRANE, …)

Délais de paiement considérablement longs.

R6

Concentration des achats (80%) des services (entretiens) auprès d’un nombre limité de fournisseurs (20%). Il en est de même pour la plupart des remplacements de véhicules qui se font auprès d’un nombre limité de prestataires de location courte durée.

Si ces fournisseurs n’étaient pas en mesure d’effectuer les prestations de service dans les conditions et les délais requis, les activités de CHAABI LLD et ses résultats pourraient être significativement affectés.

DG, DC

5

2

4

1

- Politique de diversification des

fournisseurs. - Mettre en place un quota maximum pour

chaque catégorie de prestation.



Risques juridiques

R7 Risque lié à la législation : Absence d’une distinction entre la location longue durée et la location courte durée.

- Risque de concurrence : les petites entreprises qui font de la LCD peuvent du jour au lendemain faire de la LLD et s’accaparer une part du marché. - Difficulté de mesurer la quote-part liée à l’activité LLD chez les concurrents qui font les deux.

DG

4

2

3

1

Agir sur les autorités compétentes pour qu’une loi faisant la distinction entre la LLD et la LCD soit promulguée.

R8 Quelques articles du contrat (conditions générales) ne sont pas clairs ou mis à jour ex : art 7 (carte accréditive), art 8 (sinistre total), art 9 vs CP (indemnité de résiliation)…

Litiges avec clients et tout ce que cela entraîne comme charges administratives.

DG, DC

3

2

2

2

Modifier les articles concernés et mettre à jour le texte du contrat.

Risques de trésorerie et de liquidité

R9 Absence d’une fonction de contrôle de gestion réelle et appliquée à tous les niveaux de l’entreprise, le contrôle de gestion actuel est purement financier.

- Pas de maitrise de la gestion qui se matérialise par une absence de définition claire des rôles et des fonctions.

- Impact sur la réalisation des objectifs è pas de maitrise de risque.

DAF 4 4 4 2 Mise en place d’un dispositif de contrôle de gestion clair et appliqué à tous les niveaux de l’entreprise (qui ne se limite pas au contrôle financier)

R 10

Absence d’une gestion réelle de trésorerie.

- Pas de maitrise des règlements. - Besoins en trésorerie inconnus.

DAF 4 3 2 1 Mise en place d’un dispositif de gestion réelle de trésorerie.



- Pas de circuit ou processus clair et précis.

R 11

Risque de dépassement du budget établi.

Réalisations > Prévisions, contrainte d'épuisement des réserves ou de contraction des créances a cause de l’absence de suivi budgétaire.

DAF 4 3 4 2 La Direction Générale doit exiger un état des ventes selon la politique de budgétisation des ventes.

Risques de crédit

R 12

Risque d’impayés (ou de créance

client)

Dévaluation des créances clients

DAFDC

5

3

4

2

- Evaluation des clients (critères : taux d’impayés/clt, litiges, …) ; cela implique une procédure de suivi d’un dossier de gestion pour chaque client, reprenant l’historique de son comportement, les courriers expédiés, les données qualitatives recueillies,…

- Une procédure comptable pour s’assurer que toutes les factures et tous les règlements sont saisis et lettrés en fin de mois, et qu’une balance âgée est éditée. (chaque mois).

- Assurer un contrôle rigoureux de la procédure facturation à la date voulue pour éviter toute contestation.

- Etablissement d’un tableau de bord mensuel à la fois outil d’information, outil de mesure de performance et outil prévisionnel. Il doit rappeler les faits et données importants du



mois, le chiffre d’affaires et l’encours global, le montant et le nombre des « douteux », le montant des provisions ....

- Recrutement d’un recouvreur et séparation des deux fonctions : la facturation et le recouvrement.

Risques informatiques R 13

Dépendance vis-à-vis de la responsable informatique et manque de manuel d’utilisation du système.

Blocages/retards de la plupart des activités en cas de survenance d’un incident donné pendant l’absence du responsable informatique.

DT DT/ respinfo

5

2

4

2

- Recruter un assistant compétent en la

matière pour assurer le back up. - Prévoir un manuel interne d’utilisation du

système ou tout autre document interne servant de référence pour tous les employés afin de réduire la dépendance vis-à-vis du responsable informatique.

- Garantir un suivi continu pour s’assurer de la sauvegarde de tous les états.

- Prévoir des audits informatiques périodiques.



