Upload
others
View
13
Download
2
Embed Size (px)
Citation preview
0 Cartographie des risques de la CUD-‐édition 2016.
Edition 2016.
CARTOGRAPHIE DES R ISQUES DE LA
COMMUNAUTE URBAINE DE DOUALA
Elaborée avec l’appui technique des Services du Contrôle Supérieur de l’Etat
1 Cartographie des risques de la CUD-‐édition 2016.
SOMMAIRE
Liste des Abréviations ………………….………………….………………….………………….………………….……… Page 2 Liste des Tableaux ………………….………………….………………….………………….……………………………….. Page 4 Liste des Figures ………………….………………….………………….………………….………………….……………….. Page 5
Mot de M. le Délégué du Gouvernement de la CUD ………………………………………………………... Page 6
Introduction……………………………………………………………………………….………………….………………….… Page 8
I. Objectifs de la cartographie des risques au sein de la CUD…..…….………………….…… Page 9
II. Méthodologie d’élaboration de la cartographie des risques de la CUD…..………… Page 9
III. Identification et inventaire des risques de la CUD……………………………………………….. Page 15
IV. Evaluation, analyse et interprétation des risques de la CUD………………...…………….. Page 272
V. Traitement du risque de la CUD………………….………………….………………….…………………... Page 312
VI. Surveillance et mise à jour de la cartographie des risques…………………………………. Page 316
Conclusion………………….………………….………………….………………….………………….………………….……… Page 317
Comité ad hoc ayant élaboré la Cartographie des risques de la CUD….………….……… Page 319
2 Cartographie des risques de la CUD-‐édition 2016.
LISTE DES ABREVIATIONS AIMF : Association Internationale des Maires Francophones AO Appel d’Offres ARMP : Agence de Régulation des Marchés Publics BET : Bureau des Etudes CAB-‐DLG Cabinet du Délégué du Gouvernement CAD Communes d’Arrondissement de Douala CFS : Contrôleur Financier Spécialisé CG : Contrôleur de Gestion CONSUPE : Contrôle Supérieur de l’Etat CI : Contrôle Interne CIPM : Commission Interne de Passation de Marchés CUD : Communauté Urbaine de Douala DAFI : Direction des Affaires Financières DAO : Dossier d’Appel d’offres DAJCO : Division des Affaires Juridiques et du Contentieux DARHL : Direction de l’Administration, des Ressources Humaines et de la
Logistique DLG : Délégué du Gouvernement DEPIDD : Direction des Etudes, de la Planification, des Investissements et du
Développement Durable DIRPOM : Direction de la Règlementation et de la Police Municipale DURSAP : Direction de l’Urbanisme et de la Salubrité Publique DIREM : Direction de l’Entretien des Infrastructures Routières, des Réseaux et de
la mobilité DIVMAP : Division des Marchés Publics DSI : Division des Systèmes d’Information DPU : Plan Directeur d’Urbanisme EIES : Etudes d’Impact Environnemental et Social IGAT : Inspecteur des Affaires Techniques IGS : Inspection Générale des Services MINATD : Ministère de l’Administration Territoriale et de la Décentralisation MINMAP : Ministère des Marchés Publics OPJ : Officier de Police Judiciaire OTVP : Occupation Temporaire de la Voie Publique PADUDY : Programme d’Appui au Développement Urbain de Douala et Yaoundé PCM : Poste de Comptabilité-‐matières
3 Cartographie des risques de la CUD-‐édition 2016.
PEFA : Public Expenditures and Financial Accountability PGES : Plan de Gestion Environnementale et Sociale PMO Plan de Mise en œuvre POLE CE Pôle Chargés d’Etudes POS : Plan d’Occupation du Sol PPP : Partenariat Public-‐Privé PV : Procès-‐verbaux RM : Receveur Municipal SG : Secrétariat Général SAJ : Service des Affaires Juridiques SERVCOM : Service de la Communication SDA : Schéma Directeur d’Assainissement SMART : Simple-‐Mesurable-‐Acceptable-‐Reproductible-‐Temporel STC : Secrétariat des Travaux du Conseil TDRs : Termes De Références
