Vous êtes sur la page 1sur 11

Chapitre Six

Audit des systèmes basé sur


les risques
CE CHAPITRE INTRODUIT LE concept d'audit des systèmes d'information basé sur les
risques. En cas de contrainte de ressources, un auditeur des systèmes d'information peut être
amené à revoir de manière sélective certaines fonctions de l'audité. En fait, même lorsqu'il n'y
a pas de pénurie de ressources, l'auditeur peut avoir besoin de parvenir à une utilisation
optimale des ressources déployées. À l'issue de ce chapitre, nous devrions être en mesure de
hiérarchiser les différentes fonctions en fonction de leur criticité des risques et de concevoir le
programme d'audit de manière à pouvoir nous concentrer davantage sur les domaines
critiques.

RÉALISATION D'UN AUDIT DES


SYSTÈMES D'INFORMATION FONDÉS
SUR LES RISQUES
Un audit des systèmes d'information basé sur les risques comprend, en plus des tests de
logique et de transaction, une évaluation des risques ancrés dans les systèmes de gestion et les
procédures de contrôle établies dans diverses opérations. Dans le cadre d'un audit des
systèmes d'information basé sur les risques, l'accent passe d'un test exhaustif à un système
guidé par l'identification des risques, la hiérarchisation des objets d'audit en fonction des
risques identifiés et l'allocation des ressources d'audit en fonction de l'évaluation des
risques. Ainsi, les critères de sélection d'un objet d'audit passent de la fonctionnalité d'un tel
objet au risque associé à sa défaillance. Un audit des systèmes d'information selon une
approche fondée sur les risques donne une plus grande assurance que l'entité est suffisamment
adaptée pour faire face aux risques auxquels ses systèmes d'information sont exposés.
Un audit des systèmes d'information basé sur les risques comprend les cinq étapes
suivantes:
1. Profilage des risques: l' auditeur des systèmes d'information démarre le processus d'audit
en dressant le profil des risques dans divers domaines fonctionnels de l'audité. Le profilage est
basé sur les enregistrements disponibles et les informations provenant de diverses sources, y
compris, mais sans s'y limiter, les suivantes:  
a. Rapports d'audit externe et interne.
b. Tendance de l'industrie et autres facteurs environnementaux.
c. Temps écoulé depuis le dernier audit.
d. Propositions de changements de secteur d'activité susceptibles d'introduire de nouveaux
risques que l'audité n'a pas encore rencontrés.
e. L'auditeur évaluerait la probabilité et l'exposition aux risques auxquels l'audité est confronté
en examinant les éléments suivants:
i. Rapports d'audit antérieurs.
ii. Constatations d'audit antérieures et mesures prises à leur sujet.
iii. Volume d'affaires.
iv. Contrôles internes et environnement de contrôle.
v. Qualité et expérience de la direction.
vi. Complexité des affaires gérées par l'audité.
2. Conduite d'une évaluation des risques: l' auditeur des systèmes d'information basé sur
les risques entreprendrait une évaluation des risques essentiellement pour élaborer le plan d'un
audit des systèmes d'information basé sur les risques. Dans le cas contraire, la fonction
d'évaluation des risques examinerait, en tant qu'activité indépendante, divers processus en
place pour identifier, mesurer, surveiller et décider du niveau acceptable de risques. L'audité
doit concevoir en interne une méthodologie d'évaluation des risques, avec l'approbation du
conseil d'administration, en tenant compte de la taille et de la complexité des activités
entreprises par l'organisation. Dans le cas où une méthodologie d'évaluation des risques est en
place, l'auditeur des systèmes d'information peut l'utiliser après s'être assuré de l'efficacité de
la conception et du fonctionnement du processus. Le processus d'évaluation des risques
comprendrait, au minimum, les éléments suivants:  
a. Identification des risques inhérents à divers systèmes et activités entreprises par
l'audité. Les risques inhérents sont les risques que l'organisation doit accepter pour exercer
son activité ou son service.
b. Évaluation de l'efficacité des systèmes de contrôle conçus pour surveiller et gérer les
risques inhérents identifiés. Toute entreprise formule une stratégie interne pour faire face au
