Comprendre le score d'évaluation pour les actifs de tiers
Les niveaux de criticité et les évaluations du risque font partie intégrante du cadre TPRM. Ces scores facilitent la catégorisation et la quantification de l'adéquation d'un tiers au partenariat. Cette rubrique explique le mode de calcul des niveaux de criticité et des scores de risque à partir des réponses de l'évaluation.
Remarque
Comme les pondérations de réponse et les limites du niveau d'impact sont configurables, les exemples de cette section peuvent ne pas correspondre aux calculs que vous voyez dans votre organisation. Pour plus d'informations, consultez la section Affichage des calculs de votre organisation dans Robots.
Niveaux de criticité
La plupart des organisations ont leurs propres mesures pour évaluer les niveaux de criticité des tiers. Elles peuvent dépendre de plusieurs facteurs, comme l'impact sur l'activité, les obligations réglementaires, la conformité de la sécurité et la responsabilité financière. L'identification du niveau de criticité permet une catégorisation initiale des tiers.
Si vous utilisez l'évaluation de la catégorisation pour déterminer les niveaux de criticité, Gestion des risques tiers (précédemment ThirdPartyBond) applique un calcul de score pour déterminer les niveaux de criticité des actifs de tiers, en fonction des réponses d'évaluation correspondantes.
Qu'est-ce qu'un évaluation de catégorisation ?
Une évaluation de catégorisation comprend plusieurs questions à choix multiple auxquelles un responsable de l'activité ou un propriétaire de tiers répond. Gestion des risques tiers (précédemment ThirdPartyBond) l'utilise pour calculer le niveau de criticité global pour chaque actif.
Calculer des niveaux de criticité
Lorsqu'une personne interrogée envoie les réponses, le robot de flux de travail Catégorisation tiers utilise les scores individuels pour calculer une valeur de pourcentage qui est ensuite comparée aux plages indiquées pour chaque niveau de criticité. Il affecte ensuite le tiers à un niveau de criticité qui correspond à la plage dans laquelle se trouve la valeur.
1. Calcul des scores de catégorisation
Une pondération est affectée à chaque réponse du questionnaire d'évaluation de criticité. Les admins système ayant des abonnements Utilisateur professionnel peuvent personnaliser chaque pondération de réponse dans le robot de flux de travail Catégorisation de tiers.
Ce robot calcule un score pour le questionnaire en fonction du score le plus élevé possible pour chaque question :
- Dans le cas des questions qui n'autorisent qu'une réponse individuelle, le score le plus élevé possible correspond à la pondération la plus élevée de toutes les réponses possibles à la question.
- Dans le cas des questions qui autorisent des réponses multiples, le score le plus élevé possible correspond à la somme de toutes les pondérations de toutes les réponses possibles à la question.
Me montrer un exemple de la conséquence d'une question sur un score de catégorisation
Exemple
La personne interrogée répond à la question suivante : Quel type de données seront stockées, traitées ou transmises par ce tiers ? La question accepte plusieurs réponses.
Les réponses disponibles et leurs pondérations respectives sont les suivantes :
| Réponse | Pondération |
|---|---|
| Informations sur l'employé (PII) | 3 |
| Informations sur le client (PII) | 3 |
| Informations financières | 1 |
| Informations propriétaires | 1 |
| Informations sur l'infrastructure informatique - Confidentielles | 3 |
| Informations sur l'infrastructure informatique - Chiffrées | 1 |
| Aucun de ces types de données ne s'applique | 0 |
La personne interrogée sélectionne Informations financières et Informations sur l'infrastructure informatique - Confidentiel.
- Le score total de cette question est 4 ( 1 + 3 = 4 ).
- La pondération la plus élevée possible pour cette question est 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ).
2. Affectation d'un niveau d'impact
Gestion des risques tiers (précédemment ThirdPartyBond) calcule le score du questionnaire final comme suit : score de catégorisation = (somme de toutes les pondérations de réponse / somme de tous les scores de question les plus élevés possibles) * 100%.
Pour finir, le robot de flux de travail utilise ce score en pourcentage et le compare aux limites du niveau d'impact définies pour votre organisation que vous pouvez personnaliser dans le robot. Le niveau d'impact correspondant à la plage de scores en pourcentage s'affiche dans votre actif.
Me montrer un exemple d'affectation d'un niveau d'impact
Exemple
Lorsque vous avez terminé le questionnaire :
- La somme des pondérations de réponse que la personne interrogée a sélectionnée est égale à 41.
- La somme des scores les plus élevés possibles pour toutes les questions est égale à 110.
Le score final du questionnaire est 37% ( ( 41 / 110 ) * 100 = 37,27 ).
Dans votre organisation, les scores compris entre 20% et 40% sont affectés au niveau de criticité Faible. Par conséquent, Faible apparait dans le champ Niveau de criticité pour l'actif tiers.
