Surveillance et communication des résultats
Le fonction d'audit a pour seul but dans l'organisation de proposer une assurance et des conseils dans toutes les fonctions de l'entreprise. Cependant, les responsables et les dirigeants de l'entreprise ne valorisent pas l'avis des experts si aucune donnée empirique n'est fournie comme preuve. Cet article décrit la surveillance et la communication des résultats à l'aide des applications Résultats et Storyboards.
Il s'appuie sur les exemples présentés dans Exécution de votre audit.
Que signifie surveiller et communiquer des résultats ?
La surveillance et la communication des résultats comprend l'identification et la gestion des exceptions, la collecte d'informations auprès des personnes interrogées afin de contextualiser les données et la visualisation de ces données pour mettre en évidence des tendances, des modèles ou des valeurs aberrantes.
Où surveiller et communiquer les résultats ?
Vous pouvez surveiller et communiquer les résultats à l'aide des applications Résultats et Storyboards.
Une image étendue
- Les questionnaires permettent de contextualiser les données et les réponses sont stockées dans des tables.
- Les déclencheurs automatisent vos processus de remédiation de l'organisation en exécutant un ensemble d'actions basées sur les données d'enregistrement dans des tables ou des seuils de mesure que vous définissez.
- Les storyboards présentent des résultats de données à l'aide de plusieurs visualisations qui reposent sur les données d'enregistrement dans des tables.
Une fois que vous avez terminé l'analyse d'audit, vous pouvez lier les données de Résultats à vos évaluations dans l'application Projets pour consolider des informations et simplifier l'approbation lorsque la remédiation est terminée.
Étapes
Prêt pour un tour ?
Étudions plus précisément ces fonctions dans le contexte.
1. Organiser et importer les données
La première étape consiste à préparer et organiser vos données dans Résultats. Il existe trois niveaux d'organisation pour les données : Collections, Analyses, et Tables. Les données sont stockées dans une table intitulée Outil d'analyse de données. Chaque table figure dans une analyse et une collection.
Exemple
Scénario
Vous êtes un auditeur en charge de l'audit de la sécurité physique. Vous avez précédemment effectué une partie du travail de terrain dans Projets et vous travaillez actuellement sur la procédure suivante :
3-02 : durant les week-ends, seules les entrées principales de l'installation (Sud 1 à Denver (DV1) et Sud 2 à Los Angeles (LA2)) peuvent autoriser des entrées par carte magnétique.
Pour identifier et suivre les incidents liés aux accès non autorisés pendant le week-end, vous voulez analyser et traiter les journaux d'accès à l'aide de Résultats.
Votre responsable a déjà analysé les journaux d'accès dans Analytics et il a exporté les résultats dans Excel pour vous.
Processus
Rubrique d'aide Configurer Résultats
Vous paramétrez les conteneurs de données suivantes dans Résultats :
- Collection Examen de sécurité de l'équipement Latex
- Analyse Examen de sécurité de l'équipement Latex 2015
- Outil d'analyse de données Examen de sécurité de l'équipement Latex T1 2015
Ensuite, vous importez le fichier Excel dans l'outil d'analyse de données Examen de sécurité de l'équipement Latex T1 2015.
Résultat
Les données sont importées et affichés dans un tableau. Il apparaît 303 problèmes d'entrées effectuées par des points différents de l'entrée principale pendant le week-end.
2. Traiter les enregistrements
Lorsque les enregistrements sont disponibles, vous pouvez les traiter. Traiter un enregistrement vous permet de fournir des informations sur un enregistrement, comme la priorité, le statut, la personne à laquelle il est affecté. Vous pouvez également ajouter des commentaires et joindre des fichiers. Vous pouvez traiter les enregistrements dans un outil d'analyse de données de manière individuelle, par lots ou simultanément.
Astuce
Il est possible d'automatiser le rassemblement des données sur l'incident à l'aide de rapports d'événement. Les organisations peuvent optimiser la collecte des données d'informateur pour identifier un comportement non conforme, prendre des mesures correctives et prévoir les prochains efforts d'atténuation du risque.
