Calcul de l'assurance du risque

Au moment d'activer l'assurance, vous agrégez les résultats des tests et les problèmes pour un projet actif ou un cadre associé à plusieurs projets. Vous pouvez ainsi créer un rapport sur l'assurance d'un seul projet ou de plusieurs projets associés à un cadre.

Cette rubrique présente des exemples d'assurance afin de vous aidez à vous familiariser avec les calculs associés à l'assurance.

Présentation de l'assurance pour un seul projet

Présentez l'assurance pour un seul projet afin de prouver que le risque organisationnel est atténué de manière efficace.

Exemple

Scénario

Vous menez un examen des contrôles généraux informatiques et devez évaluer un risque de manière quantitative. Votre projet comporte un objectif (sécurité physique) et cet objectif est associé à deux risques. Vous activez l'assurance dans le projet et commencez à mener le travail de projet.

Score de risques

Vous évaluez un risque sur des facteurs pour le score de deux risques, impact et probabilité, et utilisez un barème à 5 points pour coter les risques :

Objectif Risque Description Score
Sécurité physique Risque 1 Entrée non autorisée dans la salle de serveur sécurisée.
  • Impact = 5
  • Probabilité = 3
Risque 2 L'équipement qui stocke les données sensibles ou les informations sur l'entreprise n'est pas sécurisé de manière appropriée.
  • Impact = 2
  • Probabilité = 2
Calcul du score de risque inhérent

Selon votre score de risque, Projets calcule automatiquement le score de risque inhérent pour chaque risque, ainsi que le score de risque total inhérent :

  • Risque 1 (5 x 3) = 15,0
  • Risque 2 (2 x 2) = 4,0

Score de risque total inhérent (15 + 4) = 19,0

Définir les contrôles, les risques associés et les poids de contrôle

Vous définissez quatre contrôles qui aident à atténuer les deux risques identifiés, dont leurs risques associés, et le pourcentage du risque que le contrôle réduit (poids de contrôle) :

Contrôle Description Risque associé Poids du contrôle
Contrôle 1 Un verrou est installé à l'entrée du site. Risque 1 100 %
Contrôle 2 Une caméra de sécurité est en place pour enregistrer toute activité suspecte. Risque 1 20 %
Contrôle 3 Toutes les entrées du site du serveur sont protégées par un système d'accès par carte magnétique.
  • Risque 1
  • Risque 2
  • 80 %
  • 50 %
Contrôle 4 Toutes les entrées des bureaux du site sont surveillées par du personnel administratif.
  • Risque 1
  • Risque 2
  • 50 %
  • 50 %
Contrôles de test

Votre projet ne présente pas de sessions de test mais vous disposez d'une revue générale par contrôle. Vous testez chaque contrôle et documentez les résultats :

Contrôle Résultat de test Réussite ou échec ?
Contrôle 1 Fonctionnement efficace Réussite
Contrôle 2 Exception(s) notée(s) Échec
Contrôle 3 Fonctionnement efficace Réussite
Contrôle 4 Fonctionnement efficace Réussite
Score de risque résiduel

Selon les associations contrôle-risque que vous avez définies, les poids de contrôle que vous avez précisés et les résultats de test, Projets calcule automatiquement le score de risque résiduel pour chaque risque, ainsi que le score total de risque résiduel.

Le score de risque résiduel est calculé en multipliant le score de risque résiduel par le poids du contrôle pour les contrôles liés qui ont échoué :

  • Risque 1 (15 x 0,2) = Score de risque résiduel (3)
  • Risque 2 Les contrôles 3 et 4 réussissent tous les deux, et atténuent ensemble le risque 2 de 100 %. Le score de risque résiduel pour Risque 2 est égal à 0,0.

Le score de risque total résiduel se calcule en ajoutant tous les scores de risque résiduel :

Risque 1 Score de risque résiduel (3,0) + Risque 2 Score de risque résiduel (0,0) = Total Score de risque résiduel total (3,0).

