Automatiser des évaluations de risque opérationnel et de contrôle
Dans l'application Projets, vous pouvez créer des pilotes d'évaluation en fonction d'une mesure pour automatiser les évaluations du risque opérationnel et de contrôle et informer les intervenants clés lorsque des modifications surviennent.
Avant de commencer
Avant de pouvoir automatiser des évaluations, vous devez configurer un projet avec des objectifs, des risques et des contrôles. Pour activer le bouton Automatiser
, vous ou une personne de l'équipe devez effectuer les tâches suivantes :
- Créer une mesure dans Résultats Voir Suivre des indicateurs clés avec des mesures
- Lier la mesure à l'évaluation dans un projet voir Création de liens avec des preuves dans Résultats
Fonctionnement
Un pilote d'évaluation est un outil d'automatisation qui vous permet de toujours disposer d'évaluations actualisées et en temps réel. Vous pouvez créer plusieurs pilotes d'évaluation pour automatiser différentes évaluations de risque et de contrôle.
Pour créer un pilote d’évaluation, vous pouvez :
- sélectionner l'évaluation du risque ou du contrôle que vous voulez automatiser ;
- définir des plages de mesures qui permettent :
- de renseigner le score de risque inhérent pour l'évaluation du risque OU
- de déterminer l'évaluation de la conception ou de l'efficacité d'un contrôle.
Une fois que vous avez créé le pilote d'évaluation, l'évaluation se met automatiquement à jour dès que la valeur de mesure passe au-delà d'un seuil indiqué.
Pourquoi créer un pilote d'évaluation dans un projet plutôt que dans un cadre ?
Les projets actifs correspondent à des évaluations ponctuelles alors que les cadres sont continus et affichent les activités agrégées dans plusieurs projets. Il est plus utile de créer des pilotes d'évaluation dans un projet et d'agréger les modifications dans un cadre individuel.
Comment informer les intervenants lorsque des modifications sont apportées à une évaluation de risque ?
Les utilisateurs suivants sont automatiquement avertis de toute modification apportée à l'évaluation via l'e-mail de synthèse quotidien de Projets :
- Modifications de l'évaluation du risque L'utilisateur affecté de l'objectif
- Modifications apportées à l'évaluation du contrôle Le propriétaire du contrôle et l'utilisateur affecté de l'objectif
L'e-mail reprend :
- les évaluations mises à jour ;
- le nombre de mises à jour effectuées pour chaque évaluation au cours des 24 dernières heures ;
- tout pilote d'évaluation qui a été désactivé suite à une erreur.
Puis-je visualiser les données historiques associées aux pilotes d'évaluation ?
Oui. Lorsqu'un pilote d'évaluation met à jour une évaluation, l'événement est consigné dans le journal des activités au sein du tableau de bord du projet et dans la section Historique du risque, de la procédure d'exécution, la revue générale ou le test.
Automatiser une évaluation de risque ou de contrôle
| Tâche | Informations détaillées |
|---|---|
| Automatiser une évaluation de risque | Automatiser les évaluations de risque opérationnel |
| Automatisez les évaluations des contrôles | Automatisez les évaluations des contrôles |
Exemples
Scénario
Dans le cadre de votre examen de sécurité, vous avez identifié un risque dans le processus d'identification :
amendes, poursuites en justice et frais juridiques liés à une non-conformité ou à la perte de données essentielles.
En vous appuyant sur les résultats de l'outil d'analyse de données, vous avez identifié le coût global des incidents de sécurité et créé une mesure intitulée « Coût global des incidents de sécurité ».
Processus
Commencez par configurer le score de risque en quantifiant l'impact du risque comme suit :
- < 10 000 000 € = faible
- ≥ 10 000 000 € < 65 000 000 € = moyen
- ≥ 65 000 000 € = élevé
Ensuite, vous liez la mesure « Coût global des incidents de sécurité » que vous avez créée dans Résultats au risque dans Projets.
Pour finir, vous créez un pilote d'évaluation en définissant une série de plage de mesures destinées à renseigner les scores de risque inhérents :
Résultat
L'évaluation du risque est automatisée : 
Les utilisateurs sont automatiquement avertis lorsque des seuils sont croisés, leur permettant de prendre l'action appropriée.
Scénario
Dans le cadre de votre examen des contrôles généraux informatiques, vous avez identifié un contrôle dans le processus de sécurité physique :
Toutes les entrées des sites du centre de données ou du serveur sont protégées par système d'accès à carte magnétique.
En vous appuyant sur les résultats de l'outil d'analyse de données, vous avez identifié 100 entrées de site entre les différents centres de données qui doivent tous être protégés par un accès à carte magnétique. La mesure que vous avez créée pour évaluer et suivre l'efficacité du contrôle s'intitule « % d'entrées du site sécurisées ». Cette mesure suit le pourcentage des entrées du site pour lesquelles un accès à carte magnétique est activé.
Processus
Commencez par lier la mesure « % d'entrées du site sécurisées » que vous avez créée dans Résultats au test dans Projets.
Ensuite, vous créez un pilote d'évaluation en définissant une série de plages de mesures à utiliser pour renseigner la valeur du champ Ce contrôle a-t-il fonctionné efficacement ? :
- > 99 = Fonctionnement efficace
- ≤ 99 = Exception(s) notée(s)
Résultat
L'évaluation du contrôle est automatisée : 
Les utilisateurs sont automatiquement avertis lorsque des seuils sont croisés, leur permettant de prendre l'action appropriée.
