Vous êtes sur la page 1sur 11

ETAT D’AVANCEMENT SUR LA PROTECTION DE L’INFORMATION

FINANCIERE

Introduction :
Le secteur financier contient plusieurs des flux entrants et sortants et des transactions
financières et monétaires à travers lesquelles se réalise une création de richesse et faire
fonctionner une économie. C’est pour cela ce secteur connue une explosion des institutions
financières et de micro finance, cet essor est le reflet de la confiance qu'a la population et
spécialement les clients de ce secteur. Les opérations devenant de plus en plus complexes
qu’il s’agit la collecte de l'épargne, l'octroi des crédits, le virement entre agences et etc … les
dirigeants devraient avoir l'obligation légale et morale de sécuriser davantage les transactions,
en reflétant la confiance, non seulement de la direction, mais aussi et surtout de leur clientèle ;
cela avec prudence dans la gestion courante des opérations, en minimisant les risques
possibles et cela ne peut être réalisé que par un outil à même de garantir l'efficacité et
l'efficience du système de gestion stratégique et opérationnelle.

Si plusieurs institutions de finance sont en train de naître et croître, d'autres par contre
menacent de fermer leurs portes. Plusieurs raisons, selon les observateurs avertis, seraient à la
base de cette fermeture entre autres : la gestion opaque, le détournement et principalement le
manque d'outils performants pour une parfaite maîtrise des risques.

Ainsi, la cartographie des risques est devenue un outil incontournable pour ces types
d'organisations, il permet aux dirigeants d'avoir une meilleure visibilité sur les zones de
vulnérabilité qui constituent une menace contre les performances de leurs structures.

L'objectif ultime de la cartographie est bien la maîtrise des risques inhérents à l'activité de
l'entreprise pour la conduite de ses opérations de la façon la plus efficiente et sécurisée
possible.

Il est par conséquent crucial que chaque entité, surtout les grands réseaux, puisse mettre en
place cet outil qui est très recommandé pour une gestion « saine ».

La notion du risque dans une entreprise :

Les risques sont le résultat d'actions humaines et ne sont pas lié au hasard. S'ils sont bien
compris, ils peuvent être limités, voir éliminés.

Tout événement ou action pouvant empêcher d'atteindre les objectifs fixés ou d'appliquer la
stratégie d'entreprise est considéré comme un risque.

«  Les risques d’entreprise sont tous les évènements pouvant survenir et qui sont de nature à
réduire sa rentabilité, voire à remettre en question son existence. Il peut s’agir de menaces qui
se réalisent, d’erreurs de gestion ou de prévisions ou encore de la survenance d’aléas
défavorables » (Bressy, 2004)
 Le risque financier :

Le risque financier se définit comme le risque de perdre de l’argent à la suite d’une opération
financière (exemples : un placement de capitaux en vue d’un gain monétaire, un emprunt
bancaire) ou d’une opération commerciale ayant une incidence financière (par exemple, un
achat ou une vente à crédit ou en devise étrangère). L’instabilité des marchés financiers a
rendu nécessaire une bonne gestion des risques financiers pour tout dirigeant d’entreprise

Typologie de risque :

Typologie selon Risque spéculatif


Risque pur
l’origine des
risques:

La typologie Risque financiers / marketing/


RH/ operationnels/ marketing/
basée sur les informatique/ juridique /
fonctions de organisationnels
l’organisation

 Risque spéculatif (normal) pris par le décideur à l’occasion d’un acte de gestion dans
le but d’obtenir un gain, tout en sachant que dans certains cas (informations
incomplètes ou biaisées, excès de confiance en soi, etc.)

Exemple : Risque spéculatif (management) :

Risques d’organisation : •Problème de transfert du savoir /•Concentration excessive du


savoir /•Manque de créativité des managers

Risques de ressources humaines : •Incompétence, formation inadaptée du


personnel /•Difficultés de recrutement (région, formation, salaires)

 Risque pur, ou statique, ou accidentel, ou encore aléatoire, se manifeste généralement


de manière inattendue, soudaine et brutale. Son issue est toujours un dommage et une
perte.

