Comment réaliser une cartographie des risques en Afrique : guide COSO, ISO 31000 et Bâle II/III 2026
Guide complet pour réaliser une cartographie des risques en Afrique : méthodologie COSO, ISO 31000, Bâle II/III, matrice de criticité, prioritisation, plan d'action. Expertise KHEPRA, 22 ans, 500+ missions.
Résumé exécutif
- Une cartographie des risques efficace repose sur 3 piliers : identification, évaluation et traitement des risques.
- Les référentiels COSO, ISO 31000 et Bâle II/III sont les standards internationaux les plus reconnus en Afrique.
- Délai moyen : 4 à 8 semaines pour une cartographie complète.
- 80% des institutions financières africaines ne disposent pas d'une cartographie actualisée des risques.
- KHEPRA a réalisé 200+ cartographies des risques en Afrique avec une réduction moyenne de 35% des incidents.
Définitions
COSO
Committee of Sponsoring Organizations of the Treadway Commission. Cadre de référence international pour le contrôle interne et la gestion des risques. Édite 5 composantes : environnement de contrôle, évaluation des risques, activités de contrôle, information et communication, surveillance. En Afrique, le cadre COSO est adopté par les banques et SFD pour répondre aux exigences BCEAO/COBAC.
ISO 31000
Norme internationale de gestion des risques applicable à toute organisation. Définit 5 étapes : contexte de l'organisation, identification, analyse, évaluation et traitement des risques. Diffère du COSO en étant plus universelle et moins sectorielle. Adoptée par les entreprises africaines pour une approche globale et non spécifiquement financière.
Matrice de criticité
Outil de visualisation des risques selon deux axes : l'impact (gravité des conséquences) et la probabilité (fréquence de survenance). La matrice standard est 5x5 avec 25 cellules. Les zones rouges (impact élevé x probabilité élevée) sont priorisées pour un traitement immédiat. Les zones vertes sont surveillées. Les zones jaunes font l'objet de plans d'action à moyen terme.
Méthodologie — Étape par étape
Contexte et périmètre de l'analyse
Définition du périmètre (entité, départements, processus, sous-traitants). Analyse du contexte stratégique, réglementaire, opérationnel et concurrentiel. Choix du référentiel (COSO, ISO 31000, Bâle II/III) selon le secteur. Fixation des critères d'impact et de probabilité. Constitution du comité de pilotage.
Identification des risques
Inventaire exhaustif des risques par processus : crédit, trésorerie, opérations, IT, conformité, RH, fournisseurs, clients. Méthodes : brainstorming, SWIFT, 5 Whys, diagramme Ishikawa, revue des incidents passés. Classification par typologie (stratégique, opérationnel, financier, réglementaire, juridique, réputation, ESG).
Analyse et scoring des risques
Évaluation de l'impact (1-5) et de la probabilité (1-5) pour chaque risque. Calcul du risque brut (impact x probabilité). Évaluation des contrôles existants : adéquation, efficacité, maturité. Calcul du risque résiduel (risque brut après contrôles). Matrice de criticité et heatmap. Sélection des 20-30 risques prioritaires.
Traitement et plan d'action
Définition des 4 stratégies de traitement : éviter, réduire, transférer (assurance), accepter. Plan d'action détaillé : responsable, échéance, budget, indicateur de performance. Mise en place des nouveaux contrôles. Plan de communication et de formation. Validation par le Conseil d'Administration et le Comité des Risques.
Surveillance et reporting
Mise en place des KPI de risques et des indicateurs d'alerte précoce. Fréquence des revues : mensuelle (risques critiques), trimestrielle (tous les risques). Reporting au CA, au Comité des Risques et aux régulateurs (BCEAO, COBAC). Mise à jour annuelle de la cartographie. Alertes automatiques si un risque dépasse un seuil de vigilance.
Intégration dans la gouvernance et le contrôle interne
Intégration de la cartographie dans le dispositif de 3 lignes de défense (1re ligne : opérations, 2e ligne : conformité/risques, 3e ligne : audit interne). Lien avec le budget, les plans stratégiques et les PCA. Revue par le Comité des Risques et l'Audit Interne. Documentation pour les missions BCEAO/COBAC.