R 14

Manque de compétence et de maîtrise du système informatique.

Risques liés aux sauvegardes des docs/états (Les documents sont sauvegardés manuellement et ne sont pas centralisésè risque de perte des données), aux mises à jour (antivirus et bases virales,…), blocages récurrents du système,… è bref l’information fournie par le système n’est pas fiable.

5

3

4

2

- Formation supplémentaire des employés à l’utilisation du système.

Risques humains R 15

Départ de collaborateurs clés et planification inadéquate de leur remplacement. (taux du turn-over élevé !!).

- Retards. - Blocage de certaines activités. è

Grosses pertes.

DRH

4

3

4

2

- Planification adéquate du remplacement des collaborateurs qui sont sur le départ.

- Revoir les salaires/les avantages sociaux… (Comparaison annuelle des salaires avec ceux des salariés des entreprises analogues du secteur).

- Ecoute/échange avec le personnel. - Gestion et motivation du personnel.



R 16

Trop de mobilité du personnel au sein des services.

- Instabilité et désorganisation au sein

du service (surtout DT). - Discontinuité de certaines activités

(ex : suivi des remplacements, classement dossiers, …).

- Ambigüités concernant les responsabilités de chacun.

DRH

4

3

4

2

- La polyvalence est souhaitée et la mobilité professionnelle est encouragée à condition qu’elles soient bien planifiées et bien étudiées.

- Revoir la distribution des fonctions. - Plus d’écoute du personnel. - Mettre en place un organigramme cible

avec un plan de recrutement bien précis.

R 17

Concentration de plusieurs fonctions/pouvoirs entre les mains d’une seule personne.

- Grand risque en cas de départ, de maladie ou de fraude.

- Rupture de certaines activités très importantes. => grosses pertes.

DRH

5 2 4 2 - Eviter « les employés multifonctions ». - Favoriser la délégation du pouvoir/des

responsabilités (décentralisation). - Recrutement de nouvelles

compétences.

R 18

L’évaluation annuelle des employés n’est pas pratiquée (entretiens individuels d’appréciation).

- Difficulté de suivi de l’évolution du personnel.

- Difficulté de mesure du taux d’atteinte des objectifs fixés pour chaque employé.

- Le plan de formation n’est pas basé sur une évaluation des employés et donc sur un recensement des besoins en formation.

Ttes les directions

3 2 2 1 - Prévoir une procédure d’évaluation annuelle des employés (entretien d’évaluation).

- Calcul du taux de réalisation des entretiens individuels comme indicateur processus.



R 19

L'évaluation de l’efficacité des formations n’est pas formalisée par une procédure (narratif ou flow-chart).

Risque que les employés ne bénéficient pas de la formation dispensée.

DRH

4 3 4 1 Prévoir une procédure d’évaluation de l’efficacité des formations (barème de notation).

Risques opérationnels

R 20

La base de données des véhicules n’est pas mise à jour (tout ce qui concerne le véhicule : modèle, frais d’immat, tarifs,…

• Retard, voire blocage des offres ou envoi des offres avec des informations qui risquent d’être modifiées par la suite (notamment avec les modifications que connaissent les tarifs des catalogues…). • Possibilité de livrer un véhicule non-conforme à la commande du client. =>insatisfaction du client.

DT 4 3 4

1 Il incombe à la direction commerciale de mettre à jour les informations afférentes aux véhicules chaque deux ou trois mois (Modèles, tarifs, frais d’immat. vignette…) et d’assurer le suivi de l’application de cette procédure.

R 21

Risque d’acceptation de BC de client ayant accumulé des retards de paiement importants.

Accroissement du taux de non recouvrement des créances.

DC 4 2 3 2 -Suivi rigoureux des comptes clients.

-Prévoir une procédure d’évaluation des clients. (barème de notation).

- Présenter un état au comité pour chaque client.



R 22

Communication et coordination entre DC et DT difficiles.

Conséquences négatives importantes sur la qualité des services rendus par CLLDè Insatisfaction des clients.

DG DC DT

3 3 3 2 - Solutions en cours : - Recrutement de nouvelles téléopératrices (la situation devrait connaître une amélioration). - Recrutement responsable technique.

R 23

Risque que la livraison ne soit pas conforme à la commande.

Insatisfaction de la clientèle => perte des clients.

DC 3 1 2 2 • Assurer un contrôle rigoureux de la procédure livraison et surtout de la procédure contrat.