risque, qui comprend la mise en place de mécanismes de contrôle pour maintenir l'exposition
au risque dans une limite définie. Par exemple, l'audité peut décider qu'il cherchera à
maintenir la durée maximale d'une panne de réseau à une minute. Afin d'atteindre le même
objectif, l'audité investit dans une connectivité réseau secondaire parallèle qui sera activée en
cas de panne du réseau principal. Le fait qu'un réseau primaire puisse tomber en panne est un
risque inhérent et la mise en place de la ligne redondante est un mécanisme de contrôle pour
limiter l'exposition au risque. La possibilité que la connectivité du réseau parallèle échoue
simultanément est un exemple de risque résiduel. L'étude formelle de la probabilité de tels
échecs de contrôle est connue sous le nom d'évaluation des risques de contrôle.
c. Le remplissage d'une matrice des risques implique l'utilisation des risques commerciaux et
de contrôle inhérents comme axes horizontal et vertical de la matrice. Diverses expositions
aux risques sous-jacents sont tracées par rapport à ces axes. Une échelle couramment utilisée
est de trois (haute, moyenne et basse) bien qu'une organisation puisse utiliser une autre
échelle granulée. Dans ce contexte, il est important de détailler la spécification de la base de
stratification du risque inhérent et de contrôler le risque dans les catégories élevée, moyenne
et faible. Différentes cellules de la matrice décrivent les facteurs de risque en fonction de leur
probabilité d'émergence. Un auditeur des systèmes d'information donnera la priorité aux
facteurs de risque qui présentent un risque inhérent élevé et un risque de contrôle élevé
comme étant critiques et procédera à la recherche des facteurs les moins critiques décrits par
un risque inhérent faible et un risque de contrôle faible. On peut noter qu'une matrice des
risques peut également être remplie à l'aide de différents composants. Une discussion détaillée
sur la création d'une matrice des risques est fournie plus loin dans le chapitre.
3. Hiérarchisation des audits: le plan d'audit annuel doit être approuvé par la direction. Le
plan devrait inclure les éléments suivants:  
a. Calendrier et justification des travaux d'audit prévus.
b. Reconnaissance des zones à risque.
c. Audit de la priorisation des zones de risque en fonction du niveau et de la direction du
risque. La direction du risque est évaluée en comparant la matrice des risques de deux
périodes différentes et en examinant leur mouvement d'une cellule à l'autre. Par exemple, si
un facteur de risque passe d'une coordonnée élevée à élevée de la matrice de risque à une
coordonnée élevée à moyenne, la tendance du risque sera décrite comme «décroissante».
d. La base de la classification des tendances des risques commerciaux et de contrôle dans des
catégories telles que l'augmentation, la stabilité et la diminution doit être clairement
énoncée. Par exemple, tout mouvement sur deux périodes dans une limite de 5% de chaque
côté peut être défini comme stable.
4. Réalisation d'un audit détaillé des systèmes d'information dans des domaines
sélectionnés: L'auditeur des systèmes d'information effectuera des tests de corroboration pour
tous les domaines à haut risque. L'auditeur doit noter les détails des constatations dans chaque
domaine d'audit et conserver des documents de travail décrivant les tests effectués et les
résultats observés.  
5. Rapports: Le rapport d'audit des systèmes d'information fondé sur les risques contiendra
généralement les constatations et observations de l'auditeur concernant les écarts par rapport
aux directives standard. Le point culminant du rapport d'audit des systèmes d'information basé
sur les risques sera une évaluation de l'impact des constatations de l'audit sur l'exposition aux
risques de l'audité. L'auditeur, en plus de mettre en évidence les erreurs et écarts constatés,
commentera l'impact de ces constatations sur la matrice des risques. Par exemple, un audité
peut estimer le risque de contrôle associé à un plan de sauvegarde de données comme
«moyen» tandis que l'auditeur peut suggérer qu'il devrait être classé comme «élevé» en
fonction du nombre de défaillances de contrôle observées au cours de l'audit.  