4 Cartographie des risques de la CUD-‐édition 2016.
LISTE DES TABLEAUX
Tableau 1 : Processus pilotage/inventaire des risques
Tableau 2 : Processus métiers/inventaire des risques
Tableau 3 : Processus support/inventaires des risques
Tableau 4 : Risques élevés/ Processus pilotage
Tableau 5 : Risques moyens/ Processus pilotage
Tableau 6 : Risques faibles/Processus pilotage
Tableau 7 : Risques élevés/Processus métiers
Tableau 8 : Risques moyens/Processus métiers
Tableau 9 : Risques faibles/Processus métiers
Tableau 10 : Risques élevés/Processus support
Tableau 11 : Risques moyens/Processus support
Tableau 12 : Risques faibles/Processus support
Tableau 13 : Synthèse globale des risques significatifs de la CUD
5 Cartographie des risques de la CUD-‐édition 2016.
LISTE DES FIGURES
Figure 1 : Répartition des risques élevés du processus de pilotage
Figure 2 : Répartition des risques moyens du processus de pilotage
Figure 3 : Répartition des risques élevés du processus métier
Figure 4 : Répartition des risques moyens du processus métier
Figure 5 : Répartition des risques élevés du processus support
Figure 6 : Matrice de criticité
Figure 7 : Cartographie des risques
6 Cartographie des risques de la CUD-‐édition 2016.
MOT DE MONSIEUR LE DELEGUE DU GOUVERNEMENT AUPRES DE LA COMMUNAUTE URBAINE DE DOUALA (CUD)
Dr. NTONE NTONE Fritz
Chers collaborateurs,
Dans le cadre du processus d’amélioration de sa gouvernance, la Communauté Urbaine de Douala (CUD) a conclu le 26 novembre 2013 avec les Services du Contrôle Supérieur de l’Etat (CONSUPE) un Protocole d’Entente visant à développer les compétences techniques et professionnelles des personnels de la CUD dans les domaines de la gestion et de l’audit de l’ensemble de ses ressources.
La mise en œuvre de ce Protocole a permis à la CUD de renforcer les capacités techniques de son personnel sur des thématiques diverses, et de se doter d’outils de management et de vérification appropriés, indispensables à une exécution efficace et efficiente de ses activités de gestion et de contrôle. On peut citer entre autres, la Charte d’audit et le Guide d’audit interne édités en 2014.
Un nouvel outil élaboré est la cartographie des risques de la CUD. Celui-‐ci constitue un outil d’aide à la gestion des risques inhérents qui permettra désormais à la CUD de disposer d’un état des lieux global des vulnérabilités potentielles et extrêmes pour l’ensemble de ses champs d’activité. Il permettra à toutes les Unités opérationnelles de notre Collectivité locale :
§ de visualiser rapidement les risques critiques susceptibles d'affecter gravement leurs activités et leur évolution;
§ d’identifier les actions préventives et correctives qui doivent être menées en priorité, et;
§ d’orienter les décisions stratégiques.
Son utilisation a pour but, d’une part, de couvrir tous les risques pouvant compromettre l’activité de la CUD, et d’autre part, de renforcer le dispositif de mise en conformité des activités de la CUD avec la règlementation, les normes locales et les lois, et de contribuer également à rendre notre Institution plus performante et efficace.
7 Cartographie des risques de la CUD-‐édition 2016.
En mettant cet outil de travail à la disposition des Unités opérationnelles de la CUD et de tout le personnel, j’aimerais exprimer ma profonde gratitude et mes sincères remerciements à Madame le Ministre Délégué à la Présidence de la République chargé du Contrôle Supérieur de l’Etat, pour le précieux soutien qu’elle n’a cessé d’accorder à la CUD à travers le renforcement des capacités techniques et managériales de son personnel et de ses dirigeants.
Par ailleurs, je félicite les membres du Comité ad hoc qui a été mis en place pour élaborer la cartographie des risques ainsi que tout le personnel de la CUD qui s’est courageusement prêté à cet exercice. Ceux-‐ci ont fait montre d’un professionnalisme et d’une détermination qui a contribué significativement à la production de la première cartographie des risques d’une Collectivité Territoriale Décentralisée au Cameroun.
