Point clé 1 — Risque résiduel

Le risque résiduel doit rester dans les limites de l'appétit pour le risque

Point clé 2 — Risque résiduel

Si résiduel > appétit : action requise (contrôles supplémentaires, transfert, évitement)

Point clé 3 — Risque résiduel

La réduction inhérent → résiduel démontre la valeur du programme de contrôle

Point clé 4 — Risque résiduel

Le risque résiduel évolue dans le temps — il doit être réévalué régulièrement

Point clé 5 — Risque résiduel

Le risque résiduel acceptable sans traitement = risque accepté (documented risk acceptance)

Retour au Glossaire

DéfinitionRisque

Risque résiduel

Niveau de risque restant après application des contrôles et mesures d'atténuation.

Le risque résiduel est l'exposition nette après prise en compte des contrôles existants. L'objectif est que le risque résiduel reste dans les limites de l'appétit pour le risque défini par le conseil d'administration. S'il dépasse ce seuil, des contrôles additionnels, un transfert de risque (assurance) ou un plan de traitement sont nécessaires. La comparaison entre risque inhérent et risque résiduel est un indicateur clé de la maturité du programme de gestion des risques.

📌 Points clés

Le risque résiduel doit rester dans les limites de l'appétit pour le risque
Si résiduel > appétit : action requise (contrôles supplémentaires, transfert, évitement)
La réduction inhérent → résiduel démontre la valeur du programme de contrôle
Le risque résiduel évolue dans le temps — il doit être réévalué régulièrement
Le risque résiduel acceptable sans traitement = risque accepté (documented risk acceptance)

Certifications liées

Ces certifications couvrent en profondeur le concept de « Risque résiduel ».

CRMA· IIA

Certification in Risk Management Assurance (IIA)

La CRMA de l’IIA spécialise l’audit sur la gestion des risques (ERM, COSO ERM 2017, Three Lines Model). Examen unique en 10 semaines.

Voir la prép CRMA Essayer l’aperçu

CIA· IIA

Certified Internal Auditor (IIA, 3 Parts)

La certification CIA de l’IIA traite ce concept en Part 1 (cadre, IPPF) et Part 2 (pratique de l’audit). 60+ leçons et 1 258 questions originales.

Voir la prép CIA Essayer l’aperçu

CISA· ISACA

Certified Information Systems Auditor (ISACA)

La CISA d’ISACA cible l’audit des SI. 5 domaines, ITAF et COBIT, plus de 2 300 questions corrigées par AuditBot.

Voir la prép CISA Essayer l’aperçu

🔗 Concepts liés

Risque

Risque inhérent

Niveau de risque avant toute mesure de contrôle ou d'atténuation.

Risque

Appétit pour le risque

Niveau de risque qu'une organisation est prête à accepter pour atteindre ses objectifs.

Contrôles

Objectif de contrôle

Déclaration de la finalité d'un contrôle — ce qu'il vise à garantir.

Risque

Registre des risques

Document centralisant l'ensemble des risques identifiés d'une organisation.

Risque

Indicateur Clé de Risque (KRI)

Métrique mesurant l'évolution de l'exposition à un risque dans le temps.

📖 Articles liés

Every Control Is a Hypothesis

8 min read·industry news

Context Beats Data: Why a Finding Without Owner, Process, and Entity Is Just Noise

8 min read·industry news

Maîtrisez ce concept et bien d'autres

Commencez votre préparation aux certifications GRC.

Découvrir l'Academy

Voir les 31 termes du glossaire

Retour au Glossaire

DéfinitionRisque

Risque résiduel

Niveau de risque restant après application des contrôles et mesures d'atténuation.

📌 Points clés

Le risque résiduel doit rester dans les limites de l'appétit pour le risque
Si résiduel > appétit : action requise (contrôles supplémentaires, transfert, évitement)
La réduction inhérent → résiduel démontre la valeur du programme de contrôle
Le risque résiduel évolue dans le temps — il doit être réévalué régulièrement
Le risque résiduel acceptable sans traitement = risque accepté (documented risk acceptance)