LOGICIEL E-AUDIT

AUDIT INTERNE

ELABORATION
PRATIQUE DE LA
CARTOGRAPHIE
DES RISQUES
 POURQUOI LA CARTOGRAPHIE DES RISQUES LOGICIEL E-AUDIT
Les exigences des régulateurs (banque) Obligations règlementaires. La cartographie des AUDIT INTERNE
risques comme pilier du dispositif de contrôle

Les attentes des organes de gouvernance Rôle de surveillance du conseil

d’administration et du comité d’audit au suivi de l’efficacité des systèmes de contrôle interne et de gestion
des risques.

Exigences des Normes Professionnelles de l’Audit Interne

(Norme 2010.A1) : « le plan d’audit interne doit s’appuyer sur une évaluation des risques
documentée et réalisée au moins une fois par an ».

Réponse à d’autres besoins Démarche permettant d’acquérir et de formaliser une

connaissance approfondie des activités et du fonctionnement de l’établissement ;
 DEFINITION DES TERMES CLES LOGICIEL E-AUDIT
Les composantes d’un risque AUDIT INTERNE
• Le caractère évènement ou réalisation, ce qui est une probabilité
La probabilité désigne les « possibilités » de réalisation du risque. On peut également
utiliser la notion de fréquence « d'occurrence ». Cette grandeur peut être mesurée
grâce à des critères qualitatifs où nous avons une fréquence (importante, moyenne,
faible) et des grandeurs quantitatives qui sont déclinées en une probabilité effective
pour une période donnée.

• L'impact est la conséquence du risque s'il vient à se réaliser.

L'importance de l'impact varie avec le type de menace à laquelle l'entreprise est
confrontée, le type d'activités réalisées, l' efficacité des contrôles (Bilondeau : 2001,
Il).
 DEFINITION DES TERMES CLES LOGICIEL E-AUDIT
Un processus AUDIT INTERNE
Selon ISO 9000, un processus est un ensemble d’activités interdépendantes ou
d’interactions qui utilisent des intrants pour produire un résultat visé.
L’identification et le management méthodiques des processus utilisés dans un
organisme, et plus particulièrement les interactions de ces processus, sont appelés
«l’approche processus».
 LES TYPOLOGIES DE RISQUE LOGICIEL E-AUDIT
Classification des risques selon leur nature AUDIT INTERNE

1. Risque inhérent (environnement).

2. Risque de non contrôle (dispositifs de contrôle interne).
3. Risque de non détection ou d’audit (procédures d’audit).
4. Risque résiduel (gestion des risques).
5. Risque cible (niveau acceptable/tolérable).
 LES TYPOLOGIES DE RISQUE LOGICIEL E-AUDIT
AUDIT INTERNE
Risques inhérents
 Risques opérationnels (informatiques…) : Risque de pertes provenant de processus internes inadéquats ou
défaillants, de personnes et systèmes ou d'événements externes.
 Risques financiers : Risque de perdre de l'argent à la suite d'une opération financière (sur un actif financier)
ou à une opération économique ayant une incidence financière (par exemple une vente à crédit ou en devises
étrangères).
 Risques stratégiques : Risques liés aux choix stratégiques d'une entreprise dans le but de s'adapter à son
environnement concurrentiel. ... Il est souvent hors de contrôle et non diversifiable, et de nature spéculative
 Risques de non-conformité : Risque de sanction – notamment administrative –, de perte financière ou
encore d’atteinte à la réputation qui naît du non-respect des dispositions propres ou des règlements régissant
le secteur d’activité de l’entreprise
 Risques technologiques : Risques liés à l’action humaine et plus précisément à la manipulation, au transport
ou au stockage de substances dangereuses pour la santé et l’environnement (ex : risques industriel, nucléaire,
biologique…)
 04
OBJECTIFS ET
UTILITE DE LA
CARTOGRAPHIE
DES RISQUES
 OBJECTIFS ET UTILITE DE LA CARTOGRAPHIE DES RISQUES LOGICIEL E-AUDIT
Objectifs de la cartographie des risques AUDIT INTERNE
Il s’agit:
• d’évaluer les risques identifiés en termes de connexité, d’importance et de probabilité ;
• de calculer le score de chaque risque ;
• de classer, de comparer et de hiérarchiser les risques entre eux
• de définir un plan d’action de management des risques en fonction des ressources disponibles;
• d’en assurer le suivi ;
• de communiquer les informations sur les risques de l’organisation aux dirigeants.

