Gérer les attestations de contrôle

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 11 minutes de lecture

    • Les attestations sont des enquêtes qui recueillent des preuves pour prouver qu’un contrôle est implémenté. Le concepteur d’attestation offre une interface unique que les utilisateurs peuvent utiliser pour créer et modifier des attestations, ainsi que modifier les paramètres de notation. La banque de questions offre une bibliothèque de questions pour différentes catégories, de sorte que vous n’avez pas à créer chaque questionnaire à partir de zéro.

    Les utilisateurs peuvent créer plusieurs types d’attestation et définir leurs objectifs de contrôle sur différentes attestations. Un exemple d’attestation appelé attestation GRC est également fourni comme attestation par défaut, et se compose des questions simples suivantes :

    Par défaut, l’attestation GRC est utilisée pour les contrôles et fournit les questions d’évaluation suivantes :
    • Ce contrôle est-il implémenté ?
    • Joindre la preuve
    • Expliquer

    Mes attestations se trouve dans la section Contrôles de l’application Policy and Compliance et contient des attestations actives dont vous êtes la personne chargée de répondre. Les attestations apparaissent dans une liste avec un seul enregistrement d’attestation par contrôle.

    Mes attestations groupées contient des attestations que vous avez regroupées pour éliminer la tâche consistant à fournir des réponses répétitives pour des évaluations similaires.

    Toutes les attestations se trouve dans la section Contrôles de l’application Policy and Compliance et contient toutes les attestations actives.

    Les gestionnaires de conformité peuvent créer des types d’attestation contenant différents types de questions en fonction de leurs besoins. Consultez Créer une attestation de contrôle à l’aide du concepteur d’attestation.

    Les gestionnaires de conformité peuvent créer un nouvel ensemble de questions pour chaque objectif de contrôle. La banque de questions offre une bibliothèque de questions pour différentes catégories, de sorte que vous n’avez pas à construire chaque questionnaire à partir de zéro. Consultez Créer un type d’attestation.

    Concepteur de l'attestation

    Le concepteur d’attestation offre une interface unique que les utilisateurs peuvent utiliser pour créer et modifier des attestations, ainsi que modifier les paramètres de notation.

    Tous les enregistrements d’attestation sont stockés dans des tables d’évaluation et affichés dans les vues d’attestation de ces tables.

    Créer une attestation de contrôle à l’aide du concepteur d’attestation

    Utilisez le concepteur d’attestation pour créer et modifier des types de mesures. Utilisez différents types de mesures pour différents contrôles. Sélectionnez plusieurs personnes chargées de répondre pour une attestation, ainsi que les paramètres de notation des changements.

    Avant de commencer

    Rôle requis : sn_compliance.attest_creator, sn_compliance.manager, sn_compliance.administrator