Mettre à jour des enregistrement
Résultats vous permet de gérer l'intégralité du processus de remédiation. Cela comprend la collecte d'évidence ou d'entrée pour clôturer votre enregistrement marqué et résoudre les cas. Toutes les actions sont enregistrées sous forme d'historique de preuves défendables pour supporter votre analyse.
Exemple
Scénario
Vous remarquez qu'au-delà de l'entrée principale autorisée, six autres points d'accès non autorisés sont utilisés pendant les week-ends :
- Est 1 (E1)
- Est 2 (E2)
- Nord 1 (N1)
- Nord 2 (N2)
- Ouest 1 (O1)
- Ouest 2 (O2)
Comme la majorité des problèmes sont liés à l'entrée Nord 2, la probabilité d'un échec du contrôle, tel qu'un verrou cassé, est élevée. L'entrée Ouest 1 accède directement à l'aile ouest de l'installation, lieu de production de la formula ultra secrète. Si cette formule tombait entre les mains de la concurrence, Vandelay Industries serait très certainement obligé de cesser son activité. Comme l'entrée Est 1 donne directement à l'arrière de l'aile administrative, son utilisation pendant le week-end est moins critique.
Processus
Rubrique d'aide Traiter des enregistrements
Vous traitez les enregistrements comme suit :
- Enregistrements de l'entrée Ouest 1 Priorité élevée
- Enregistrements de l'entrée Est 1 Priorité moyenne
- Tous les autres enregistrements Priorité faible
Tous les enregistrements sont affectés à la personne appropriée pour l'examen. Vous adaptez également le statut de tous les enregistrements de Nouveau à Ouvert.
Résultat
Les enregistrements sont traités.
Automatiser le flux de travail de remédiation
Résultats permet d'automatiser le flux de travail de remédiation de l'organisation lorsque vous recherchez la cause d'éventuels problèmes. Grâce aux déclencheurs, vous pouvez gérer un grand nombre de problèmes éventuels, identifier et prioriser ceux qui exigent une attention immédiate.
Exemple
Scénario
Vous voulez pouvoir préparer un flux de travail de remédiation qui effectue un ensemble d'actions à chaque nouvel ajout d'un enregistrement dans votre table. Les enregistrements récemment ajoutés doivent automatiquement être traités, avec affectation du statut et de la priorité correspondante, en fonction point d'entrée utilisé.
Processus
Rubrique d'aide Créer un déclencheur
Dans la mesure où vous affectez trois priorités différentes aux enregistrements en fonction de l'entrée utilisée (Élevée pour Ouest 1, Moyen pour Est 1, et Faible pour Ouest 2, Est 2, Nord 1, et Nord 2), vous admettez que vous devez créer trois déclencheurs – un pour chaque niveau de priorité.
Vous créez les déclencheurs suivants :
- Points d'accès de priorité élevée
- Points d'accès de priorité moyenne
- Points d'accès de faible priorité
Résultat
Le déclencheur informe la personne correspondante, met à jour le statut de l'enregistrement et affecte la priorité de l'enregistrement lorsque les conditions sont satisfaites. L'action est automatisée et tout le processus est géré via Résultats sans système externe ou goulot d'étranglement avec lequel composer.
Créer des questionnaires
Les questionnaires permettent de regrouper des informations provenant des personnes interrogées et de contextualiser les données. Chaque collection peut avoir un ou plusieurs questionnaires que vous déployez sous forme de moyens de suivi lors de la correction d'enregistrements. Les réponses sont capturées dans la table indiquée où chaque question est définie comme une colonne distincte.
Astuce
La collection Modèles de questionnaires contient une variété de questionnaires préintégrés que vous copiez et utilisez comme point de départ. Chaque modèle de questionnaire est lié à différents segments du secteur et est pré-renseigné par une série de questions.
Exemple
Scénario
Tous les employés et leurs responsables au sein de l'organisation doivent suivre un cours de formation Sécurité et confidentialité qui comprend la politique d'accès à l'équipement.
Si, pendant le week-end, un employé utilise une entrée différente de l'entrée principale, un questionnaire doit lui être adressé. Ce dernier permet de demander s'il a suivi ou non le cours de formation Sécurité et confidentialitéy and Privacy, demander s'il sait que seule l'entrée principale doit être emprunté pendant le week-end et fournir un motif d'utilisation d'une entrée non autorisée.