• Prévoir une procédure convoyage formalisée.

R 24

Risque que les livraisons ne soient pas réalisées dans les délais prévus.

Insatisfaction de la clientèle. => perte des clients.

DC/ DT

4 3 4 2 • Assurer un suivi rigoureux des livraisons (planning des livraisons).

• Notifier les clients quand il s’agit d’un retard lié à l’indisponibilité des véhicules.

R 25

Manque de maîtrise des véhicules par les commerciaux surtout avec les mutations et l’évolution que connaît le domaine.

Risque d’erreurs/ confusions que peuvent faire les commerciaux. => insatisfaction ou risque de perte des clients.

DC DRH

3 1 2 2 Formation continue pour actualiser les informations sur les modèles/ marques/options…



R 26

Difficulté de suivi de l’activité info-drive (activité très intensive !!), les indicateurs actuels ne permettent pas une surveillance rigoureuse de l’activité.

DT 4 3 4 2 Suivi rigoureux : - exiger des états hebdomadaires voire

quotidiens pour certains postes. - Réunions hebdomadaires avec le

DT+Chef de parc. - Calculer d’autres indicateurs

processus mensuels. - Audits fréquents.

R 27

Manque de compétence des téléopératrices en matière de mécanique : les « fiches électroniques » ne sont pas complètes (surtout le champ « détails de la demande »)

Retard de traitement des bons de commandes ; Le technicien SAV est obligé de rappeler le client pour diagnostic (le rôle des téléopératrices actuelles se limite à un travail de standardiste).

DT/ DRH

3 3 3 2 Prévoir un programme de formation des téléopératrices en matière de mécanique automobile et aussi en matière de techniques de vente/relation client.

R 28

Les accords n’apparaissent pas tous sur la liste des opérations d’entretien effectuées (@Locpro).

- Possibilité d’accorder un entretien ayant déjà été accordé.

- Perte de temps pour vérification.

DT 3 4 3 2 Résoudre le problème informatique pour qu’apparaissent tous les accords sur la liste des opérations effectuées.



R 29

Non respect de la procédure classement/ archivage des dossiers véhicules. (certains dossiers ne contiennent pas de copie de la vignette, ni d’autorisation de circulation).

Perte des papiers des véhicules (notamment les vignettes)èobligation d’appeler le client pour avoir des photocopies des papiers afin de renouveler l’autorisation de circulationè retards.

DT 3 3 3 1 - Garder des copies de tous les papiers du véhicule, les classer et assurer un contrôle rigoureux de cette procédure.

- Inventaire documentaire tous les trimestres

R 30

Certains véhicules n’apparaissent pas sur la liste des véhicules ayant atteint l’échéance pour la visite technique.

Retard de notification du client pour la visite technique surtout que la recherche du centre de visite technique le plus proche demande du tempsèRéclamation du client.

DT/ 3 2 2 2 - Résoudre le problème informatique pour qu’apparaissent tous les véhicules sur la liste.

- Il est préférable de munir le client d’un planning des visites techniques qu’il doit effectuer pendant la durée de location du véhicule.



R 31

Manque de contrôle des pièces détenues par l’expert (état/inventaire du stock…) et absence d’une procédure qui définit le sort des pièces de rechange restantes chez les prestataires après réparation.

Pertes de sommes importantes au lieu de réutiliser les pièces de rechange existantes dans le stock ou tout simplement les vendre (quelques pièces ont une valeur vénale non négligeable !!).

DT, resp VO

4 5 4 1 - Prévoir une procédure formalisée qui définit les étapes de collecte des pièces de rechange ainsi que leur gestion au sein du dépôt.

- Assurer un contrôle/suivi du dépôt (pièces détenues par l’expert).

- Faire de la pression sur les garagistes : les véhicules doivent passer le minimum de temps possible chez les garagistes.

R 32

La centrale d’occasion n’est pas adaptée côté infrastructure ni pour l’entretien des véhicules, ni pour leur exposition aux clients et se situe très loin du siège. De plus, les personnes ne sont pas qualifiées pour entretenir les véhicules.

- Les véhicules (patrimoine de CLLD) ne sont pas protégés, et risquent de perdre leur valeur avec le manque d’entretien.

- L’infrastructure actuelle n’est pas adaptée pour exposer les véhicules aux clients (risque d’image)

DG, DT

4 3 4 2 - Recruter ou former les personnes actuelles.

