HOPEX Aquila Doc FR

GRC - Internal Audit > Préparation de l'audit > Planifier les missions d'audit > Décider des missions d'audit à réaliser

Décider des missions d'audit à réaliser

HOPEX Internal Audit fournit au directeur d'audit une aide à la décision en ce qui concerne les missions d'audit à effectuer.

Visualiser la couverture des missions d'audit

HOPEX permet de décrire les entités, risques, catégories de processus et processus. Il est exigé de procéder à des audits de manière régulière.

Un rapport donne des informations sur le nombre de missions d'audit réalisées sur chaque entité, risque ou processus entre deux dates. Il permet de se rendre compte des éléments qui ont besoin d'être audités. Vous pouvez créer une mission d'audit pour les éléments concernés à partir de ce rapport.

Pour accéder au rapport de couverture des missions d'audit:

1. Dans la barre de navigation, cliquez sur Audit > Préparation > Rapports décisionnels.

2. Dans la liste déroulante, sélectionnez la page Couverture de la mission d'audit.

3. Dans la fenêtre d'édition, sélectionnez :

• une Date de début

• une Date de fin.

4. (optionnel) Sélectionnez un type d'objet, selon la couverture que vous souhaitez étudier :

• Risques

• Processus

• Entités

5. (optionnel) Filtrez par Score obtenu ou Statut des missions.

6. Cliquez sur Rafraîchir le rapport.

Pour chaque objet audité (ci-dessous des entités), le rapport présente :

• Le nombre de missions d'audit réalisées

• Le nom de la dernière mission d'audit

• La date de fin effective de la mission d'audit ou son statut si la mission est en cours

• Le score de la mission d'audit.

Les missions qui apparaissent dans le rapport sont celles qui ont été publiées.

Les objets couverts sont ceux qui sont reliés au Périmètre de la mission.

Pour les risques couverts par une mission, il faut avoir défini le type de risque auquel ils appartiennent pour les voir apparaître dans le rapport. En effet, dans ce rapport les risques sont classés par type de risque.

Ces types de risque sont définis par l'administrateur fonctionnel GRC dans l'environnement GRC.

Pour créer une mission d'audit sur les contextes non audités :

1. Sélectionnez les objets de contexte pour lesquels vous voulez créer une mission d'audit.

2. Cliquez sur Générer des missions d'audit.

3. Sélectionnez un plan cible.

Vous pouvez créer une seule mission d'audit pour tous les objets sélectionnés.

4. Cliquez sur OK.

Consulter l'historique des missions

Consulter l'historique des missions d'audit peut faciliter votre choix des missions d'audit à exécuter. HOPEX Internal Audit vous permet de :

• visualiser les missions d'audit passées

• trier les missions d'audit par score/évaluation ou retrouver celles qui n'ont pas été exécutées

L'évaluation et le statut d'une mission d'audit sont définis dans les propriétés de la mission d'audit. Pour plus de détails, voir Définir les propriétés d'une mission d'audit.

Retrouver les missions d'audit passées

Pour accéder à l'historique complet des missions d'audit :

Dans la barre de navigation, cliquez sur Audit > Mes activités > Missions d'audit passées.

Trier les missions d'audit par évaluation

Dans la liste des missions d'un plan d'audit, vous pouvez consulter l'évaluation de la mission qui a été faite par le chef de mission. Vous pouvez trier les missions en vous basant sur ce critère, ce qui vous permet de créer des missions sur les entités, risques, et processus/catégories de processus appropriés.

Pour grouper les missions par évaluation :

1. Dans la fenêtre de propriétés d'un plan d'audit, sélectionnez la page Audits.

2. Dans la liste des missions du plan, cliquez sur le titre de la colonne Evaluation.

Les missions sont alors triées selon ce critère. Une flèche associée à la colonne permet d'effectuer un tri croissant ou décroissant.

Retrouver les missions d'audit non exécutées

Il se peut que des missions d'audit restent au statut "Potentiel", voire "Validé" ou "Publié" et ne soient jamais exécutées, parce que d'autres missions se sont révélées prioritaires.

Des missions publiées ou en cours peuvent également être annulées via le workflow.

Regrouper les missions d'audit par statut permet d'identifier les missions qui doivent être recréées sur un sujet.

Pour retrouver les missions non exécutées d'un plan d'audit passé :

1. Dans la fenêtre de propriétés d'un plan d'audit, sélectionnez la page Audits.

2. Dans la liste des missions du plan, cliquez sur le titre de la colonne Statut.

Les missions sont alors triées selon ce critère.

Une flèche associée à la colonne permet d'effectuer un tri croissant ou décroissant.

Visualiser les dépenses des missions passées

Un rapport vous permet de visualiser les dépenses des missions passées.

Pour accéder à ce rapport :

1. Cliquez sur Audit > Préparation > Rapports décisionnels > Rapport de dépenses.

2. Cliquez sur Nouveau puis sur Suivant.

3. Sélectionnez un Plan ainsi que la/les missions qui vous intéresse(nt).

Si vous ne sélectionnez pas de valeur pour les missions, toutes les missions sont prises en compte.

Matrice d'assurance risque

Vous avez besoin de visualiser l'ensemble des risques de l'entreprise pour mieux prioriser les risques à auditer lors du prochain audit.

Une matrice permet de donner au comité de direction une assurance ciblée de la gestion des risques. Elle permet de détecter les incohérences entre les évaluations de risques, les évaluations de contrôles et l'impact des incidents.

Pour créer le tableau de bord d'assurance risque :

1. Dans le bureau d'audit, cliquez sur Audit > Préparation > Rapports décisionnels > Tableau de bord d'assurance des risques.

2. Cliquez sur Nouveau.

3. Dans la fenêtre qui apparaît, cliquez sur Suivant puis sur Relier pour spécifier un ensemble de risques.

4. Cliquez sur OK.

Les colonnes affichées sont les suivantes :

• Risque

• Risque inhérent : les évaluations de risque restituent un risque inhérent agrégé

Le risque inhérent (ou risque brut) est le risque auquel une entité est exposée en l'absence de mesures correctives par le management pour en modifier la probabilité d'occurrence ou l'impact, par opposition au risque résiduel.

• Dispositif de Maîtrise du Risque : représente le niveau de confiance dans l'atténuation du risque

• Risque résiduel

Le risque résiduel (ou risque net) est le risque auquel l'entité reste exposée après la prise en compte des solutions mises en œuvre par le management.

• Appétence au risque

L'appétence au risque est le niveau de risque qu'une organisation est prête à accepter pour atteindre ses objectifs, avant toute mesure prise pour atténuer le risque.

• Ecart risque résiduel / appétence au risque : cet écart permet au directeur de l'audit de contrôler la maturité de la deuxième ligne de défense (fonctions support et transverses, par exemple gestion des risques et conformité)

Valeur de l'écart Risque résiduel / Appétence au risque	Interprétation possible
Ecart important	Le niveau de maturité de l'organisation en matière de risques est faible.
Ecart important pour certains risques et contrôles préventifs efficaces	Contradiction entre 1ère et 2ème ligne de défense
Ecart peu important pour certains risques + contrôles préventifs inexistants ou inefficaces	Contradiction entre 1ère et 2ème ligne de défense

• Contrôle préventif

• Niveau de contrôle

Le niveau de contrôle permet de caractériser le niveau d'efficacité des éléments de maîtrise déployés (contrôles) pour atténuer le risque.

• Incident

• Impact de l'incident