Calculer l'assurance de la conformité

L'assurance est un calcul représentant la confiance qu'a votre organisation pour remplir les conditions requises. Une assurance est un calcul précieux dans une carte de conformité car elle montre le travail à accomplir afin de se conformer à un standard ou à une réglementation spécifique.

Fonctionnement

Après avoir mappé des contrôles aux conditions requises et précisé un poids de contrôle pour chacun d'eux, les scores d'assurance s'affichent automatiquement sur la carte de conformité.

Comment les scores d'assurance s'affichent-ils ?

La carte de conformité affiche des scores d'assurance au niveau des conditions requises et au niveau des normes/réglementations. Chaque score d'assurance est affiché sous la forme de pourcentage entre 0 et 100.

Exemple de scores d'assurance

Un score unique et moyen d'assurance s'affiche à côté du standard (structure COBIT 5).

Des scores d'assurance agrégés s'affichent à côté des conditions requises calculées (APO et APO01).

Des scores d'assurance individuels s'affichent à côté des conditions requises de fonctionnement (APO01.01 - APO01.08).

La condition requise APO01.04 a un score d'assurance de 100 %, ce qui signifie que votre organisation a confiance dans le respect de la condition requise APO01.04 par les contrôles déjà existants.

Le cadre COBIT 5 a un score d'assurance de 81,25 %, ce qui signifie que votre organisation progresse correctement en termes de conformité par rapport au standard.

Comment sont calculés les scores d'assurance ?

Les scores d'assurances sont calculés selon :

Calcul Formule
L'assurance pour les conditions requises de fonctionnement
Assurance réelle / Assurance prévue
L'assurance pour les conditions requises calculées et l'assurance au niveau du standard ou de la réglementation
SUM (assurance réelle des conditions de travail descendantes) / SUM (assurance prévue des conditions de travail descendantes)

Conditions requises de fonctionnement et conditions requises calculées

Votre carte de conformité se compose de conditions requises de fonctionnement et de conditions requises calculées. Les conditions requises de fonctionnement sont inscrites sur la carte de conformité avec une icône .

  • Les conditions requises Conditions requises pour le travail que vous avez directement mappées aux contrôles
  • Les ancêtres ou descendants des conditions de travail Conditions calculées

Exemple

Scénario

Vous créez les mappages suivants :

  • Condition requise 1.1.1 pour Contrôle A
  • Condition requise 1.1.2 pour Contrôle B

Résultat

Condition requise Type de condition requise Contrôle(s) mappé(s)
Condition requise 1 Calculée Contrôles associés (A, B)
  • Condition requise 1.1
Calculée Contrôles associés (A, B)

    • Condition requise 1.1.1

Travail en cours A

    • Condition requise 1.1.2

Travail en cours B

Assurance prévue

L'assurance prévue est un calcul qui provient des attentes de votre organisation que les conditions requises ont été respectées.

Type de condition requise Calcul d'assurance prévue
Travail en cours

Assurance prévue = 1

Remarque

Il s'agit d'un score de référence représentant l'assurance avant que les contrôles ne soient testés.

Calculée SUM (Assurance prévue des conditions de fonctionnement descendantes)

Exemple

Les conditions requises 1.1.1 et 1.1.2 sont des conditions requises de fonctionnement, et chacune a une assurance prévue de 1.

Les conditions requises 1 et 1.1 sont des conditions requises calculées. L'assurance prévue est agrégée jusqu'à l'arborescence des conditions requises.

  • Assurance prévue de la condition requise 1.1 = 2 (1 + 1)
  • Assurance prévue que la condition requise 1 est la même que la condition requise 1.1 (2)
Condition requise Type de condition requise Assurance prévue
Condition requise 1 Calculée 2
Condition requise 1.1 Calculée 2

    • Condition requise 1.1.1

Travail en cours 1

    • Condition requise 1.1.2

Travail en cours 1

Le score des contrôles et l'assurance réelle

Score de contrôle

Le score des contrôles est un calcul basé sur la réussite, l'échec ou la non-réalisation des tests de contrôle.

Le score de contrôle pour chaque mappage entre un contrôle et une condition requise est calculé comme suit :

  • Si tous les tests de contrôle réussissent OU si au moins un des tests de contrôle applicables réussit alors que les autres n'ont pas été testés, le score de contrôle = 1
  • Si un test de contrôle échoue, score de contrôle = 0

Assurance réelle

L'assurance réelle est un calcul basé sur la réussite ou l'échec des tests de contrôle et sur le pourcentage de la condition requise couvert par le contrôle.

  • L'assurance réelle pour chaque mappage entre un contrôle et une condition requise se calcul au moyen de la formule suivante :
    poids du contrôle x score du contrôle
  • L'assurance réelle d'une condition requise se calcule à l'aide de la formule suivante : 
    SUM (assurance réelle de tous les mappages des conditions du contrôle)

Exemple

Scénario

Vous mappez la condition requise 1.1.1 au contrôle A, et la condition requise 1.1.2 au contrôle B.

Vous précisez le poids de contrôle des contrôles A et B à 50 %. Tous les tests réussissent pour le contrôle A, mais un test ne réussit pas pour le contrôle B.

Résultat

Condition requise Type de condition requise Contrôles mappés Assurance prévue Poids du contrôle Tous les tests ont réussi ? Score de contrôle Assurance réelle
Condition requise 1 Calculée Contrôles associés (A, B) 2 -- -- -- 0,5
  • Condition requise 1.1
Calculée Contrôles associés (A, B) 2 -- -- -- 0,5

    • Condition requise 1.1.1

Travail en cours A 1 50 % Y 1 0,5

    • Condition requise 1.1.2

Travail en cours B 1 50 % N 0 0

Assurance en action

Votre organisation doit être conforme au cadre COBIT 5. Vous commencez un programme de conformité pour :

  • présenter l'engagement de votre organisation en matière de respect des obligations et considérations légales concernant l'activité ;
  • montrer un audit préalable ;
  • préciser les limites de conduite autorisée pour le personnel de l'organisation ;
  • fournir une possibilité d'atténuer le coût de la non-conformité.

