GRC - Internal Audit > Exécution de l'audit > Réaliser le travail d'audit > Définir et évaluer les risques découverts lors de la mission d'audit
Définir et évaluer les risques découverts lors de la mission d'audit
Des risques peuvent être identifiés lors de l'exécution de la mission d'audit.
Exemple : dans le cadre d'une mission d'audit sur l'achat de matériel, un risque concernant l'adéquation avec les besoins est identifié (tel qu'un mauvais choix technologique).
*Les risques découverts lors de la mission d'audit sont à distinguer de ceux définis préalablement dans le périmètre de la mission et des différentes activités. Voir Spécifier le périmètre de la mission d'audit.
Les risques découverts au cours de l'exécution de la mission sont à relier au constat de l'activité, voire à la recommandation.
Afficher la liste des risques 
La page Évaluation des risques des propriétés de la mission affiche les risques associés :
à la mission
aux objets de la mission.
Évaluer des risques 
Pour évaluer des risques (dans leur contexte) :
1. Ouvrez les propriétés de la mission.
2. Sélectionnez la page Évaluation des risques.
3. Sélectionnez le(s) risque(s) que vous souhaitez évaluer.
4. Sélectionnez les valeurs qui caractérisent le(s) risque(s) :
Impact : impact du risque quand ils se manifeste
Probabilité : probabilité que le risque apparaisse
Dispositif de maîtrise du risque
*Le dispositif de maîtrise du risque caractérise le niveau d'efficacité des éléments de maîtrise déployés (contrôles) pour évaluer le risque.
5. Cliquez sur Valider le tableau d'évaluation multiple.
*Valider l'évaluation permet d'obtenir des résultats dans la carte des risques. La validation peut prendre un certain temps, c'est pourquoi l'assistant vous propose d'exécuter cette opération éventuellement plus tard.
Les valeurs suivantes sont calculées :
le risque inhérent
*Le risque inhérent (ou brut) désigne le risque auquel l'organisation est exposée en l'absence de mesures prises pour modifier la probabilité d'occurrence ou l'impact de ce risque. Il s'agit du produit de la valeur de l'impact par la valeur de la probabilité avant prise en compte des mesures de prévention ou d'atténuation du risque.
le risque résiduel
*Le risque résiduel (ou risque net) désigne le risque auquel l'organisation reste exposée une fois que le management a traité le risque. Il s'agit de la différence entre le risque inhérent et le niveau de contrôle.
Générer la cartographie des risques 
Une fois les risques évalués, un rapport permet de visualiser la carte des risques associés à une mission, en fonction de leurs critères d'évaluation (Impact, Probabilité, etc.).
Pour voir les cartographies de risques associés à une mission :
*Dans les propriétés de la mission, sélectionnez la page Rapports puis cliquez sur Audit interne > Cartographies de risque de la mission d'audit.
La carte des risques de la mission apparaît.
*Le nombre de risques qui apparaît est fonction du nombre de contextes.
*Les risques doivent avoir été évalués au préalable pour obtenir des résultats dans cette carte de risques.