GUIDE DAUDIT DES SYSTEMES DINFORMATION
3 lug 2015 C'est pourquoi le Premier Ministre a validé et diffusé par circulaire le 7 mars 2013
Guide daudit des ressources humaines
traitant des RH. Demander à la direction des systèmes d'information. (DSI) et à la. DRH. Oui. Selon processus audité. Guide utilisateur de l'application.
Appui à la modernisation de la gestion financière publique
MEF : Ministère d'Economie et des Finances. TGR : Trésorerie Générale du Généralisation du système d'information de gestion de la dépense publique.
Guide méthodologique pour lauditabilité des systèmes dinformation
Toutefois la prise en compte de l'environnement informatique lors de l'audit des comptes ne doit pas être confondue avec l'audit informatique d'un système d'
Guide Dhygiène Informatique de lANSSI
données elle doit en amont évaluer les risques spécifiques à l'infogérance. (maîtrise du système d'information
Guide daudit de la gouvernance du système dinformation de l
Le développement de multiples services numériques est ainsi nécessaire pour la compétitivité des entreprises et marque l'évolution de l'économie globale en
Étude du Processus de Management et de Cartographie des Risques
Annexe 3 – Exemples de guide d'audit du processus achat. Perte de fiabilité du système d'information (non d'exhaustivité perte d'intégrité des données…) ...
RECHERCHE
Ce présent guide s'inscrit dans le cadre de la politique publique d'intelligence économique (IE) décrite dans la circulaire du Premier Ministre n°.
plan de continuité dactivité
Guide pour réaliser un plan de continuité d'activité. Premier ministre surer la reprise d'un système d'information à un niveau acceptable que si un ...
Audit de la gestion de la dette publique
Chapitre 9 Audit des systèmes d'information sur la gestion de la 3 Statistiques de la dette du secteur public: Guide à l'intention des compilateurs et ...
Institut de
l'Audit InterneGUIDE D'AUDITLES CAHIERS DE LA RECHERCHE
Institut de
l'Audit InterneL'activité Recherche de l'IFACI - Institut de l'Audit Interne -ouverte à tous les adhérents, est l'expression du caractère associatif de l'Institut et concrétise notre devise : " Le Progrès par le Partage ». La Recherche s'organise autour de groupes de travailqui mettent en commun et formalisent leurs réflexions et leurs pratiques sur un thè me ou un sujet propre à un secteur d'activité. Les travaux de ces groupes sont destinés à être diffusés sous de multiples formes auprès du plus grand nombre. Telle est précisément la vocation de la Collection : " Les Cahiers de la Recherche »qui met à la disposition des auditeurs quatre types d'outils : les " Prises de Position »publiées par des instances professionnelles, les " Notes Professionnelles »qui explicitent et commentent ces prises de position, les " Meilleures Pratiques», en France ou à l'international, les " Guides d'Audit » qui définissent un cadre pratique pour la conduite des missions.Étude
du Processus de Management et de Cartographie des RisquesConception,
mise en place et évaluationGroupe Professionnel
Industrie et Commerce
Institut del'Audit InterneÉtude du Processus de Management et de Cartographie des Risques12 bis, place Henri Bergson - 75008 Paris - Tél. : 01 40 08 48 00 - Fax : 01 40 08
48 20Web : www.ifaci.com - E-mail : institut@ifaci.com
Institut Français de l'Audit et du Contrôle Internes. Association Loi 1901 - Siret 775 667 231 00069
The Institute of Internal Auditors
LES CAHIERS DE LA RECHERCHE
GUIDE D'AUDIT
Étude
du Processus de Management et de Cartographie des RisquesConception,
mise en place et évaluationGroupe Professionnel
Industrie et Commerce
Institut de
l'Audit Interne 2 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
REMERCIEMENTS
L'IFACI tient tout particulièrement à remercier les participants du groupe Industrie et Commerce qui ont conçu et rédigé ce cahier : Patrice Barnoux, Directeur du Contrôle des Risques, Mérial ; Frédéric Bel,Chef du Département Qualité/Audit Interne, Primagaz ; Florence Bergeret,Responsable de la Recherche, IFACI ; Pierre de Magnitot,Audit Manager, Giat Industrie ; Rick Floore,Internal Audit Manager, Sodexho Alliance ;Alain Hocquet,Risk Manager, France Telecom ;
Christian Lesné,Consultant, IFACI ;
Rosa Mendes,Auditrice Interne, Michelin ;
Marzio Panelli,Auditeur Interne, Michelin ;
Thomas Puissant,Audit Implementation Manager, Rhodia ; Catherine Veillet-Michelet,Directrice de l'Audit Interne, Bayard Presse ; Christian Zerbi,Responsable de l'Audit Interne, Metro Cash and Carry France. Merci également à Jean-François Dufour, Directeur des Méthodes Audit Groupe, Total, pour sa relecture avisée, ainsi qu'à Emmanuel Du Moulin, Directeur de l'Audit Interne de Saint Gobain, Emmanuelle Leclerc, Auditrice Interne de Bonduelle et Frédéric Robert, Auditeur Interne de Renault, pour leur participation aux échanges aya nt conduit à l'élaboration de ce cahier.Louis Vaurs
Délégué Général
IFACI - Paris - Décembre 2003
ISBN : 2-915051-02-X
Toute représentation ou reproduction, intégrale ou partielle, faite sans le consentement de l' auteur, ou de ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1 er de l'article 40). Cette représen-tation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon sanctionnée par les
articles 425 et suivants du Code Pénal. 3 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
4 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
SOMMAIRE
Résumé ........................................................................ .....7Introduction