Assurance globale

L'assurance globale, affichée dans le projet, se calcule comme suit :

(Score de risque inhérent total (19,0) – Score de risque résiduel total (3,0)) / Score de risque inhérent total (19,0) = Assurance globale (84 %)

Présentation de l'assurance dans plusieurs projets

Présentez l'assurance pour plusieurs projets associés à un cadre afin de prouver que le risque organisationnel est atténué de manière efficace.

Exemple

Scénario

Vous devez gérer cinq projets différents de manière centrale et évaluez quantitativement le risque pour les cinq projets. Dans votre cadre, il existe un objectif qui contient deux risques.

Cadre Objectif Risque
Cadre 1 Objectif 1 Risque 1
Risque 2

Processus

Vous importez les risques dans les projets pertinents, activez l'assurance dans le cadre et le projet puis tester les contrôles. Vous relevez tout problème, le cas échéant.

Résultat

Les résultats de test et les problèmes sont automatiquement agrégés depuis chaque projet dans le cadre. Les calculs d'assurance sont rassemblés dans le cadre comme suit :

Scores de risque du niveau projet.
Projet Score de risque inhérent Score de risque résiduel Risque de cadre associé
Projet 1 9.0 2.0 Risque 1
Projet 2 6.0 2.0
Projet 3 3.0 1.0
Projet 3 0,0 0,0 Risque 2
Projet 4 5.0 1.0
Projet 5 5.0 1.0
Scores de risque de niveau cadre
Risque de cadre Score de risque inhérent Score de risque résiduel Projets associés
Risque 1 18.0 5.0 1, 2, 3
Risque 2 10.0 2.0 3, 4, 5

Assurance d'objectif 1 75%

(Score de risque inhérent total (28.0) - Score de risque résiduel total (7.0)) / Score de risque inhérent total (28.0)

Plus d'exemples

Visualisez d'autres scénarios qui illustrent le mode de calcul de l'assurance du risque dans un projet individuel.

Un risque couvert par un seul contrôle

  Risque A -> Contrôle A Risque A -> Contrôle A Risque A -> Contrôle A Risque A -> Contrôle A Risque A -> Contrôle A
ID du risque A A A A A
Impact 2 3 2 3 3
Probabilité 5 3 5 3 3

Facteur pour le score de risque personnalisé 1 (Vitesse)

Poids : 80 %

 -- -- 5 5 --

Facteur pour le score de risque personnalisé 2 (Vulnérabilité)

Poids : 50 %

 -- -- -- 5 --
Score de risque inhérent 10 9 40 90 9
Poids du contrôle 85 % 100 % 85 % 100 % 55 %
ID du contrôle A A A A A
Fonctionnement efficace ? Oui Oui Oui Oui Non
Calcul du score de risque résiduel 10 x (1- 0,85) 0 40 x (1- 0,85) 0 (9 x 0,55) + (9 x 1-0,55)
Explication
  • Aucun contrôle n'a échoué
  • Le poids de contrôle combiné de tous les contrôles est < 1
  • Aucun contrôle n'a échoué ET le poids de contrôle de tous les contrôles est > ou = 1
  • Le contrôle atténue le risque en dessous du niveau de tolérance du risque
  • Aucun contrôle n'a échoué
  • Le poids de contrôle combiné de tous les contrôles est < 1
  • Aucun contrôle n'a échoué ET le poids de contrôle de tous les contrôles est > ou = 1
  • Le contrôle atténue le risque en dessous du niveau de tolérance du risque
  • Le contrôle a échoué
  • Le poids de contrôle combiné de tous les contrôles est < 1

Un risque couvert par deux contrôles

  Risque A --> Contrôle A, B Risque A --> Contrôle A, B
ID du risque A A
Impact 3 4
Probabilité 3 3

Facteur pour le score de risque personnalisé 1 (Vitesse)

Poids : 80 %

 -- --

Facteur pour le score de risque personnalisé 2 (Vulnérabilité)

Poids : 50 %

 -- --
Score de risque inhérent 9 12
Poids du contrôle
  • 100 % - A - Oui
  • 75 % - B - Non

 
  • 25 % - A - Non
  • 100 % - B - Non
ID du contrôle
Fonctionnement efficace ?
Calcul du score de risque résiduel 9 x 0,75 12 x 1
Explication
  • Le contrôle a échoué
  • Le poids de contrôle combiné de tous les contrôles est > ou = 1
  • Les contrôles ont échoué
  • Le poids de contrôle combiné est > 1

