Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
michel.van.den.brande.overblog.com

michel.van.den.brande.overblog.com

Ce blog est essentiellement dédié à la publication d'articles traitant de sujets divers liés aux aspects techniques mais également de gestion de l'administration et de la sécurité des systèmes et des réseaux informatiques.

Contrôle interne et analyse de risque

Publié le 30 Juillet 2014 par Michel Van Den Brande

1.Introduction

Considérons l’illustration ci-dessous à propos du cycle dynamique d’analyse de traitement des risques qui constituent le cœur de la démarche du contrôle interne. Pour le service informatique, l’analyse se réfère à la norme ISO qu’il utilise comme cadre d’investigation et d’action sur base de sa feuille de déclaration d’applicabilité (Statement of Applicability)

2.Etablir le contexte

La première étape consiste à définir le périmètre sur lequel va porter l’analyse de risque. Ce choix est forcément lié aux objectifs de l’analyse mais également aux ressources disponibles pour la réaliser.

L’analyse de risque, pour ce faire, va activement mobiliser une série d’acteurs concernés par le périmètre et cette mobilisation a bien évidemment un coût (temps) elle nécessite un investissement de la part de l’organisation.

Définir un périmètre revient à identifier :

  • Les priorités et les objectifs
  • Un référentiel d’analyse (interne ou externe) : méthodologie de recueil d’information, grille d’analyse, métrique
  • Une planification, une équipe (bref, une gestion de projet)
  • Des actifs (matériel ou immatériel) qui feront l’objet de l’analyse
  • Des moyens (en personnel, en matériel, en équipement et en compétences)

3.Identifier les risques

Il n’existe pas une et une seule bonne manière d’effectuer une analyse de risque, cela dépend du contexte et des objectifs de l’organisation. Faut-il partir d’un événement probable, d’un type d’actif ou éventuellement de différents de types d’actifs ?

Exemples d’événements probables :

  • vol
  • incendie
  • inondation
  • explosion
  • erreur humaine
  • malfaçon
  • vandalisme
  • … ?

Types d’actifs :

  • des outils
  • des valeurs
  • des documents
  • des processus et procédures
  • des brevets
  • des certifications
  • des exclusivités
  • des marchés
  • des contrats
  • des savoir-faire
  • du personnel
  • des contacts
  • des objectifs financiers
  • des objectifs de résultat et/ou de moyens opérationnels, de production
  • une réputation
  • …?

En matière de mitigation du risque, l’organisation veut-elle agir sur la cause (du vandalisme) ou sur la conséquence (perte des extincteurs par destruction intentionnelle)? En d’autres termes, faut-il agir sur les facteurs de survenance de l’événement ou directement sur la menace liée à l’événement ?

Des scénarii peuvent également être envisagés décrivant une convergence d’événements englobant causes et conséquences multiples.

Une option souvent recommandée pour le démarrage d’une l’analyse de risque, est de commencer par effectuer l’inventaire (la cartographie) de l’ensemble des processus et procédures de l’organisation pour ensuite procéder à l’analyse de tous les risques d’échec possibles portants sur ces processus et procédures. Par exemple, concernant la procédure qui décrit comment procéder à la création d’un utilisateur dans la base de données d’un contrôleur de domaine, quel est le risque que l’administrateur système ne puisse pas créer un compte d’utilisateur ? Si tel est le cas, ceci aurait comme conséquence, pour cet utilisateur, qu’il ne puisse pas accéder à ses outils et ses ressources informatiques et, a fortiori, remplir la mission qui lui incombe au sein de l’entreprise? C’est cette approche de l’analyse de risque par objectif qui est préconisée par les référentiels tels COSO et INTOSAI.

Il peut s’avérer, lors de l’inventaire de tous les processus et toutes les procédures existants, que certains ou certaines manquent, voir sont incomplets ou ne soit pas à jour. C’est une lacune à laquelle il faut palier avant de démarrer l’analyse de risque proprement dite.

Lorsqu’il est effectué une analyse de risque, c’est dans un premier temps, sans tenir compte des actions de maîtrise déjà mises en place. On parle alors d’analyse du risque brut. Dans un second temps, il doit être effectué une analyse de risque qui tient compte des actions de maîtrise déjà en place. La différence entre les deux évaluations reflète les éventuels progrès faits et/ou à effectuer.