Exemple :
Risques projet endogènes : •Démotivation /•Technologie non maitrisée / •Absence de
transparence ;

Risques projet exogènes (risques industriels) : •Mauvais positionnement du rôle de


l’entreprise vis-à-vis des industriels (organisation, spécifications techniques) / • Nouveauté de
l’industriel dans le domaine de l’activité, monopole industriel ;

Risques sauvegarde : •Opérations dommageable sur les personnes, les biens et


l’environnement ;

La typologie basée sur les fonctions de l’organisation :

Risques financiers : changements dans le taux d’intérêt, le change, le crédit, la valeur de


l’instrument financier et la liquidité : Le risque financier est celui qui paraît le plus évident,
dans la mesure où tout dommage s'accompagne en principe d'une perte et d'une réparation
(pour certains, les entreprises ne connaissent qu'un risque, celui de perdre de l'argent).Il se
définit comme l'événement aléatoire pouvant avoir un impact sur le résultat de l'entreprise et
pouvant affecter son patrimoine. Le risque financier est un risque initial pouvant entrainer à
son tour l'occurrence d'autres risques.

Les quatre risques les plus courants et qui intéressent les PME et PMI sont les risques de
liquidité, le risque d'impayé, le risque de change et le risque de taux.

Le risque de liquidité est une carence de trésorerie afin de faire face à des besoins de
moyenne échéance. Ces besoins peuvent être des échéanciers de remboursement de crédit, des
dettes fiscales ou sociales ou des dettes fournisseurs. Le risque de liquidité peut s'analyser en
tant que risque d'exploitation, endettement mal maitrisé ou BFR très important.

Le risque d'impayé constitue un risque financier majeur, son impact est immédiat outre la
perte de chiffre d'affaires l'entreprise ne dispose pas de compensation des charges engagées
(main d'œuvre, matières premières, frais de distribution etc.) la gravité de l'impayé dépend de
la dépendance de l'entreprise à ce client, un seul client représentant 50 % du chiffre d'affaires
constitue un risque financier potentiel.

Le risque de change est lié à l’éventualité de pertes causées par l’évolution des taux de
change. Il provient du fait qu'une partie des échanges est libellée en devise étrangères.
Les variations du cours de ces devises contre la monnaie nationale entrainent des plus ou
moins-values susceptibles de peser sur les résultats. Les entreprises travaillant à l'export sont
plus exposées à ce risque.

Le risque de taux résulte de la présence de taux variable dans les divers contrats que souscrit
l'entreprise. Quand l'entreprise est endettée à taux variable la charge d'intérêt peut augmenter
si les taux augmentent.2(*) Ce risque est plus important pour les entreprises les plus endettées.

 Risques financiers spécifiques à l'industrie bancaire

Les entreprises bancaires fabriquent un bien sensible, la monnaie et sont à ce titre au coeur du
système de financement, de paiement ainsi que de la politique monétaire. Elles font partie
d'un système dont la stabilité est essentielle à celle de l'économie dans son ensemble.
La réglementation a laquelle elles sont soumises est ambigüe, ou du moins délicate.
Le risque est le propre de l'activité bancaire et financière, la situation et la stratégie des
banques à son égard ont considérablement évolué du fait du repli de l'intermédiation bancaire
classique et du redéploiement des banques sur les activités de marchés de capitaux.
Additivement aux risques PME/PMI, les risques bancaires sont les suivants :
Le risque de crédit est le risque qui pèse sur la banque en sa qualité de prêteur et susceptible
de ne pas être remboursé. Il désigne le risque de perte due au défaut d'un emprunteur sur un
engagement. La perte peut être due au défaut d'un emprunteur sur une créance de type : Prêt
bancaire, obligation, titre de créance négociable, créance commerciale.

