Vous pilotez les finances ou les programmes d'une ONG et vous avez déjà reçu cette demande d'un bailleur : « Transmettez-nous votre cartographie des risques. » La requête paraît simple, mais elle met souvent en lumière un manque de formalisation qui peut retarder un décaissement, fragiliser un audit ou même compromettre un renouvellement de convention. Sur le terrain comme au siège, l'absence d'une vision consolidée des risques expose l'organisation à des décisions réactives, des pertes financières et une érosion de la confiance des partenaires.
Cet article vous propose un guide complet pour construire, maintenir et exploiter une cartographie des risques adaptée aux réalités des ONG et des OSC. Nous verrons comment passer d'une approche intuitive à un cadre structuré qui satisfait les exigences des principaux bailleurs — Union européenne, USAID, AFD, ECHO — tout en renforçant vos contrôles internes. Abvius, en tant que plateforme intégrée Finance, Opérations et MEAL, accompagne cette démarche en offrant la traçabilité et les workflows de validation nécessaires à une gestion des risques efficace.
Cartographie des risques ONG : construire un cadre robuste et conforme
Temps de lecture : ~14 min
- Qu'est-ce qu'une cartographie des risques pour une ONG ?
- Pourquoi les bailleurs exigent-ils une cartographie des risques ?
- Les grandes catégories de risques dans le secteur associatif
- Méthodologie : construire sa cartographie étape par étape
- Outils et supports : du tableur à la plateforme intégrée
- Comment Abvius facilite la gestion des risques au quotidien
- Bonnes pratiques pour pérenniser votre démarche
- Mini FAQ
1. Qu'est-ce qu'une cartographie des risques pour une ONG ?
La cartographie des risques est un exercice structuré qui consiste à identifier, évaluer et hiérarchiser l'ensemble des menaces susceptibles d'affecter la capacité d'une organisation à atteindre ses objectifs. Dans le contexte des ONG et des OSC, ces objectifs sont doubles : mener à bien les programmes sur le terrain et rendre compte de l'utilisation des fonds aux bailleurs.
Concrètement, la cartographie se matérialise par un registre de risques — un document vivant qui recense chaque risque identifié — et par une matrice de risques (souvent appelée « heat map ») qui croise la probabilité d'occurrence avec le niveau d'impact. Cette représentation visuelle permet aux décideurs de concentrer leurs efforts sur les risques les plus critiques.
Registre de risques vs matrice de risques
Le registre est le socle documentaire : il décrit le risque, son propriétaire, les contrôles existants, le plan d'atténuation et le suivi dans le temps. La matrice, quant à elle, est l'outil de communication par excellence : elle rend visible en un coup d'œil les zones de vigilance. Les deux sont complémentaires et les bailleurs attendent généralement de voir les deux.
Le cadre COSO ERM adapté aux ONG
Le référentiel le plus reconnu au niveau international est le COSO ERM (Enterprise Risk Management — Integrating with Strategy and Performance). Il repose sur cinq composantes : gouvernance et culture, stratégie et définition des objectifs, performance, revue et révision, information et communication. Si ce cadre a été conçu pour le secteur privé, il s'adapte remarquablement bien aux ONG, à condition de remplacer la notion de « valeur actionnariale » par celle d'« impact programmatique » et de « redevabilité envers les bénéficiaires et les bailleurs ».
2. Pourquoi les bailleurs exigent-ils une cartographie des risques ?
La pression réglementaire et fiduciaire s'est considérablement renforcée au cours des dernières années. Les bailleurs ne se contentent plus de vérifier les pièces justificatives a posteriori : ils veulent s'assurer que l'organisation partenaire dispose d'un dispositif préventif crédible. La cartographie des risques est devenue un élément central de cette évaluation.
Union européenne et ECHO
Les lignes directrices de la Commission européenne pour les subventions exigent que les partenaires démontrent leur capacité à gérer les risques financiers, opérationnels et de fraude. Dans le cadre des audits ECHO, l'absence de dispositif formalisé de gestion des risques peut entraîner une inéligibilité partielle des dépenses. Les vérificateurs évaluent notamment l'existence d'un registre de risques mis à jour, la séparation des tâches et les procédures de signalement.
