RETOUR

Publié le 24 juin 2026

Cartographie des risques et audit interne

Cartographie des risques : un outil clé de pilotage et de prévention

La cartographie des risques et l’audit interne permettent aux PME et ETI de structurer leur gouvernance, d’anticiper les vulnérabilités et de renforcer leurs dispositifs de contrôle.

Cartographie des risques : un outil clé de pilotage et de prévention

En résumé

La cartographie des risques et l’audit interne permettent aux PME structurées et aux ETI de mieux identifier, hiérarchiser et maîtriser leurs principaux risques. Risques opérationnels, financiers, juridiques, réglementaires, IT ou réputationnels doivent être évalués avec méthode, puis traduits en plans d’action et en missions d’audit ciblées. Cet article présente les bonnes pratiques pour construire un dispositif de gestion des risques utile à la gouvernance et adapté à la maturité de l’entreprise.

La cartographie des risques et l’audit interne sont les deux faces d’un même dispositif de maîtrise. La cartographie identifie et hiérarchise les risques auxquels l’entreprise est exposée. L’audit interne vérifie, indépendamment, que les dispositifs de contrôle mis en place sont efficaces. Ensemble, ils transforment une gestion des risques réactive en une gestion proactive et structurée.

Longtemps cantonnés aux grandes entreprises et aux secteurs régulés, ces dispositifs descendent désormais dans les ETI et les PME structurées. Cette évolution répond à plusieurs facteurs : exigences accrues des banques et investisseurs, complexification réglementaire, professionnalisation de la gouvernance. Cette page détaille les méthodologies et les bonnes pratiques pour construire ou consolider un dispositif efficace.

La cartographie des risques : les bases

Une cartographie des risques structurée comporte cinq éléments : un référentiel de risques (opérationnels, financiers, juridiques, réglementaires, IT, stratégiques, réputationnels), une évaluation par probabilité et impact (chaque risque noté 1 à 5 selon deux axes, le produit P×I donnant un score de criticité), une matrice visuelle (probabilité en abscisse, impact en ordonnée, zones critiques en haut à droite), les dispositifs de maîtrise existants (contrôles, procédures, assurances, évaluation de leur efficacité), et le plan d’action (actions correctives pour les risques insuffisamment maîtrisés, avec responsables et échéances).

La cartographie est mise à jour annuellement, en intégrant les évolutions de l’environnement et les leçons tirées des incidents survenus.

Construire une cartographie : la méthode pas à pas

La construction d’une première cartographie peut se faire en 8 à 12 semaines selon la taille de l’entreprise, en cinq étapes : revue documentaire (rapports d’audit antérieurs, recommandations CAC, incidents passés, contentieux), entretiens avec le management (15 à 30 entretiens avec le comité de direction et les responsables de fonctions), ateliers de notation (réunions multi-fonctions pour évaluer probabilité et impact de chaque risque, évitant les biais individuels), analyse des contrôles existants (recensement et évaluation de l’efficacité des dispositifs de maîtrise par risque), et validation par la direction (présentation au comité d’audit ou au conseil, institutionnalisant la cartographie comme outil de gouvernance).

L’audit interne : périmètre et missions

L’audit interne est une fonction indépendante chargée d’évaluer l’efficacité du contrôle interne et de la gestion des risques.

Types de missions d’audit interne
Type de mission Objectif Fréquence

L’audit interne suit les principes de l’IIA (Institute of Internal Auditors). Il rapporte hiérarchiquement à la direction générale et fonctionnellement au comité d’audit ou au conseil, garantissant son indépendance.

Internaliser ou externaliser l’audit interne

Trois modèles coexistent en PME et ETI. Audit interne internalisé : recrutement d’un responsable audit interne, généralement à partir de 50 à 100 M€ de CA. Avantages : connaissance fine, disponibilité, réactivité. Inconvénients : coût fixe, risque de perte d’indépendance. Audit interne externalisé : recours à un cabinet spécialisé. Avantages : flexibilité, pluralité d’expertises, indépendance forte. Inconvénients : courbe d’apprentissage à chaque mission. Modèle hybride (co-sourcing) : un responsable interne pilote le plan et fait appel à des cabinets pour les missions techniques (IT, fiscal, social). Ce modèle combine connaissance interne et expertise externe.

