Vous avez défini l’univers d’audit ; l’étape suivante dans l'élaboration d'un plan d’audit consiste en une évaluation des risques des thématiques identifiées.
Dans ce chapitre, j’aborderai les concepts généraux sur l'évaluation des risques, ce qui vous aidera à construire un plan d'audit pragmatique et efficace. Dans le chapitre qui suit, je vous présenterai un cas d’entreprise, afin de mettre la théorie en pratique et d’illustrer la démarche d’évaluation des risques.
Avant d’attaquer ces travaux, vous devez absolument avoir une vision globale et systémique de votre entreprise. Chose faite, car vous avez construit cette vision grâce à votre réflexion sur la stratégie d’audit et sur l’univers d’audit !
Découvrez l’approche d’analyse des risques
Qu’est-ce qu’un risque ?
L’IIA donne une définition éclairante : le risque est la « possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité. »
En d’autre termes, le risque est la menace qu'un événement, une action ou une inaction affecte :
la capacité de l'entreprise à atteindre ses objectifs ;
ses principaux actifs (actifs corporels, incorporels, financiers, humains….).
Rapprochez-vous de la fonction en charge de la gestion des risques, afin d’obtenir la cartographie associée. Dans le cas contraire, vous devrez mettre en œuvre une démarche de gestion des risques. Pour en savoir davantage, je vous invite à suivre le cours sur l'analyse de risques (sortie prévue en septembre 2019).
Revenons à l’objet de ce chapitre qui est de construire un plan d’audit. Dans ce contexte, vous avez le choix entre :
vous appuyer sur l’analyse des risques existante ;
procéder à une autre identification et une autre évaluation des risques plus globale, afin de prioriser les audits à réaliser dans le cadre de votre plan d’audit.
C’est pour cette raison que je vous propose de partir sur le second choix : procéder à une évaluation des risques plus macro, une méthode plus simple à appliquer. L’objectif est d’identifier et d’évaluer entre cinq et dix grands risques aux maximum. Si vous décidez de vous appuyer sur une cartographie existante, vous allez devoir regrouper tous les risques dans des catégories, et revoir leur évaluation.
Pour élaborer un plan d’audit et prioriser les composants de l’univers d’audit, la démarche est la suivante :
Identifier et prendre en compte les objectifs de l’entreprise.
Identifier les grands risques par fonction de l’entreprise : informatiques, opérationnels, juridiques, marketing, financiers, ressources humaines (RH), sur la base de la cartographie des processus ou de l’organigramme de votre entreprise.
Pour chaque composant de votre univers d’audit, évaluer chacun des risques par rapport aux objectifs de l’entreprise.
Nous allons revenir plus en détail sur chaque étape dans les sections ci-dessous.
Repartez de vos précédentes réflexions
Avant d’identifier les grands risques, vous devez avoir une connaissance plus poussée de votre entreprise, et plus précisément :
son organisation, ses processus et leur fonctionnement ;
les objectifs de l’entreprise.
L'organisation de l'entreprise, ses processus et leur fonctionnement
Vous avez en votre possession une cartographie des processus et des SI, ainsi que l’organigramme.
Les objectifs de l’entreprise
Vous avez déjà réfléchi sur les objectifs stratégiques dans le cadre de l’élaboration de votre stratégie d’audit.
Appuyez-vous sur des documents internes et officiels, comme le plan stratégique et le schéma directeur des SI.
L’objectif stratégique “devenir leader sur le marché” pourra être décliné en plusieurs objectifs plus opérationnels, tels que “se développer à l’international”, “renforcer sa présence locale”, “proposer des produits et services innovants”, etc.
Associez les objectifs à l’univers d’audit
Votre univers d’audit se compose :
des thématiques organisationnelles et techniques pouvant faire l’objet d’un audit ;
des projets en cours dans l’entreprise ;
des référentiels externes, regroupant les bonnes pratiques du secteur et/ou du métier ;
des référentiels internes, qui sont les politiques et les procédures mises en oeuvre dans l’entreprise pour garantir la bonne réalisation des activités ;
des réglementations et lois.
Par exemple, un projet informatique que vous avez identifié aura probablement comme objectif de moderniser le SI en remplaçant les applications par un progiciel de gestion intégré (ou ERP).
Identifiez les risques et évaluez-les
Dans ce chapitre, je vous propose une méthode générale d’analyse de risques adaptée au contexte d’élaboration d’un plan d’audit. Si vous souhaitez approfondir ce sujet, je vous invite à suivre le cours Gérez et analysez les risques SI (sortie septembre 2019).
Dans cette démarche générale, je vous propose de vous concentrer sur les risques par fonction de l’entreprise.
Vous pouvez appliquer d’autres méthodes d’analyse des risques. Par exemple, si votre périmètre ne concerne que les SI de votre entreprise, la méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) sera plus pertinente.
L’identification des risques
À partir de la cartographie des processus et/ou de l’organigramme, pour chaque fonction de l’entreprise, vous allez identifier les événements qui pourraient se produire ou qui se sont déjà produits, et qui empêcherait l’atteinte des objectifs de l’entreprise.
Par exemple, selon l’organisation de votre entreprise, vous aurez plus ou moins six “grands” risques : systèmes d’information, opérationnels, juridiques, marketing, financiers, ressources humaines.