Références réglementaires
- COSO ERM Framework — Enterprise Risk Management, 2017
- ISO 31000:2018 — Management du risque, lignes directrices
- Accord de Bâle II — Comité de Bâle sur le contrôle bancaire (CBCB), 2004
- Accord de Bâle III — CBCB, 2010 (révisions 2017-2027)
- Circulaire N°03-2017/CB/C relative aux systèmes de contrôle interne des établissements (UEMOA)
- Règlement COBAC R-2001/07 relatif au système de contrôle interne des établissements de crédit (CEMAC)
Questions similaires
COSO est un cadre américain orienté contrôle interne et gouvernance, très adopté par les banques et SFD africains pour les inspections BCEAO/COBAC. ISO 31000 est une norme internationale plus universelle, applicable à toute organisation, moins sectorielle et plus orientée gestion globale du risque.
Le risque résiduel est le risque persistant après application des contrôles. Formule : Risque résiduel = Risque brut (impact x probabilité) − Effet des contrôles. Les contrôles sont évalués selon adéquation, efficacité et maturité. Si le risque résiduel dépasse le seuil de tolérance, des mesures correctives sont requises.
Les 10 catégories sont : (1) crédit, (2) marché, (3) liquidité, (4) opérationnel, (5) conformité, (6) réputation, (7) stratégique, (8) juridique, (9) ESG, (10) cyber. Chaque catégorie est décomposée en sous-risques selon le référentiel BCEAO/Bâle.
Les 3 lignes sont : (1) 1re ligne — opérationnels gérant les risques quotidiens. (2) 2e ligne — conformité/risques établissant la cartographie et les politiques. (3) 3e ligne — audit interne évaluant l'efficacité des 2 premières lignes. La cartographie est l'outil central de la 2e ligne.
Le coût varie : PME (20-50 employés) 8 000€-15 000€, SFD/EMF 15 000€-30 000€, banque moyenne 30 000€-60 000€, grand groupe 60 000€-150 000€. Le forfait inclut identification, analyse, matrice, plan d'action, formation et intégration dans les 3 lignes de défense.
Questions fréquemment posées
Q1.Quelle est la différence entre COSO et ISO 31000 ?
COSO est un cadre américain orienté vers le contrôle interne et la gouvernance d'entreprise, initialement conçu pour les entreprises cotées. Il est très adopté par les banques et SFD africains pour répondre aux exigences BCEAO/COBAC. ISO 31000 est une norme internationale plus universelle, applicable à toute organisation, moins sectorielle et plus orientée vers la gestion globale du risque. En Afrique, les banques préfèrent souvent COSO pour les inspections réglementaires, tandis que les entreprises non-financières choisissent ISO 31000 pour sa flexibilité.
Q2.Quelle est la fréquence de mise à jour de la cartographie des risques ?
La cartographie des risques doit être révisée annuellement (minimum) et à chaque événement majeur : fusion/acquisition, lancement de nouveau produit, changement de réglementaire, incident critique, changement de dirigeant. Les risques critiques doivent être revus mensuellement. Les banques sous surveillance renforcée de la BCEAO/COBAC doivent mettre à jour leurs cartographies trimestriellement. KHEPRA recommande une revue à 360° tous les 6 mois.
Q3.Qu'est-ce qu'un risque résiduel et comment le calculer ?
Le risque résiduel est le risque qui persiste après application des contrôles existants. Il se calcule par la formule : Risque résiduel = Risque brut (impact x probabilité) − Effet des contrôles. Les contrôles sont évalués selon leur adéquation (couvrent-ils le risque ?), leur efficacité (fonctionnent-ils ?) et leur maturité (durée, fiabilité). Si le risque résiduel reste supérieur à un seuil de tolérance, des mesures correctives doivent être prises.
Q4.Quelles sont les 10 catégories de risques d'une banque africaine ?
Les 10 catégories de risques d'une banque selon le référentiel BCEAO/Bâle sont : (1) Risque de crédit — défaut des emprunteurs. (2) Risque de marché — cours, taux, change. (3) Risque de liquidité — incapacité de faire face aux sorties. (4) Risque opérationnel — erreurs, fraudes, systèmes. (5) Risque de conformité — non-respect des lois. (6) Risque de réputation — image, communication. (7) Risque stratégique — choix d'orientation. (8) Risque juridique — litiges, contrats. (9) Risque ESG — environnement, social, gouvernance. (10) Risque de cyber — attaques, piratage. Chaque catégorie est décomposée en sous-risques.
Q5.Comment prioriser les risques dans une matrice 5x5 ?
