Académique Documents
Professionnel Documents
Culture Documents
MATRICE DE RISQUE
La matrice des risques est un outil visuel de classification des risques basé sur la relation entre
l'ampleur des risques commerciaux inhérents et de contrôle.
Les risques commerciaux inhérents reflètent le risque intrinsèque existant dans un domaine
d'opération ou une activité particulière entreprise par l'audité. Celles-ci sont généralement
regroupées en au moins trois catégories: faible, moyenne et élevée. On peut également utiliser
des niveaux de granularité plus élevés en fonction de la gravité du risque et de la disponibilité
des informations nécessaires à la granulation à un ordre supérieur.
Les risques de contrôle découlent des insuffisances, des carences et des lacunes des systèmes
de contrôle existants. Ces lacunes contribuent à l'échec probable des processus de contrôle
existants. Les risques de contrôle peuvent également être regroupés en trois classifications:
catégories faible, moyenne et élevée. Une classification peut également être effectuée avec un
niveau de granularité plus élevé.
Les risques inhérents et les risques de contrôle sont représentés dans la matrice des risques
qui est établie comme un produit livrable de l'activité d'évaluation des risques. La matrice des
risques peut être préparée pour chaque activité commerciale et chaque emplacement
commercial. La figure 6.1 explique la constitution de base d'une matrice de risque.
FIGURE 6.1 Matrice des risques
La caractéristique de risque globale pour chaque cellule de la matrice des risques est
indiquée comme suit:
Risque élevé: bien que le risque de contrôle soit faible, le risque inhérent
élevé classe cette cellule comme une zone à haut risque. La combinaison de risque
inhérent moyen et de risque de contrôle moyen a également une classification de zone à
haut risque. De même, un risque inhérent faible complété par un risque de contrôle élevé
attirera une classification de risque élevé.
Risque très élevé: la combinaison d'un risque inhérent élevé et d'un risque
de contrôle moyen fait de cette cellule une zone à très haut risque. Non seulement les
facteurs de risque ont ici un impact négatif potentiellement significatif, mais il y a aussi la
probabilité que le contrôle soit compromis. Une combinaison de risque inhérent moyen et
de risque de contrôle élevé mérite également une classification de risque «Très élevé».
Risque extrêmement élevé: un degré élevé de risque inhérent ainsi qu'un
degré élevé de risque de contrôle classent ces activités comme étant à risque extrêmement
élevé. En plus de l'attention immédiate de l'audit et des examens fréquents, ces domaines
sont les principaux candidats pour une allocation maximale des ressources d'audit.
Risque moyen: Il s'agit d'une zone de risque moyen car le risque de
contrôle est faible bien que le risque inhérent soit de gravité moyenne. La même
classification est attribuée à une combinaison de risque inhérent faible et de risque de
contrôle moyen.
Risque faible: étant donné que le risque inhérent et le risque de contrôle
sont faibles, cette combinaison est classée comme une zone à faible risque. Cette
classification attire le moins de ressources d'audit et a la fréquence d'examen la plus
faible.
L'auditeur des systèmes d'information doit examiner en permanence les risques inhérents à
l'entreprise et contrôler les risques afin de déterminer s'ils démontrent une tendance stable,
croissante ou décroissante. Une tendance croissante à une classification à haut risque suscitera
une attention immédiate de l'audit avec une allocation de ressources proportionnées.
DÉTERMINATION DES
ÉCHANTILLONS DE RISQUE ET
D'AUDIT
L'auditeur des systèmes d'information ne serait généralement pas en mesure d'examiner tous
les actifs du système d'information présents dans l'unité auditée. Par exemple, dans une unité
où il y a quelques centaines de postes de travail, pour évaluer si le contrôle d'accès physique
fonctionne correctement, l'auditeur peut ne pas se rendre sur tous ces postes de
travail. L'auditeur sélectionnerait un échantillon qui représenterait les caractéristiques
générales de l'unité auditée.
