EDM03 - Garantir l’optimisation des risques
Lacrif
CO Founder
Dernière modification : 26/01/2026
Description
Assurer que l'appétence et la tolérance aux risques de l'entreprise sont comprises, cohérentes et communiquées et que ces risques associés à l'informatique impactant la production de valeur sont identifiés et gérés.
But
S’assurer que les risques d’entreprise liés à l'informatique ne dépassent pas l’appétence et la tolérance au risque, que l’impact des risques liés à l'informatique sur la valeur de l’entreprise est connu et géré, et que les risques de non-conformité sont minimisés.
Objectifs IT principaux
| Objectifs IT | Métriques associées |
|---|---|
| Gérer les risques financiers relatifs à l'informatique |
|
| Garantir la transparence sur les coûts, bénéfices et risques informatiques |
|
| Garantir la sécurité de l'information, de l'infrastructure et des applications |
|
| Assurer la conformité de l'informatique aux politiques internes |
|
Objectifs du processus
| Objectifs du processus | Métriques associées |
|---|---|
| Les seuils de risque sont définis et communiqués, et les principaux risques liés à l'informatique sont connus. |
|
| L’entreprise gère efficacement les risques critiques liés à l'informatique. |
|
| Les risques d’entreprise liés à l'informatique ne dépassent pas l’appétit pour le risque et l'impact sur la valeur de l’entreprise est connu et géré. |
|
Pratiques
EDM03.01 - Evaluer la gestion des risques
Examiner et évaluer continuellement l’effet du risque sur l’utilisation actuelle et future de l'informatique dans l’entreprise. Évaluer si l’appétance de l’entreprise pour le risque est appropriée et si les risques sur la valeur dans l’entreprise liés à l’utilisation de l'informatique est identifié et géré.
Entrées/Sorties
| Description | Venant de | Description | Vers |
|---|---|---|---|
| Risques émergents et facteurs d'occurrence | APO12.01 | guidance concernant l'appétit pour le risque | APO12.03 |
| Principes de gestion des risques entreprise | Hors CobIT | Seuils de tolérance aux risques approuvés | APO12.03 |
| Evaluation des activités de gestion de risques | APO12.01 |
Activités
| N° | Description |
|---|---|
| 1 | Déterminer le niveau de risque lié à l'informatique que l’entreprise est prête à prendre pour atteindre ses objectifs (appétit pour le risque). |
| 2 | Évaluer et approuver les seuils proposés de tolérance au risque lié à l'informatique par rapport aux niveaux acceptables de risque et d’opportunité de l’entreprise. |
| 3 | Déterminer le degré d’alignement de la stratégie de gestion du risque lié à l'informatique avec la stratégie de gestion des risques de l’entreprise. |
| 4 | Evaluer proactivement les facteurs de risque avant la prise de décisions stratégiques par l’entreprise et s’assurer qu’elle prenne les décisions en toute connaissance des risques. |
| 5 | Vérifier que l’utilisation de l'informatique est soumise à une évaluation appropriée des risques, comme cela est décrit dans les normes internationales et nationales pertinentes. |
| 6 | Evaluer les activités de gestion des risques pour assurer l’alignement de la capacité de l’entreprise à supporter les pertes liées à l'informatique ainsi que la tolérance de la direction face à celles-ci. |
EDM03.02 - Orienter la gestion des risques
Orienter la mise en place de pratiques de gestion des risques afin de fournir une assurance raisonnable que les pratiques de gestion du risque lié à l'informatique sont appropriées pour garantir que le risque effectif ne dépasse pas l’appétit pour le risque établi par le conseil d’administration.
