Les cadres réglementaires

HOPEX Risk Mapper : Analyse de l’environnement : Environnement externe : Les cadres réglementaires

Un cadre réglementaire représente un ensemble de directives contraignantes ou non, définies par un gouvernement dans le cadre d'une loi, par un groupement professionnel sous forme de bonnes pratiques ou en interne par une organisation.

Accéder aux cadres réglementaires de l’organisation

Pour accéder à la liste des cadres réglementaires avec le profil Architecte Contrôle et Risques :

1. A partir du volet Référentiel, sélectionnez Contrôles et Risques, puis dépliez le dossier qui correspond à votre référentiel.

Les deux dossiers Cadres réglementaires et Dispositifs de contrôle apparaissent.

2. Dépliez le dossier Cadres réglementaires.

La liste des cadres réglementaires de l’organisation s’affiche.

Vous pouvez importer dans votre référentiel des bibliothèques contenant la description d’un cadre réglementaire avec les exigences, type de risques, facteurs de risques ou types de contrôles qui y sont associés.

Il peut également y avoir des cadres réglementaires internes à l’organisation pouvant servir de guide de gouvernance. Dans cette documentation, les termes "Réglementation" ou "cadre réglementaire" sont utilisés, qu’il s’agisse d’une réglementation d’origine externe ou d’un règlement interne.

Créer un cadre réglementaire

Pour créer un cadre réglementaire avec le profil Architecte Contrôle et Risques :

1. A partir du volet Référentiel, sélectionnez Contrôles et risques.

2. Dans le menu contextuel du dossier "Cadres réglementaires", sélectionnez Nouveau > Cadre réglementaire.

Une fenêtre vous demande de saisir le nom du nouveau cadre réglementaire.

3. Après avoir saisi le nom, cliquez sur OK.

Le nouveau cadre réglementaire apparaît dans l’arborescence du navigateur.

Caractéristiques d’un cadre réglementaire

Pour accéder aux caractéristiques générales d’un cadre réglementaire :

1. Ouvrez la fenêtre de propriétés du cadre réglementaire.

2. Cliquez sur l’onglet Caractéristiques.

Les caractéristiques présentées sont les suivantes :

• Le Code de la réglementation, qui est interne,

• La Portée de la réglementation, qui peut être internationale, locale à un pays ou à un groupe de pays, etc.

• La Date de la réglementation, texte libre qui permet de préciser l’année ou la période d’application de la réglementation,

• La Date de début d’application de la réglementation,

• La Date de fin d’application de la réglementation,

• La Statut de la réglementation,

le Statut de la réglementation n’est pas modifiable parce qu’il est géré par le workflow associé au cadre réglementaire. Pour plus de détails, voir le guide HOPEX Internal Control.

• La date de la Dernière mise à jour de la réglementation.

Classifications d’un cadre réglementaire

Pour accéder aux classifications d’un cadre réglementaire :

1. Ouvrez la fenêtre de propriétés du cadre réglementaire qui vous intéresse et cliquez sur le bouton Classification.

2. Vous pouvez sélectionnez une classification parmi les suivantes :

• Types de risque, voir "Les types de risque" ;

Un type de risque définit une typologie de risque normalisée dans le cadre d’une organisation.

• Facteurs de risque, voir "Les facteurs de risque" ;

Un facteur de risque est un élément qui contribue à l’apparition d’un risque ou qui en est le déclencheur. Un même facteur de risque peut être à l’origine de plusieurs risques différents. Exemples : l’utilisation d’un produit chimique dangereux, la complexité d'une application, la taille d'un projet, le nombre d'intervenants, la nouveauté technique, l'absence d'assurance qualité, le manque de rigueur dans la définition des exigences, etc.

• Types de contrôle, voir "Les types de contrôle" ;

Un type de contrôle permet de classifier les contrôles mis en oeuvre dans l’entreprise conformément à des standards sectoriels ou réglementaires (Cobit, etc.).

3. Si vous sélectionnez Types de risque, par exemple, la liste des types de risques associés au cadre réglementaire s’affichent.

Exigences d’un cadre réglementaire

Pour accéder aux exigences d’un cadre réglementaire :

Ouvrez la fenêtre de propriétés du cadre réglementaire qui vous intéresse et cliquez sur le bouton Exigences.

Une exigence est un besoin ou une attente formulés explicitement, imposés comme une contrainte à respecter dans le cadre d'un projet de certification, d'organisation ou de modification du système d'information d'une entreprise.

Dispositifs de contrôle d’un cadre réglementaire

Un dispositif de contrôle est constitué d’un ensemble de contrôles qui permettent d’assurer la prévention et la maîtrise des risques encourus par l’entreprise, l'application de règles de fonctionnement internes, le respect d’une loi ou d’une réglementation en vigueur, ou l’atteinte d’un objectif stratégique de l'entreprise. Exemples : le dispositif de contrôle de la Qualité, le dispositif de contrôle relatif à loi Informatique & Liberté, le dispositif de contrôle de gestion, le dispositif d'audit interne.

Pour plus de détails sur les dispositifs de contrôle, voir "Les dispositifs de contrôle".