L'auditeur est confronté à deux problèmes majeurs: décider de la taille de l'échantillon et
garantir une représentation adéquate lors de la sélection d'un échantillon. Ils sont décrits dans
les paragraphes suivants:
1. Taille de l'échantillon: l' auditeur des systèmes d'information doit décider du nombre
d'unités à examiner de près. C'est ce qu'on appelle la taille de l'échantillon. Dans le
prolongement de l'exemple précédent, la décision à prendre porte sur le nombre d'ordinateurs
à examiner dont on peut raisonnablement s'attendre à ce qu'ils démontrent les caractéristiques
de l'unité entière. Les caractéristiques sur lesquelles l'auditeur doit se concentrer sont les
suivantes:
a. Criticité de la mission: dans le cas des actifs des systèmes d'information, qui sont
essentiels à la mission, la taille de l'échantillon devra être plus grande. La criticité de la
mission doit être déterminée non seulement du point de vue de l'audité en tant qu'entité, mais
également pour les fonctions individuelles. Idéalement, lorsque le nombre de ces actifs dans
un domaine fonctionnel n'est pas très élevé, 100 pour cent de ces actifs devraient être
vérifiés. Habituellement, le nombre d'actifs essentiels à la mission n'est pas très élevé dans
chaque domaine fonctionnel. Les exemples ici incluraient le serveur central, le serveur de
secours, le système d'alimentation alternatif centralisé, l'unité d'alimentation captive, le
serveur de messagerie central, le routeur de réseau, etc. Dans certains cas, par exemple, dans
une banque, même les terminaux du front office peuvent être critiques car leur défaillance
entraverait la fonction commerciale de la banque. Une directive peut être élaborée autour des
quatre thèmes suivants:
i. Lorsque le nombre d'actifs critiques dans chaque domaine fonctionnel est inférieur à 5:
100%.
ii. Lorsque le nombre d'actifs critiques dans chaque domaine fonctionnel dépasse 5 mais est
inférieur à 10: 75%.
iii. Lorsque le nombre d'actifs critiques dans chaque domaine fonctionnel dépasse 10 mais est
inférieur à 20: 50 pour cent.
iv. Lorsque le nombre d'actifs essentiels à la mission dans chaque domaine fonctionnel
dépasse 20: 25 pour cent, sous réserve d'un minimum de 10.
b. Investissement: Un autre critère pour décider de la taille de l'échantillon serait
l'investissement impliqué. On peut noter que la criticité de la mission n'est pas influencée
uniquement par l'investissement financier. En outre, certains actifs peuvent ne pas être
individuellement de grande valeur mais impliquer collectivement des investissements
importants. Il en résulte que la taille de l'échantillon dépend non seulement de l'investissement
total dans le groupe spécifique d'actifs, mais également du nombre d'actifs dans le groupe. Un
guide peut être développé autour des quatre thèmes suivants:
i. Lorsque l'investissement dans le groupe spécifique d'actifs dépasse 25% de l'investissement
total réalisé dans les actifs des systèmes d'information: entre 50 et 100%.
ii. Lorsque l'investissement dans le groupe spécifique d'actifs dépasse 15% mais est inférieur à
25% de l'investissement total réalisé dans les actifs des systèmes d'information: entre 30 et
50%.
iii. Lorsque l'investissement dans le groupe spécifique d'actifs dépasse 5% mais est inférieur à
15% de l'investissement total réalisé dans les actifs du système d'information: entre 15 et
25%.
iv. Lorsque l'investissement dans le groupe spécifique d'actifs est inférieur à 5% de
l'investissement total réalisé dans les actifs des systèmes d'information: entre 5 et 15%.
2. Représentation: L'auditeur essaiera de s'assurer qu'aucune partie des activités de l'unité
auditée ne reste sans audit. L'échantillon doit représenter adéquatement les caractéristiques de
la population. La taille de l'échantillon doit tenir compte de la représentation de toutes les
unités fonctionnelles, de préférence dans la même proportion dans laquelle elles sont
présentes dans l'organisation auditée. Par exemple, si dans une unité auditée 500 postes de
travail sont présents au front office et 250 au back office, la taille de l'échantillon retenu pour
le back office et le front office doit refléter le même ratio.
