M2 MCCP audit et analyse de risques

Audit et analyse de risques

IFAG m2mccp

Sommaire

Organisation

1. Introduction à l'audit et à la gestion des risques

2. Planification et conduite de l'audit des risques

3. Actions correctives/préventives et suivi des risques

4. Communication des résultats et reporting à la direction

1. Introduction à l'audit et à la gestion des risques

Management de risques

L'audit

L'audit

Quand ?

Principes d'un audit

Les différents types d'audit

Principes d'un audit

1. Déontologie
2. Restitution impartiale
3. Conscience professionnelle
4. Confidentialité
5. Indépendance
6. Approche fondée sur la preuve
7. Approche par les risques

Management de risques

Les risques en entreprise

Méthodologie

Définitions

cas pratique

Risques internes

Géopolitiques

gouvernance

Boursiers

Industriels

Climatiques

Métier

Règlementaires

Sécurité des informations

Sûreté

Ressources humaines

Pandémie

Image

Financiers

Risques Externes

Commerciaux

Méthodologie

Etablissement du contexte

Analyse des risques

Identification des risques

Traitement des risques

Evaluation des risques

sources internes

Pestel

Audits

Veilles

Historique de l'entreprise

Etudes de marché

sources Externes

cas pratique

2. Planification et conduite de l'audit des risques

A.Préparation :

• Déclencher l'audit

• Préparer les activités

B.Réalisation de l'audit

B. Réalisation de l'audit

• Réunion d'ouverture
• Audit terrain
• Réunion de clôture
• Le rapport d'audit
• Le suivi post audit

Audit terrain

• Suivi du planning d'audit validé lors de la réunion d'ouverture
• Recherches des preuves des exigences prévues dans la trame :
• Il est souvent nécessaire de combiner les preuves :
• Observations terrain puis interviews puis demande d'informations documentées et enfin recherche de traçabilité des enregistrementsIl est possible de mener les interviews avec plus sieurs collaborateurs effectuant la même tâche
• Il est possible également de vérifier les mêmes exigences dans différents processus/services/zonesAudit terrain

Réunion de clôture

• Durée : 15 à 30 min
• Présentation à l'aide d'un support :
• des constatations d'audit (NC, points sensibles/forts, pistes de progrès
• des recommandations
• des possibles difficultés et désaccords rencontrés entre l'auditeur et l'audité
• Remerciements et prise de congés

Le rapport d'audit

• Couverture

• Introduction

• Résumé

• Glossaire

• Plan de l'audit

• Constatations d'audit

• Recommandations

• Présentation :
• du responsable de son équipe
• Description :
• des documents contrôlés
• des personnes interrogées
• des étapes
• des critères de choix

• Titre du rapport
• Nom du responsable du diagnostic/audit
• Date d’achèvement de la vérification
• Nom de l’entreprise

• Refus du risque ( abandon de l'activité ou non commencement)
• Prise ou augmentation du risque pour saisir une opportunité
• Elimination de la source
• Modification de la vraissemblance/probabilité
• Modification des conséquences/gravité
• Partage ou transfert du risque (assurances)
• Maintien du risque

• Méthode d'échantillonage pour les enregistrements :
• aléatoires :
• expérience de l'auditeur
• risques identifiés (périodes, résultats d'audits précédents, résultats de la surveillance)
• statistiques (acceptation d'un risque de non représentativité des échantillons) :
• taille et complexité de l'organisme
• durée de l'audit
• apparition d'éléments indésirables pendant l'audit

• ne pas porter préjudice à l'audité
• ne pas utiliser les données pour son propre bénéfice
• traitement adéquat des infos sensibles et confidentielles

• prise de décision avisée
• prise en compte de l'importance des tâches
• prise en compte de la confiance de l'audité et des PP

Inondations Tremblements de terre Tempêtes Feux de fôrets réchauffement climatique

• Horaires :
• 1 pause de 10 min toute les heures
• Travail en groupe :
• Autonomie
• Participation de tous
• Formateur en ressource

• Outils :
• Téléphone pour quiz
• Ordinateur pour le travail de groupe
• Logiciels pour les présentations

• Observation terrain :
• Comportements
• Respect des procédures
• Travail réalisé et non supposé

• Interviews :
• Travail réel et non supposé
• Respect des procédures

• Récupération des données

• Description :
• des écarts avec le référentiel
• des bonnes pratiques
• des risques pour l'entreprise

• Proposition :
• de pistes d'amélioration
• de bonnes pratiques à développer

• Risque :

• "Effet de l'incertitude sur l'atteinte des objectifs"

• "La possibilité de survenue d'un événement indésirable, la probabilité d’occurrence d'un péril ou d'un aléa"
• Danger :
• Un danger est toute source potentielle de dommage, de préjudice ou d'effet nocif à l'égard d'une chose ou d'une personne
• Probabilité :
• Possibilité qu'un risque identifié se produise
• Gravité :
• Ampleur des dommages potentiels
• Criticité :
• La criticité est déterminée par la gravité potentielle d'un risque et sa probabilité de se produire