Exemple

Étape 1 : Mapper les contrôles aux conditions requises

Pour être conforme au cadre COBIT 5, identifiez les conditions requises appropriées, et mappez les contrôles aux conditions requises :

Condition requise Contrôle(s) mappé(s)
Condition requise 1 Contrôles associés (A, B)
  • Condition requise 1.1
A
  • Condition requise 1.2
B
Condition requise 2 Contrôles associés (C, D)
  • Condition requise 2.1
C
  • Condition requise 2.2
D

Résultat Les conditions requises 1.1, 1.2, 2.1 et 2.2 sont toutes des conditions requises de fonctionnement, et chacune a un score d'assurance attendue de 1. Les conditions requises 1 et 2 ont chacune un score d'assurance attendue de 2, d'après le cumul jusqu'à l'arborescence des conditions requises (1 +1 = 2).

Étape 2 : Précisez le poids de contrôle et les contrôles des tests

Après avoir mappé des contrôles, précisez le pourcentage de chaque contrôle couvrant chaque condition requise, et testez des contrôles pour vérifier s'ils réussissent ou échouent.

Condition requise Contrôle(s) mappé(s) Poids du contrôle Test réussi
Condition requise 1 Contrôles associés (A, B) -- --
  • Condition requise 1.1
A 50 % Oui
  • Condition requise 1.2
B 25 % Oui
Condition requise 2 Contrôles associés (C, D) --  
  • Condition requise 2.1
C 25 % Non
  • Condition requise 2.2
D 25 % Oui

Résultat Les tests pour les contrôles A, B et C ont réussi, et chacun reçoit un score de contrôle de 1. Le test pour le contrôle C a échoué, il reçoit alors un score de contrôle de 0.

Étape 3 : Visualiser les scores d'assurance

Après avoir précisé le poids de contrôle et les contrôles des test, affichez les scores d'assurance pour chaque condition requise et le score d'assurance totale pour le cadre COBIT 5.

L'assurance réelle pour chaque mappage entre un contrôle et une condition requise est calculée comme suit :

Poids du contrôle x Score du contrôle

L'assurance pour des conditions requises de fonctionnement est calculée comme suit :

Assurance réelle / Assurance prévue

L'assurance pour des conditions requises calculées et une assurance au niveau du standard ou de la réglementation est calculée comme suit :

SUM (assurance réelle des conditions de travail descendantes) / SUM (assurance prévue des conditions de travail descendantes)
Condition requise Assurance prévue Assurance réelle Assurance
Condition requise 1 2 0,75 38 %
  • Condition requise 1.1
1 0,5 50 %
  • Condition requise 1.2
1 0,25 25 %
Condition requise 2 2 0,25 13 %
  • Condition requise 2.1
1 0 0 %
  • Condition requise 2.2
1 0,25 25 %

Résultats agrégés

  • Assurance attendue = 4

    (Assurance attendue des conditions requises 1 et 2 = 2 + 2)

  • Assurance réelle = 1

    (Assurance réelle des conditions requises 1 et 2 = 0,75 + 0,25)

  • Assurance = 25 %

    (Assurance réelle divisée par assurance attendue = 1 / 4)

Vous montrez l'engagement de votre organisation en menant des activités conformes au cadre COBIT 5. Cependant, il reste toujours une quantité importante de travail que votre organisation doit encore effectuer afin de pleinement respecter le cadre COBIT 5.

Quels changements ont un impact sur la manière dont l'assurance fonctionne ?

Divers changements ont un impact sur la manière dont l'assurance fonctionne.

Modification Impact
Vous précisez qu'une condition requise n'est pas applicable. Tous les contrôles de cadre mappés aux conditions requises et toute condition descendante dans son groupe sont automatiquement démappés, et ne sont pas calculés comme faisant partie du score d'assurance.
Vous changez le champ d'application d'un standard ou d'une réglementation. Tous les contrôles de cadre mappés aux conditions hors du champ d'application sont automatiquement démappés, et ne sont pas calculés dans le cadre du score de l'assurance.
Vous démappez un contrôle de cadre d'une condition requise. Tout résultat et problème de test des projets associés au cadre ne sera pas agrégé à la carte de conformité, et le score d'assurance est mis à jour.
Vous définissez un poids de contrôle d'un contrôle de cadre au sein de la carte de conformité. Le score d'assurance réelle (ne figurant pas dans les cartes de conformité) est recalculé, et le score d'assurance est mis à jour.
Vous importez des objectifs et des contrôles et / synchronisez des changements depuis un cadre vers un projet. Si un contrôle de cadre est mappé à une condition requise, tout résultat de test et problème dans le projet sera agrégé à la carte de conformité, et le score d'assurance est mis à jour.
Vous archivez un projet ou rollforwardez un projet archivé qui a été auparavant synchronisé à des contrôles de cadre utilisés dans des cartes de conformité. Seuls des résultats et problèmes de test de projets actifs sont cumulés à la carte de conformité. Le score d'assurance met à jour et exclut les résultats des tests et les problèmes du projet archivé ou rollforwardé.
Vous désarchivez un projet qui est synchronisé avec des contrôles de cadres utilisés dans des cartes de conformité. Les mises à jour du score d'assurance, les résultats du test et les problèmes du projet non archivé sont agrégés à la carte de conformité.