La Communauté Urbaine de Douala peut se réjouir de disposer désormais d’un inventaire de risques significatifs et potentiels, ainsi que des stratégies de gestion desdits risques. J’invite donc tous les responsables à bien vouloir s’en approprier, de manière à mieux gérer les risques et à améliorer la performance de leurs entités.
Loin d’être un document figé, la cartographie des risques de la CUD est appelée à évoluer par des mises à jour périodiques, pour mieux répondre aux exigences de l’environnement dans lequel évolue la CUD. Enfin, dans la même mouvance, les documents déjà élaborés seront complétés par les manuels de procédures en cours de finalisation et par la mise en place d’un système informatique ‘Enterprise Resources Planning’ (ERP).
Le Délégué du Gouvernement
Dr Fritz NTONE NTONE
8 Cartographie des risques de la CUD-‐édition 2016.
INTRODUCTION
La cartographie des risques vise à recenser les risques d’une Organisation et à les présenter de façon synthétique et hiérarchisée sous une forme graphique. Elle donne par ailleurs aux responsables de l’Institution un aperçu des vulnérabilités des processus et leur permet de prendre des décisions éclairées pour prévenir les anomalies et les dérapages.
Les risques identifiés doivent faire l’objet d’une évaluation afin de permettre au personnel de chaque entité de l’institution de mettre en place des stratégies appropriées visant à mieux les gérer.
Au sein de la CUD, cette activité de recensement doit se faire à l’aune de son cadre institutionnel et organisationnel.
En effet, sur le plan institutionnel, la CUD a été créée par la loi N° 015 du 15 Juillet 1987 qui en fixe les compétences. Cette loi est mise en application à travers le décret N° 87/1366 du 24 Septembre 1987.
Ce décret précise que l’Exécutif communautaire est composé du Délégué du Gouvernement et de 6 Adjoints. Le Conseil de Communauté comprend 36 Conseillers répartis en 4 grandes commissions que sont :
- la Commission des Grands Travaux ; - la Commission Economie et Finances ; - la Commission Environnement et Développement durable ; - la Commission des Affaires sociales et culturelles.
Sur le plan organisationnel, en vertu de l’Arrêté n°1/A/CUD/CAB/DLG/2015 du 27 janvier 2015 modifiant et complétant certaines dispositions de l’Arrêté n°18/SG/CUD/2012 du 27 décembre 2012 portant réorganisation des Services de la CUD, elle dispose :
-‐ d'un Cabinet ; -‐ des entités rattachées au Délégué du Gouvernement constituées de :
§ l'Inspection Générale des Services et le Contrôle de Gestion ; § la Division de la Communication, de la Coopération, des Relations Publiques et
de la Traduction ; § la Division Informatique ; § la Division des Affaires Juridiques et du Contentieux ; § le Poste des Approvisionnements et de la Comptabilité-‐Matières.
9 Cartographie des risques de la CUD-‐édition 2016.
-‐ du Secrétariat Général qui comprend également le Secrétariat des travaux du Conseil, la Division des Marchés Publics, le Service d'Ordre et du Courrier, le service de l’Etat civil de la Documentation et des Archives.
-‐ des Directions Opérationnelles constituées de :
§ la DARHL ; § la DAFI ; § la DEPIDD ; § la DIREM ; § la DIRPOM ; § la DURSAP.
-‐ de la Recette Municipale ; -‐ du Contrôle Financier Spécialisé.
A la date de l’élaboration de la cartographie des risques, la CUD dispose d’un effectif constitué de 237 cadres, 240 agents de maîtrise et 529 agents décisionnaires.
I. OBJECTIFS DE LA CARTOGRAPHIE DES RISQUES AU SEIN DE LA CUD
L’élaboration de la cartographie des risques de la CUD est motivée par l’objectif global de participer à la mise en place d’un contrôle interne efficace et efficient au sein de la CUD.