Le risque opérationnel provient de dysfonctionnements de la banque. Il recouvre plusieurs


types de risques : risque de fraude, d'erreur humaine, risque juridique, risque technique. La
dimension technique est de plus en plus importante compte tenu de la technicité croissante de
la banque et donc de sa sensibilité aux systèmes informatiques.

Risques ressources humaines : (de compétences d’harcèlement et de stress)

Risques marketing :(Risque d’image- Risque de marché)

Risques juridiques : (Liés à la responsabilité civile- d’évolution de règlements)

Risques opérationnels :(Risque incendie, de dégâts des eaux -Risque de matières premières) 

Risques informatiques : (Risque de malveillance et de fraude Risque d’incident et de virus)

Risques organisationnels :(Risque d’organigramme et de responsabilités ; Risque de


délégation et mandats)

I. Identification, élaboration et évaluation de la gestion des risques

La gestion des risques constitue un ensemble de concepts, de démarches et d'outils destinés à


identifier et à contrôler les risques qui pèsent sur la vie de l'entreprise afin de les réduire et de
rechercher la meilleure couverture possible. La gestion des risques s'inscrit dans la politique
générale de l'entreprise notamment la politique qualité, sécurité et environnement qui est
devenu un aspect stratégique pout toute organisation.

L’identification des facteurs de risques et la mise en œuvre de leur gestion efficace se sont
affirmées comme des préoccupations centrales pour l’entreprise, qui cherche à préserver son
capital financier, savoir et réputation.

Bien qu’ancienne dans la banque et l’assurance, la fonction management de risque est


cependant relativement jeune dans l’entreprise.

Le management des risques est la discipline qui s’attache à identifier et à traiter avec méthode
les risques auxquels s’expose l’entreprise, quelles que soient la nature ou l’origine de ces
risques.
Cette gestion s’opère de manière transversale dans l’organisation, en intégrant à la stratégie de
l’entreprise les facteurs de risques susceptibles d’affecter les décisions, en évaluant et en
couvrant ces risques dans le cadre d’une gestion financière rigoureuse, et en déployant, par la
prévention, une veille active ciblant chaque type de risques (politique, juridique, commercial,
industriel, social, environnemental, etc.).

L’entreprise a vu émerger au cours des dernières années, un cadre de référence qui intègre le
Management de risque dans un dispositif de contrôle interne malgré un cloisonnement
persistant entre le risque financier, le risque opérationnel et le risque stratégique.

De même, l’émergence de solutions innovantes issues de la digitalisation de l’économie, de


la dématérialisation des biens et services, et des technologies de l’information (objets
connectés, capteurs et alarmes, Cloud computing, Big data, analyse sémantique et Data
science) ouvrent de nouvelles voies au traitement des risques, non sans poser de nouveaux
problèmes (intrusion dans la vie privée, vulnérabilité accrue des systèmes d’information et
cybercriminalité).

En conséquence, et depuis une vingtaine d’années, la gestion des risques n’a cessé de se
développer dans toutes les organisations humaines  (Institutions publiques, Banques,
Assurance, Corporate, Sociétés de conseil).

Elle s’est structurée comme une fonction propre, avec ses comités de surveillance et de
pilotage, ses responsables directs et ses procédures et contrôles internes. Les dernières années
ont été fécondes sur le plan institutionnel pour la gestion des risques : publication du cadre de
référence de l’AMF, mise à jour de l’ISO 31000 et de COSO 2, accélération des réformes
dans les secteurs de la banque (Bâle 3) et de l’assurance (Solvabilité 2).

Tous ces développements confirment la ferme volonté des régulateurs, normalisateurs et


autorités de tutelle de donner un cadre cohérent et harmonisé à la gestion des risques. Le
métier d’un manager de risque a également été souvent cité dans les médias
spécialisés (presse technique et économique, revues professionnelle, Internet) comme une
profession en plein essor.

Le processus de management des risques


L’efficacité du management des risques de l’entreprise passe par la distinction de trois
niveaux reliés entre eux.