4.Evaluer les risques

4.1.La mesure du risque

L’évaluation du risque se base sur deux paramètres liés au risque :

  • sa probabilité
  • son impact

L’un et l’autre de ces paramètres reçoivent une cote d’évaluation allant généralement de 1 à 4. L’évaluation de cette cote est effectuée idéalement par plusieurs personnes possédant les qualités et les compétences requises. Il semble logique que le ou les propriétaire(s) des actifs impliqués dans l’analyse de risque fassent partie de cette équipe.

Voici illustré par un diagramme classique de la matrice d’évaluation du risque : occurrence et gravité.

Son interprétation en est relativement simple. Le risque se trouvant (de par sa cote) dans la zone C4, D3, D4 doivent être traité en priorité, à commencer en toute logique par la case D4.

L’analyse de risque reste une opération toujours délicate. Par exemple, concernant la probabilité il faut bien distinguer si elle s’évalue sur la cause d’un dommage possible ou sur la possibilité que le dommage survienne lorsque l’événement « cause » se produit. Une entreprise située dans un quartier réputé lieu stratégique de prise de décisions politiques et donc par là propice à des manifestations, pourrait se sentir menacé par des manifestants lançant des cocktails Molotov au travers de ses fenêtres. Il y a, dans ce cas, la probabilité de la survenance d’une manifestation (l’exposition de l’entreprise aux manifestations constitue ici une vulnérabilité) et celle que la menace se concrétise (le cocktail Molotov).

La notion de risque peut intégrer une notion supplémentaire qui est celle de la maîtrise de risque (ce qui implique qu’il ne peut s’agir d’une analyse de risque brute). Dans ce cas, le calcul présenté ci-dessus (probabilité et impact) prendrait l’appellation de « niveau de criticité ». Le calcul du risque correspond à la formule ci-dessous :

La présentation du tableau de « criticité » : Il ne prend, a priori, pas en compte le fait qu’il y ait déjà un certain niveau de maîtrise du risque existant dans l’organisation.

La matrice des risques : cette matrice prend en compte le fait qu’un niveau de maîtrise est déjà effectif dans l’organisation

5.Maîtriser les risques

5.1.Philosophie de prévention

La prévention du risque s’envisage à trois niveaux :

  • Mise en place de mesure de prévention visant à éviter le risque : une organisation située dans une zone géographique dangereuse, par exemple en bout de piste d’un aéroport, évite le risque en déménageant.
  • Mise en place de mesures de prévention visant à éviter les dommages : une organisation située dans une zone géographique dangereuse, par exemple en bout de piste d’un aéroport, évite les dommages en déménageant son informatique dans un centre de calcul.
  • Mise en place de mesures de prévention visant à limiter les dommages : une organisation située dans une zone géographique dangereuse, par exemple en bout de piste d’un aéroport, limite les dommages en stockant ses cassettes de sauvegarde dans un coffre à la banque située à une distance suffisante de l’aéroport.

5.2.Acceptation du risque

Un risque peut-être clairement identifié sans pour autant être traité et ce pour différentes raisons :

  • le risque est insignifiant et il ne requiert pas de ressource et/ou d’attention particulière, en clair, « il n’en vaut pas la peine »
  • le risque coûte plus cher à être traité que ne coûterait la réparation du dommage qu’il pourrait causer
  • le risque joue un rôle moteur dans l’organisation en stimulant, par exemples la créativité et l’innovation, en dynamisant les activités de l’organisation
  • la mesure de traitement du risque aurait pour conséquence l’apparition de nouveaux risques encore plus grands et plus critiques

5.3.Transfert du risque

  • l’organisation peut se protéger du risque et de ses conséquences en souscrivant une assurance
  • l’organisation peut faire appel à la sous-traitance (externaliser) pour qu’elle prenne en charge l’activité à risque

5.4.Modalités de réponses au risque

Le dispositif à mettre en œuvre pour répondre au risque peut être de nature :

  • technique
  • organisationnelle
  • surveillance et accompagnement
  • délivrance d’information
  • formation du personnel

6.Contrôler la maîtrise et le dispositif

Il est conseillé de procéder annuellement à la révision de l’analyse de risque de manière à l’actualiser et à l’affiner. L’analyse complète du dispositif de gestion du risque s’appuie sur divers sources qui lui serviront « d’input » :