USAID et les réglementations fédérales américaines
Le Code of Federal Regulations (2 CFR 200) impose aux bénéficiaires de subventions fédérales américaines de mettre en place des contrôles internes conformes aux standards de l'U.S. Government Accountability Office (GAO). Cela inclut explicitement l'identification et l'analyse des risques. Les audits de type « Single Audit » vérifient la conformité à ces exigences et un manquement peut conduire à des « findings » qui compromettent les financements futurs.
AFD, coopérations bilatérales et fondations
L'Agence française de développement (AFD), les coopérations bilatérales (GIZ, SIDA, DFID/FCDO) et les grandes fondations privées intègrent de plus en plus la gestion des risques dans leurs critères d'évaluation des partenaires. La tendance est à l'harmonisation : les cadres de « due diligence » et les « pillar assessments » évaluent la maturité organisationnelle, dont la gestion des risques est un pilier incontournable.
3. Les grandes catégories de risques dans le secteur associatif
Une cartographie efficace couvre l'ensemble du spectre des risques auxquels une ONG est exposée. Voici les principales catégories à considérer :
Risques financiers
Les risques financiers englobent la perte de fonds due à la fraude, au vol ou à la mauvaise gestion, les écarts de change sur les opérations multi-devises, le non-respect des règles d'éligibilité des dépenses, et les retards de décaissement qui mettent en péril la trésorerie. Pour les ONG opérant dans plusieurs pays, la gestion multi-devises ajoute une couche de complexité significative, chaque bailleur ayant ses propres règles de conversion.
Risques opérationnels
Sur le terrain, les risques opérationnels sont omniprésents : rupture de la chaîne d'approvisionnement, défaillance logistique, perte de matériel, erreurs dans les processus d'achat. L'absence de procédures standardisées — ou leur non-application — est souvent à l'origine de constatations d'audit défavorables.
Risques de conformité et réglementaires
Chaque bailleur impose ses propres règles : seuils de mise en concurrence, formats de reporting, délais de justification. La non-conformité, même involontaire, peut entraîner des remboursements de fonds, des suspensions de projet ou des exclusions des appels à propositions futurs.
Risques de réputation et de gouvernance
Un scandale lié à la fraude, au harcèlement ou à la mauvaise utilisation des fonds peut détruire en quelques jours une réputation construite sur des décennies. La gouvernance — composition du conseil d'administration, politiques de conflits d'intérêts, mécanismes de signalement — est un rempart essentiel.
Risques liés à la sécurité et aux données
La sécurité physique du personnel sur le terrain et la cybersécurité des systèmes d'information sont des risques critiques, en particulier dans les zones de conflit ou d'instabilité. La protection des données des bénéficiaires est également un enjeu éthique et réglementaire majeur, renforcé par le RGPD et ses équivalents.
| Catégorie de risque | Exemples concrets | Impact principal |
|---|---|---|
| Financier | Fraude, écarts de change, dépenses inéligibles | Remboursement de fonds, perte de financement |
| Opérationnel | Rupture logistique, erreur de procurement | Retard programme, surcoût |
| Conformité | Non-respect des seuils, reporting tardif | Suspension, exclusion |
| Réputation | Scandale, mauvaise gouvernance | Perte de confiance, retrait des bailleurs |
| Sécurité / Données | Cyberattaque, vol de données bénéficiaires | Atteinte aux personnes, sanction RGPD |
4. Méthodologie : construire sa cartographie étape par étape
Construire une cartographie des risques ne requiert pas nécessairement un cabinet de conseil externe. Avec une méthodologie claire et l'implication des bonnes personnes, toute ONG — y compris les structures de taille modeste — peut mener cet exercice. Voici les étapes clés.
Étape 1 : Cadrage et gouvernance
Avant de lister le moindre risque, il faut définir le périmètre de l'exercice (siège, terrain, projets spécifiques ?), désigner un responsable de la démarche (souvent le DAF, le responsable compliance ou le directeur des opérations), et obtenir le sponsorship de la direction générale. Sans engagement au plus haut niveau, la cartographie restera un document de tiroir.