Le premier niveau concerne les relations qui doivent exister entre les différentes structures
composant l’organisation. L’organisation peut être centralisée ou décentralisée. Ce qui
importe c’est de mettre en place une organisation efficace qui passe par la définition formelle
des responsabilités, des pouvoirs et des procédures d’exécution et de contrôle sans toutefois
perdre de vue le système de délégation qui doit exister à tous les niveaux de responsabilité.
Les processus constituent le deuxième niveau de l’ossature du management des risques
d’entreprise. Il s’agit des processus d’estimation, de formalisation et d’exploitation des
risques qui doivent nécessairement être décrits. Le troisième niveau de l’ossature du
management des risques d’entreprise concerne les actions, c’est-à-dire, les activités de
contrôle, le système de surveillance, d’information et de communication. Si ces trois niveaux
sont établis, la mise en place d’un programme de management des risques se trouve facilitée.

Les Processus d’implantation du management des risques d’entreprise


Un management de risques comporte trois processus : l’évaluation des risques, leur
formalisation et leur exploitation. C’est ce qu’illustre la figure ci-dessous :

Ces processus constituent une partie de l’ossature pour une approche rigoureuse d’estimation
et de reporting des risques susceptibles de compromettre la réalisation des objectifs de
l’organisation. Cette approche présente des opportunités qui permettent d’exploiter des
éventuels avantages concurrentiels. Si les processus permettent d’identifier les risques, il
convient alors de les évaluer.

. L’évaluation des risques

L’évaluation des risques comporte trois étapes : l’identification des facteurs, leur classement
par priorité et leur classification. C’est ce qu’illustre la figure .

Si cela est fait correctement, l’évaluation des risques peut corréler tout risque qui pourrait
dépendre les uns des autres et éviter ainsi les pertes de temps ou des doublons. L’attention et
les moyens pourraient donc être utilisés pour les risques qui en valent vraiment la peine.

C’est à la fonction de l’évaluation des risques d’examiner et de déterminer la probabilité


d’occurrence ou de survenance d’un évènement.
La première étape consiste à identifier les évènements. Un évènement est simplement un
incident ou un fait qui pourrait affecter la mise en œuvre d’une stratégie ou la poursuite d’un
objectif. Il peut exister plusieurs évènements.

Certains peuvent avoir un impact négatif et d’autres, un impact positif. Les risques peuvent
être dus à des facteurs externes (facteurs d’ordre économique : changement du niveau de
compétition, des forces du marché, de l’économie ; d’ordre naturel et environnemental :
catastrophes naturelles ; d’ordre politique : changement de gouvernement, de législation ;
d’ordre social : changements démographiques, de priorités sociales ; d’ordre
technologique : virage technologique) ou internes (l’infrastructure : réparations inattendues,
problèmes ; le personnel : accidents de travail, grèves ; les processus : problèmes de qualité,
technologie).

Cette phase constitue le premier pas vers l’identification et l’évaluation des risques. Les
facteurs de risques sont des évènements ou des variables pouvant aggraver un risque. Perdre
des parts de marchés est un risque. Mais ne pas y être préparé est un facteur de risque. Une
revue des stratégies de l’organisation, des plans de financement et des opérations donnera des
indices quant aux facteurs de risques qui peuvent être associés. Une approche top-
down (allant des supérieurs hiérarchiques aux subordonnés) est utile dans ce contexte. Une
analyse qualitative utilisant des données passées et récentes peut être aussi utile pour identifier
ces facteurs qui pourraient affecter la réalisation des objectifs fixés par l’entreprise. Le rapport
sur les opinions des cadres est fréquemment utilisé à cette étape au même titre que des
analyses prévisionnelles.

La deuxième étape de l’évaluation des risques privilégie les facteurs de risques. Cette étape
suppose le regroupement et le détail de l’information relative à chaque facteur de risque. Le
processus doit prévoir la probabilité, la fréquence, la prédictibilité et les effets potentiels sur
les indicateurs clés de performance de ces facteurs. Un jugement subjectif combiné à un
modèle mathématique comme l’actualisation est utile pour rechercher l’impact potentiel du
risque sur la stratégie de l’entreprise, sa croissance, sa réputation, ses ressources humaines ou
ses systèmes.