  • l’analyse des risques résiduels c'est-à-dire ceux qui subsistent après la mise en œuvre des mesures de traitement du risque
  • l’analyse des accidents, des incidents et des problèmes
  • la prise en compte des nouveaux processus mais également de la disparition ou de la modification de processus existants
  • l’apparition de nouveaux types de risques (liés aux nouvelles technologies, par exemple)
  • la découverte de nouvelles méthodologies de gestion du risque
  • les changements au niveau de l’organisation : changement du personnel, modification du modèle de management, nouvelles ou modifications de stratégies et/ou d’activités, départ et/ou arrivée de partenaires, changement de statut juridique, changement de propriétaire …
  • le rapport d’audit interne et externe
  • le rapport du coordinateur de contrôle interne
  • les éventuelles modifications de l’attitude de l’organisation face au risque
  • demande spécifique émanant de la DG, du conseil d’administration …

Il est également conseillé de mettre en place un système de contrôle des mesures préventives et de traitement des risques. Cette démarche vise à s’assurer que les mesures décidées sont bien d’application (suivie d’effets), correctement appliquées et qu’elles offrent le niveau d’assurance raisonnable attendu.

Ce contrôle peut s’effectuer ponctuellement, inopinément et/ou automatiquement. Les résultats de ces contrôles donnent lieu à un rapport qui est communiqué au minimum au chef de service, à l’audit interne et à la DG.

7.La culture du risque

Le risque est inhérent à tout activité humaine, nous y sommes continuellement exposés, à grande ou moindre échelle, et ceci plus ou moins consciemment.

Si nous décomposons toutes les composantes (sens de l’équilibre, force et mouvement, synchronisation, attention visuelle et auditive, prise de décision) impliquées dans le fait de rouler à vélo, immanquablement nous nous cassons la figure. De fait, il n’est donc pas toujours nécessaire de formaliser les risques liés à une activité, à l’instar de ce que chacun fait dans sa vie quotidienne.

Dans l’organisation, les activités ne s’inscrivent pas pour la plupart dans l’automatisme, elles sont a fortiori organisées, coordonnées et évaluées. Dans ce cas, la notion de risque liée à ce type d’activité prend ici tout son sens. Dans l’organisation, pour l’ensemble de ses activités, le risque doit être réfléchi, évalué et géré.

Cette attitude responsable face au risque constitue la culture du risque que certains nommeront « l’anti-virus » de l’organisation.

« Comment les risques sont-ils approchés et vécus dans l’entreprise ?

  • Ose-t-on parler des risques ?
  • Existe-t-il des échanges sur le risque ?
  • A quel niveau hiérarchique ces échanges ont-ils lieu ?
  • Ces échanges apportent-ils un changement dans les méthodes de travail, dans la position de l’entreprise par rapport à son marché ?
  • Ces échanges sont-ils encouragés dans l’entreprise ?
  • Ose-t-on prendre des risques ?
  • Le concept de risque zéro a-t-il été intégré et compris dans l’entreprise ?
  • La stratégie dans l’entreprise intègre-t-elle la culture du risque ? Dans la recherche de plus-value, les risques sont-ils codifiés et existe-t-il un cadre afin d’aider et d’encourager une bonne prise de risque(s) équilibré(s) ? »

(Contrôle interne : Programme de certification CICS, Module 2 : Environnement de contrôle, Pierre Leclercq, ICHEC Enterprise).

D’une manière générale, que ce soit pour la mise en œuvre d’une méthode de gestion, d’une mise en conformité ou d’une politique de gestion du risque il faut toujours garder à l’esprit la proportionnalité entre les efforts engagés et les bénéfices engrangés.

« Le choix de traitement d’un risque s’effectue notamment en arbitrant entre l’opportunité à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles, leur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses. »

(Les dispositifs de gestion des risques et de contrôle interne : cadre de référence, Autorité des marchés financiers, mis en ligne le 14 juin 2010, page 13).

Vous aimerez aussi :
Présentation de la famille des normes ISO/IEC 27k
Présentation de la famille des normes ISO/IEC 27k
Les référentiels du contrôle interne
Les référentiels du contrôle interne
Essai de synthétisation de l’approche « Cloud Computing »
Essai de synthétisation de l’approche « Cloud Computing »
Notion générale de contrôle interne
Notion générale de contrôle interne
Essai de synthétisation de l’approche « Cloud Computing »
Les référentiels du contrôle interne
Commenter cet article
Retour à l'accueil