Utilités de la cartographie des risques

La carte des risques sert de référentiel pour :
 L’établissement des plans d’audit/contrôle (plan pluriannuel, plan annuel et planning annuel des
missions)
 L’établissement de plans (stratégiques et opérationnels) de gestion globale de risques.
 L’allocation stratégique des ressources, en fonction des risques prioritaires.
 La détermination des axes de communication interne et externe relative à la gestion des risques.
 Référentiel d’analyse permettant de choisir la démarche à adopter en matière de gestion des
risques.
 05

METHODOLOGIE
D’ELABORATION
METHODOLOGIE D’ELABORATION LOGICIEL E-AUDIT
AUDIT INTERNE
1. Présentation du projet de
cartographie des risques

2. Description des processus

3. Identification des risques

4. Evaluation des risques

5. Formalisation de la carte des

risques
 METHODOLOGIE D’ELABORATION LOGICIEL E-AUDIT
Etape 1 : PRÉSENTATION DU PROJET DE CARTOGRAPHIE DES AUDIT INTERNE
RISQUES
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
1. PRÉSENTATION DU PROJET DE CARTOGRAPHIE DES RISQUES
 Définir le périmètre
 Toute l’organisation (cartographie globale)
 Quelques uns de ses démembrements (cartographie sectorielle ou thématique)
 Uniquement un projet pilote?
 Tous types de risques ou des risques spécifiques?

 Constituer une équipe

 Chef de mission
 Autres membres de l’équipe 
 Comité de suivi 
 Rôle de chacun

 Formaliser la commande sous forme de projet

 Partager les termes de référence pour l’élaboration de la cartographie des risques avec l’équipe;
 Définir des objectifs;
 Préparer un planning détaillé
 Préciser la forme et le contenu de la carte des risques; 
 Préparer un budget
 Etablir l’ordre de mission.
 METHODOLOGIE D’ELABORATION DE LA LOGICIEL E-AUDIT
CARTOGRAPHIE DES RISQUES AUDIT INTERNE

1. PRÉSENTATION DU PROJET DE CARTOGRAPHIE DES RISQUES

 Facteurs de spécificité d’une démarche de cartographie des risques
 L’activité de l’organisation (risques inhérents).
 Les objectifs de l’organisation ou de l’activité (risques pouvant compromettre l’atteinte des
objectifs).
 L’aversion aux risques/niveau de tolérance des risques (niveaux/risques acceptables).
 Les motivations de la cartographie des risques (utilisations)
 Le périmètre (délimitation) de la cartographie des risques (globale, sectorielle, projet
pilote…).
 Les méthodes d’identification et d’évaluation des risques à mettre en œuvre.
 Le système existant de contrôle des risques…
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES RISQUES LOGICIEL E-AUDIT
2. DESCRIPTIF DES PROCESSUS AUDIT INTERNE
Partir des processus permet de s’appuyer sur un cadre plus stable que les structures organisationnelles.
Etape 1: Préparation de la description des processus

Etape 2 : Description détaillé des processus

 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
2. DESCRIPTIF DES PROCESSUS
 Méthode de description des processus
La méthode du plus grand au plus petit qui consiste à partir des processus pour aboutir aux tâches en
passant par les activités.

La méthode du plus petit au plus grand : plus difficile que la première, elle consiste à regrouper les
tâches homogènes en activités, puis les activités en processus.

Taches Activités Processus

 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
2. DESCRIPTIF DES PROCESSUS
 Méthode de description des processus
La notion de processus est relative car elle dépend du niveau de détails recherchés. En effet,
l’équipe a la possibilité de faire une décomposition multi-niveaux.
 Méga processus
Processus élémentaire
Sous processus
Macro-activités
Activités
Tâches
Opérations.