Explosion Déversement accidentel Pollution atmosphérique Incendie Sureté

Sous-traitants Fournisseurs Clients

• Comme état des lieux/diagnostic au démarrage d'une démarche
• Comme outil de contrôle régulier tout au long de la vie de l'entreprise
• Comme outils de contrôle ponctuel en cas de gros dysfonctionnement ou répétition de dysfonctionnements similaires

• Description :
• des écarts avec le référentiel
• des bonnes pratiques
• des risques pour l'entreprise

• Rappels :
• Du périmètre
• Des normes
• Du contexte
• N'importe qui doit comprendre la raison d'être de cet audit

• L’audit est une démarche méthodique d’évaluation, effectuée par un agent compétent, indépendant et intègre, visant à porter un jugement de conformité à un référentiel normatif ou qualitatif
• Evaluation des connaissances, compétences, d'une organisation et d'une formalisation des pratiques

• Prise de contact avec l'audité : à son initiative ou à la notre
• Mise en accord sur :
• les objectifs
• la période choisie
• les modalités
• La durée
• Les règles et autorisations sécurité,qualité à appliquer le jour de l'audit

Protectionnisme Embargo

• audit axés sur les questions importantes
• honnêteté

Santé et sécurité au travail Mouvements sociaux Discrimination Perte de savoir-faire Perte homme clé Fraude interne

• Audit de première partie :
• Audit interne
• Audit de seconde partie :
• Audit des prestataires externes
• Audit d’autres parties intéressées externes
• Audit de tierce partie :
• Audit en vue d’une certification et/ou d’une accréditation
• Audit à des fins légales, réglementaires et similaires

• Durée : 15 à 30 min
• Présentation :
• de l'entreprise audité
• de l'auditeur/équipe d'auditeurs
• Rappels :
• du planning d'audit ( validation définitive)
• du champs d'audit
• des objectifs
• des critères d'audit (preuves et notation)
• des règles de sécurité et de confidentialité à respecter

• conflits d'intérêt
• audit interne :
• indépendant du processus audité
• garder un état d'esprit objectif

• Communication :
• sincère
• précise
• objective
• opportune
• claire
• complète
• Signaler :
• obstacles importants
• questions non résolues
• avis divergents auditeur/audités

• Durée : 15 à 30 min
• Présentation :
• de l'entreprise audité
• de l'auditeur/équipe d'auditeurs
• Rappels :
• du planning d'audit ( validation définitive)
• du champs d'audit
• des objectifs
• des critères d'audit (preuves et notation)
• des règles de sécurité et de confidentialité à respecter

• éthique
• honnêteté
• responsabilité

Introduction

• Rappels :
• Du périmètre
• Des normes
• Du contexte

N'importe qui doit comprendre la raison d'être de cet audit

• Durée : 15 à 30 min
• Présentation :
• de l'entreprise audité
• de l'auditeur/équipe d'auditeurs
• Rappels :
• du planning d'audit ( validation définitive)
• du champs d'audit
• des objectifs
• des critères d'audit (preuves et notation)
• des règles de sécurité et de confidentialité à respecter

Dévaluation monnaie OPA hostile

• Vocabulaire spécifique
• Acronymes

• Définir les objectifs et le périmètre

• Choisir la méthode adaptée

• Constituer une équipe d'analyse

• Evaluation des moyens de maîtrise
• Humains
• Organisationnels
• techniques

• risque résiduel :
• Risque qui subsiste après avoir pris en compte les différentes mesures existantes
• Cartographie des risques

• vérifiables
• échantillonage d'informations disponibles
• responsabilité

sûreté

Sécurité des informations

Cyber-attaque Perte de données Effacement de données Espionnage industriel Gestion de la RGPD

Intrusion Vols Dégradation Sabotage Attentats

• Rapide description :
• Des objectifs
• De ce qui a été vérifié
• Présentation des conclusions
• Rappel dates début et fin

• Evaluation de la gravité

• Evaluation de la probabilité

• Evaluation de la criticité brute

Préparation de la revue documentaire :

• Demande des documents nécessaires pour une revue documentaire :
• Impact sur l'objectif global
• Impact sur le planning d'audit :
• Durée de l'audit
• Nombre d'interlocuteurs à voir
• Nombre de zones/processus à auditer

Planning d'audit :

• réunion d'ouvertureles différents services/processus/zones
• Temps de repas
• Temps de regroupement des constats d'audit et debriefieng auditeurs
• Réunion de clôture

Trame d'audit :

• Créer le référentiel
• Définir les exigences liés au référentiel

• Définir les processus/services/interlocuteurs pouvant répondre à ces exigences
• Définir les preuves attendues pour chaque exigence

qualité : non conformité interne/externe casse machine planification : gestion des urgences, saisonnalité

Image

Financiers

Perte chiffre d'affaire Perte parts de marché Fermeture entreprise Risque de contrepartie Risque de taux Risque de liquidité détournement de fonds falsification comptable

et

Washing Mécontentement client Bad buzz Rumeurs Lanceurs d'alerte

conflits d'intérêt prise de décision unilatérale manque de leadership erreur de stratégie erreur déploiement de la stratégie