De manière spécifique cette démarche vise à :
- identifier les risques et ce qui les lie ; - fournir un mécanisme permettant de bien gérer les risques ; - aider à la prise de décision ; - orienter le plan d’audit interne en mettant en exergue les processus au niveau
desquels se concentrent les risques majeurs ; - améliorer la gouvernance de l’Institution.
II. METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES RISQUES DE LA CUD
L’élaboration de la cartographie des risques de la CUD s’est faite selon une démarche participative et inclusive, à travers la mise en place d’un Comité ad hoc chargé d’élaborer la cartographie des risques de la Communauté Urbaine de Douala.
10 Cartographie des risques de la CUD-‐édition 2016.
Pour atteindre cet objectif, les membres du Comité ad hoc ont suivi six (06) étapes, à savoir :
-‐ identifier les supports de travail et se familiariser avec l’environnement de la CUD ; -‐ découper la CUD en ensembles homogènes, c’est-‐à-‐dire en trois (03) processus de
gestion d’une entité que sont : le processus pilotage, le processus métier et le processus support ;
-‐ identifier et recenser, en collaboration avec toutes les entités de la CUD, les risques inhérents, dans le cadre des travaux du Comité ad hoc ;
-‐ identifier et évaluer les mesures de contrôle interne en collaboration avec les entités ;
-‐ consolider les données dans la matrice globale de la cartographie ; -‐ évaluer les risques, en collaboration avec toutes les entités de la CUD, et élaborer
les diagrammes des risques les plus importants en fonction des processus.
A. Identification des supports de travail
Les documents et référentiel suivants ont été à la base du processus de l’élaboration de la cartographie des risques de la CUD :
-‐ l’Arrêté N°18/SG/CUD/2012 du 27 décembre 2012 portant réorganisation des services de la Communauté Urbaine de Douala ;
-‐ l’Arrêté N°15/A/CUD/CAB/DLG/2016 du 06 mai 2016 modifiant et complétant l’Arrêté N°18/SG/CUD/2012 du 27 décembre 2012 portant réorganisation des services de la Communauté Urbaine de Douala et ses modificatifs subséquents ;
-‐ les normes ISO 9001 :2015.
B. Découpage de la CUD en ensemble homogène
Les documents et référentiels sus-‐cités ont permis de procéder au découpage de la CUD en processus homogènes.
En effet, un processus représente un ensemble d’activités corrélées qui utilisent les ressources pour transformer les éléments d’entrée en éléments de sortie. Il est l’unité de base de l’activité de la collectivité, décomposée de manière cohérente et détaillée, selon ses missions et la réalité du terrain.
Dans le cadre de cette activité, trois processus ont été retenus, à savoir :
11 Cartographie des risques de la CUD-‐édition 2016.
B.1. Les processus « pilotage »
Ce sont ceux qui définissent les objectifs et l’orientation de l’institution, agissent directement sur le fonctionnement de l’organisme et sa dynamique d’amélioration.
A cet effet, Rentrent dans ce type de processus, les entités suivantes :
ü le Cabinet du Délégué du Gouvernement ; ü le Secrétariat Général ; ü l’Inspection Générale des Services et le Contrôle de Gestion ; ü la Division de la Communication, de la Coopération Décentralisée et
des Relations Publiques ; ü la Division des Affaires Juridiques et du Contentieux ; ü le Secrétariat des Travaux du Conseil de Communauté.
B.2. Les processus « métier »
Ce sont les processus cœur de métier de l’institution. Ils correspondent aux activités principales de l’institution et ont un impact direct sur la satisfaction de l’usager. En d’autres termes, ils constituent la raison d’être de la CUD.
Rentrent dans ce type de processus, les entités suivantes :
ü la Direction de la Réglementation et de la Police Municipale ; ü la Direction des Etudes, de la planification, des Investissements et du
Développement Durable ; ü la Direction de l‘Entretien des Infrastructures Routières, des Réseaux
et de la Mobilité ; ü la Direction de l’Urbanisme et de la salubrité Publique.
B.3. Les processus « support »
Ils sont indispensables à la réalisation des processus pilotage et métiers. Ils sont constitués essentiellement de toutes les ressources (humaines, matérielles et financières) nécessaires au bon fonctionnement et à la pérennité de l’institution. Ils ne créent pas de valeur directement perceptible par l’usager.