Il est également crucial de définir les échelles de cotation : comment mesure-t-on la probabilité (de 1 — rare à 5 — quasi certain) et l'impact (de 1 — négligeable à 5 — catastrophique) ? Ces échelles doivent être adaptées au contexte de l'organisation et partagées avec tous les participants.
Étape 2 : Identification des risques
L'identification s'appuie sur plusieurs sources complémentaires : les ateliers participatifs réunissant les équipes siège et terrain, l'analyse des rapports d'audit passés et des « findings » récurrents, l'examen des incidents et des « near misses » (presque-accidents), la revue des exigences contractuelles des bailleurs, et le benchmark avec d'autres organisations du secteur.
L'objectif n'est pas l'exhaustivité absolue — qui serait paralysante — mais la couverture des risques matériels. Un atelier bien animé avec 8 à 12 participants de profils variés (finance, programmes, logistique, RH, sécurité) produit généralement un registre initial de 30 à 60 risques.
Étape 3 : Évaluation et hiérarchisation
Chaque risque identifié est évalué selon deux axes : sa probabilité d'occurrence et son impact potentiel. Le produit des deux donne un score de risque brut (ou inhérent). Ensuite, on évalue l'efficacité des contrôles existants pour obtenir un score de risque résiduel (ou net). C'est ce score résiduel qui détermine la priorisation.
La matrice de risques — généralement une grille 5×5 — permet de visualiser les résultats. Les risques situés dans la zone rouge (probabilité élevée × impact élevé) appellent une action immédiate. Ceux en zone orange nécessitent un plan d'atténuation à moyen terme. Les risques en zone verte sont acceptés et surveillés.
Étape 4 : Définition des plans d'atténuation
Pour chaque risque en zone rouge ou orange, un plan d'atténuation doit être défini. Il comprend : la stratégie de réponse (éviter, réduire, transférer ou accepter le risque), les actions concrètes à mettre en œuvre, le responsable de chaque action, l'échéance, et les indicateurs de suivi. Un plan d'atténuation sans responsable ni échéance est un vœu pieux.
Étape 5 : Suivi et mise à jour régulière
Une cartographie n'a de valeur que si elle est vivante. La bonne pratique est de réaliser une revue complète au moins une fois par an, avec des mises à jour trimestrielles pour les risques critiques. Chaque nouvel incident, chaque nouveau projet ou chaque changement de contexte sécuritaire doit déclencher une réévaluation. Le comité de direction ou le comité d'audit doit être destinataire des mises à jour.
5. Outils et supports : du tableur à la plateforme intégrée
Le choix de l'outil conditionne la pérennité et l'exploitabilité de votre cartographie des risques. Trois grandes approches coexistent dans le secteur.
L'approche tableur (Excel / Google Sheets)
C'est le point de départ de nombreuses ONG. Un tableur bien structuré peut suffire pour un premier exercice, mais il montre rapidement ses limites : pas de piste d'audit sur les modifications, difficulté de consolidation siège-terrain, risque de versions multiples, absence de workflows de validation. Pour une organisation mono-projet avec une équipe réduite, c'est un démarrage acceptable. Au-delà, les risques liés à l'outil deviennent eux-mêmes un sujet de préoccupation.
Les logiciels spécialisés GRM (Governance, Risk, Management)
Des solutions comme LogicManager, Resolver ou Diligent offrent des fonctionnalités avancées de gestion des risques. Cependant, ces outils sont conçus pour le secteur privé et leur coût, leur complexité et leur absence d'intégration avec les processus spécifiques des ONG (suivi budgétaire par bailleur, reporting multi-donateurs, gestion terrain) les rendent souvent inadaptés.