Scores de risque
Définition d'une évaluation du risque
Une évaluation du risque comprend plusieurs questions à choix multiple auxquelles un propriétaire de tiers répond. Vous pouvez choisir entre les questionnaires SIG Lite et CAIQ Lite pour catégoriser vos actifs. En règle générale, un responsable d'activité peut l'affecter à un propriétaire de tiers ou à tout autre utilisateur externe capable de répondre à toutes les questions.
Déterminer le score de risque et le niveau
Comme pour les questionnaires de catégorisation, une note est affectée à chaque réponse de l'évaluation du risque. Lorsqu'une personne interrogée envoie la réponse, Diligent One utilise les scores individuels pour calculer une valeur de pourcentage. Celle-ci est renseignée dans le champ du score de risque.
Diligent One détermine un niveau de risque après avoir comparé le score de risque aux plages indiquées pour les différents niveaux de risque définis.
1. Calculer les scores de risque
Une pondération est affectée à chaque réponse du questionnaire d'évaluation du risque. Les admins système ayant des abonnements Utilisateur professionnel peuvent personnaliser chaque pondération de réponse dans les robot de flux de travail SIG Lite ou CAIQ Lite.
En fonction de l'évaluation que vous avez sélectionnée, un score pour le questionnaire en fonction du score le plus élevé possible pour chaque question : par défaut, les questions du score de risque ont toutes les réponses disponibles suivantes et les pondérations correspondantes :
| Réponse | Pondération |
|---|---|
| Oui | 0 |
| Non | 1 |
|
N/A - veuillez fournir une explication Remarque Lorsque vous sélectionnez cette option, l'explication que vous spécifiez n'est pas prise en compte dans la pondération de la réponse. |
0 |
Comme vous ne pouvez choisir qu'une des réponses ci-dessus, le score le plus élevé possible correspond à la pondération de réponse supérieure de toutes les réponses possibles à la question (dans ce cas, 1).
Ces questionnaires peuvent également inclure des questions d'information avec différentes réponses, mais ces questions n'ont pas d'incidence sur les calculs du score de risque.
Me montrer un exemple de la conséquence d'une question sur un score de risque
Exemple
La personne interrogée répond à la question suivante dans le questionnaire CAIQ Lite : Voulez-vous utiliser un outil d'analyse du code source automatisé pour détecter des défauts de sécurité dans le code avant la production ?
La personne interrogée a répondu Oui. La pondération de réponse à cette question est 0.
La pondération de réponse la plus élevée possible pour cette question est égale à 1.
2. Affecter un niveau de risque
Gestion des risques tiers (précédemment ThirdPartyBond) calcule le score du questionnaire final comme suit : score de catégorisation = (somme de toutes les pondérations de réponse / somme de tous les scores de question les plus élevés possibles) * 100%.
Pour finir, le robot de flux de travail utilise ce score en pourcentage et le compare aux limites du niveau de risque définies pour votre organisation que vous pouvez personnaliser dans le robot. Le niveau de risque correspondant à la plage de scores en pourcentage s'affiche dans votre actif.
Me montrer un exemple d'affectation d'un niveau de risque
Exemple
Lorsque vous avez terminé le questionnaire CAIQ Lite :
- La somme des pondérations de réponse que la personne interrogée a sélectionnée est égale à 22.
- La somme des scores les plus élevés possibles pour toutes les questions est égale à 73.
Le score final du questionnaire est 30% ( 22 / 73 ) * 100 = 30,14 ).
Dans votre organisation, les scores compris entre 0% et 40% sont affectés au niveau de criticité Faible. Par conséquent, Faible apparaît dans le champ Niveau de risque CAIQ Lite et 30 dans le champ Score de risque CAIQ Lite pour l'actif tiers.
Affichage des calculs de votre organisation dans Robots
Les admins système ayant les abonnements Utilisateur professionnel peuvent voir les pondérations de réponse et les limites du niveau d'impact que votre organisation utilise pour calculer les scores ci-dessus à l'aide des étapes suivantes :
- Ouvrir l'application Robots.
- Dans le tableau de bord de Robots, sélectionnez Robots de flux de travail.
- Cliquez sur le robot qui contient le script à afficher.
- Dans le coin supérieur droit du robot, cliquez sur Développement pour passer en mode développement.
- Dans l'onglet Versions de script, sélectionnez la version du script à voir.
-
Cliquez sur Modifier un script.
Résultat L'éditeur de script Robots s'ouvre avec le script. Pour plus d'informations, consultez la section Créer des scripts Python et HCL dans Robots.
Si vous avez besoin d'aide pour rechercher les robots qui contiennent vos personnalisations ou pour personnaliser les calculs de votre organisation afin qu'ils répondent à vos besoins, contactez l'assistance ou votre représentant Diligent.