L'ÉVALUATION DES RISQUES


L'auditeur des systèmes d'information doit identifier et prendre en compte les facteurs internes
et externes suivants lors de la conduite de l'exercice d'évaluation des risques:
1. Facteurs internes 
a. Complexité de la structure organisationnelle qui aura une incidence directe sur l'efficacité
de la fonction de contrôle.
b. Nature des activités auxquelles l'organisation se livre, car elles influenceront les expositions
aux risques inhérents.
c. Les exigences en matière de compétences du personnel et leur disponibilité, qui agiront
comme un facteur limitant au fonctionnement efficace du mécanisme de contrôle.
d. Les changements organisationnels et s'ils entraînent un changement dans l'entreprise et
contrôlent le profil de risque.
e. Le roulement du personnel, qui aura un impact sur l'inventaire des compétences de l'audité
et est susceptible d'affecter le risque de contrôle.
2. Facteurs externes 
a. Les conditions économiques et la stabilité, qui contribueront à la nature et à l'impact
potentiel du risque inhérent auquel l'audité est confronté.
b. Structure et stabilité de l'industrie, ce qui influence la durabilité de l'entreprise et ajoute une
dimension au risque inhérent.
c. Les tendances technologiques, qui ont un double impact sur l'activité et la maîtrise du
risque car les nouvelles technologies entraînent des changements dans les profils fonctionnels
ainsi que dans la conception des outils de contrôle.
Ces facteurs internes et externes pourraient nuire à la réalisation des objectifs de
l'audité. Afin d'obtenir une vue complète de l'audité, l'évaluation des risques doit être menée à
différents niveaux de l'entreprise, en recoupant les lignes de produits, les segments de marché,
les divisions fonctionnelles, etc. Les aspects mesurables et non mesurables des risques doivent
être traités. Lors de l'évaluation de la conception des contrôles, il faut s'assurer que le coût des
contrôles ne l'emporte pas sur les avantages qu'ils procurent, à moins qu'un tel contrôle ne soit
une exigence légale.
Le processus d'évaluation des risques permettrait également de déterminer lesquels des
risques identifiés sont évitables ou peuvent être atténués. Pour les risques identifiés comme
contrôlables, l'auditeur doit revoir la décision de l'audité d'accepter ou d'atténuer ces
risques. Les procédures de contrôle sont l'un des outils les plus couramment adoptés pour
l'atténuation des risques et l'auditeur doit revoir la conception et le fonctionnement de ces
mesures de contrôle. Par exemple, un audité peut décider de mettre en place une source
d'alimentation alternative pour fournir de l'énergie pendant deux heures. Cela signifie que
l'audité cherche à atténuer le risque de panne de courant se prolongeant jusqu'à deux
heures. Cela signifie également que l'audité est prêt à accepter le risque de panne de courant
au-delà de deux heures. En outre, l'auditeur évaluera la capacité et les performances de la
source d'alimentation alternative à fournir de l'énergie pendant deux heures. Les décisions de
l'audité sur l'acceptation des risques qui ne peuvent être atténués ou évités doivent être
revues. On peut noter que l'audité peut parfois chercher à limiter son exposition aux activités
associées aux risques identifiés. Par exemple, l'audité peut décider de ne pas installer de
ressources système critiques dans des zones susceptibles de subir des coupures de courant
pendant de longues durées. Le droit de l'audité de décider de l'exposition au risque à accepter
doit être respecté. Le devoir de l'auditeur des systèmes d'information sera de commenter la
volonté de l'audité de réduire l'impact négatif pouvant résulter de l'exposition que l'audité a
décidé d'accepter.
L'audité doit disposer d'un système d'évaluation continue des facteurs de risque pouvant
influencer de manière significative la réalisation des objectifs des systèmes d'information. Le
système d'évaluation devrait inclure un examen du système de contrôle interne pour le
maintenir efficace face à la modification du profil de risque inhérent et des compétences
internes. En outre, une modification importante de l'environnement d'exploitation doit être
suivie d'un exercice d'évaluation des risques.
En plus d'examiner l'adéquation du système de gestion des risques, l'auditeur des systèmes
d'information doit également être assuré de l'intégrité des données issues du système de
gestion des risques. L'auditeur des systèmes d'information doit être mis à jour sur tous les
développements commerciaux majeurs, y compris l'introduction de nouveaux produits,
l'introduction de nouvelles technologies, les changements dans la structure organisationnelle,
les changements dans les politiques de sécurité, etc. À moins que l'auditeur des systèmes
d'information ne tienne compte de ces évolutions lors de la conception du plan d'audit, il sera
inapproprié de comparer les rapports d'audit des systèmes d'information de deux périodes
différentes où il y avait deux environnements d'exploitation différents.
Un auditeur des systèmes d'information, en plus d'utiliser la méthodologie interne
d'évaluation des risques adoptée par l'audité, doit mener un exercice indépendant d'évaluation
des risques afin de décider du degré de confiance qui peut être accordé au système interne
d'évaluation des risques. Ces deux processus d'évaluation des risques aideront l'auditeur des
systèmes d'information à se concentrer sur les domaines de risques importants et à
hiérarchiser les travaux d'audit en conséquence. La méthodologie adoptée pour l'établissement
des priorités peut impliquer un simple processus d'identification des domaines à auditer plus
fréquemment que d'autres. Cela peut également impliquer des systèmes d'évaluation
sophistiqués pour des activités commerciales complexes qui peuvent impliquer l'utilisation
d'une matrice des risques comprenant la probabilité qu'un événement de perte se matérialise et
ses conséquences financières.
Tant l'auditeur que l'audité trouveront extrêmement utile de concevoir une matrice des
risques tout en évaluant les risques. L'utilisation d'une matrice des risques est décrite dans la
section suivante.