Processus
Rubrique d'aide Création de questionnaires
Commencez par créer un questionnaire d'examen de la politique d'accès à l'équipement.
Ensuite, comme vous disposez d'une colonne avec l'adresse e-mail des employés, vous créez un déclencheur pour envoyer automatiquement le questionnaire par e-mail dès qu'un problème d'accès non autorisé affiche la valeur Ouvert.
Résultat
Le questionnaire est envoyé dès que les conditions sont remplies, vous pouvez regrouper des informations complémentaires fournies par des personnes interrogées afin de contextualiser les données.
3. Visualiser le données
Les visualisations de données sont essentielles pour aider chacun à resituer les données dans leur contexte. En effet, replacer les données dans un contexte visuel permet de dégager des modèles, des tendances et des corrélations qui pourraient sinon passer inaperçus. Les tendances de données et les modèles sont plus parlants dans le contexte d'objectifs et de mesures plutôt larges. En présentant vos visualisations de données dans leur contexte, le tableau qu'elles brosseront sera plus clair et les intervenants pourront donc en tirer des conclusions plus pertinentes :
Créer une visualisation
Une visualisation est une représentation graphique des résultats dans une table. Une fois que vous avez compris votre public et vos données, vous pouvez visualiser les données à l'aide du type de graphique qui donne la meilleure représentation possible des données.
Exemple
Scénario
Lorsque vous avez automatisé le flux de travail, vous pouvez analyser vos résultats et partager vos découvertes. Vous voulez également effectuer une analyse des valeurs aberrantes.
Pendant que vous examinez vos notes prises au cours d'une précédente réunion de planification d'audit, vous remarquez la puce suivante :
- 22 août - employés travaillant sur le projet 911
Au vu du nombre d'employés et de services impliqués, il est probable que d'autres points d'accès aient été ouverts le 22 août alors que ce point n'avait pas été confirmé dans la documentation. Un graphique à bulle vous permet de contrôler visuellement les problèmes afin d'identifier les valeurs aberrantes à surveiller ainsi que les faux positifs qui correspondent à la date du projet 911.
Processus
Rubrique d'aide Visualiser les données des tables dans des graphiques
Vous créez un graphique à bulle qui affiche la relation entre le jour de la visite de l'installation, la durée de la visite, le nombre de visites et l'employé qui a fait la visite. Vous pouvez également filtrer les points d'accès depuis le 22 août puisqu'ils ont du apparaître alors que plusieurs entrées étaient ouvertes pour faciliter le projet 911.
Résultat
Vous pouvez visualiser et synthétiser votre analyse.
Suivre des indicateurs clés avec des mesures
Les mesures suivent les données dans une seule colonne pendant une période en utilisant une fonction agrégée comme par exemple une moyenne, un compte ou un pourcentage du total. Lorsque vous configurez une mesure, vous définissez également des déclencheurs avec des conditions de seuil qui testent la valeur du calcul. Lorsque l'une de ces conditions s'avère vraie, la valeur de calcul du déclencheur change et toute action associée s'exécute.
Exemple
Scénario
Une fois que vous avez créé une visualisation qui affiche les problèmes d'accès de l'installation, vous voulez également pouvoir suivre le pourcentage total de l'accès pendant le week-end par rapport à l'accès hebdomadaire global.
Vandelay Industries a défini un seuil pour l'accès pendant le week-end à 15% de l'accès hebdomadaire total. Une de vos tâches consiste à surveiller et déclarer tous les mois pendant lesquels le pourcentage d'accès de fin de semaine dépasse 15%.
Processus
Rubriques d'aide
Commencez par créer un nouvel outil d'analyse intitulé Accès pendant les jours de la semaine et le week-end T1 2016. Ensuite, vous chargez le fichier accès des journaux d'accès dans l'outil d'analyse des données.
Vous créez une mesure pour surveiller le pourcentage total de l'accès à l'installation pendant le week-end. Pour terminer, vous créez un déclencheur qui vous informe lorsque le pourcentage d'accès pendant le week-end dépasse 15%.
