Définir des risques et des contrôles
Documentez et assurez-vous que les risques opérationnels sont réduits par des contrôles. Vous pouvez d'abord définir les risques, puis les contrôles, ou inversement.
Vous pouvez définir des risques et des contrôles dans le Flux de travail de Contrôle interne, qui est utilisé pour des types de projets plus complexes où des descriptions sont définies, où des revues générales sont effectuées afin de vérifier la conception des contrôles et où des tests sont exécutés afin de vérifier le bon fonctionnement des contrôles.
Pour exécuter un simple projet de procédure, vous pouvez définir des risques et procédures dans un Flux de travail de Plan de travail.
Que sont les risques et les contrôles ?
Un risque est un effet d'incertitude sur un objectif, dont l'effet est d'obtenir un écart positif ou négatif par rapport à ce qui a été prévu.
Un contrôle est un ensemble de mesures ou d'actions prises pour gérer les risques et améliorer la probabilité de réalisation des objectifs définis.
Les termes « risque » ou « contrôle » peuvent varier, en fonction des configurations de votre organisation. Par exemple, un risque peut être appelé une condition requise, et un contrôle une procédure.
Avant de commencer
Avant de pouvoir définir des risques et des contrôles, vous devez :
En fonction de la configuration du projet ou du cadre de votre organisation, les objectifs peuvent également être appelés sections, processus, cycles, domaines fonctionnels, systèmes applicatifs ou tout autre terme personnalisé.
Fonctionnement
Lorsque vous associez un risque à un contrôle, vous précisez les mesures ou les plans d'action de la façon de réduire le risque. L'association des risques identifiés et des contrôles correspondants s'appelle une Matrice de contrôle du risque.
Un risque peut être associé à plusieurs contrôles et un contrôle peut être associé à plusieurs risques.
Chaque contrôle que vous définissez a une revue générale correspondante utilisée pour vérifier que le contrôle est conçu de manière appropriée. Lorsque vous créez ou rollforwardez un projet, vous pouvez choisir d'avoir une, deux ou quatre sessions de tests pour vérifier que le contrôle fonctionne efficacement.
Définir les relations complexes entre les contrôles et les tests
La matrice de contrôle du risque crée une relation un-à-un entre chaque contrôle et le test qui lui est associé. Si vous devez définir des relations plus complexes entre les contrôles et les tests, vous avez deux options :
| Relation | Description | Comment y parvenir ? |
|---|---|---|
| Un-à-plusieurs |
Relation entre un test et plusieurs résultats de test |
Effectuez le test avec plusieurs éléments (par exemple, les systèmes d'application d'entreprise) et enregistrez les résultats de test de tous les éléments du même test. |
| Plusieurs-à-un |
Relation entre un résultat de test unique et plusieurs test |
Exécutez et enregistrez le résultat de test dans le premier test et associez au résultat de test d'autres tests. Remarque
Vous pouvez copier l'URL de la barre d'adresse du navigateur, et la coller dans le champ Résultats de test pour les autres tests où les résultats s'appliquent. |
Limites
Chaque objectif peut contenir un maximum de 1000 risques et 1000 contrôles.
Exemple
Définir des risques et des contrôles
Scénario
Vous êtes directeur financier à qui appartient tout un projet Examen des contrôles généraux IT. L'un des écarts de contrôle identifié est lié à la sécurité réseau et appartient à l'IT. Le conseil d'administration aimerait savoir de qui relève la remédiation.
Processus
Le tableau ci-dessous illustre les risques et contrôles que vous avez définis comme faisant partie de la Matrice de contrôle du risque de votre organisation. Pour un suivi de l'écart de contrôle (NS-002), vous nommez propriétaire du contrôle le membre du personnel informatique approprié.
| Risque | Contrôle(s) associé(s) |
|---|---|
| NS-A : aucune technologie n'est en place pour détecter et protéger le réseau d'outils d'évaluation de vulnérabilité non autorisés. |
|
| NS-B : des changements inappropriés ou risqués sont apportés à la configuration des appareils de sécurité réseau. |
|
| NS-C : les vulnérabilités de sécurité liées au réseau ou au système existent sans être détectées car aucun processus d'audit n'est en place. |
|
| NS-D : les systèmes et les périphériques réseau utilisent des logiciels systèmes dépassés et potentiellement vulnérables. |
|
| NS-E : les données échangées sur le réseau sont interceptées par des individus non autorisés. |
|
Résultat
- Le membre du personnel informatique reçoit une notification par e-mail et peut aider pour la mise à jour de la définition des contrôles.