La dernière étape dans l’évaluation est la classification des risques. Elle suppose que l’action
d’identification nécessaire soit bien définie.

Ainsi un schéma de classification relatif aux actions prévues serait d’une grande utilité. Le
plan de classification analyserait les facteurs de risques tant du point vue opérationnel que
stratégique (ou bien en termes de contrôle et de stratégie).

Les facteurs de risques gérables sont ceux qui découlent d’un environnement dans lequel
l’entreprise est déjà habituée. Les compétences et les savoir-faire qui sont requis pour
résoudre les problèmes sont déjà disponibles au sein de l’organisation. Des exemplaires de ce
type de risque peuvent être le département Recherche & Développement qui ne parvient pas à
élaborer de nouveaux produits ou à résoudre un problème avec des clients insatisfaits.
Les facteurs de risques stratégiques sont ceux qui découlent de l’environnement peu familier à
l’entreprise. Les ressources et les capacités à résoudre ce genre de problème peuvent ne pas
être en place. La prise en mains de ce genre de situation peut nécessiter un changement dans
la direction de la stratégie ou une nouvelle orientation dans l’allocation des ressources en
capital.

La formalisation des risques

L’étape suivante du processus de management des risques d’entreprise implique la


formalisation des risques. Cela implique l’utilisation des méthodes scientifiques telles que les
techniques de recherche opérationnelle. Il est nécessaire de quantifier les différents facteurs de
risques qui ont été identifiés dans les analyses précédentes.

La formalisation des risques comporte quatre étapes. Il s’agit de :

  modéliser les différentes sources de risques ;

  les lier à des mesures financières ;

  développer un portfolio des stratégies pour remédier à ces risques ; et

  optimiser les investissements avec ce portfolio des stratégies.

La première étape nécessite différentes approches qui seront fonction de la nature des facteurs
de risques. Pour certains, une action banale peut être tentée. Pour les risques assurés ou des
risques qui peuvent être facilement réduire sur les marchés financiers, ils peuvent être
modélisés en utilisant des méthodes statistiques basées sur des données historiques. Pour des
risques d’entreprise dans son ensemble, une évaluation probabiliste basée sur les avis des
cadres et d’experts peuvent être élaborées. Finalement, cette partie de l’analyse, encore basée
sur les avis d’experts doit déterminer et modéliser les relations entre les sources de risques.

La deuxième étape dans la formalisation des risques consiste à lier les facteurs de risques à
des indicateurs financiers comme le cash-flow. La distribution probabiliste de la deuxième
étape est ajoutée au modèle financier pour qu’une mesure de la volatilité et de la rentabilité
financière soit obtenue. Cela permet aussi l’analyse de l’impact de la gestion à travers une
série de scénarii hypothétiques.

La troisième étape implique la réalisation d’un portfolio de stratégies de traitement de risques.


Il s’agit de déterminer les manières de réduire les risques. A travers des séances de
brainstorming entre experts, il est possible de trouver des moyens de réduire ou d’éliminer
certains risques sur les marchés financiers notamment. Tout choix stratégique doit s’appuyer
sur une analyse coût/ bénéfice. La littérature utilise l’exemple du cash-flow. L’allure de la
distribution probabiliste du cash-flow peut être modifiée en augmentant la valeur
prédéterminée de cash-flow, ou en abaissant les variations attendues de la valeur de la
variable ou en utilisant des mesures pour réduire l’impact des risques lors des plus pessimistes
scénarii. A partir de cette analyse, des simulations peuvent être réalisées pour chaque
combinaison de stratégie.
La quatrième et dernière étape dans le processus de formalisation est l’« optimisation de
l’investissement à travers des stratégies correctives ». Il en résultera un management des
risques orienté budget qui reflètera une allocation efficace des ressources du Management des
risques d’entreprise selon le niveau des risques identifiés précédemment. Les contraintes
budgétaires et les objectifs de l’entreprise peuvent s’opposer aux modèles probabilistes
développés dans le processus de formalisation des risques.