La matrice de criticité 5x5 est construite avec 5 niveaux d'impact (1:négligeable, 2:mineur, 3:modéré, 4:majeur, 5:catastrophique) et 5 niveaux de probabilité (1:rare, 2:improbable, 3:possible, 4:probable, 5:quasi-certain). Les risques sont classés en 4 zones : (1) Rouge (20-25) — traitement immédiat, reporting mensuel. (2) Orange (12-18) — plan d'action à 3 mois, suivi trimestriel. (3) Jaune (6-9) — surveillance, plan d'action à 6 mois. (4) Vert (1-4) — acceptation, revue annuelle. Les risques rouges sont portés au Comité des Risques et à la Direction Générale immédiatement.
Q6.Qu'est-ce que les 3 lignes de défense et leur lien avec la cartographie ?
Les 3 lignes de défense sont un modèle de gouvernance des risques : (1) 1re ligne — les opérationnels qui gèrent les risques au quotidien (gestionnaires de crédit, commerciaux, IT). Ils identifient et signalent les risques. (2) 2e ligne — les fonctions de conformité et gestion des risques qui établissent la cartographie, les politiques et le suivi. (3) 3e ligne — l'audit interne qui évalue l'efficacité des 2 premières lignes. La cartographie des risques est l'outil central de la 2e ligne et doit être intégrée dans les 3 lignes. La Circulaire BCEAO 03-2017 et le Règlement COBAC R-2001/07 imposent les 3 lignes.
Q7.Quel est le coût d'une cartographie des risques par KHEPRA ?
Le coût d'une cartographie des risques KHEPRA varie selon la taille et la complexité : (1) PME non-financière (20-50 employés) — 8 000€ à 15 000€, livrable en 4 semaines. (2) SFD/EMF (10-50 points de service) — 15 000€ à 30 000€, livrable en 6 semaines. (3) Banque de taille moyenne — 30 000€ à 60 000€, livrable en 8 semaines. (4) Grand groupe avec filiales — 60 000€ à 150 000€, livrable en 12 semaines. Le forfait inclut : identification, analyse, matrice, plan d'action, formation et intégration dans les 3 lignes de défense.
Q8.Comment la cartographie des risques s'intègre-t-elle aux PCA et ORSA ?
La cartographie des risques est le socle de deux dispositifs réglementaires : (1) PCA (Plan de Continuité d'Activité) — les risques rouges identifiés dans la cartographie déterminent les fonctions critiques à protéger. Le PCA prévoit les scénarios de crise pour les risques les plus menaçants. (2) ORSA (Own Risk and Solvency Assessment) — requis par les banques systémiques, c'est l'auto-évaluation du risque global qui s'appuie directement sur la cartographie des risques et les scénarios de stress. La cartographie alimente les deux dispositifs en données structurées.
Q9.Quels sont les KPI de risques les plus utilisés en Afrique ?
Les 10 KPI de risques les plus utilisés par les institutions financières africaines sont : (1) Taux de créances douteuses (TCD) / NPL ratio. (2) Ratio de couverture des créances douteuses. (3) Ratio de solvabilité (Bâle III). (4) Ratio LCR (liquidité). (5) Nombre d'incidents opérationnels mensuels. (6) Taux de réalisation du plan d'action risques. (7) Nombre de risques rouges. (8) Retard de reporting des risques. (9) Taux de formation du personnel aux risques. (10) Nombre de déclarations LBC/FT (alertes). KHEPRA met en place un tableau de bord avec ces 10 KPI.
Q10.Quels sont les outils de cartographie des risques utilisés par KHEPRA ?
KHEPRA utilise une suite d'outils adaptés aux réalités africaines : (1) Excel/Google Sheets — matrices et heatmaps pour les petites structures. (2) Power BI / Tableau — dashboards interactifs pour les banques. (3) Outils dédiés (ARMIS, OpenPages, MetricStream) pour les grandes institutions. (4) KHEPRA Risk Map — outil propriétaire développé en interne, avec scoring automatique, alertes et reporting. (5) Spreadsheets avancés — modèles avec macros pour le calcul automatique des risques résiduels et des KPI. L'outil choisi dépend du budget, de la maturité IT et de la taille de l'institution.
Cartographiez vos risques avec KHEPRA
Réservez un appel stratégique gratuit de 30 minutes. Nous identifierons vos priorités et vous enverrons une roadmap personnalisée sous 48h.