Rentrent dans ce type de processus, les entités suivantes :
ü la Direction de l’Administration, des Ressources Humaines et de la Logistique ;
ü la Direction des Affaires financières ;
12 Cartographie des risques de la CUD-‐édition 2016.
ü la Division des marchés publics ; ü la Division Informatique ; ü le poste des approvisionnements et de la comptabilité-‐matières ; ü le service d’ordre et du courrier ; ü le service de l’état civil, de la documentation et des archives.
C. Identification et recensement, en collaboration avec toutes les entités de la CUD, des risques inhérents et des mesures de contrôle interne y afférentes
Les travaux d’identification et de recensement des risques inhérents, ainsi que les contrôles internes se sont faits dans un premier temps dans le cadre des échanges avec les différentes entités et dans un second temps lors des travaux du Comité ad hoc.
Ces travaux ont permis d’élaborer la matrice de la cartographie des risques de la CUD.
D. Consolidation des données dans la matrice
La consolidation des données dans la matrice s’est faite à travers la codification desdites données et leur enregistrement dans la matrice globale.
Le système de codification retenu a permis de rattacher le risque inhérent évalué à son activité, à sa mission, à l’entité concernée et au type de processus correspondant suivant la séquence : Processus. Entité. Mission. Activité.
Ainsi nous avons retenu le chiffre romain (I) pour les processus de pilotage, avec une série numérique attribuée aux entités, missions et activités de rattachement :
• Cabinet du Délégué du Gouvernement (1) ; • Secrétariat Général (2) ; • Secrétariat des Travaux du Conseil (3) ; • Inspection Générale des Services et le Contrôle de Gestion (4) ; • Division de la Communication, de la Coopération décentralisée et des Relations
publiques (5) ; • Division des Affaires Juridiques et du Contentieux (6).
Exemple de code de risque obtenu à partir de la séquence ci-‐dessus :
I.1.1.1 : Il s’agit d’un risque du processus de pilotage, du Cabinet du Délégué du Gouvernement, de sa première mission et de la première activité de celle-‐ci.
13 Cartographie des risques de la CUD-‐édition 2016.
I.6.2.1 : Il s’agit d’un risque du processus de pilotage, de la Division des Affaires Juridiques et du Contentieux, de sa deuxième mission et de la première activité de celle-‐ci.
Nous avons retenu le chiffre romain (II) pour les processus métiers, avec une série numérique attribuée aux entités, missions et activités de rattachement.
• Direction de l’Entretien des Infrastructures Routières, des Réseaux et de la Mobilité (1) ;
• Direction de la Règlementation et de la Police Municipale (2) ; • Direction des Etudes, de la Planification, des Investissements et du
Développement Durable (3) ; • Direction de l’Urbanisme et de la Salubrité Publique (4).
Exemple de code de risque obtenu à partir de la séquence ci-‐dessus :
II.2.3.2 : Il s’agit d’un risque du processus métier, de la Direction de la Règlementation et de la Police Municipale, de sa troisième mission et de la deuxième activité de celle-‐ci.
II.3.5.7 : Il s’agit d’un risque du processus métier, de la Direction des Etudes, de la Planification, des Investissements et du Développement Durable, de sa cinquième mission et de la septième activité de celle-‐ci.
Nous avons retenu le chiffre romain (III) pour les processus supports, avec une série numérique attribuée aux entités, missions et activités de rattachement.
• Direction de l’Administration, des Ressources et de la Logistique (1) ; • Direction des Affaires Financières (2) ; • Division des Marchés Publics (3) ; • Division Informatique (4) ; • Poste des Approvisionnements et de la Comptabilité-‐matières (5) ; • Service d’Ordre et du Courrier (6) ; • Service de l'Etat civil, de la documentation et des archives (7).
Exemple de code de risque obtenu à partir de la séquence ci-‐dessus :
III.1.1.1 : Il s’agit d’un risque du processus support, de la Direction de l’Administration, des Ressources et de la Logistique, de sa première mission et de la première activité de celle-‐ci.