Selection d'Echantillon
Après avoir décidé de la taille de l'échantillon, l'auditeur des systèmes d'information
déciderait du processus d'identification des objets d'audit spécifiques de la
population. Poursuivant notre exemple, s'il est décidé de vérifier 100 ordinateurs, la prochaine
décision à prendre est de savoir quels 100 ordinateurs doivent être examinés. L'auditeur peut
utiliser diverses méthodes disponibles pour sélectionner les échantillons. L'une des méthodes
de sélection les plus courantes est la sélection aléatoire. Selon cette méthode, l'auditeur décide
d'un nombre de manière aléatoire, par exemple en générant des nombres aléatoires dans un
programme informatique ou même en ouvrant une page dans un livre. Si la valeur choisie est
5, cela signifierait que l'auditeur commencerait par le cinquième poste de travail de la liste et
examinerait chaque cinquième élément qui s'y trouve, par exemple le 5ème élément, le 10ème
élément, le 15ème élément, etc. Ce cycle se poursuivrait jusqu'à ce que le nombre d'éléments
observés atteigne la taille de l'échantillon de 100. Tout manuel standard de statistiques
fournira des informations utiles sur le sujet.
L'auditeur des systèmes d'information doit reconnaître que plus la taille de l'échantillon est
petite, plus grande est la possibilité qu'une erreur, y compris une erreur significative, ne soit
pas observée par l'auditeur. C'est ce qu'on appelle le risque d'audit, et une façon de le réduire
consiste à augmenter la taille de l'échantillon. L'auditeur des systèmes d'information doit
décider de l'étendue du risque d'audit tout en décidant de la taille de l'échantillon. Il faut
reconnaître qu'un élément de risque d'audit sera toujours présent.
Certains des principaux termes utilisés dans l'évaluation des risques d'audit sont décrits ci-
après.
Risque inhérent: il s'agit de la propension des actifs du système d'information ou des
ressources contrôlées par les systèmes d'information à compromettre matériellement la
sécurité de l'information, en l'absence de contrôles internes. Il convient de noter que les
contrôles internes sont utilisés pour atténuer les risques et qu'il peut y avoir des cas où aucun
outil d'atténuation n'est disponible ou où le coût de déploiement de l'outil d'atténuation
l'emporte sur les avantages qui en découlent. Des exemples de risques inhérents incluent la
possibilité d'une infection virale lors de la communication par e-mail. Cette évaluation doit
être faite sans tenir compte de l'impact potentiel de l'atténuation du contrôle.
Risque de contrôle: il s'agit du risque que les contrôles mis en œuvre pour atténuer le risque
inhérent soient correctement conçus et fonctionnent efficacement. Des exemples de
conception adéquate du contrôle interne incluent l'existence d'un logiciel antivirus pour
prévenir une épidémie de virus, mais les cas où le logiciel n'est pas tenu à jour est un exemple
de fonctionnement inefficace du contrôle interne.
Évaluation combinée des risques: il s'agit de l'impact global du risque inhérent et du risque
de contrôle. On peut rappeler que ce sont les deux composantes de la matrice des
risques. Cette évaluation se poursuit pour définir la classification des risques.
Risque de détection: il s'agit de la possibilité qu'une erreur, en particulier une erreur
matérielle, ne soit pas constatée par l'auditeur lors de l'audit des systèmes d'information.
Risque d'audit: il s'agit de l'impact global du risque combiné d'évaluation et de détection des
risques conduisant l'auditeur à se forger une opinion erronée et à faire une anomalie. Pour
réduire le risque d'audit, l'auditeur des systèmes d'information doit tenter de réduire le risque
de détection et identifier le risque de contrôle que l'audité doit tenter de réduire.
Après avoir défini la mesure sur l'échelle de risque à l'aide de valeurs numériques, la phase
suivante consistera à concevoir une matrice qui définira les zones de risque en multipliant les
valeurs numériques sur les deux axes. La matrice de mesure des risques est présentée dans
le tableau 6.2 .
TABLEAU 6.2 Matrices de mesure des risques