MATRICE DE RISQUE
La matrice des risques est un outil visuel de classification des risques basé sur la relation entre
l'ampleur des risques commerciaux inhérents et de contrôle.
Les risques commerciaux inhérents reflètent le risque intrinsèque existant dans un domaine
d'opération ou une activité particulière entreprise par l'audité. Celles-ci sont généralement
regroupées en au moins trois catégories: faible, moyenne et élevée. On peut également utiliser
des niveaux de granularité plus élevés en fonction de la gravité du risque et de la disponibilité
des informations nécessaires à la granulation à un ordre supérieur. 
Les risques de contrôle découlent des insuffisances, des carences et des lacunes des systèmes
de contrôle existants. Ces lacunes contribuent à l'échec probable des processus de contrôle
existants. Les risques de contrôle peuvent également être regroupés en trois classifications:
catégories faible, moyenne et élevée. Une classification peut également être effectuée avec un
niveau de granularité plus élevé. 
Les risques inhérents et les risques de contrôle sont représentés dans la matrice des risques
qui est établie comme un produit livrable de l'activité d'évaluation des risques. La matrice des
risques peut être préparée pour chaque activité commerciale et chaque emplacement
commercial. La figure 6.1 explique la constitution de base d'une matrice de risque.  
FIGURE 6.1 Matrice des risques 

La caractéristique de risque globale pour chaque cellule de la matrice des risques est
indiquée comme suit:
                                 Risque élevé: bien que le risque de contrôle soit faible, le risque inhérent
élevé classe cette cellule comme une zone à haut risque. La combinaison de risque
inhérent moyen et de risque de contrôle moyen a également une classification de zone à
haut risque. De même, un risque inhérent faible complété par un risque de contrôle élevé
attirera une classification de risque élevé. 
 Risque très élevé: la combinaison d'un risque inhérent élevé et d'un risque
                                
de contrôle moyen fait de cette cellule une zone à très haut risque. Non seulement les
facteurs de risque ont ici un impact négatif potentiellement significatif, mais il y a aussi la
probabilité que le contrôle soit compromis. Une combinaison de risque inhérent moyen et
de risque de contrôle élevé mérite également une classification de risque «Très élevé». 
                                 Risque extrêmement élevé: un degré élevé de risque inhérent ainsi qu'un
degré élevé de risque de contrôle classent ces activités comme étant à risque extrêmement
élevé. En plus de l'attention immédiate de l'audit et des examens fréquents, ces domaines
sont les principaux candidats pour une allocation maximale des ressources d'audit. 
 Risque moyen: Il s'agit d'une zone de risque moyen car le risque de
                                
contrôle est faible bien que le risque inhérent soit de gravité moyenne. La même
classification est attribuée à une combinaison de risque inhérent faible et de risque de
contrôle moyen. 
 Risque faible: étant donné que le risque inhérent et le risque de contrôle
                                
sont faibles, cette combinaison est classée comme une zone à faible risque. Cette
classification attire le moins de ressources d'audit et a la fréquence d'examen la plus
faible. 
L'auditeur des systèmes d'information doit examiner en permanence les risques inhérents à
l'entreprise et contrôler les risques afin de déterminer s'ils démontrent une tendance stable,
croissante ou décroissante. Une tendance croissante à une classification à haut risque suscitera
une attention immédiate de l'audit avec une allocation de ressources proportionnées.