- Etudier la possibilité d’approcher la centrale. (dans un lieu plus proche)

- Faire de la pression sur les clients pour qu’ils restituent les véhicules dans les délais normaux.

R 33

Absence d’une procédure formalisée de convoyage !!

Non-respect des délais de livraison, de restitution, mauvaise coordination entre le responsable d’immatriculation et le convoyeur…èréclamations des clients.

DT 4 4 4 1 Prévoir une procédure formalisée de convoyage.



R 34

Absence d’une interface entre le système @Locpro et Outlook.

Perte de temps

DT 2 2 2 1 Etudier la possibilité d’établir une interface entre @Locpro et Outlook.

R 35

Les procédures d’évaluation/agrément des prestataires ne sont pas appliquées dans l’absence du chef de parc. (la dernière évaluation a été faite en décembre 2009).

- Risque de fraude/surfacturation. - Impact négatif sur la qualité des

services rendus par quelques prestatairesè insatisfaction du client.

DT/

Chef de parc/

DRH

4 5 4 1 - Assurer l’application de ces deux procédures.

- Recrutement d’un chef de parc et d’un DT (urgent !!).

R 36

Absence d’une procédure formalisée de prospection fournisseurs pour signer des conventions surtout dans les régions éloignées.

- Retard de réponse aux clients. - Insatisfaction des clients à cause de

l’éloignement des centres de visite technique des villes où se trouve le véhicule.

DT/ chef de parc

4 3 4 1 Prévoir une procédure de prospection des fournisseurs y compris les centres de visite technique.

R 37

Les accords (BC) ne sont pas signés/validés sauf pour les entretiens curatifs dont le montant dépasse 5000 DH.

Risque de fraude.

DT/ Chef de parc

4 1 3 2 - Contrôle rigoureux des bons de commandes.

- Lancer des audits par échantillonnage. - Visa du chef de parc/DT pour les BC

dont les montants sont importants même ceux relatifs aux entretiens préventifs.



R 38

Le tableau d’amortissement n’est pas élaboré sur @Locpro mais plutôt sur Excel (manuellement).

- Risque d’erreur. - Perte de temps pour élaborer le

tableau au lieu de faire le calcul automatiquement sur @Locpro.

DT/ SI

3 1 2 1 Prévoir une application qui permet d’élaborer le tableau d’amortissement sur @Locpro et sa sauvegarde sur le système.

R 39

Absence d’un suivi régulier des remplacements. (n’est pas régulièrement mis à jour).

- Dépassements flagrants ! ècoûts de location courte durée élevés.

DT 5 4 4 2 - Mettre à jour l’état des remplacements et en assurer le suivi.

- Faire de la pression sur les garagistes et les inciter à respecter les délais.

R 40

Problème d’intégration: des factures saisies sur @Locpro n’apparaissent pas sur SAGE (logiciel de comptabilité). (elles n’ont pas été intégrées à la base).

- Ambigüité concernant la situation du compte frs. èAffecte la fiabilité de l’information financière.

DAF/ DT/ Resp. info

5 3 4 2 - Maîtrise de l’intégration (paramétrage, faire appel à un spécialiste en progiciels financiers).

- Assurer un contrôle au niveau de la saisie des factures (faire un état des factures entrées et effectuer un rapprochement pour vérifier si toutes les factures ont été intégrées ou pas).



R 41

Risque que des factures soient réglées deux fois.

- Pertes importantes. - Affecte la fiabilité de l’information

financière.

DAF 4

3 4 2 - Assurer un contrôle des relevés des factures réglées avant signature des chèques par le DAF. (il est recommandé de faire le lettrage des chèques avant leur signature par le DAF).

- Le contrôle permettra également de détecter les erreurs (autres que les doublons) et les corriger.

R 42

Risque de perte de factures (surtout les factures des immobilisations).

Difficulté de vérifier les écritures intégrées ou la TVA à déclarer (besoin des infos figurant sur les factures ex : id. fiscal, libellé facture…).

DAF 4 3 4 2 - Assurer un contrôle rigoureux du classement des factures ; Cela implique un espace consacré à l’archivage et l’équipement nécessaire.

- Il est important d’exiger des fournisseurs deux exemplaires des factures surtout celles concernant les immobilisations.

- Il est préférable de scanner les factures et les sauvegarder dans un support numérique, cela facilitera leur recherche (multicritères : N°, Nom frs, date…) et leur consultation par le CAC, ou par tout autre utilisateur interne.