14 Cartographie des risques de la CUD-‐édition 2016.
III.3.2.10 : Il s’agit d’un risque du processus support, de la Division des Marchés Publics, de sa deuxième mission et de la dixième activité de celle-‐ci.
III.5.4.3 : Il s’agit d’un risque du processus support, du Poste des Approvisionnements et de la Comptabilité-‐matières, de sa quatrième mission et de la troisième activité de celle-‐ci.
E. Evaluation et élaboration du diagramme des risques
L’évaluation des risques est par nature subjective et s’appuie sur l’expérience du responsable opérationnel et la compréhension de son environnement de travail.
Pour ce faire, le Comité ad hoc s’est de nouveau rapproché des responsables opérationnels dans les différentes entités de la CUD pour mener au mieux l’évaluation des risques.
Deux critères ont servi à cet effet, à savoir :
-‐ la fréquence d’apparition du risque, c’est-‐à-‐dire sa probabilité d’occurrence ; -‐ la gravité, c’est-‐à-‐dire la conséquence ou l’impact probable qu’aura le risque en
cas de sa survenance.
De manière explicite, pour chacun des critères ci-‐dessus, une échelle allant de 1 à 5 a été retenue.
Ainsi, la grille de notation de la fréquence se présente comme suit :
Valeur Fréquence Interprétation 1 Jamais Lorsque le risque ne peut jamais apparaître 2 Presque Lorsque le risque pourrait apparaître 3 Possible Lorsque le risque est certain 4 Souvent Lorsque le risque est apparu plus d’une fois 5 Toujours Lorsque le risque apparaît de façon récurrente
Pour la grille de notation de la gravité, elle se présente comme suit :
Valeur Gravité Interprétation 1 Négligeable Aucune perte matérielle et/ou financière
2 Faible Perte matérielle et/ou financière (supérieure à 10 000 FCFA
et inférieure à 100 000 FCFA)
3 Moyenne Perte matérielle et/ou financière (supérieure à 100 000 FCFA
et inférieure à 1 000 000 FCFA)
15 Cartographie des risques de la CUD-‐édition 2016.
4 Elevée Perte matérielle et/ou financière (supérieure à 1 000 000
FCFA et inférieure à 10 000 000 FCFA)
5 Catastrophique • Infraction à la loi ou à la réglementation
• Perte matérielle et/ou financière (supérieure à 10 000 000 FCFA)
N.B. Il est à noter qu’en cas de distraction de deniers publics, quel que soit le montant (à partir de 1FCFA), l’impact est catastrophique.
Le risque étant une probabilité, son évaluation proprement dite est le produit de la gravité (G) et de la fréquence (F). Du produit de ces deux facteurs, nous avons les grandeurs suivantes :
Echelle (FxG) Evaluation 1 à 7 Faible 8 à 18 Moyen 19 à 25 Elevé
On a donc retenu que :
-‐ les risques faibles sont représentés par la couleur verte ; -‐ les risques moyens par la couleur jaune ; -‐ les risques élevés par la couleur rouge.
III. IDENTIFICATION ET INVENTAIRE DES RISQUES DE LA CUD
Pour mieux identifier les risques de la CUD, il nous semble opportun de définir la notion de risque et ses caractéristiques dans la perspective de procéder à leur inventaire.
A. Notion de risque
De manière générale, le risque peut être perçu comme toutes conditions, circonstances, actions, inactions ou événements importants qui pourraient compromettre la capacité d’une entité à atteindre ses objectifs et de mettre à exécution ses stratégies.
Au niveau d’une collectivité territoriale décentralisée, le risque peut être défini comme tout évènement dommageable pouvant interférer dans l’élaboration et la conduite des politiques publiques ou étant en mesure de remettre en cause les engagements de service public.
16 Cartographie des risques de la CUD-‐édition 2016.
C’est également la possibilité qu’un événement se produise et ait une incidence défavorable sur la poursuite et/ou l’atteinte des objectifs et/ou sur les actifs d’un organisme.
L’événement doit être potentiel et sa potentialité de survenance doit être évaluée1.