La plateforme intégrée : connecter risques et opérations
L'approche la plus efficace consiste à intégrer la gestion des risques dans l'outil qui gère déjà les opérations financières et programmatiques. Lorsque le registre de risques est connecté au suivi budgétaire, aux workflows d'approbation et à la piste d'audit, la gestion des risques cesse d'être un exercice théorique pour devenir un réflexe opérationnel.
| Critère | Tableur (Excel) | Logiciel GRM spécialisé | Plateforme intégrée (Abvius) |
|---|---|---|---|
| Piste d'audit | Absente | Présente | Complète et intégrée |
| Consolidation siège-terrain | Manuelle, sources d'erreur | Possible mais déconnectée | Temps réel, centralisée |
| Lien avec le suivi budgétaire | Aucun | Aucun | Natif |
| Workflows de validation | Absents | Présents | Configurables par projet |
| Reporting bailleur | Manuel | Non adapté ONG | Automatique, multi-bailleurs |
| Coût | Faible | Élevé | Adapté au secteur |
| Signature électronique | Absente | Variable | Intégrée |
6. Comment Abvius facilite la gestion des risques au quotidien
La cartographie des risques ne vit pas dans un silo : elle s'alimente des données opérationnelles et financières de l'organisation. C'est précisément là qu'une plateforme intégrée comme Abvius apporte une valeur déterminante.
Traçabilité et piste d'audit complète
Chaque transaction, chaque validation, chaque modification est horodatée et attribuée à un utilisateur. Cette piste d'audit numérique constitue la première ligne de défense contre les risques de fraude et de non-conformité. Lors d'un audit bailleur, la capacité à reconstituer l'historique complet d'une dépense — de la demande d'achat à la pièce justificative — en quelques clics transforme un exercice stressant en une formalité maîtrisée.
Suivi budgétaire en temps réel
Le risque de dépassement budgétaire est l'un des plus fréquents dans les ONG. Abvius offre une vision consolidée et actualisée de la consommation budgétaire par projet, par bailleur et par ligne budgétaire. Les alertes automatiques sur les seuils de consommation permettent d'anticiper les dérapages avant qu'ils ne deviennent des « findings » d'audit.
Workflows de validation et séparation des tâches
La séparation des tâches (« segregation of duties ») est un principe fondamental du contrôle interne. Abvius permet de configurer des circuits de validation multi-niveaux pour les achats, les paiements et les engagements. Aucune dépense ne peut être engagée sans passer par le workflow défini, ce qui réduit considérablement le risque de fraude et d'erreur.
Signature électronique et centralisation siège-terrain
La signature électronique intégrée sécurise les validations à distance — un atout majeur pour les organisations dont les équipes terrain opèrent dans des zones à accès limité. La centralisation des données entre le siège et les bureaux terrain élimine les risques liés aux fichiers Excel circulant par e-mail, aux versions contradictoires et aux pertes de données.
Reporting bailleur automatique
La génération automatique des rapports financiers dans les formats exigés par chaque bailleur réduit le risque d'erreur de reporting — une source fréquente de demandes de clarification, voire de remboursement. Le lien direct entre les écritures comptables et le rapport bailleur garantit la cohérence des chiffres.
7. Bonnes pratiques pour pérenniser votre démarche
Une cartographie des risques n'est utile que si elle est vivante, partagée et intégrée dans les processus de décision. Voici cinq bonnes pratiques éprouvées pour transformer cet exercice ponctuel en culture organisationnelle durable.
Bonne pratique 1 : Ancrer la gestion des risques dans la gouvernance
Inscrivez la revue de la cartographie des risques à l'ordre du jour du comité de direction au moins une fois par trimestre. Désignez un « risk owner » pour chaque risque critique. Créez un comité des risques ou confiez cette responsabilité au comité d'audit existant. L'objectif est que la gestion des risques ne soit pas perçue comme une charge administrative mais comme un outil de pilotage stratégique.
Bonne pratique 2 : Impliquer les équipes terrain dès le départ
Les risques les plus concrets sont identifiés par ceux qui les vivent au quotidien. Organisez des ateliers d'identification des risques dans chaque bureau pays ou chaque zone d'intervention. Utilisez un langage simple et des exemples concrets. La cartographie qui n'intègre que la vision du siège passe à côté des risques opérationnels les plus significatifs.