1. Le processus de management des risques (PMR) ...............................................10
1.1. Les objectifs du PMR ........................................................................
1.2. Les grandes phases du PMR ........................................................................
2. Les acteurs du PMR ........................................................................
3. Le rôle de l'audit interne dans le PMR ........................................................................
...........183.1. En présence d'un PMR ........................................................................
3.2. En l'abscence d'un PMR ........................................................................
4. La cartographie des risques, élément clé du PMR............................................24
4.1. Définition et objectifs d'une cartographie ........................................................................
4.2. Exemples de risques majeurs en environnement industriel et commercial ............................25
4.3. Exemple : Approche Bottom-up ........................................................................
4.4. Exemple : Approche Top-down ........................................................................
4.5. Une démarche d'auto-évaluation ........................................................................
4.6. La communication de la cartographie des risques ........................................................................
...................40 Conclusion - Gérer les risques liés à la mise en place d' un PMR.......41 5 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
Annexes :
Annexe 1 - Exemples de processus de management des risques.......................................................................44
1.1. Grand groupe multi-filiales et multi-établissements........................................................................
441.2. Groupe de presse de taille moyenne........................................................................
Annexe 2 - Exemple de Business Process Model et de questionnaire de description de processus2.1. Business Process Model........................................................................
2.2. Questionnaire de description de processus........................................................................
...........................50Annexe 3 - Exemples de guide d'audit du processus achat........................................................................
............533.1. En milieu industriel........................................................................
3.2. En milieu commercial........................................................................
Annexe 4 - Risque industriel : la directive Seveso........................................................................
.................................83 Annexe 5 - Glossaire........................................................................ Annexe 6 - Bibliographie........................................................................ 6 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
RÉSUMÉ
Selon la dernière enquête de l'IFACI menée en France, près des deux tiers des entreprises
ayant répondu ont mis en place un processus de management des risques, mais les pra- tiques sont très diverses ; les processus sont dans certains cas peu formalisés et dansd'autres très élaborés. Face à une littérature déjà abondante sur ce sujet mais parfois dispa-
rate, il nous a semblé nécessaire d'écrire un guide aidant à la réflexion puis à l'élaboration
d'un processus de management des risques adapté à un environnement industriel et commercial. Ce guide s'appuie sur les pratiques mises en oeuvre dans une dizaine d'entreprises, grands groupes ou de taille moyenne. Il ne s'agit en aucune manière d'un document normatif. À partir des exemples donnés, il appartient à chaque lecteur de mener sa propre réflexion. Le glossaire figurant en annexe 5 explicite les termes spécifiques au processus de management des risques. La première partiemet en lumière les objectifs et la démarche d'un processus de manage- ment des risques :Les risques de l'entreprise sont identifiés ;
La direction générale (1) et les opérationnels déterminent le ni veau de risques acceptable ; Les contrôles internes sont définis et mis en place afin de réduire ou de gérer les risques ;
Un suivi permanent est effectué, en particulier pour réévaluer périodiquement les risques et l'efficacité des contrôles internes ; Le Conseil (2) et la direction générale sont informés périodiquement des résultat s et enseignements du processus de management des risques. Les rôles et responsabilités des acteurs majeurs du processus sont définis dans ladeuxième partie: le Conseil, la direction générale, les comités spécialisés du Conseil,
