Exécuter une évaluation de risque opérationnel

Projets vous permet de simplifier et d'optimiser l'organisation de toutes les tâches impliquées dans l'exécution d'une évaluation de risque opérationnel et de quantifier le risque auquel une organisation est confrontée.

Pour finir, les résultats du test d'un projet peuvent regrouper les scores de risque inhérent et de risque résiduel de votre organisation et vous fournir ainsi une image en temps réel du risque qu'il reste avant et après la mise en place des contrôles.

Scénario

Vous êtes un chef de la gestion du risque qui s’occupe d’un projet complet d’évaluation du risque opérationnel. Votre équipe dispose d'un processus d'évaluation du risque solide et affiné, elle évalua le risque au travers de plusieurs dimensions (probabilité, impact, vélocité et vulnérabilité) dans une échelle à trois points (1-faible, 2-moyen, et 3-élevé).

Auparavant, vous avez créé un projet depuis un modèle de projet. Désormais, vous devez évaluer le score de risque inhérent pour l'un des risques dans l'objectif Contrôles généraux des systèmes d'information afin de déterminer le risque brut auquel l'organisation sera confrontée si aucun contrôle ou tout autre facture d'atténuation n'est mis en place.

Alors que vous évaluez chaque risque du projet, vous voulez également pouvoir déterminer le risque qu’il subsiste après que des contrôles ont été mis en place. Ces informations sont utiles au moment de préparer le rapport d'évaluation du risque final.

Avant de commencer

Ce didacticiel vous guide à travers les zones clés de Projets en lien avec la tâche de réalisation d'une évaluation de risque opérationnel.

Avant de commencer ce didacticiel, vous devez effectuer les deux opérations suivantes :

  1. Assurez-vous d'avoir les autorisations correspondantes pour créer un projet.
  2. Ouvrez l'application Projets et créez un projet à l'aide du modèle de projet Évaluation du risque opérationnel.

Définir votre cadre pour le score de risque

Commençons par définir notre projet. La première étape du processus d'évaluation du risque consiste à développer un ensemble typique de critères d'évaluation (un cadre de score de risque) pouvant être utilisés dans les entités, les services ou les unités opérationnelles. Les chefs de la gestion des risques sont généralement en charge de définir le cadre du score de risque et ils peuvent soit être responsables de l’évaluation du risque eux-mêmes ou ils peuvent déléguer les responsabilités de l’évaluation à d’autres membres de l’équipe.

  1. Depuis la page d’accueil de la Barre de lancement (www.highbond.com), sélectionnez l'application Projets pour l'ouvrir.

    Si vous êtes déjà dans Diligent One, vous pouvez utiliser le menu de navigation situé à gauche pour basculer vers l’application Projets.

  2. Sur la page d'accueil de Projets, sous Administration système, cliquez sur Gérer les types de projets.
  3. En regard de Évaluation du risque opérationnel, cliquez sur Modifier, puis sur l'onglet Risques et contrôles.

    Cette page présente des options de configuration mais vous n'avez pas à vous en occuper. Vous vous concentrez sur la section Facteurs de score de risque qui correspond à l'emplacement où vous définissez de quelle manière évaluer le risque dans le projet.

  4. Faites défiler la page dans la section Facteurs de score de risque.

    Vous remarquez que les facteurs de score de risque pour l'impact, la probabilité et la vélocité sont déjà configurés pour vous. Votre organisation évalue également le risque sur la vulnérabilité à l'aide d'une échelle à trois points, vous devez donc définir un ou plusieurs facteurs de score de risque dans l'optique de votre cadre de score de risque.

  5. Cliquez sur Ajouter le facteur de score de risque, complétez la section Facteur de score de risque 2 comme suit puis faites défiler la page et cliquez sur Enregistrer :

    Remarque

    Cliquez sur +Ajouter trois fois pour marquer les points sous Choix.

Résultat Vous avez défini un cadre de score de risque que vous pouvez utiliser pour évaluer le risque sur une échelle à trois points (1-faible, 2-moyen, et 3-élevé) à l'aide des facteurs de score de risque suivants : probabilité, impact, vélocité et vulnérabilité. Désormais, vous pouvez commencer à évaluer le risque inhérent à l'aide de votre cadre de score de risque.

Évaluer les risques inhérents

Maintenant que vous savez comment vous allez évaluer le risque dans le projet, vous pouvez passer à l'évaluation du risque. Vous devez évaluer de manière spécifique un risque associé à la gestion qui ne dispose pas d'environnement de contrôle approprié pour la gestion de l'informatique. Votre collaboration avec d’autres membres de l’équipe de gestion du risque vous a permis de déterminer l’impact du risque comme faible, et la probabilité de risque comme moyenne. Vous avez également déterminé la vélocité comme moyenne et la vulnérabilité comme élevée.

  1. Cliquez sur la liste déroulante de l'instance Diligent One, cliquez sur Projets, sélectionnez le projet Évaluation du risque opérationnel et cliquez sur l'onglet Travail de terrain.
  2. Cliquez sur Aller à en regard de l'objectif Contrôles généraux des systèmes d'information et sélectionnez Matrice de contrôle de risque.
  3. Cliquez sur ITC-R.01 : risque sans titre, faites défiler la section Notation du risque, et évaluez le risque comme suit :

Résultat Vous avez évalué le risque inhérent de ITC-R.01 : risque sans titre. Les scores de risque inhérent et résiduel sont automatiquement mis à jour. Actuellement, le score de risque résiduel est identique au score de risque inhérent car les contrôles associés au risque n'ont pas été testés et n'ont pas été confirmés comme fonctionnant efficacement.