Un risque couvert par trois contrôles

  Risque A -->
Contrôle A, B, C		 Risque A --> Contrôle A, B, C
ID du risque A A
Impact 5 5
Probabilité 3 3

Facteur pour le score de risque personnalisé 1 (Vitesse)

Poids : 80 %

 -- --

Facteur pour le score de risque personnalisé 2 (Vulnérabilité)

Poids : 50 %

 -- --
Score de risque inhérent 15 15
Poids du contrôle
  • 40 % - A - Oui
  • 45 % - B - Non
  • 15 % - C - Non
  • 25 % - A - Oui
  • 45 % - B - Non
  • 15 % - C - Non
ID du contrôle
Fonctionnement efficace ?
Calcul du score de risque résiduel 15 x (0,45 + 0,15) 15 x (0,45 + 0,15) + 15 x (1- 0,85)
Explication
  • Les contrôles ont échoué
  • Le risque résiduel se calcule uniquement à partir du risque des revues générales/tests de contrôles échoués
  • Les contrôles ont échoué ET le poids de contrôle combiné de tous les contrôles est < 1

Calculs

Découvrez les calculs associés à l'assurance.

Terme Calcul Remarques
Poids du facteur pour le score de risque

Les valeurs (1 à 1000 %) saisies par l'utilisateur pour exprimer l'importance du facteur pour score de risque.

Plus la valeur du poids est élevée, plus le facteur pour le score de risque est important pour votre organisation, et plus le facteur pour le score de risque contribuera au score de risque inhérent total.

La plage des valeurs permet l'entière personnalisation de votre score. Par exemple, vous pouvez pondérer un facteur pour le score de risque cinq fois plus qu'un autre (vulnérabilité = 100 %, vélocité = 500 %). La somme des poids des facteurs de score de risque n'a pas de limite.

Remarque

Vous ne pouvez pas modifier le poids des facteurs pour le score de risque par défaut (probabilité et impact), défini sur 100 %.
Score de risque inhérent (risque) 
(Impact x Probabilité) x (Facteur pour le score de risque personnalisé x Poids)
  
Score de risque inhérent (objectif) 
SOMME (Scores de risque inhérent pour tous les risques dans l'objectif)
  
Score de risque inhérent total (projet) 
SOMME (Scores de risque inhérent par objectif)
  
Score de risque inhérent total (cadre) 
SOMME (Scores de risque inhérent dans tous les projets qui contiennent le risque)
  
Poids du contrôle

Valeurs (de 0 à 100 %) entrées par l'utilisateur pour exprimer le pourcentage du risque qui est atténué par le contrôle.

La somme des poids de contrôle n'a pas de limite.
Score de risque résiduel (risque) 
SOMME (score de risque inhérent x poids du contrôle <pour les contrôles associés qui ne fonctionnent pas efficacement>) + (Score de risque inhérent (1 - somme des poids du contrôle <si les poids de contrôle totaux sont inférieurs à 100 %>))

Le contrôle est marqué comme ayant « échoué » et est utilisé dans le calcul du score de risque résiduel lorsque :

  • une des revues générales n'est pas conçue de manière appropriée ;
  • une des sessions de test ne fonctionne pas efficacement ;

L'assurance diminue dans le cas des scénarios susmentionnés.

Projets calcule un score du risque résiduel par risque, non pas un score du risque résiduel par session de test.
Score de risque résiduel (objectif) 
SOMME (Scores de risque résiduel pour tous les risques dans l'objectif)
  
Score de risque résiduel total (projet) 
SOMME (Scores de risque résiduel par objectif)
  
Score de risque résiduel total (cadre) 
SOMME (Score de risque résiduel dans tous les projets qui contiennent le risque)
  
Assurance globale (projet) 
(Score de risque inhérent total - Score de risque résiduel total) / Score de risque inhérent total
Assurance globale (cadre) 
(Scores de risque inhérent total dans les projets qui contiennent le risque - Scores de risque résiduel total dans tous les projets qui contiennent le risque) / Scores de risque inhérent total