R 43

Factures établies manuellement. (des clients exigent que les factures contiennent des infos que la configuration actuelle du système ne permet pas d’afficher sur la facture).

- Risque d’erreur. - Risque de fraude. - Les factures ne sont pas

sauvegardées sur le système mais sur un fichier Excel qui risque d’être modifié ou perdu par la suite.

DAF 4 2 3 1 Revoir la configuration du système @Locpro et étudier la possibilité d’ajout/d’affichage d’infos exigées par les clients sur les factures pour éviter les factures manuellement établies.

R 44

Le circuit facture-fournisseurs et très long èbcp de problèmes

- Pertes de factures. - Double règlement. - Absence de justificatifs. - Risque d’établir des factures

supplémentaires à défaut de réception des PV de livraison à temps.

- Chèques égarés…

DAF 4 3 4 2 - Revoir le circuit facture-frs : étudier la possibilité de simplifier les procédures.

- Audits réguliers. - Unifier les états. - Recruter une personne interne

chargée de la saisie.

R 45

Retard de communication des états et des documents.

Retards !! Ttes les Dir

2 2 2 1 Les informations doivent être transmises à temps à la personne concernée.



R 46

Risque que des prélèvements soient effectués des comptes de clients ayant clôturé (résilié) le contrat à cause d’une mauvaise coordination entre le resp. restitution et l’administrateur des ventes.

- Gonflement du CA et travail supplémentaire pour annuler les « faux règlements » ou les « fausses écritures ».

- Réclamations clients. è insatisfaction des clients.

DAF 4 3 4 1 Coordination entre administrateur des ventes et le responsable restitution :

- Etablir des états hebdomadaires de restitution avec tous les PV de restitution.

- Réunion hebdomadaires.

R 47

Absence d’une maîtrise des documents. (mauvaise gestion documentaire).

- Pertes de documents. - Absences de justifs. - Retards !!

Ttes les Dir

4 3 4 1 - Faire un inventaire documentaire. - Prévoir des audits périodiques.

R 48

Problèmes liés à une mauvaise planification des audits qualité.

Absence de contrôle pertinent et de suivi rigoureux de l’application de la démarche qualité sur tous les niveaux, chose qui peut affecter la qualité des prestations de CLLD.

DG 4 2 3 2 - Externaliser les audits qualité. - Planification adéquate des audits

qualité.

R 49

Risque de défaillance du contrôle interne et absence d’une procédure d’inventaire d’immobilisations.

Le patrimoine de l’entreprise risque d’être insuffisamment protégé.

Ttes les Dir

4 3 4 2 - Prévoir un manuel détaillé de toutes les procédures et définir pour chacune de manière claire les différents dispositifs de contrôle interne.

- Prévoir une procédure d’inventaire des immobilisations.



Risques sanitaires

R 50

Espace de travail caractérisé par l’encombrement des bureaux en plus de l’absence de quelques mesures de protection et de sécurité.

- La santé physique des employés se voit menacée par des maladies liées aux ultraviolets, au manque d’aération, ou à l’absence des soins d’urgence…

- Tensions musculo-squelettiques (TMS).

- Fatigue visuelle, céphalée, migraine…

Ttes les Dir

3 2 2 2 - Réaménagement de l’espace du travail afin qu’il soit adapté aux aptitudes et aux aspirations des salariés.

- Prévoir une petite pharmacie contenant les soins d’urgence.

- Former quelques employés au secourisme.

- Munir tous les ordinateurs d’écrans de protection.

- Equiper les locaux des dispositifs d’aération.

- Régler le climatiseur avec précaution (l'écart entre la température ambiante de la pièce et la température extérieure ne doit jamais excéder 8°C).

R 51

Stress des employés dû essentiellement à la surcharge de tâches, à la désorganisation, à des objectifs non réalistes, aux blocages récurrents du système ou à des conflits avec clientèle

Coût du stress à savoir : - Maladies, dépressions, TMS, … - Problèmes relationnels intra-équipe,

conflits, violences... - Absentéisme, Turn-over

Ttes les Dir

4 2 3 2 - Séminaires de sensibilisation au stress.

- Prendre les mesures nécessaires pour garantir la santé mentale et physique du personnel :

• Revoir les tâches de façon à ce



agressive (en plus bien sûr des problèmes liés à leurs vies privées…)

- Démotivation des collègues. - Temps consacré au recrutement, à

l’intégration et à la formation des nouvelles recrues.