C’est la granularité qui déterminera le niveau hiérarchique adéquat des interlocuteurs à

rencontrer afin de collecter les informations.
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
2. DESCRIPTIF DES PROCESSUS
 Description narrative des processus
 Décrire le processus, de façon narrative, selon la méthode de description retenue, en faisant
ressortir les activités séquentielles (ou étapes principales du processus).
 Décrire les tâches constitutives de chaque activité.
 Etablir le dictionnaire des activités
Choisir le bon niveau de granularité est également important afin de calibrer la démarche aux
moyens disponibles et au planning souhaité.
Ainsi, pour le métier des assurances cinq niveaux de granularité, en partant du plus large au plus
particulier, sont proposés :
• le métier : IARD, vie, assistance, réassurance, etc. ;
• le domaine : pour le métier IARD : habitat, auto, transport aérien, etc. ;
•le processus : processus de souscription, processus de paiement des prestations, etc. ;
• l’activité : pour le processus de paiement des prestations : enregistrement, règlement du sinistre,
etc. ;
• la tâche élémentaire : pour l’opération règlement du sinistre : envoi du chèque.
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
3. IDENTIFICATION DES RISQUES
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
3. IDENTIFICATION DES RISQUES
 Les approches d’identification des risques

1. La démarche top-down (Origine : top management)

Auditeurs, Risk managers Opérationnels

2. La démarche bottom-up (Origine : processus)

Opérationnels Auditeurs, Risk managers

3. La démarche combinée
Combinaison des deux premières démarches.

4. Approche par le benchmarking :

Collecte des meilleures pratiques en matière de gestion des risques. Elle permet
d’avoir une idée générale des risques à prendre en compte
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
3. IDENTIFICATION DES RISQUES
 Les techniques d’identification des risques
1. Identification basée sur les actifs créateurs de valeurs (risques associés aux
actifs intangibles = qu’on ne doit pas altérer, modifier, entamer )
 les valeurs, les relations, l’image, le code déontologique, code d’éthique,
l’organisation, les schémas informatisé…. 
2. Identification basée sur l’atteinte des objectifs (un risque peut empêcher
l’atteinte des objectifs. Ces derniers sont d’abord définis, avant de leur associer les
menaces pesant sur eux):
 SMART = Spécifique, Mesurable, Atteignable, Réaliste situé dans le Temps.
3.  Identification basée sur les check-lists: liste déjà préconçue qui énumère
l’ensemble des risques possibles afin de voir si chaque risque concerne l’entité ou
pas.  
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
3. IDENTIFICATION DES RISQUES
 Les techniques d’identification des risques
4. Identification par analyse historique: identification en se basant sur les risques opérationnels
déjà survenus au sein de l’entité.
5. Identification basée sur l’analyse de l’environnement (menaces de l’environnement
économique, technologique…).
6. Identification par analyse des activités: décomposition des processus en activités identification
des risques associés (conséquences potentielles de la non/mauvaise exécution des tâches)

La réussite de la phase d’identification des risques dépend de plusieurs facteurs :

 l’expérience de l’auditeur donc de son jugement professionnel
 La connaissance de l’entité et de la description du sous processus effectué
 L’auditeur à cette phase doit se poser des questions notamment sur l’exhaustivité des
risques identifiés, les dangers liés à l’activité.
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
3. IDENTIFICATION DES RISQUES
 Sources
·         Les entretiens
·         les Plan d’audit des années précédentes
·         le fichier de Suivi des recommandations
·         le Plan stratégique de l’entité
·         Le manuel des procédures
·         la Cartographie des risques précédente
·         la Cartographie des risques d’entités similaires
·         Les bases de risques génériques
·         la base des Incidents opérationnels
·         les Réclamations client
·         l’Analyses des procès-verbaux des principaux comités
·         les rapports d’activité, les Résultats des interventions ou inspections des régulateurs
·         les rapports ou Travaux des commissaires aux comptes.
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES
RISQUES
3. IDENTIFICATION DES RISQUES
 Questions clés pour recenser les risques au niveau des processus
Rechercher les risques liés aux éléments
intrinsèques au processus
LOGICIEL E-AUDIT
AUDIT INTERNE
• Quels dysfonctionnements sont susceptibles
d’intervenir dans le déroulement du
processus ?
• Quelles sont les phases critiques du processus :
qu’est-ce qui pourrait échouer ?
• Qu’est-ce qui doit impérativement fonctionner
correctement ?
• Quels sont les maillons faibles au sein du
processus ?
• Quelles sont les ressources clés à protéger ?
• Quels sont les erreurs, omissions, actions ou
incidents qui peuvent avoir un impact
significatif sur la performance du processus ?
• Votre organisation est-elle adaptée à vos
activités ? Préciser.
• Votre système d’informations est-il adapté à
vos besoins ? Préciser
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
3. IDENTIFICATION DES RISQUES
 Questions clés pour recenser les risques au niveau des processus
Identifier les risques provenant de • En quoi les autres processus peuvent interférer
facteurs externes au processus négativement sur la performance du processus ?
• Quels sont les points de dépendance les plus critiques ?
(systèmes d’information instables, qualité des
informations reçues insuffisante, etc.)
• En quoi « l’environnement » actuel peut empêcher la
réalisation des objectifs du processus ?
• En quoi une évolution de « l’environnement » peut
empêcher la réalisation des objectifs du processus ?
• Quelles causes externes rendent le processus plus
vulnérable : évolution de l’environnement légal ou
réglementaire, de l’environnement concurrentiel, de
l’environnement technologique, etc.
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES

Evaluer un risque, c’est déterminer l’impact de ce risque sur l’entité. La détermination de cet
impact se fera en tenant compte des contrôles mis en place par l’entité et de leur efficacité.

L'analyse (qualitative et quantitative) des risques a pour objectif de les hiérarchiser. Ainsi, il
est possible de voir quels sont ceux qui méritent une réponse. Il est nécessaire de prioriser et
de hiérarchiser les risques dans la mesure où l’organisation n’a ni les ressources ni le temps
requis pour gérer tous les risques auxquels elle est confrontée.

L’évaluation requiert des critères qui serviront à prioriser les risques : l’impact et la
probabilité
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES
 Critères relatifs à l’impact (gravité ou conséquence de la réalisation du risque)

Im p a c t sur la
Im p a c t
Im p a c t De sc rip tio n sa tisfa c tio n d u
Fina nc ie r
c lie nt
Risq u e d e p e rte
d e s c lie n ts Pe rte > 200
Critiq ue Dé sa stre u x p o u r l’o rg a n isa tio n
==>p lu s d e 350 m illio n s FC FA
c lie n ts in sa tisfa its
Pe rc e p tib le p a r le 100 m illio n s
c lie n t ==> e n tre FC FA <Pe rte
Ele vé Im p a c t sig n ific a tif
150 e t 350 c lie n ts =< 200
in sa tisfa its m illio n s FC FA
Pe rc e p tib le p a r le 10 m illio n s
c lie n t ==> m o in s FC FA <Pe rte
Mo d é ré Mo in s sig n ific a tif
150 c lie n ts =< 100
in sa tisfa its m illio n s FC FA
Risq u e d 'a vo ir d e s Pe rte =< 10
Né g lig e a b le No n  sig n ific a tif
c lie n ts in sa tisfa its m illio n s FC FA
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES
 Critères relatifs à l’impact (gravité ou conséquence de la réalisation du risque)

Im p a c t sur Im p a c t
Im p a c t De sc rip tio n
l'im a g e lé g a l/ rè g le m e nta ire

Sa n c tio n d e s a u to rité s
Dé sa stre u x p o u r l’ Im p a c t n a tio n a l /
Critiq ue d e tu te lle s /
o rg a n isa tio n C o u ve rtu re la rg e
C o m d a m n a tio n p é n a le
Blâ m e d e s a u to rité s d e
Im p a c t n a tio n a l / tu te lle / Mise e n c a u se
Ele vé Im p a c t sig n ific a tif
Un se u l c a n a l d e va n t u n e ju rid ic tio n
p é n a le
Ave rtisse m e n t d e s
Im p a c t lo c a l a u to rité s d e tu te lle
Mo d é ré Mo in s sig n ific a tif (d a n s to u te / m ise e n c a u se ju rid iq u e
l'o rg a n isa tio n ) d e va n t u n e ju rid ic tio n
a u tre q u e p é n a le
Im p a c t lo c a l O b se rva tio n d e s
Né g lig e a b le No n  sig n ific a tif
(d a n s l'e n tité ) a u to rité s d e tu te lle
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES
 Critères relatifs à la probabilité (vraisemblance que le risque se réalise)