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Administration > Types d'attestations.
    2. Cliquez sur Concepteur d’attestation.
      Le concepteur contient les éléments suivants :
      Élément Description
      Contrôles Les types de données de questions pris en charge sont disponibles dans la palette Contrôles. Faites glisser un contrôle sur le canevas du concepteur pour créer une question de ce type.
      Questions Une bibliothèque de questions pour différentes catégories, afin que vous n’ayez pas à créer chaque questionnaire à partir de zéro.
      Catégories Une nouvelle évaluation s’ouvre en mode Création . Le champ Nom du questionnaire apparaît au-dessus de la première catégorie dans le canevas. Un champ de question vide apparaît dans le conteneur de catégorie.
    3. Saisissez un nom dans le champ Nom .
    4. Faites glisser un contrôle sur le canevas du concepteur pour créer une question de ce type.
      Tableau 1. Contrôles des questions
      Type de données Description Score obtenu
      Pièce jointe Question avec une icône Gérer les pièces jointes qui permet aux utilisateurs de joindre un ou plusieurs fichiers. N
      Booléen Question avec une case à cocher ou une liste Oui/Non pour les réponses de l’utilisateur. Y
      Choix Liste d’options prédéfinies. Pour plus d’informations, consultez la définition de Choix. Y
      Date Champ Date. N
      Date/Heure Champ de date et d’heure. N
      Numéro Champ Nombre avec des valeurs minimum et maximum prédéfinies. La valeur par défaut est de 1 à 10. N
      Pourcentage Champ de pourcentage avec une plage prescrite. N
      Échelle Échelle de Likert prédéfinie. Les options de réponse s’affichent sous forme de cases d’option. Y
      Échelle numérique Échelle numérique sélectionnable. La valeur par défaut est de 1 à 5. Les options de réponse s’affichent sous forme de cases d’option. Y
      Chaîne Champ texte sur une ou plusieurs lignes. N
      Modèle Liste de choix de modèles qui fournissent une échelle prédéfinie d’options.
      Remarque :
      Il est important d’affecter un modèle à chaque attestation. Cela permet de créer automatiquement des contrôles en fonction des objectifs de contrôle et des types d’entités.
      		 Y
      Référence Liste de choix des champs d’une table de référence spécifiée. Ce type de données ne prend pas en charge les qualificatifs de référence. N
      Remarque :
      Définissez la bonne réponse pour la mesure à laquelle vous souhaitez attribuer un score. Les mesures notées déterminent l’état de conformité des contrôles.
    5. Pointez sur l’icône de menu en haut à droite du concepteur d’attestation pour sélectionner l’une des options suivantes.
      Remarque :
      La disponibilité de chaque option dépend de l’état de l’attestation ouverte dans le concepteur.
      OptionDescription
      Nouvelle attestation Ouvre un nouveau canevas pour une nouvelle attestation.
      Charger l'attestation Ouvre une liste des attestations existantes que vous pouvez sélectionner et modifier.
      Contrairement à d’autres types d’évaluations, les attestations de contrôle n’apparaissent pas dans le Libre-service > Mes évaluations et enquêtes car de nombreuses attestations de contrôle peuvent être générées à la fois. Au lieu de cela, les attestations de contrôles sont affichées sous la forme d’une liste dans le fichier Politique et Conformité > Contrôles > Mes attestations et le module Toutes les attestations .

    Que faire ensuite

    Si vous implémentez l’option Policy and Compliance Management logiciel, retournez à la page Policy and Compliance Management Liste de vérification de configuration et passez à l’étape suivante.

    Créer un type d’attestation

    plutôt que d’utiliser le type d’attestation GRC par défaut, le gestionnaire de conformité peut créer un nouvel ensemble de questions pour chaque objectif de contrôle.

    Avant de commencer

    Rôle requis : sn_compliance.attestation_creator ou sn_compliance.manager ou sn_compliance-admin

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Administration > Types d'attestations.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Type de mesure d’évaluation
      Champ Description
      Nom Nom du type d’évaluation.
      Durée d'évaluation Durée allouée de la génération à l’achèvement de l’évaluation.
      Table Table à laquelle cette évaluation s’applique.
      Facteur de mise à l'échelle Valeur d’échelle à utiliser pour tous les résultats d’évaluation.
      Condition Définissez des enregistrements spécifiques à partir de la table.
      Description Plus de détails sur l’évaluation.
      État État de l’évaluation : Brouillon ou Publié
      Appliquer la condition Option indiquant si les enregistrements accessibles de ce type qui ne remplissent pas les conditions spécifiées sont supprimés.
      Rôles Rôles ayant accès aux informations sur ce type de mesure.
    4. Cliquez sur Envoyer.

    Consolider les attestations de contrôle à l’aide de la fonctionnalité Même réponse

    Policy and Compliance Management et Gestion des risques proposent deux méthodes de consolidation des attestations et des évaluations des risques en groupes qui permettent d’éliminer la tâche consistant à fournir des réponses répétitives pour des évaluations similaires. Vous pouvez fournir les mêmes preuves aux évaluations groupées ou répondre à des évaluations individuelles dans la même interface utilisateur.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Lorsque vous consolidez des attestations de contrôle à l’aide de la fonctionnalité Même réponse, vous pouvez regrouper des attestations contenant un maximum de 1 000 questions. Lorsque l’attestation ou l’évaluation des risques pour le groupe est effectuée, tous les enregistrements du groupe héritent des réponses.
    Remarque :
    Pour modifier la limite de 1 000 questions, accédez à Tous > Politique et Conformité > Administration > Propriétés de GRC et modifiez la propriété sn_grc.consolidated_questions_limit .