Exemple : L’absence de consignes de sécurité dans un magasin de stockage renferme un risque de perte ou de détérioration des marchandises.
La prise de risque peut également être perçue comme une opportunité en vue de la réalisation d’un objectif important.
Par exemple, l’achat des titres en bourse en vue de la réalisation d’une plus-‐value à terme.
En définitive, dans un contexte organisationnel, le risque peut être défini comme la probabilité de survenance d’un évènement, d’une condition, d’une circonstance ou mesure d’importance qui pourrait nuire à la capacité de l’entité à atteindre ses objectifs.
Les deux attributs d’un risque sont sa gravité (l’amplitude et la conséquence) et sa fréquence ou probabilité (possibilité de survenance ou plutôt la reconnaissance qu’il ne serait pas raisonnable de le considérer comme quasiment impossible).
Fondamentalement, le risque se caractérise par quatre éléments, à savoir :
- le danger ; - la ou les cibles menacées par ce danger ; - l’estimation de cette menace ; - les dispositions prises pour contrer la menace.
Selon ces éléments caractéristiques, il se dégage deux types de risques :
Le risque « brut » ou risque inhérent comprend les trois premiers éléments dans leur caractérisation du risque. C’est un risque qui existe « en l’état » si rien n’est fait pour qu’il en soit autrement.
Le risque résiduel ou risque de non contrôle qui résulte de l’exposition à la menace après considération des contrôles internes mis en place pour détecter ou prévenir ce risque.
17 Cartographie des risques de la CUD-‐édition 2016.
Le risque inhérent peut émaner des facteurs endogènes, générés par la CUD ou par son activité et des facteurs exogènes qui naissent dans ses environnements, immédiat ou indirect.
Dans le cadre de l’élaboration de la cartographie de la CUD, l’accent a été mis sur les risques inhérents endogènes en raison de ce que la CUD dispose d’un moyen d’actions pour mitiger ces risques à travers la mise en place ou l’amélioration du dispositif de contrôle interne.
Par contre, nous avons recensé les risques inhérents exogènes sans procéder à leur évaluation.
Les risques inhérents exogènes sontceux qui prennent naissance dans les différents environnements de la CUD.
Nous avons distingué trois environnements : (i) immédiat, (ii) lié au marché, et (iii) indirect.
Dans l’environnement immédiat :
- aléas climatiques (éruption volcanique, tremblement de terre, inondation, avalanche, glissement de terrain, orage (perturbations électromagnétique, foudre), cyclones, raz-‐de-‐marais, pollution naturelle (organique, biologique, etc.), réchauffement climatique, etc. ;
- « bogue » de constructeur de logiciels ; - modification des normes techniques; - consultation illicite d’informations ; - copie illicite des données ; - piratage informatique ; - gaspillages.
Dans l’environnement lié au marché :
- fluctuation des prix de carburant ; - évolution des réglementations métiers, etc. - un changement de la règlementation fiscale ou comptable ; - un secteur d’activité en mouvance ; - une ouverture d’un secteur de monopole à une concurrence (transport
urbain…).
Dans l’environnement indirect :
18 Cartographie des risques de la CUD-‐édition 2016.
- détérioration du climat social ; - dégradation globale du contexte économique ; - modifications brutales et désordonnées des parités monétaires, etc. - maladie contagieuse (incapacité temporaire) ; - décès ; - intoxication (alimentaire, chimique…) du personnel ; - démission, départ en retraite anticipée des personnels ou stratégique
(unitaire, massif) ; -‐ sabotages des biens matériels (immeubles, mobilier, informatique), des
données (dossiers manuels ou informatiques), des programmes informatiques.
Les risques inhérents endogènes sont ceux que la CUD génère elle-‐même, conséquence de la bonne ou mauvaise gestion de ses ressources, de l’efficience ou non de ses systèmes, de la pertinence de ses pratiques managériales ou de la qualité des procédés qu’elle met en œuvre.
B. Identification des risques
L’identification des risques se fonde sur les activités de la CUD qui sont mises en œuvre par les entités qui la composent.
Les tableaux ci-‐dessous présentent les différents risques par processus, par entités et par activités.