L’exploitation du risque

La phase finale du processus de management des risques est l’exploitation des risques. Ce
titre suppose que le risque peut être considéré à la fois comme une menace et une
opportunité. Pour vraiment exploiter le risque, le management doit mettre sous tension les
sources de risques. La connaissance ou l’identification des risques constitue en soi, pour
l’entreprise, un avantage comparatif. En effet, le risque peut représenter une menace pour la
compétitivité de la firme. Ensuite, une entreprise peut être capable de manager les risques
mieux que les concurrents. A tous les niveaux, l’exploitation des risques entraine une réponse.
Il n’y a pas une mais plusieurs réponses aux risques comme l’illustre la figure :

La stratégie d’évitement consiste pour le management de stopper ou de réduire l’activité qui


favorise le risque. Par exemple, l’entreprise refusera d’entrer sur un marché ou de fermer une
usine. Une autre stratégie peut être adoptée consistant à se partager le risque.

Le partage du risque : Il y a plusieurs façons de partager le risque relatif au management.


L’assurance, la mutualisation sont des exemples d’une telle approche. Par ailleurs, la
probabilité ou l’impact du risque peut être ou transférer.

L’acceptation du risque : le management a le choix d’accepter la probabilité ou l’impact d’un


risque donné. Il est bon de préciser que l’évaluation des réponses à apporter au risque est un
processus. Les risques découlant de chaque réponse doivent être évalués à leur tour. Mais
toute politique de management de risque suppose un système d’information et de
communication adapté et le pilotage par l’organisation.

Une politique ou un programme de management de risques d’entreprise n’exige que


l’entreprise dispose à la fois d’informations pertinentes et d’un système de communication.
L’information pertinente pour les besoins de l’organisation doit être relevée et identifiée et
doit être transmise aux acteurs internes de l’organisation pour qu’ils puissent faire face à leurs
responsabilités. Ainsi, les décideurs prendront des bonnes décisions par rapport aux risques et
aux objectifs de l’organisation. Pour y parvenir, le système d’information doit traiter à la fois
des données externes et internes. En plus, le système doit contenir à la fois des données
historiques et des données actuelles.

Les informations fournies par le système d’information doivent être adaptées aux besoins de
l’organisation afin d’identifier, d’évaluer et de répondre aux risques.

La prise en compte des données historiques est nécessaire pour des tâches telles que
l’évaluation des risques. L’information transmise doit être aussi à jour et bien sûr, précise.
L’information doit être aussi communiquée. Les tâches et responsabilités des employés
doivent leur être communiquées pour qu’ils sachent ce qu’ils doivent faire. La communication
doit être établie de manière à ce que chacun ait conscience de ses responsabilités et de ce qui
est attendu de lui. Cela s’applique, bien entendu, aux employés agissant au niveau individuel
ou comme membre d’un groupe de travail. Ce qui est important, c’est que la communication
soit capable de transmettre un résumé clair de la philosophie de gestion des risques pour
l’entreprise et pour chaque membre de l’organisation dans le cadre du programme de
management des risques. Cela peut être accompli avec l’utilisation de divers médias.
L’entreprise peut choisir d’utiliser des manuels, des notes de service, des vidéos, conférences
ou des présentations. Tout cela doit faire partie de la communication interne mais aussi de la
communication externe à double sens entre l’entreprise, ses clients, ses fournisseurs et
l’ensemble des acteurs pouvant avoir un rôle à jouer dans l’atteinte des objectifs de
l’organisation.