Pour la fonction des SI, vous allez identifier les principaux événements qui pourraient se produire ou qui se sont déjà produits, qui entraveraient les activités, tels qu’une cyberattaque ou le déploiement défectueux, volontaire ou involontaire, d’un changement dans le SI.
Comment identifier un risque ?
Ces travaux d’analyse de risque seront réalisés par vous-même et/ou avec d’autres personnes ayant une très bonne connaissance de l’entreprise.
En fonction du temps que vous souhaitez consacrer à ces travaux, voici les moyens d’identification des risques :
l’analyse dysfonctionnelle des processus : si le pire doit arriver… ;
l’analyse du retour d’expérience formel, à partir des incidents survenus répertoriés dans une base, des rapports d’audit interne et/ou des rapports des commissaires aux comptes ;
l’analyse du retour d’expérience informel, en organisant des entretiens d’identification des risques avec le management, les collaborateurs, les clients et fournisseurs, des experts, etc. ;
les séances de créativité (brainstorming) ;
et l’inspection sur le terrain, à la suite des entretiens et des analyses de retour d’expérience.
L’évaluation des risques
Pour prioriser les composants de votre univers d’audit et les missions d’audit à réaliser, vous allez évaluer la possibilité qu’un événement survienne au sein de la fonction et qui empêcherait l’atteinte des objectifs de l’entreprise.
Cette évaluation est basée sur deux paramètres :
la fréquence ou la probabilité d’occurrence ;
la gravité, ou l’impact sur l’entreprise si l’événement se produit.
La fréquence ou probabilité d’occurrence
La fréquence doit se mesurer sur plusieurs niveaux, de faible à élevée. Au minimum, l’échelle comporte trois niveaux, chaque niveau ayant une cotation.
Je vous présente ci-dessous un exemple d’échelle simplifiée relative à la probabilité d’occurrence.
Niveau | Description | Cotation |
Faible | La probabilité d’apparition est peu probable sur 3 ans. | 1 |
Moyen | La probabilité d’apparition est plausible sur 3 ans. | 2 |
Élevé | La probabilité d’apparition est élevée et très probable sur 3 ans. | 3 |
Les impacts sur l’entreprise
Dans cette approche, nous n'allons nous intéresser qu’aux impacts financiers, c’est-à-dire les dépenses que l’entreprise pourraient engager ou la perte de chiffre d’affaires potentielle si le risque se matérialise.
L’échelle simplifiée est la suivante :
Niveau | Description | Cotation |
Limité | Le potentiel d’impact sur l’organisation est limité et faible, ce qui engendrerait des dépenses raisonnables et/ou une faible baisse du chiffre d’affaires. | 1 |
Modéré | Le potentiel d’impact est modéré pour l’ensemble de l’organisation, ce qui engendrerait des dépenses importantes et/ou une baisse du chiffre d’affaires. | 2 |
Élevé | Le potentiel d’impact est élevé pour l’ensemble de l’organisation, ce qui pourrait mettre en péril la santé financière de l’entreprise. | 3 |
Vous trouverez ci-dessous un autre exemple de grille d’évaluation plus développée à quatre niveaux.
Cette image est également accessible en format Excel.
La criticité du risque
L’évaluation d’un risque consiste à calculer sa criticité. La formule est la suivante :
Criticité = Fréquence x Gravité
Pour chaque composant de l’univers d’audit et afin de savoir lequel doit être audité en priorité, vous allez :
évaluer la probabilité d’occurrence et l’impact de chaque risque identifié. Plus vous aurez de risques, plus l’évaluation sera consommatrice de temps et pourra être compliquée. C’est pourquoi je vous recommande fortement, dans le cadre de la planification des audits, d’identifier de cinq à dix risques ;
multiplier la cotation attribuée à la probabilité d'occurrence par celle de l’impact, pour obtenir la criticité du risque ;
additionner les criticités de tous les risques, afin de calculer le score de votre composant dans l’univers d’audit.
Pour prioriser les composants de votre univers d’audit et construire votre plan d’audit, je vous propose le tableau suivant à compléter.
Cette image est également accessible en format Excel.
Les composants de l'univers d'audit ayant un score élevé devront être audités en priorité. En fonction du score, la fréquence du cycle d'audit sera également déterminée :
l’audit devra être réalisé tous les 1 à 2 ans pour un score élevé ;
l’audit devra être réalisé tous les 2 à 3 ans pour un score moyen ;
l’audit devra être réalisé tous les 3 à 5 ans pour un score faible.
En résumé :
l’analyse de risque est indispensable dans la phase d’élaboration du plan d’audit, afin de définir les audits prioritaires alignés avec les objectifs de l’entreprise ;
un risque est la menace qu'un événement, une action ou une inaction se produise, et affecte la capacité de l'entreprise à atteindre ses objectifs ;
l’évaluation d’un risque est basée sur deux paramètres : la probabilité d’occurrence, ou fréquence, et l’impact sur l’entreprise si l’événement se produit, ou gravité. La multiplication de ces deux paramètres permet de calculer la criticité du risque.
Vous avez compris les principaux concepts de l’évaluation des risques ? Je vous propose dans le chapitre suivant un exemple concret, qui permettra d’illustrer la démarche et d’aboutir à un plan d’audit aux petits oignons.