Entrées/Sorties
| Description | Venant de | Description | Vers |
|---|---|---|---|
| Profil de risque global, incluant le statut des actions de gestion des risques | APO12.03 | Politique de gestion des risques | APO12.01 |
| Profils et plans d’atténuation de la gestion des risques d’entreprise | Hors CobIT | Objectifs clés à piloter pour la gestion des risques | APO12.01 |
| Processus approuvé pour l’évaluation de la gestion des risques | APO12.01 |
Activités
| N° | Description |
|---|---|
| 1 | Promouvoir une culture de sensibilisation aux risques liés à l'informatique et habiliter l’entreprise à l’identification proactive des risques liés à l'informatique, des opportunités et des impacts potentiels sur les métiers. |
| 2 | Orienter l’intégration de la stratégie et des opérations de gestion des risques liés à l'informatique à l'aide des décisions et opérations stratégiques d’entreprise en matière de risque. |
| 3 | Orienter l’élaboration de plans de communication sur les risques (couvrant tous les niveaux de l’entreprise) ainsi que sur les plans d’actions associés à leur gestion. |
| 4 | Orienter la mise en oeuvre des mécanismes appropriés pour répondre rapidement à l’évolution des risques et informer immédiatement les niveaux appropriés de management conformément aux procédures d'escalades convenues (ce qu’il faut signaler, quand, où et comment). |
| 5 | Convenir que les risques, opportunités, enjeux et préoccupations peuvent être identifiés et signalés par toute personne à tout moment. Le risque doit être géré conformément aux politiques et aux procédures publiées, et transféré au niveau de décisions approprié. |
| 6 | Identifier les objectifs et les indicateurs des processus de gouvernance et de gestion des risques clés à piloter. Approuver les approches, méthodes, techniques et processus d’obtention et de transmission de l’information de mesure. |
EDM03.03 - Piloter la gestion des risques
Piloter les objectifs et indicateurs clés des processus de gestion des risques et établir comment les écarts ou les problèmes seront identifiés, suivis et rapportés pour qu’ils soient corrigés.
Entrées/Sorties
| Description | Venant de | Description | Vers |
|---|---|---|---|
| Résultats d'analyse des risques | APO12.02 | Mesures correctives destinées à prendre en charge les écarts en matière de gestion des risques | APO12.06 |
| Opportunités d’acceptation d’un plus grand risque | APO12.04 | Enjeux de gestion des risques pour le conseil d’administration | EDM05.01 |
| Résultat de l’examen des évaluations des risques liés aux tiers | APO12.04 | ||
| Rapports d’analyse des risques et du profil de risque destinés aux parties prenantes | APO12.04 |
Activités
| N° | Description |
|---|---|
| 1 | Evaluer dans quelle mesure le profil de risque est géré tout en respectant les seuils de tolérance au risque. |
| 2 | Piloter les objectifs clés et les indicateurs des processus de gouvernance et de gestion des risques par rapport aux cibles, analyser les causes des écarts et prendre des mesures correctives pour remédier aux causes sous-jacentes. |
| 3 | Permettre aux parties prenantes clés de passer en revue la progression de l’entreprise vers l’atteinte des objectifs identifiés. |
| 4 | Signaler tout problème de gestion des risques au conseil d’administration ou au comité exécutif. |
RACI
| EDM03.01 | EDM03.02 | EDM03.03 | |
|---|---|---|---|
| Conseil d'administration | A | A | A |
| Président Directeur Général | R | R | R |
| Directeur Financier | C | C | C |
| Directeur Opérationnel | C | C | C |
| Directeurs Métiers | R | R | R |
| Propriétaires de Processus Métiers | C | C | C |
| Comité Stratégie | R | R | R |
| Comité de Pilotage (programmes/projets) | I | I | |
| Coordinateur Projets (PMO) | I | I | |
| gestion de la valeur | I | I | I |
| Risk Manager (RM) | R | R | R |
| Directeur de la Sécurité des SI (DSSI) | C | I | R |
| Urbanisme | I | I | |
| Comité risque de l'entreprise | I | I | I |
| Direction des Ressources Humaines (DRH) | C | C | C |
| Conformité | C | C | C |
| Audit | C | C | C |
| Directeur du SI (DSI) | R | R | R |
| Responsable Architecture | C | C | C |
| Responsable développement | I | I | |
| Responsable production informatique | I | I | |
| Responsable de l'administration informatique | I | I | |
| Gestionnaire de service | I | I | |
| Gestionnaire de la sécurité de l'information | I | I | |
| Gestionnaire de la continuité | I | I | |
| Directeur de la propriété | C | I | C |