DÉTERMINATION DES
ÉCHANTILLONS DE RISQUE ET
D'AUDIT
L'auditeur des systèmes d'information ne serait généralement pas en mesure d'examiner tous
les actifs du système d'information présents dans l'unité auditée. Par exemple, dans une unité
où il y a quelques centaines de postes de travail, pour évaluer si le contrôle d'accès physique
fonctionne correctement, l'auditeur peut ne pas se rendre sur tous ces postes de
travail. L'auditeur sélectionnerait un échantillon qui représenterait les caractéristiques
générales de l'unité auditée.
L'auditeur est confronté à deux problèmes majeurs: décider de la taille de l'échantillon et
garantir une représentation adéquate lors de la sélection d'un échantillon. Ils sont décrits dans
les paragraphes suivants:
1. Taille de l'échantillon: l' auditeur des systèmes d'information doit décider du nombre
d'unités à examiner de près. C'est ce qu'on appelle la taille de l'échantillon. Dans le
prolongement de l'exemple précédent, la décision à prendre porte sur le nombre d'ordinateurs
à examiner dont on peut raisonnablement s'attendre à ce qu'ils démontrent les caractéristiques
de l'unité entière. Les caractéristiques sur lesquelles l'auditeur doit se concentrer sont les
suivantes:  
a. Criticité de la mission: dans le cas des actifs des systèmes d'information, qui sont
essentiels à la mission, la taille de l'échantillon devra être plus grande. La criticité de la
mission doit être déterminée non seulement du point de vue de l'audité en tant qu'entité, mais
également pour les fonctions individuelles. Idéalement, lorsque le nombre de ces actifs dans
un domaine fonctionnel n'est pas très élevé, 100 pour cent de ces actifs devraient être
vérifiés. Habituellement, le nombre d'actifs essentiels à la mission n'est pas très élevé dans
chaque domaine fonctionnel. Les exemples ici incluraient le serveur central, le serveur de
secours, le système d'alimentation alternatif centralisé, l'unité d'alimentation captive, le
serveur de messagerie central, le routeur de réseau, etc. Dans certains cas, par exemple, dans
une banque, même les terminaux du front office peuvent être critiques car leur défaillance
entraverait la fonction commerciale de la banque. Une directive peut être élaborée autour des
quatre thèmes suivants:  
i. Lorsque le nombre d'actifs critiques dans chaque domaine fonctionnel est inférieur à 5:
100%.
ii. Lorsque le nombre d'actifs critiques dans chaque domaine fonctionnel dépasse 5 mais est
inférieur à 10: 75%.
iii. Lorsque le nombre d'actifs critiques dans chaque domaine fonctionnel dépasse 10 mais est
inférieur à 20: 50 pour cent.
iv. Lorsque le nombre d'actifs essentiels à la mission dans chaque domaine fonctionnel
dépasse 20: 25 pour cent, sous réserve d'un minimum de 10.
b. Investissement: Un autre critère pour décider de la taille de l'échantillon serait
l'investissement impliqué. On peut noter que la criticité de la mission n'est pas influencée
uniquement par l'investissement financier. En outre, certains actifs peuvent ne pas être
individuellement de grande valeur mais impliquer collectivement des investissements
importants. Il en résulte que la taille de l'échantillon dépend non seulement de l'investissement
total dans le groupe spécifique d'actifs, mais également du nombre d'actifs dans le groupe. Un
guide peut être développé autour des quatre thèmes suivants:  
i. Lorsque l'investissement dans le groupe spécifique d'actifs dépasse 25% de l'investissement
total réalisé dans les actifs des systèmes d'information: entre 50 et 100%.
ii. Lorsque l'investissement dans le groupe spécifique d'actifs dépasse 15% mais est inférieur à
25% de l'investissement total réalisé dans les actifs des systèmes d'information: entre 30 et
50%.
iii. Lorsque l'investissement dans le groupe spécifique d'actifs dépasse 5% mais est inférieur à
15% de l'investissement total réalisé dans les actifs du système d'information: entre 15 et
25%.
iv. Lorsque l'investissement dans le groupe spécifique d'actifs est inférieur à 5% de
l'investissement total réalisé dans les actifs des systèmes d'information: entre 5 et 15%.
2. Représentation: L'auditeur essaiera de s'assurer qu'aucune partie des activités de l'unité
auditée ne reste sans audit. L'échantillon doit représenter adéquatement les caractéristiques de
la population. La taille de l'échantillon doit tenir compte de la représentation de toutes les
unités fonctionnelles, de préférence dans la même proportion dans laquelle elles sont
présentes dans l'organisation auditée. Par exemple, si dans une unité auditée 500 postes de
travail sont présents au front office et 250 au back office, la taille de l'échantillon retenu pour
le back office et le front office doit refléter le même ratio.  