Bonne pratique 3 : Lier chaque risque à un contrôle existant
Pour chaque risque identifié, documentez le ou les contrôles qui l'atténuent. Si aucun contrôle n'existe, c'est une lacune à combler en priorité. Si un contrôle existe mais n'est pas appliqué, c'est un problème de mise en œuvre qui doit être remonté. Cette mise en correspondance risques-contrôles est exactement ce que les auditeurs recherchent.
Bonne pratique 4 : Exploiter chaque incident comme une opportunité d'apprentissage
Mettez en place un registre d'incidents et une procédure de « lessons learned ». Chaque fraude détectée, chaque « finding » d'audit, chaque retard de reporting doit alimenter la cartographie. Les organisations qui progressent le plus vite sont celles qui transforment leurs erreurs en améliorations systémiques.
Bonne pratique 5 : Digitaliser progressivement, mais résolument
Ne cherchez pas la perfection technologique dès le premier jour. Commencez par structurer votre registre de risques, même sur un tableur. Puis, migrez vers une plateforme intégrée comme Abvius qui connecte la gestion des risques aux données financières et opérationnelles. La digitalisation n'est pas une fin en soi, mais un levier pour fiabiliser la traçabilité, automatiser les alertes et faciliter les audits.
8. Mini FAQ
La cartographie des risques est-elle juridiquement obligatoire pour une ONG ?
En droit français, les associations n'ont pas d'obligation légale en matière de cartographie des risques, contrairement aux sociétés cotées soumises à la loi Sapin II. Cependant, les conventions de financement signées avec les bailleurs créent une obligation contractuelle. En pratique, une ONG qui sollicite des fonds européens, de l'USAID ou de l'AFD doit disposer d'un dispositif de gestion des risques formalisé pour être éligible et maintenir sa crédibilité.
À quelle fréquence faut-il mettre à jour la cartographie ?
La bonne pratique est une revue complète annuelle, couplée à des mises à jour trimestrielles pour les risques critiques. Certains événements déclenchent une réévaluation immédiate : un nouveau financement majeur, un incident de sécurité, un changement de contexte politique dans un pays d'intervention, ou un « finding » d'audit significatif.
Notre ONG est petite, avons-nous vraiment besoin d'une cartographie formelle ?
La taille de l'organisation ne dispense pas de la réflexion sur les risques. Une petite ONG a même souvent moins de marge d'erreur qu'une grande structure : un seul « finding » d'audit peut compromettre la totalité de son financement. L'exercice peut être adapté : un registre simplifié de 15 à 20 risques prioritaires, revu deux fois par an, constitue un point de départ solide et suffisant pour la plupart des bailleurs.
Comment convaincre la direction d'investir dans cette démarche ?
Trois arguments portent : premièrement, les bailleurs l'exigent de plus en plus explicitement, et l'absence de cartographie peut bloquer des financements. Deuxièmement, les organisations dotées d'un dispositif de gestion des risques réduisent significativement leurs « findings » d'audit et les coûts associés (remboursements, temps de réponse). Troisièmement, la cartographie des risques est un outil de pilotage stratégique qui améliore la prise de décision à tous les niveaux.
Synthèse
La cartographie des risques n'est plus un luxe réservé aux grandes organisations internationales : c'est un prérequis de conformité et un levier de performance pour toute ONG ou OSC qui gère des fonds de bailleurs. En structurant votre démarche — de l'identification à l'atténuation, en passant par l'évaluation et le suivi — vous renforcez vos contrôles internes, vous sécurisez vos financements et vous gagnez en crédibilité auprès de vos partenaires. La clé réside dans l'intégration : une cartographie connectée à vos données financières et opérationnelles, portée par des outils adaptés et vivifiée par une culture de la transparence.
Pour aller plus loin, découvrez comment Abvius accompagne les ONG dans la mise en place d'un dispositif de gestion des risques intégré à leurs opérations quotidiennes. Consultez également nos articles sur le contrôle interne en ONG, la piste d'audit numérique et la lutte anti-fraude. Pour un accompagnement personnalisé, contactez notre équipe.