- Vous pouvez signaler au conseil à qui appartient la remédiation de NS-002.
Autorisations
Les responsables professionnels ou les utilisateurs professionnels peuvent définir et associer des risques et des contrôles.
Définir des risques et des contrôles
Commentaires
- Les termes de l'interface sont personnalisables ; les champs et les onglets sont configurables. Dans votre instance Diligent One, certains termes, champs et onglets peuvent être différents.
- Si un champ obligatoire est vide, le message d'avertissement « Ce champ est obligatoire » s'affiche. Certains champs personnalisés peuvent comporter des valeurs par défaut.
- Effectuez l'une des actions suivantes :
- Pour définir des risques et des procédures dans un projet :
- Ouvrez un projet et cliquez sur l'onglet Travail de terrain.
- Pour définir des risques et des procédures dans un cadre :
- Ouvrez Cadres.
- Ouvrez un cadre et cliquez sur l'onglet Sections.
- Pour définir des risques et des procédures dans un projet :
- Localisez l'objectif approprié, cliquez sur Aller à et sélectionnez Matrice de contrôle du risque.
- Effectuez l'une des opérations suivantes :
- Pour définir un risque, cliquez sur Ajouter un risque, entrez les informations nécessaires, et cliquez sur Enregistrer.
- Pour définir un contrôle, cliquez sur Contrôle à côté du libellé Visualisé par, cliquez sur Ajouter un contrôle, entrez les informations nécessaires, et cliquez sur Enregistrer.
- Pour associer les risques et contrôles, procédez comme suit :
- Assurez-vous d'avoir créé au moins un risque et un contrôle.
- À côté du risque ou du contrôle, cliquez sur Risque associé ou sur Contrôle associé, définissez les associations appropriées, puis cliquez sur Enregistrer.
Champs de risque
Les champs à texte enrichi ne peuvent pas dépasser 524 288 caractères.
Astuce
Pour activer la vérification orthographique dans les champs RTF, procédez comme suit :
- Chrome, Firefox, ou Safari CTRL + clic droit dans le champ sous Windows ou Commande + clic droit sous Mac
- Internet Explorer ou Microsoft Edge accédez aux paramètres du navigateur et activez la vérification orthographique / mise en surbrillance des mots mal orthographiés
| Champ | Description |
|---|---|
|
Titre facultatif |
Un titre significatif pour le risque La longueur maximale est de 255 caractères. |
| Description |
Une remarque sur le risque |
|
ID du risque facultatif |
Le numéro d'identification du risque La longueur maximale est de 255 caractères. |
|
Impact facultatif |
Une évaluation des conséquences suite à l'apparition du risque |
|
Probabilité facultatif |
Une évaluation de la probabilité que le risque se concrétise |
|
Facteurs pour le score de risque personnalisés facultatif |
Indique les facteurs de score de risque spécifiques associés au risque. Les admins de projet et les admins de type de projet peuvent définir des attributs spécifiques pour les risques sous Gérer les types de projets. Astuce
Vous pouvez automatiser les évaluations de risque pour l'impact, la probabilité et les facteurs de score de risque personnalisés. Pour plus d'informations, consultez la section Automatiser les évaluations de risque opérationnel. |
|
Attributs de risque personnalisés facultatif |
Indique les attributs associés au risque. Les admins de projet et les admins de type de projet peuvent définir des attributs spécifiques pour les risques sous Gérer les types de projets. |
|
Élément justificatif facultatif |
Vous permet de lier des données de Résultats à votre documentation dans Projets pour consolider des informations, simplifier l'approbation lorsque la remédiation est terminée et informer les évaluations. Remarque
Cette option est uniquement disponible si votre organisation utilise Résultats. |
|
Contrôle associé à ce risque facultatif |
Vous permet d'associer un contrôle au risque |
|
Couverture de l'entité facultatif |
Vous permet d'étiqueter le risque à une ou plusieurs entités à des fins de création de rapports Remarque
Seuls les responsables professionnels et les utilisateurs professionnels peuvent étiqueter un contrôle à une entité en cliquant sur Afficher le contenu et en sélectionnant chaque entité à associer au contrôle. Les modifications sont enregistrées automatiquement. |
| Historique |
Afficher l'historique complet des modifications au niveau des champs qui ont été apportées au risque |
Champs de contrôle
Les champs à texte enrichi ne peuvent pas dépasser 524 288 caractères.