- Charges administratives…

qu’elles soient raisonnablement exigeantes.

• Fournir à l’employé des tâches variées et encourager le team work.

• Faire participer les salariés aux décisions.

• Favoriser la communication entre les employés et avec la hiérarchie…


Dans un contexte marqué par des scandales financiers liés à un manque de transparence, la maîtrise des activités est devenue un élément essentiel d'une gestion « saine » des entreprises. Cette approche passe essentiellement par l'instauration de politiques favorisant la maîtrise des risques. Ces dernières ont donc pour but d'identifier et de traiter d'éventuelles faiblesses menaçant les objectifs que l'organisation s'était fixée.

Point de départ presque incontournable, la cartographie des risques est l'outil le plus en vogue pour effectuer un inventaire et une évaluation des risques. D'ailleurs, sa mise en place est recommandée par certains travaux de référence comme les travaux du comité de Bâle (2003) et le rapport sur Les saines pratiques pour la gestion et la surveillance du risque opérationnel (2003). Cependant, se limiter à cet aspect réglementaire serait une erreur pour les dirigeants et autres acteurs de l'entreprise. En effectuant un diagnostic complet de l'entreprise à travers les risques qu'elle encourt, la cartographie peut être intégrée à une démarche de gestion plus globale qui favorise l'amélioration des performances de l'organisation.

Cela passe d'abord, par une identification des processus de l'organisation et du dispositif de contrôle interne existant. Sans lien entre ces trois éléments, il semble difficile d'arriver à une maîtrise effective des activités au regard des objectifs établis.

Ensuite, cela passe par une meilleure intégration de la cartographie dans le pilotage des risques. L'outil doit favoriser le traitement des risques pour les ramener à un degré de menace acceptable pour l'entreprise. Elle doit être accompagnée d'une analyse des coûts et des avantages de chaque traitement. En combinant les deux, le management des risques peut choisir une solution optimale pour l'entreprise conciliant efficacité de la cartographie et rentabilité économique.

Enfin, la cartographie tend à améliorer les moyens de maîtrise du risque. Les contrôles internes associés à chaque risque sont vérifiés et évalués. Le cas échéant, d'autres contrôles sont mis en place.

C'est donc en associant la cartographie à ces trois éléments, qu'elle deviendra un véritable outil de pilotage de la performance au service du management des risques.

Conclusion


• « Théorie et pratique de l’audit interne », Jaques RENARD, Les éditions

d’organisation 1998.

• « Contrôle interne : Au-delà des concepts, 40 questions aux praticiens » :

publication de PricewaterhouseCoopers, Décembre 2004 en 65 pages, téléchargeable

sur le lien : http://www.pwcglobal.com/fr/pwc_pdf/pwc_pg_controle_interne.pdf

• La lettre SIA conseil, 3ème trimestre 2003, « Bâle II, volets risques opérationnels

: un projet de conduite du changement », document en 4 pages téléchargeable sur le

lien :

http://www.siaconseil.com/redirectRessource.php?ressource_id=37&ressource_url=%

2Fuploadsdocs%2F%2Fr1086968298.pdf

• « Le Risk Management, Vecteur de Performance », article en 8 pages paru Mars

2005 au magazine mensuel « Echo de l’industrie » n° 3, rédigé par Luc Henzig,

Associé PricewaterhouseCoopers Luxembourg. Le numéro est téléchargeable à partir

du lien suivant : http://www.fedil.lu/Echo/documents/Echo32005.pdf

• Différentes pages web traitant de la définition des risques et des risques

opérationnels sur les adresses suivantes :

http://www.marchesfinanciers.net/pages/risque_operationnel.htm

http://www.marches-financiers.net/pages/suivi_risques.htm

• Conférences et séminaire pour les cadres « audit des risques, outils et méthode/ le risk

management » http://www.efe.fr/fprmationprofessionnelle

• « management des risques », G.Marmuse, X.Montaigne, Edition Vuibert 1989,

Collection Vuibert entreprise.

• « Gestion des risques et contrôle interne »Thierry Colatnella, Associe KPMG, audit ;

• « Conduire un audit qualité, méthodologie et techniques », Pierre Vandeville et

Christine Gambier, 1995 AFNOR.

Biblio/Webographie