Indiquez les contrôles qui sont conçus pour atténuer le risque.

L'avantage d'utiliser un modèle de projet réside dans le fait qu'il contient déjà une matrice de contrôle du risque pré-intégrée. Vous avez donc juste à vous assurer que les contrôles appropriés ont été associés au risque et que chaque contrôle est affecté à un poids correspondant.

  1. Revenez en haut de la page et cliquez sur l'onglet Matrice de contrôle du risque.
  2. En regard de ITC-R.01 : risque sans titre, cliquez sur Associer le contrôle.

    Vous confirmez que les contrôles appropriés (ITC-01, ITC-02, et ITC-03) ont été associés au risque. Chacun des contrôles dispose d'un poids de contrôle de 100 %, mais vous constatez que cette information n'est pas précise.

  3. Mettez à jour les poids de contrôle suivants et cliquez sur Enregistrer :
    • ITC-01 25 %
    • ITC-02 25 %
    • ITC-03 50 %

Résultat Vous avez indiqué les contrôles qui ont été conçus pour atténuer le risque et exprimé le pourcentage du risque qui est atténué par chaque contrôle.

Évaluer l'efficacité du contrôle

Parfait, vos associations de risque et de contrôle sont correctement configurées. Maintenant, vous devez tester chaque contrôle pour évaluer l'efficacité opérationnelle. Si un ou plusieurs des contrôles fonctionnent correctement, le score du risque résiduel sera inférieur au score de risque inhérent.

  1. Cliquez sur l'onglet Évaluations de contrôle.
  2. En regard d'ITC-01, cliquez sur Afficher / Modifier, faites défiler la page vers le bas et sélectionnez Efficace dans le champ Ce contrôle est-il efficace ? puis cliquez sur Enregistrer.
  3. Répétez les étapes 1 et 2 pour ITC-02, et ITC-03, mais marquez ITC-02 comme Efficace et ITC-03 comme Non efficace.

Résultat Vous avez évalué l’efficacité opérationnelle de chaque contrôle. ITC-01 et ITC-02 sont définis comme « concluant » alors que ITC-03 est défini comme « échec ».

Afficher le risque résiduel

Cette dernière étape est très simple. Regardez le risque qu'il reste une fois nos contrôles mis en place.

  1. Cliquez sur l'onglet Matrice de contrôle du risque et cliquez sur ITC-R.01 : risque sans titre.
  2. Faites défiler la page vers le bas jusqu'à la section Notation, et visualisez le score de risque résiduel.

Résultat Le score de risque résiduel correspond à 50 % du score de risque résiduel inhérent. Si tous les contrôles avaient fonctionné correctement, le score de risque résiduel aurait été de 0,0 signifiant que les contrôles mis en place auraient permis de réduire le risque de 100%. Cependant, comme seuls deux contrôles sur trois ont abouti (ITC-01 et ITC-02, chacun avec une pondération de 25 %), les contrôles en place diminuent le risque de 50 %.

Discussion

Maintenant que vous avez effectué une évaluation de risque opérationnel, découvrez les prochaines étapes que vous pouvez suivre et les options pour le reporting des risques résiduels et inhérents aux niveaux agrégés.

Quelles sont les prochaines étapes ?

Pour expliquer pourquoi vous avez déterminé un contrôle comme efficace ou non efficace, vous remplissez la section Résultats d’évaluation de chaque évaluation de contrôle et ajoutez la documentation correspondante en téléchargeant les fichiers ou en liant le justificatif depuis l’application Résultats. Dans ce scénario, une des évaluations de contrôle (ITC-03) a échoué, vous pouvez également journaliser un problème afin de noter l'exception.

Automatiser les évaluations de risque

L'exécution des évaluations de risque opérationnel peut demander du temps et un processus manuel. Pour augmenter l'efficacité, vous pouvez créer des pilotes d'évaluation afin d'automatiser les évaluations de risque, ce qui vous permet de réagir plus rapidement pour modifier et fournir les informations à la personne appropriée au moment opportun.

Pour plus d’informations, consultez la section Automatiser les évaluations de risque opérationnel.

Quelle est la plus grande représentation ?

Auparavant, vous avez visualisé les scores de risque résiduel et inhérent pour un risque individuel (ITC-R.01 : risque sans titre). Cependant, le reporting au niveau du risque individuel est très granulaire. Souvent, vous devez rapporter le risque résiduel et inhérent à un niveau agrégé. Par exemple, il est possible que vous deviez rapporter les scores de risque inhérent et résiduel pour tous les risques d'un seul objectif ou pour tous les risques du projet.

Visualiser les scores de risque au niveau de l'objectif

Vous pouvez visualiser les scores de risque résiduel et inhérent pour tous les risques dans un seul objectif en cliquant sur Progression dans le projet :

Visualiser les scores de risque agrégés au niveau du projet

Vous pouvez visualiser les scores de risque résiduel et inhérent agrégés pour tous les risques dans le projet en cliquant sur l'onglet Résultats :