Résultat
La configuration de la mesure et du déclencheur est enregistrée. Le déclencheur informe la personne correspondante en cas de dépassement du seuil de la mesure.
4. Présenter un récit
Grâce aux résultats des projets d'attestation et aux analyses de cause initiale de la gestion des incidents, les organisations peuvent identifier des omissions ou des faiblesses au niveau des politiques existantes. Elles peuvent également effectuer des retours aux auteurs des politiques afin qu'ils en développent de nouvelles ou renforcent celles existantes. Résultats permet aux auditeurs de créer un storyboard le plus convaincant possible et de surveiller les KPI/KRI, dont l'exécution et la consommation peuvent être rapides. Une fois créés, il est possible de partager les rapports avec les intervenants appropriés.
Créer un storyboard
Les storyboards offrent une vue macro ou une collection élargie d'incidents similaires afin de déterminer les tendances et analyse la cause initiale des problèmes systémiques. Dans le cas d'incidents fréquents, les storyboards permettent de créer un rapport pour tout le portefeuille des incidents.
Exemple
Scénario
D'après les résultats de votre examen, la visualisation et la mesure que vous avez créées, vous estimez qu'il est nécessaire d’appliquer plus rigoureusement des contrôles sur l'accès pendant le week-end. Vous voulez insérer votre analyse dans une storyboard pour présenter le récit de l'examen de sécurité et utiliser les données pour convaincre votre responsable d'implémenter plus de contrôles.
Processus
Rubriques d'aide
Commencez par créer une storyboard et inclure la visualisation et la mesure que vous avez précédemment créées dans votre storyboard. Ensuite, partagez le storyboard avec les intervenants appropriés.
Résultat
Le storyboard affiche plusieurs visualisations et du contenu de texte dans une plateforme de communication unique. Les responsables et les autres intervenants peuvent utiliser ces informations pour détecter des modèles ou des tendances, analyser la cause initiale des problèmes de système et développer des processus opérationnels plus efficaces et performants.
Lier les données de Résultats à vos évaluations dans Projets
Pendant toute phase d'évaluation, vous pouvez lier des données de Résultats afin de prendre en charge votre documentation dans Projets. En liant les données de Résultats, vous mettez en évidence les exceptions ou toute information importante qui concerne un échec de contrôle et vous diminuez la subjectivité dans les évaluations de risque.
Exemple
Scénario
Une fois que vous avez analysé les journaux d'accès, vous pouvez terminer la procédure d'exécution 3-02 :
3-02 : durant les week-ends, seules les entrées principales de l'installation (Sud 1 à Denver (DV1) et Sud 2 à Los Angeles (LA2)) peuvent autoriser des entrées par carte magnétique.
Vous voulez ajouter l'élément justificatif de Résultats dans votre évaluation au niveau de l'application Projets afin de consolider les informations et faciliter l'approbation à la fin de la remédiation.
Processus
Rubrique d'aide Création de liens avec des preuves dans Résultats
Dans Projets, vous accédez à la procédure appropriée et liez les données de Résultats afin d'appuyer votre documentation :
Vous créez ensuite un problème pour les exceptions identifiées dans l'outil d'analyse de données afin de faciliter la gestion d'un plan de remédiation de problème. Pour finir, vous signez votre travail et demandez à votre responsable de l'approuver.
Résultat
Les données de Résultats sont consolidées et liées à votre documentation de Projets. Désormais, vous pouvez facilement examiner les données d'exception et valider la remédiation du problème ou non.
Quelles sont les prochaines étapes ?
Découvrez comment déclarer un audit
Les équipes d'audit peuvent utiliser les applications Projets et Rapports pour créer des rapports.
Pour en savoir plus, voir Créer des rapports d'audit.
Inscrivez-vous à une formation de l'Académie
Poursuivez votre apprentissage des concepts présentés dans cet article en suivant le parcours d'apprentissage PROJ 100.
L'Académie est le centre des ressources de formation en ligne de Diligent. Les sessions de l'Académie sont incluses sans coût supplémentaire pour tout utilisateur disposant d'un abonnement Diligent One. Pour plus d'informations, consultez Académie.