Pourquoi la cartographie des risques est le socle de la gouvernance
La cartographie des risques est l'outil fondamental de la gestion des risques. Sans elle, l'organisation ne sait pas quels risques elle court, lesquels sont les plus critiques, et où concentrer ses ressources de contrôle.
Pour les institutions financières UEMOA/CEMAC, c'est une obligation réglementaire (Instruction BCEAO n°001-04-2018, Règlement COBAC R-2016/04). Son absence est un constat d'inspection de criticité 4/5 ou 5/5. Au-delà de la conformité, c'est un outil de pilotage stratégique pour le Conseil et la Direction.
Les référentiels : COSO ERM et ISO 31000
COSO ERM 2017 : processus mis en œuvre par le Conseil, la direction et le personnel, conçu pour identifier les événements potentiels et gérer les risques dans les limites de l'appétit au risque. Privilégié par les institutions financières.
ISO 31000:2018 : norme internationale de management du risque. Principes, cadre et processus systématiques. Adapté aux entreprises industrielles et de services.
Le choix dépend de la nature de l'organisation et des exigences du superviseur.
La méthodologie en 5 étapes
Étape 1 — Identification : Recenser tous les risques par entretiens, ateliers, analyse documentaire. Catégories : crédit, marché, liquidité, opérationnel, conformité, réputation, stratégique, ESG.
Étape 2 — Évaluation (risques bruts) : Impact potentiel (financier, opérationnel, réputationnel) × probabilité d'occurrence, avant contrôles.
Étape 3 — Évaluation des contrôles : Identifier et évaluer l'efficacité des contrôles existants. Calculer le risque net.
Étape 4 — Hiérarchisation : Classer par criticité (impact × probabilité). Construire la matrice de criticité (heat map).
Étape 5 — Plan de traitement : Définir la stratégie par risque (acceptation, réduction, transfert, évitement). Plan d'action avec responsable, délai, budget.
Cet article vous a plu ?
Abonnez-vous pour recevoir nos prochaines publications directement dans votre boîte mail — sans spam, désinscription en un clic.
La matrice de criticité (Heat Map)
La heat map croise l'impact (axe vertical) et la probabilité (axe horizontal) :
- Zone rouge (critique) : Impact élevé + Probabilité élevée → Traitement prioritaire obligatoire
- Zone orange (élevé) : Impact élevé + Probabilité faible, ou Impact modéré + Probabilité élevée → Traitement avec suivi renforcé
- Zone jaune (modéré) : Surveillance active
- Zone verte (faible) : Acceptation sous surveillance
L'échelle d'impact doit être calibrée à la taille de l'organisation : 5 milliards FCFA pour une banque, 50 millions pour une PME.
Intégration dans le dispositif global
La cartographie n'est pas un document isolé : (1) elle alimente le plan de contrôle annuel, (2) elle guide la sélection des missions d'audit interne, (3) elle permet au Conseil de définir l'appétit au risque, (4) elle nourrit le reporting risque trimestriel, (5) elle est la base du dispositif ALM.
La cartographie doit être mise à jour annuellement — ou plus fréquemment en cas d'évolution majeure (nouvelle activité, acquisition, crise). Une cartographie périmée est aussi dangereuse qu'une cartographie absente.
Questions fréquentes
Réponses structurées pour investisseurs et régulateurs