Astuce
Pour activer la vérification orthographique dans les champs RTF, procédez comme suit :
- Chrome, Firefox, ou Safari CTRL + clic droit dans le champ sous Windows ou Commande + clic droit sous Mac
- Internet Explorer ou Microsoft Edge accédez aux paramètres du navigateur et activez la vérification orthographique / mise en surbrillance des mots mal orthographiés
| Champ | Description |
|---|---|
|
Titre facultatif |
Un titre significatif pour le contrôle La longueur maximale est de 255 caractères. |
| Description |
Une remarque sur le contrôle |
| ID du contrôle |
Le numéro d'identification du contrôle La longueur maximale est de 255 caractères. Remarque
Le numéro est ajouté à la fin du préfixe de l'objectif. |
|
Propriétaire facultatif |
Vous permet d'affecter comme propriétaire du contrôle un utilisateur avec ou sans licence à des fins de suivi et de création de rapports. Les utilisateurs affectés au rôle d'utilisateur collaborateur ou de testeur collaborateur sont généralement affectés comme propriétaires d'un contrôle. Les propriétaires peuvent être affectés selon un cadre régional, par projet ou par unité commerciale. Une fois qu'une personne est affectée comme propriétaire d'un contrôle, elle reçoit une notification par e-mail avec un lien vers le contrôle, lui donnant un accès en écriture au contrôle affecté et un accès en lecture aux objectifs et aux risques. Remarque
Si vous chargez en bloc des contrôles et que vous indiquez une personne dans le champ Propriétaire, son nom apparaît dans Projets, mais le conrôle ne lui est pas attribué automatiquement et elle n'en est pas forcément notifiée par e-mail. |
| Fréquence |
Détermine la méthode de test par défaut et la taille de l'échantillonnage dans l'onglet Plan de test. Par exemple, le plan de test d'un projet peut être configuré avec une fréquence spécifiée (continue, hebdomadaire, mensuelle, etc.) ou selon les besoins. Pour plus d'informations, consultez la section Exécuter des procédures ou tester des contrôles. |
| Type |
Détermine la méthode de test par défaut et la taille de l'échantillonnage dans l'onglet Plan de test. Par exemple, la planification des tests peut inclure des Contrôles manuels, des Contrôles application/système, des Contrôles généraux informatiques ou des Contrôles manuels dépendants de l'informatique. Pour plus d'informations, consultez la section Exécuter des procédures ou tester des contrôles. |
| Empêcher ou détecter ? | Indique si le contrôle est prévu pour empêcher ou pour détecter un risque, ou s'il n'est pas applicable |
|
Méthode facultatif |
Indique le mode de test ou de mise en œuvre du contrôle. |
|
Statut facultatif |
Indique l'état actuel du contrôle. |
|
Attributs de contrôle personnalisés facultatif |
Indique les attributs associés au contrôle. Les admins de projet et les admins de type de projet peuvent définir des attributs spécifiques pour les contrôles sous Gérer les types de projets. |
|
Assertions pertinentes facultatif |
Vous permet d'étiqueter le contrôle à une ou plusieurs assertions pertinentes |
|
Principes COSO facultatif |
Vous permet d'étiqueter le contrôle à un ou plusieurs principes COSO Remarque
L'application Projets prend en charge le cadre 2013 COSO qui inclut 17 principes COSO. |
|
Risque associé à ce contrôle facultatif |
Vous permet d'associer un risque au contrôle |
|
Poids du contrôle facultatif |
Exprime le pourcentage du risque réduit par le contrôle. Le paramètre par défaut du poids du contrôle est 100 %. Vous pouvez saisir un poids de contrôle situé entre 0 % et 100 %. La somme des poids de contrôle n'a pas de limite. Pour plus d'informations, consultez la section Composants d'Assurance. |
|
Couverture de l'entité facultatif |
Vous permet d'étiqueter le contrôle à une ou plusieurs entités à des fins de création de rapports Remarque
Seuls les responsables professionnels et les utilisateurs professionnels peuvent étiqueter un contrôle à une entité en cliquant sur Afficher le contenu et en sélectionnant chaque entité à associer au contrôle. Les modifications sont enregistrées automatiquement. |
| Historique |
Afficher l'historique complet des modifications au niveau des champs qui ont été apportées au contrôle |
Ajouter plusieurs risques et contrôles
Pour en savoir plus sur l'ajout de plusieurs risques et contrôles simultanément, voir Importation en bloc de risques et Importation en bloc de contrôles respectivement.
