Définir et évaluer des risques

HOPEX Internal Audit : HOPEX Internal Audit : Exécution de l’audit : Réaliser le travail d’audit : Définir et évaluer des risques

Des risques peuvent être identifiés à différents niveaux lors de l’exécution de la mission. Par exemple, dans le cadre d’une mission d’audit sur l’achat de matériel, un risque sur l’adéquation avec les besoins peut être identifié, tel qu’un mauvais choix technologique.

Il convient de distinguer :

• Les risques découverts lors de l’exécution de la mission

• Les risques qui ont été définis préalablement dans le périmètre de la mission et des différentes activités.

Pour définir le périmètre :

• d’une mission, voir "Périmètre de la mission".

• d’une activité, voir "Spécifier les risques liés à une activité d’audit".

Les risques découverts au cours de l’exécution de la mission sont à relier au constat de l’activité, voire à la recommandation.

Afficher la liste des risques

L’onglet Risques disponible dans les propriétés de la mission affiche la liste des risques associés à la mission ainsi que les risques associés aux objets de la mission.

Pour voir à quel objet est associé un risque :

1. Ouvrez les propriétés de la mission.

2. Cliquez sur l’onglet Risques.

3. Dans le cadre supérieur, sélectionnez un risque parmi la liste.

Le cadre inférieur affiche l’objet auquel il est associé.

Ci-dessous, le risque "Mauvais choix technologique" est relié à l’activité "Adéquation avec les besoins".

Évaluer un risque

Pour évaluer un risque :

1. Ouvrez les propriétés de la mission.

2. Cliquez sur l’onglet Risques.

3. Sélectionnez le risque et cliquez sur Propriétés.

La fenêtre de propriétés du risque apparaît.

4. Cliquez sur Evaluation.

5. Dans l’assistant qui apparaît, sélectionnez les noeuds à évaluer.

Un noeud d’évaluation est constitué de :

• un objet à évaluer

• éventuellement, un ou plusieurs objets contextes (entités, processus)

6. Cliquez sur Suivant.

Vous pouvez sélectionner les valeurs qui caractérisent ce risque (contextualisé) en termes de :

• Impact : impact du risque quand ils se manifeste

• Probabilité : probabilité que le risque apparaisse

• Niveau de contrôle

Le niveau de contrôle caractérise le niveau d’efficacité des éléments de maîtrise déployés (contrôles) pour évaluer le risque.

7. Renseignez la date de l’évaluation.

8. Cliquez sur OK.

Une évaluation est créée.

Les valeurs suivantes sont calculées :

• le risque brut

Le risque inhérent (ou brut) désigne le risque auquel l’organisation est exposée en l’absence de mesures prises pour modifier la probabilité d’occurrence ou l’impact de ce risque. Il s’agit du produit de la valeur de l’impact par la valeur de la probabilité avant prise en compte des mesures de prévention ou d’atténuation du risque.

• le risque net

Le risque résiduel (ou risque net) désigne le risque auquel l’organisation reste exposée une fois que le management a traité le risque. Il s’agit de la différence entre le risque inhérent et le niveau de contrôle.

9. Cliquez sur le bouton Valider l’évaluation.

Valider l’évaluation permet d’obtenir des résultats dans la carte des risques. La validation peut prendre un certain temps, c’est pourquoi l’assistant vous propose d’exécuter cette opération éventuellement plus tard.

Générer la carte des risques (Heatmap)

Un rapport permet de visualiser la carte des risques associés à une mission, en fonction de leurs critères d’évaluation (Impact, Probabilité, etc.).

Pour voir la carte des risques associés à une mission :

1. Ouvrez les propriétés de la mission.

2. Cliquez sur l’onglet Rapports puis sur Heatmaps.

La carte des risques de la mission apparaît.

Le nombre de risques qui apparaît est fonction du nombre de contextes.