Selection d'Echantillon
Après avoir décidé de la taille de l'échantillon, l'auditeur des systèmes d'information
déciderait du processus d'identification des objets d'audit spécifiques de la
population. Poursuivant notre exemple, s'il est décidé de vérifier 100 ordinateurs, la prochaine
décision à prendre est de savoir quels 100 ordinateurs doivent être examinés. L'auditeur peut
utiliser diverses méthodes disponibles pour sélectionner les échantillons. L'une des méthodes
de sélection les plus courantes est la sélection aléatoire. Selon cette méthode, l'auditeur décide
d'un nombre de manière aléatoire, par exemple en générant des nombres aléatoires dans un
programme informatique ou même en ouvrant une page dans un livre. Si la valeur choisie est
5, cela signifierait que l'auditeur commencerait par le cinquième poste de travail de la liste et
examinerait chaque cinquième élément qui s'y trouve, par exemple le 5ème élément, le 10ème
élément, le 15ème élément, etc. Ce cycle se poursuivrait jusqu'à ce que le nombre d'éléments
observés atteigne la taille de l'échantillon de 100. Tout manuel standard de statistiques
fournira des informations utiles sur le sujet.
L'auditeur des systèmes d'information doit reconnaître que plus la taille de l'échantillon est
petite, plus grande est la possibilité qu'une erreur, y compris une erreur significative, ne soit
pas observée par l'auditeur. C'est ce qu'on appelle le risque d'audit, et une façon de le réduire
consiste à augmenter la taille de l'échantillon. L'auditeur des systèmes d'information doit
décider de l'étendue du risque d'audit tout en décidant de la taille de l'échantillon. Il faut
reconnaître qu'un élément de risque d'audit sera toujours présent.

ÉVALUATION DES RISQUES D'AUDIT


Un auditeur des systèmes d'information recueille des éléments probants pour se forger une
opinion sur la question de savoir si l'entité auditée atteint son objectif, qui peut inclure la
sauvegarde des actifs, le maintien d'un système efficient et efficace et la garantie de l'intégrité
des données. Étant donné que l'opinion repose sur l'observation d'un échantillon, il est
toujours possible que certaines défaillances de contrôle ou menaces potentielles échappent à
l'attention et l'auditeur peut conclure à tort que le système est contrôlé, sécurisé et bien géd.
Le risque d'audit comporte deux éléments majeurs:
1. Le risque que la partie non contrôlée contienne une erreur matérielle. 
2. Le risque que l'auditeur n'ait pas réussi à détecter une erreur qui s'est produite, ce que l'on
appelle le risque de détection. 
L'audit des systèmes d'information axé sur les risques vise principalement à fournir une
assurance raisonnable quant à la pertinence de la conception et à l'efficacité de la performance
du cadre de contrôle. Au cours du processus de vérification de l'efficacité d'un cadre de
contrôle dans le cadre d'un audit des systèmes d'information basé sur les risques, l'auditeur
doit examiner et signaler si les exceptions et excès majeurs sont correctement enregistrés et
signalés. L'étendue des tests de corroboration nécessaires est déterminée sur la base d'une
évaluation des risques. L'auditeur peut juger prudent d'effectuer des tests de corroboration à
100% d'un domaine d'audit classé comme à risque extrêmement élevé dans la matrice des
risques. L'auditeur peut ne pas envisager d'employer des tests à 100% pour les classifications
à très haut risque, mais peut recourir à la même chose si les constituants de la classification
démontrent une tendance à la hausse sur différentes périodes. Dans le cas de domaines d'audit
avec une classification de risque faible, l'auditeur peut choisir entre des tests surprise et la
réalisation d'un audit programmé à des intervalles plus longs.
Quel que soit le degré de réussite de l'auditeur dans la réduction de l'exposition au risque
d'audit, il y aura toujours un risque d'audit résiduel puisqu'il est intégralement associé à un
processus d'audit.

Processus d'audit et risque d'audit


Le risque d'audit (AR) est le produit de l'évaluation des risques (CRA) et du risque de
détection (DR) combinés. L'évaluation combinée des risques elle-même est un produit du
risque inhérent (IR) et du risque de contrôle (CR). Le cadre fonctionne de la manière suivante.
Un auditeur des systèmes d'information doit comprendre le système et ses vulnérabilités
pour être en mesure de reconnaître les risques inhérents au système. Les contrôles sont
conçus, dans la mesure du possible, comme un outil pour atténuer le risque inhérent. Une fois
que la compréhension du risque commercial inhérent et du risque de contrôle est acquise, une
matrice des risques peut être conçue. Cette matrice de risque est utilisée pour décider du type
de processus d'audit à effectuer, y compris les contrôles de test, les procédures pas à pas et les
tests de conformité. L'intensité de ces processus variera de minimale à élevée selon la
classification des risques dans la matrice des risques. Les auditeurs décident ensuite de la
nature, du calendrier et de l'étendue des tests de corroboration à effectuer. Le cadre de
compréhension et d'utilisation du risque d'audit est illustré à la figure 6.2 . 
FIGURE 6.2 Cadre des risques d'audit 