Fré q ue nc e Elé m e nts d e m e sure Pé rio dic ité

Fré q u e nc e d e l’o rd re d ’1 à
Exc e p tio nne l Au p lu s 1%
2 fo is e n 3 a ns
C o m p ris e ntre 1% e t Fré q u e nc e d e l’o rd re d ’1
Ra re
5% fo is p a r a n
Fré q u e nc e p lu ria nn ue lle
C o m p ris e ntre 5% e t (q u e lq ue s fo is p a r a n , d e
Pro b a b le
10% l’o rd re d u trim e stre , d u
m o is)
Fré q u e nc e q u o tid ie nn e o u
Fré q ue nt Plu s d e  10%
h e b d o m a d a ire
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES
 Mesure du risque brut

Grille d 'é va lua tio n d e la c ritic ité

Fré q ue nt 4 4 8 12 16
Pro b a b ilité
Pro b a b le 3 3 6 9 12
d 'o c c urre nc e
Ra re 2 2 4 6 8
(P)
Exc e p tio nne l 1 1 2 3 4
1 2 3 4
Né g lig e a b le Mo d é ré e Ele vé e Critiq ue
Gra vité d e l'imp a c t (G)

Ele vé
Mo d é ré
Fa ib le
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES
 Les stratégies face aux risques

L’analyse des risques n’a pas pour objectif systématique la suppression de ceux-ci, mais plutôt de les identifier
afin de limiter les conséquences. L’entité doit définir une stratégie présentant la réaction à adopter en face d’un
risque donné.
12 à 16 6à9 1à4
Elevé Modéré Faible
Inacceptable Surveillance Acceptable
DECISION DE TRAITEMENT DU RISQUE

Accepter Pas d'action systématique exigée X

Assumer les conséquences sans

Augmenter la prendre de mesures
X
maitrise supplémentaires. Intensifier la
surveillance si nécessaire afin
Engager des actions nécessaires en
Reduire/Supprime
vue de reduire ou de supprimer le X X
r
risque. Agir sur les causes du risque.
Transférer le risque à une tierce
Transférer partie pour le traitement ou la prise X
en charge(Assurance par exemple)
Abandonner l’activité à risque vue
Eviter les ressources importantes X
demandées pour le traiter
 METHODOLOGIE D’ELABORATION DE LA CARTOGRAPHIE DES LOGICIEL E-AUDIT
RISQUES
AUDIT INTERNE
4. EVALUATION DES RISQUES
 Echelle d’appréciation des éléments de maîtrise

Critères d'évaluation du niveau de Maîtrise

Niveau de
Méthode Main d'œuvre Matériel Milieu Mesure
maitrise
Procédures de travail Pas de matériel et Milieu de travail pas adapté Indicateurs non définis
Personnel pas sensibilisé,
1 Faible inexistantes ou non d'équipements et pas de et non maintenu en état Indicateurs définis, mais
pas formé
formalisées surveillance d'hygiène non affectés
Matériels et équipements
Procédures travail Personnel sensibilisé, pas Indicateurs définis non
peu adaptés, mais Milieu de travail peu adapté,
2 Moyen formalisées, mais pas encore formé sur les bonnes formalisés et méconnus
surveillance et/ou mais bon état d'hygiène
adaptées pratiques des acteurs concernés
maintenance réalisée
Personnel sensibilisé, formé Matériels et équipements Indicateurs définis, non
Procédures travail Environnement de travail
Acceptabl mais pas totalement adaptés, mais surveillance formalisés, connus des
3 formalisées, adaptées, mais adapté, mais état d'hygiène
e autonome dans les bonnes et/ou maintenance pas acteurs concernés mais
pas appliquées très peu maintenu
pratiques adapté non suivis régulièrement
Procédures de travail Matériels et équipements Indicateurs définis,
Personnel sensibilisé, formé, Environnement de travail
formalisées, appliquées, disponibles, adaptés, formalisés , connus des
4 Maitrisé responsabilisé, autonome adapté, tenu régulièrement
efficaces et régulièrement suivis et maintenus acteurs concernés et
dans les bonnes pratiques en bon état d'hygiène
évaluées régulièrement régulièrement suivis