l'audit interne, le risk management, le management et les opératio nnels, le contrôleur de gestion et, en tant que prestataires externes, les commissaires aux comptes. Parmi ces acteurs, l'audit interne se distingue par son rôle fonda mental dans le processus de management des risques. En effet, dans le cadre de leurs activités courantes, on attend des auditeurs internes qu'ils identifient et évaluent les risques significatifs. La vision d'en- semble qu'ils ont de l'entreprise et de ses processus les y aide nécessairement.Ce rôle est approfondi dans la troisième partieà l'aide de questions clés liées aux éléments
du processus les plus importants. En l'absence d'un processus de management des risques, quelques orientations sont données pour l'initier (prendre conscience des risques et de l'importance du contrôle interne, promouvoir la démarche, aider l'entreprise à identifier et évaluer les risques et faire évoluer le processus). 7 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
(1) Par direction générale, on entend également comité exécutif, dir ectoire, comité de direction, ... (2) Par Conseil, on entend conseil d'administration, conseil de sur veillance, ... La construction de la cartographie des risques, abordée dans la quatrième partie, est une étape clé du processus. En fonction de la culture et de l'environnement de l'entreprise, deux approches peuvent être adoptées pour élaborer une cartographie des risques : - l'approche bottom up, ou remontée des risques opérationnels vers les risques majeurs, - l'approche top-down, à partir des risques majeurs identifiés pour les différentes parties prenantes. Ces deux approches peuvent se combiner. En effet, il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs cartographies des risques, indépendan tes les unes des autres et qui, de ce fait, ne sont pas obligatoirement consolidées. Un groupe quia des activités ou des implantations géographiques très différentes n'établira pas une
cartographie mais plusieurs. En revanche, dans le cas où les activités et entités opération-
nelles sont proches ou semblables, il est certain que des risques de même nature serontidentifiés et alors agrégés au niveau de la direction générale, avec l'enrichissement apporté
par la vision plus large de celle-ci.La vision des risques de la direction générale est souvent différente de celle des opéra-
tionnels. Il appartient à la direction générale d'établir la cartog raphie des risques majeurs en se basant, certes sur les informations qui lui remontent des opérationnels, via les reporting traditionnels, mais également sur des informations en provenance de l'environnement extérieur. Bien entendu, il est essentiel que ces risques majeurs soient ensuite déclinés en plans d'actions par les opérationnels, à tous niveaux, et qu'ils don- nent lieu à des reporting réguliers.Un acteur dans l'entreprise, qu'il s'agisse du risk manager ou de l'auditeur interne, doit s'assurer de l'harmonisation de ces cartographies.Ceci est une condition préalable à une bonne cohérence entre la stratégie, les objectifs et les
plans d'actions dans l'entreprise. 8 ÉTUDE DU PROCESSUS DE MANAGEMENT ET DE CARTOGRAPHIE DES RISQUESGUIDE D'AUDIT
INTRODUCTION
Selon l'enquête sur l'audit interne menée par l'IFACI en novembre 2002, en partenariat avec Ernst & Young, déjà près des deux tiers des entreprises ayant répondu ont mis en place un processus de management des risques. Il convient d'être prudent dans l'acception donnée à " Processus de management des risques » ; en effet, les échanges auquotesdbs_dbs28.pdfusesText_34
[PDF] QUIZ « METHODOLOGIE » - CORRIGE - Audit interne et référentiels
[PDF] nouvelle definition de l 'audit interne - IMAC Audit
[PDF] LES AUTOMATES PROGRAMMABLES
[PDF] Cours d 'Automatique - le Lias
[PDF] Automatismes industriels - BTS Electrotechnique
[PDF] Nouveaux programmes d 'éducation civique et - unesdoc - Unesco
[PDF] Nouveaux programmes d éducation civique et - unesdoc - Unesco
[PDF] BTS Etude et économie de la construction
[PDF] économie du tourisme - Numilog
[PDF] chapitre iii l 'entreprise : une organisation - Oeconomianet
[PDF] L 'économie monétaire pas ? pas - UVT e-doc
[PDF] Qu 'est ce que l 'éducation financière - Lafinancepourtous
[PDF] COURS NOTIONS DE BASE EN ELECTRICITE
[PDF] Électricité générale
[PDF] Cours de Génie Electrique
[PDF] nouvelle definition de l 'audit interne - IMAC Audit
[PDF] LES AUTOMATES PROGRAMMABLES
[PDF] Cours d 'Automatique - le Lias
[PDF] Automatismes industriels - BTS Electrotechnique
[PDF] Nouveaux programmes d 'éducation civique et - unesdoc - Unesco
[PDF] Nouveaux programmes d éducation civique et - unesdoc - Unesco
[PDF] BTS Etude et économie de la construction
[PDF] économie du tourisme - Numilog
[PDF] chapitre iii l 'entreprise : une organisation - Oeconomianet
[PDF] L 'économie monétaire pas ? pas - UVT e-doc
[PDF] Qu 'est ce que l 'éducation financière - Lafinancepourtous
[PDF] COURS NOTIONS DE BASE EN ELECTRICITE
[PDF] Électricité générale
[PDF] Cours de Génie Electrique