Certains des principaux termes utilisés dans l'évaluation des risques d'audit sont décrits ci-
après.
Risque inhérent: il s'agit de la propension des actifs du système d'information ou des
ressources contrôlées par les systèmes d'information à compromettre matériellement la
sécurité de l'information, en l'absence de contrôles internes. Il convient de noter que les
contrôles internes sont utilisés pour atténuer les risques et qu'il peut y avoir des cas où aucun
outil d'atténuation n'est disponible ou où le coût de déploiement de l'outil d'atténuation
l'emporte sur les avantages qui en découlent. Des exemples de risques inhérents incluent la
possibilité d'une infection virale lors de la communication par e-mail. Cette évaluation doit
être faite sans tenir compte de l'impact potentiel de l'atténuation du contrôle. 
Risque de contrôle: il s'agit du risque que les contrôles mis en œuvre pour atténuer le risque
inhérent soient correctement conçus et fonctionnent efficacement. Des exemples de
conception adéquate du contrôle interne incluent l'existence d'un logiciel antivirus pour
prévenir une épidémie de virus, mais les cas où le logiciel n'est pas tenu à jour est un exemple
de fonctionnement inefficace du contrôle interne. 
Évaluation combinée des risques: il s'agit de l'impact global du risque inhérent et du risque
de contrôle. On peut rappeler que ce sont les deux composantes de la matrice des
risques. Cette évaluation se poursuit pour définir la classification des risques. 
Risque de détection: il s'agit de la possibilité qu'une erreur, en particulier une erreur
matérielle, ne soit pas constatée par l'auditeur lors de l'audit des systèmes d'information. 
Risque d'audit: il s'agit de l'impact global du risque combiné d'évaluation et de détection des
risques conduisant l'auditeur à se forger une opinion erronée et à faire une anomalie. Pour
réduire le risque d'audit, l'auditeur des systèmes d'information doit tenter de réduire le risque
de détection et identifier le risque de contrôle que l'audité doit tenter de réduire. 

Remplir une matrice des risques


L'aspect critique de tout risque est son origine et son impact négatif. On peut soutenir qu'il
peut y avoir une autre dimension - la détectabilité, que nous considérons sous le risque
d'audit. L'un des plus grands défis auxquels un auditeur des systèmes d'information est
confronté est de quantifier l'impact net des facteurs de risque et de les exprimer sur une
échelle commune pour assurer la comparabilité d'un facteur de risque à un autre. La solution
la plus courante à ce problème consiste à concevoir une matrice des risques. La façon de
remplir une matrice des risques est discutée ensuite.
La forme la plus courante de matrice des risques utilise deux paramètres: la gravité et la
fréquence. La gravité fait référence à l'impact négatif potentiel d'un événement de risque se
matérialisant tandis que la fréquence détermine la probabilité d'une telle matérialisation. En
utilisant les deux, on peut développer une échelle qui peut être utilisée pour décrire la gravité
des événements à risque et la fréquence de leur occurrence. L'échelle peut être numérique,
descriptive ou qualitative, comme le montre le tableau 6.1 . 
TABLEAU 6.1 Échelle de gravité et de fréquence 

Après avoir défini la mesure sur l'échelle de risque à l'aide de valeurs numériques, la phase
suivante consistera à concevoir une matrice qui définira les zones de risque en multipliant les
valeurs numériques sur les deux axes. La matrice de mesure des risques est présentée dans
le tableau 6.2 . 
TABLEAU 6.2 Matrices de mesure des risques 

L'audité peut décider du niveau de risque acceptable, en fonction du niveau d'agression du


risque. Par exemple, toutes les valeurs supérieures à 15 peuvent être considérées comme très
risquées tandis que toutes les valeurs inférieures à 4 peuvent être considérées comme à faible
risque. La zone à haut risque peut être définie comme une zone à risque inacceptable tandis
que la zone à faible risque peut être définie comme la zone à risque préférée. Le reste des
cellules entre 5 et 14 sont les domaines de décision exécutive où l'organisation utilisera des
techniques d'atténuation des risques pour ramener le score composite dans la zone
acceptable. Même si la stratégie d'atténuation ne fonctionne pas, l'audité peut toujours
exécuter des processus dans la zone acceptable à condition que le compromis risque-
rendement soit avantageux pour l'organisation. Dans le cas où l'atténuation est une exigence
réglementaire, l'organisation doit mettre en œuvre des outils d'atténuation indépendamment
des coûts impliqués.

