2- Audit interne : fonctions et environnement de contrôle

1- Fonctions de l’audit interne

L’une des principales difficultés de la gestion des risques est d’identifier les risques d’un groupe de façon objective et rationnelle. Il est indispensable d’aboutir à la réalisation d’une cartographie des risques faisant ressortir en priorité les méta-risques émergents.

L’auditeur interne (par exemple un risk manager) n’a pas le droit de fonder sa cartographie sur un ressenti subjectif basé sur sa personnalité et son vécu professionnel. Il doit au contraire appuyer sa démarche sur plusieurs outils d’identification des risques qu’il va utiliser dans une optique de circularisation (la réponse apportée par ces outils doit en effet converger).
Il utilise des logiciels et les outils suivants :
• l’audit documentaire ;
• les entretiens ;
• les visites de sites ;
• les questionnaires.

2- Exemple d’application : le “Business impact analysis”

A- Définition

Le business impact analysis (BIA) est une démarche analytique dont l’objectif consiste à :
• identifier les activités vitales/critiques ;
• inventorier les ressources critiques nécessaires pour assurer l a continuité de ces activités vitales/critiques ;
• définir les priorités de continuité et/ou de reprise après sinistre.

B- Utilité et conditions d’utilisation

Le BIA permet d’évaluer les impacts, pour l’entreprise, d’un sinistre touchant ses activités. La démarche doit être entreprise pour chacun des processus métiers conduits dans le groupe, identifiés dans la phase de cartographie des processus.

Les conséquences d’un sinistre sur les activités du groupe sont évaluées dans le temps selon différents types d’impacts :
• impacts financiers (évaluation quantitative) ;
• impacts non financiers (évaluation qualitative).
Bien que les sinistres auxquels la société doit se préparer soient de natures différentes et puissent influencer la gravité et/ou la rapidité d’apparition/de résorption des impacts, les bonnes pratiques recommandent de mener le BIA en adoptant certains postulats :
• toutes les activités sont interrompues sans possibilité de reprise rapide;
l’entreprise seule est impactée par le sinistre ;
• tous les acteurs du marché continuent « business as usual ».

C- Adoption du BIA durant la crise sanitaire

Étape 1 : cartographie des processus métiers

La compréhension de l’organisation commence nécessairement par une cartographie décrivant les activités de chacune des entités du groupe :
• identifier les principaux processus métiers ;
• inventorier les ressources requises pour mener à bien chacun de ces processus.

La cartographie doit aussi mettre en lumière les périodes critiques de chaque processus, c’est-à-dire les périodes durant lesquelles un sinistre aurait les impacts les plus pénalisants pour l’entreprise : « scénario du pire ».
La définition des périodes critiques permet :
• de définir les stratégies de reprise en intégrant le scén ario dans lequel un sinistre aurait lieu aux moments les plus critiques du processus ;
• d’informer, le cas échéant, les gestionnaires de crise des circonstances particulières liées à la période de déclenchement du sinistre.

Étape 2 : l’évaluation des impacts

Exemples d’impacts :
pertes financières directes : c’est l’ensemble des pertes financières supportées par l’entreprise résultant de son incapacité à gérer ses processus métier ;
pertes d’opportunités : impacts financiers dus à l’incapacité de l’entreprise de réaliser de nouvelles transactions tant que ses processus métiers restent dégradés ;
impacts réglementaires : risques de pénalités de la part des régulateurs et des autorités de tutelle à l’encontre de la société dans l’incapacité totale ou partielle de faire face à ses obligations réglementaires ;
impacts légaux et juridiques : impacts potentiels ou pertes encourues à cause d’actions en justice ou de poursuites suite à l’incapacité de l’entreprise à faire face à ses engagements contractuels ;
impacts sur l’image et la réputation : préjudices portés à la crédibilité de l’entreprise vis-à-vis de ses clients, des investisseurs, de ses actionnaires, etc. conduisant à une perte substantielle d’opportunités à venir ;
impacts sur d’autres – ou tous les – processus de l’entreprise : risques d’extension d’impacts sur d’autres processus du groupe, du aux interdépendances entre les différentes activités du groupe.