L’articulation avec le commissaire aux comptes

Audit interne et commissariat aux comptes sont deux fonctions distinctes mais complémentaires. Le CAC est externe, focalisé sur la certification des comptes. L’audit interne est interne (au moins fonctionnellement), focalisé sur la maîtrise des risques au quotidien.

Les NEP autorisent le CAC à s’appuyer sur les travaux d’audit interne sous certaines conditions : indépendance de la fonction, qualité méthodologique, traçabilité des travaux. Les bonnes pratiques d’articulation incluent une réunion annuelle de cadrage, la communication des plans d’audit, le partage des conclusions, et une présentation conjointe au comité d’audit.

Une cartographie des risques associée à un dispositif d’audit interne actif coûte 100 à 250 K€ par an pour une ETI, mais réduit significativement l’exposition aux risques majeurs (redressements, fraudes, contentieux). Le retour sur investissement se mesure en risques évités plutôt qu’en gains positifs.

Cartographie des risques et audit interne sont devenus des outils de gouvernance pertinents bien avant les seuils des grandes entreprises. Pour une PME structurée ou une ETI, leur mise en place se rentabilise en quelques années par les risques évités et la maturité de gouvernance acquise. Tree Partners accompagne les entreprises dans la construction de cartographies de risques et de dispositifs d’audit interne externalisé.

Articles à approfondir

FAQ

Qu’est-ce qu’une cartographie des risques ?

Une cartographie des risques est un document structuré qui recense les risques auxquels une entreprise est exposée, les évalue selon leur probabilité d’occurrence et leur impact potentiel, et propose un dispositif de maîtrise. Elle couvre les risques opérationnels, financiers, juridiques, IT, sociaux, stratégiques. Elle est mise à jour annuellement et sert de base au plan d’audit interne.

L’audit interne est-il obligatoire en PME ?

Non, sauf dans certains secteurs régulés (banques, assurances, mutuelles). Pour les PME et ETI classiques, l’audit interne est volontaire, mais devient pratiquement indispensable au-delà de 50 millions d’euros de chiffre d’affaires ou en cas de structure de groupe complexe. Il peut être internalisé (responsable audit interne) ou externalisé auprès d’un cabinet spécialisé.

Quelle différence entre audit interne et contrôle interne ?

Le contrôle interne est l’ensemble des procédures et dispositifs mis en place par la direction pour maîtriser les risques (séparation des fonctions, validation des engagements, contrôles de cohérence). L’audit interne évalue, indépendamment, l’efficacité du contrôle interne et formule des recommandations. Le contrôle interne est exercé par les équipes opérationnelles, l’audit interne par une fonction dédiée.

Comment construire un plan d’audit interne ?

À partir de la cartographie des risques. Les risques à forte probabilité et fort impact justifient un audit annuel. Les risques moyens font l’objet d’audits cycliques (tous les 2 à 3 ans). Le plan annuel est validé par le comité d’audit ou la direction générale, et précise les missions, les périmètres, les budgets et les responsables.

Combien coûte un dispositif d’audit interne externalisé ?

Pour une PME de 30 à 100 millions d’euros de chiffre d’affaires, un dispositif externalisé d’audit interne couvrant 4 à 6 missions par an se situe entre 60 000 € et 150 000 € annuels. Internalisé via un responsable audit interne dédié, le coût total (salaire chargé, budget mission) est généralement proche, mais avec une plus grande proximité opérationnelle.

Construire votre dispositif de maîtrise des risques

Tree Partners accompagne les entreprises dans la construction de cartographies de risques et de dispositifs d’audit interne externalisé.

Prendre rendez-vous

Sur la même expertise : Audit & Commissariat aux Comptes

Ce site est enregistré sur wpml.org comme site de développement. Passez à une clé de site de production pour remove this banner.