STRATÉGIE DE GESTION DES


RISQUES
La stratégie de gestion des risques se concentre sur la compréhension des risques inhérents car
ils constituent les principaux obstacles à la réalisation des buts et objectifs du système
d'information. Le risque inhérent est souvent défini comme le risque de ne pas atteindre
l'efficience et l'efficacité opérationnelles - une définition particulièrement utile dans le
contexte des actifs du système d'information. Ainsi, le risque inhérent peut être considéré
comme les menaces à l'atteinte des objectifs de performance des actifs des systèmes
d'information. Les organisations créent des stratégies pour répondre à ces menaces, qui sont
opérationnalisées par divers processus conçus. Les commandes sont conçues à ce stade. À
mesure que les menaces et les objectifs opérationnels changent, le profil de risque inhérent
change. Le fait de ne pas changer les commandes pour s'adapter aux changements de
l'environnement d'exploitation est susceptible de rendre la commande inefficace et même
dysfonctionnelle.
Chaque organisation et processus doit accepter le risque dans une certaine mesure, car
l'efficacité qu'il atteint est déterminée par la capacité de l'organisation ou du processus à
garantir que les risques n'interfèrent pas dans la réalisation des objectifs. La direction doit
décider de l'étendue de l'exposition à un risque qu'elle est prête à accepter. Le succès de la
gestion des risques réside dans l'établissement d'un équilibre entre les risques acceptés et les
contrôles conçus pour gérer ces risques. Ainsi, si la direction ne reconnaît pas les facteurs de
risque, il est peu probable qu'un contrôle soit conçu pour gérer ces risques.
Un système de gestion des risques efficace fournira un environnement dans lequel les
dirigeants d'entreprise pourront prendre des décisions éclairées sur des questions liées au
risque inhérent. Les principales alternatives dont dispose un dirigeant d'entreprise en termes
de gestion des risques inhérents sont les quatre suivantes:
1. Accepter: ce sont les risques que l'entreprise décide d'accepter. Aucun outil d'atténuation
n'est conçu pour ces risques, soit parce qu'il n'y en a pas, soit parce que le coût de déploiement
de tels contrôles l'emporte sur les avantages. Par exemple, un constructeur automobile peut ne
pas construire un bunker à l'épreuve des attaques nucléaires pour sauver son serveur principal,
tandis que la trésorerie d'un pays peut juger prudent de faire un tel investissement.  
2. Transfert: Il s'agit de transférer l'exposition défavorable du risque à un tiers, qui l'achète à
un prix. Un exemple courant de ceci est l'achat d'une police d'assurance incendie.  
3. Éviter: La seule façon pour un système d'éviter un risque inhérent est de rester à l'écart de
l'activité. Cela peut souvent entraîner des changements dans l'objectif commercial. Par
exemple, une organisation peut décider de ne pas utiliser de logiciel open source, craignant
qu'il n'y ait pas de support adéquat disponible.  
4. Réduire: Cette stratégie impliquera soit de réduire l'ampleur de la perte découlant d'un
événement à risque, soit de réduire la fréquence d'occurrence. L'impact de la perte de données
résultant d'une défaillance complète du système de stockage peut être réduit soit en
augmentant le nombre de sauvegardes conservées, soit en stockant un volume de données
inférieur sur chaque support de stockage. Alors que la première approche réduira l'ampleur
des pertes car il y a des sauvegardes disponibles, la seconde approche réduira la fréquence de
défaillance complète du système de stockage car les données sont stockées sur un certain
nombre de supports de stockage.  
L'environnement de contrôle joue un rôle important dans la mise en place de la discipline
dans l'organisation et peut même contribuer à la fixation des objectifs des systèmes. Par
exemple, un système étendu de sauvegarde des données permettra l'adoption d'un objectif de
contrôle de moindre perturbation des systèmes résultant de la perte de données.
Afin de disposer d'un système de gestion des risques efficace, les organisations classent
souvent leurs processus dans les deux catégories suivantes:
1. Processus de base: il s'agit des processus liés aux activités qu'une organisation utilise pour
concevoir, développer, produire et fournir des biens et des services.  
2. Processus de service interne: il s'agit de processus qui relient divers autres processus
métier et fournissent des ressources pour des performances optimales.  
La direction doit identifier les propriétaires de processus afin de disposer des compétences
nécessaires pour les fonctions et également de concevoir un système de contrôle efficace. Les
objectifs pour les propriétaires de processus doivent être clairement définis afin que la
performance du processus puisse être mesurée. À moins qu'un système de mesure du
rendement ne fonctionne, le système de contrôle interne ne peut être rendu efficace. Souvent,
l'identification des risques inhérents et le suivi des performances des contrôles relèvent de la
responsabilité du propriétaire du processus.
Un auditeur des systèmes d'information doit avoir une compréhension complète de
l'ensemble du processus dans l'organisation auditée pour être en mesure de développer un plan
d'audit approprié pour la réalisation d'un audit des systèmes d'information basé sur les risques.