Étape 3 : déterminer la stratégie – définition des objectifs de reprise

En cas de sinistre et pour chaque métier, quelles capacités le groupe veut-il conserver ou recouvrer, et à quelles échéances ?

Une fois l’analyse d’impact réalisée, le groupe est en mesure de définir pour chacun des processus métiers étudiés :
la période de temps maximale après le sinistre, au cours de laquelle chacune des ressources nécessaires à l’accomplissement d’un processus métier pour être opérationnelle doit être recouverte (recovery time objectives :RTO) ;
• le niveau d’activité qui doit être repris pour chaque processus, ainsi que son évolution dans le temps sur une période d’un mois à compter de la survenance du sinistre.

Étape 4 : élaborer et mettre en place des solutions

Les métiers ayant défini leur stratégie de continuité d’activité et formulé leurs besoins en ressources critiques sont maintenant en mesure de :

• Maîtrises d’ouvrage informatique : couvrir les besoins en termes d’objectif de reprise et de restauration de données ;
• Trouver des alternatives, au sein des processus, à déployer pour couvrir la période entre le sinistre et la reprise du processus métier impacté ;
Plan de continuité d’activité : concevoir les solutions de continuité adéquates pour permettre aux personnels de redémarrer les processus métiers impactés par le sinistre et assurer la continuité des activités vitales et critiques de l’entreprise ;
Centraliser les décisions stratégiques mais laisser les processus identifier et proposer des solutions locales ou transversales déployées au sein de l’entreprise.

Étape 5 : Déroulé du plan de continuité et choix des solutions « utilisateurs »

Positions sur site de repli (site interne ou sous contrat avec un prestataire)
• Positions dédiées : postes de travail entièrement pré-équipés sur un site de secours utilisateurs, à distance raisonnable du site primaire pour permettre un repli rapide après un sinistre. Ces positions sont, exclusivement et en permanence, réservées à l’usage du groupe en cas d’activation, et leur disponibilité est garantie.
• Positions mutualisées : postes de travail entièrement pré-équipés sur un site de secours utilisateurs, à distance raisonnable du site primaire pour permettre un repli rapide après un sinistre. Les positions mutualisées ne sont pas exclusives et sont
contractées parallèlement par plusieurs entreprises.

Secours croisés
Cross back up : solution consistant à reloger un utilisateur ayant perdu l’accessibilité à son poste de travail sur un autre poste dans un autre immeuble de production non impacté.
Cross border : solution consistant à reloger le personnel sur une autre implantation du groupe à l’international.

Accès à distance
Capacité de mener des activités depuis un site n’appartenant pas au groupe avec un accès à distance aux applications informatiques si nécessaire (domicile, espace de co-working, entreprise tierce…).

Split operations
• Solution consistant à éclater temporairement les personnels critiques sur un plus grand nombre de sites (production, repli, accès à distance) en prévision d’un risque accru de perturbation sévère des activités (exemple : conflits sociaux forts, actes terroristes répétés, etc.) ou pour répondre à une incapacité conjoncturelle de rejoindre le lieu de travail habituel (lors d’une grève des transports, par exemple).
• Lorsque cet éclatement des compétences n’est plus conjoncturel mais est intrinsèque par construction à la structure de la société (exemple : Covid-19) on parle de résilience.

3- Environnement de contrôle

L’environnement de contrôle désigne l’ensemble des éléments d’un organisme rendant possible la fonction de contrôle à tous les niveaux. Pour faire des audits, il faut d’abord disposer d’un environnement de contrôle cohérent.

MÉTHODE I-D-A-C montre l’importance du contrôle

L’environnement de contrôle nécessite un système O-S-E préalable, tel que E = M-C² ou E = M-C-C

La définition de l’environnement de contrôle proposée dans le Glossaire des Normes insiste sur l’importance de ces six éléments pour rendre possible la réalisation d’audits de 1ère, seconde ou tierce partie.
• Intégrité et valeurs éthiques.
• Philosophie et style de direction.
• Structure organisationnelle.
• Attribution des pouvoirs et responsabilités.
• Politiques et pratiques relatives aux ressources humaines.
• Compétence du personnel.