Etablir un programme de gestion des risques est une chose ; s’assurer qu’il fonctionne en est
une autre. C’est le devoir (rôle) du monotoring. Il doit y avoir des procédures en place dans
l’organisation pour évaluer de façon continue la présence et le fonctionnement de tous les
composants du management de risques d’entreprise. Le monotoring peut être réalisé soit avec
l’emploi d’activités récurrentes soit à travers l’utilisation d’évaluations périodiques de
différentes activités. Ces deux approches peuvent, bien entendu, être judicieusement
combinées. Aucun nombre d’activités de monotoring n’est précisé pour assurer le
fonctionnement du programme du management des risques d’entreprise. Néanmoins, le
rapport du COSO suggère une série d’activités qui suppose :

  que les variances entre résultats réels et budgétés soient vérifiés par des managers
compétents pour voir s’il y a des lacunes dans l’anticipation des risques ;

  que des modèles de « value-at-Risk » soient utilisés pour déterminer si les centres de
responsabilité ou départements fonctionnent en utilisant des tolérances de risques
précédemment planifiées et identifiées. ;

  que des informations externes générées par des clients ou des fournisseurs peuvent
aussi utilisées pour confirmer ou infirmer d’autres informations externes ;

  que des informations sur les processus de management des risques et leur
fonctionnement peuvent aussi être obtenues par des dispositifs qui peuvent avoir des
répercussions sur le respect de l’organisation avec ses statuts et ses règlements ;
  une revue continue des processus par les auditeurs internes et externes de
l’entreprise ;

  que des séminaires de formation et des entretiens de groupe ou individuels peuvent


créer un certain intérêt pour les travaux du management des risques d’entreprise et
constituer un catalyseur pour le processus et son fonctionnement.

Un contrôle très efficace de l’activité peut conduire à une comparaison et une corrélation des
différentes données. Une comparaison entre les données opérationnelles et financières peut
révéler certaines anomalies. L’ensemble du processus de management des risques et en
particulier la partie consacrée à la réponse au risque dépend en grande partie du système
d’information de l’entité. Ainsi, tous les contrôles liés à la réponse au risque de l’entité
doivent accorder une grande importance au système d’information. Les décisions qui sont
prises, les actions sur le point d’être réalisées, la performance qui est évaluée et l’atteinte ou
non des objectifs annoncés par rapport aux informations données par le système d’information
de l’entité doivent être intégrés au système d’information. L’activité de contrôle va inclure à
la fois des contrôles généraux et des contrôles particuliers. Des contrôles généraux incluent
ceux qui relèvent du management et de l’infrastructure du système d’information, de la
sécurité, du développement et de la maintenance des programmes. Pour réaliser ce genre de
test, il convient de se munir de la documentation disponible afin de contrôler la fiabilité du
nouveau système. Les modifications sur le système de sécurité peuvent être appréciées en
s’assurant de l’existence des procédures d’accès mises en place. L’assurance quant à
l’exhaustivité, l’autorisation et la validité des informations lors de la saisie et du traitement est
l’objectif du contrôle du système d’information. Quelques contrôles utilisables par l’entreprise
concernent notamment l’utilisation des techniques de comparaison et le rapprochement des
données nouvelles avec des données informatiques, le contrôle de vraisemblance, les tests de
logique sont autant de contrôles qui peuvent être utilisés pour vérifier les données
informatiques. D’autres contrôles, plus spécifiques, devront être mis en place, en rapport avec
les stratégies, les objectifs et les secteurs d’activité de l’entreprise. Les contrôles doivent
refléter et correspondre à l’environnement dans lequel l’entreprise évolue. Variées ou
hautement pointues, les diverses activités peuvent nécessiter des contrôles plus élaborés que
ceux qui pourraient correspondre à des activités plus générales et moins complexes. Les
risques auxquels l’organisation pourrait être exposée vont aussi définir la nature et la
complexité du contrôle à mettre en place ou requis. Davantage d’informations au sujet du
contrôle de l’information et des comptes peuvent être obtenues par de nombreux tests. Le
management des risques doit s’inscrire dans le cadre plus global de la gouvernance de
l’entreprise.