    Si vous ne souhaitez pas que les utilisateurs aient accès à cette option, accédez à Tous > Politique et Conformité > Administration > Propriétés de GRCet désactivez la propriété sn_grc.enable_consolidate_asmt .

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Contrôles > Mes attestations.
    2. Sélectionnez les attestations que vous souhaitez regrouper.
    3. Dans la liste de choix Actions sur les lignes sélectionnées , cliquez sur Évaluations de groupe.
      Évaluations de groupe
    4. Dans Type de réponse, sélectionnez Fournir la même réponse pour toutes les évaluations.
    5. Renseignez les champs nécessaires.
      Champ Description
      Critères par défaut La valeur par défaut de ce champ est Type de mesure.
      Critères supplémentaires Vous pouvez éventuellement définir d’autres critères de regroupement :
      • Catégorie
      • Objectif du contrôle/Définition du risque
      • Entité

      Vous pouvez également définir des options de critères d’évaluation supplémentaires si les valeurs par défaut ne correspondent pas à vos besoins.

      Remarque :
      L’utilisation de ces schémas de regroupement est judicieuse si les attestations groupées contiennent plusieurs instances des critères sélectionnés. Par exemple, si vous avez sélectionné un groupe de 20 attestations, dont 10 sont associées à une entité et les 10 autres à une entité différente, sélectionner Entité dans ce champ entraîne la création de deux groupes distincts d’attestations. Toutefois, si le groupe se compose de 5 attestations associées à une entité et de chacune des 15 autres attestations associées à différentes entités, seules ces 5 sont regroupées et les autres sont ignorées.
      Aperçu de L’aperçu affiche le nombre d’attestations à regrouper. En fonction des critères supplémentaires que vous avez sélectionnés, l’aperçu peut afficher plusieurs groupes. Si vous souhaitez afficher les attestations à regrouper, cliquez sur le lien qui indique le nombre d’attestations ou d’évaluations des risques à regrouper.
    6. Lorsque vous êtes satisfait des attestations ou des évaluations des risques à consolider, cliquez sur Groupe.

      Un message de confirmation s’affiche, ainsi qu’un lien vers le groupe d’attestations.

      Message d’évaluation créée
      Remarque :
      Lorsque des groupes d’attestations sont créés, vous pouvez les afficher en accédant à Politique et Conformité > Contrôles > Mes attestations groupées. Si vous ouvrez une attestation groupée, vous pouvez supprimer une ou plusieurs attestations du groupe. Pour ce faire, sélectionnez celles que vous souhaitez supprimer et sélectionnez Dissocier l’évaluation dans la liste de choix Actions sur les lignes sélectionnées . Si vous supprimez des attestations d’un groupe au point qu’il n’existe plus qu’une seule attestation, le groupe est supprimé.
    7. Lorsque vous êtes prêt à passer l’évaluation, cliquez sur le lien dans le message de confirmation ou sur le numéro d’attestation dans Mes attestations groupées.
      Instances d'évaluation
    8. Cliquez sur Effectuer une évaluation.
    9. Terminez l’évaluation comme vous le feriez pour n’importe quelle autre, puis cliquez sur Soumettre.
      Toutes les attestations du groupe héritent des réponses que vous avez fournies, et l’état de chaque attestation dans le groupe passe à Terminé.

    Consolider les attestations de contrôle à l’aide de la fonctionnalité Réponse différente

    Policy and Compliance Management et Gestion des risques proposent deux méthodes de consolidation des attestations et des évaluations des risques en groupes qui permettent d’éliminer la tâche consistant à fournir des réponses répétitives pour des évaluations similaires. Vous pouvez fournir les mêmes preuves aux évaluations groupées ou répondre à des évaluations individuelles dans la même interface utilisateur.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Lorsque vous consolidez des attestations de contrôle ou des évaluations des risques à l’aide de la fonctionnalité Réponse différente, vous pouvez regrouper des attestations ou des évaluations des risques qui contiennent un maximum de 150 questions. Toutes les questions apparaissent dans une interface utilisateur unique.
    Remarque :
    Pour modifier la limite de 1 000 questions, accédez à Politique et Conformité > Administration > Propriétés de GRC et modifiez la propriété sn_grc.grouped_questions_limit .

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Contrôles > Mes attestations.
    2. Sélectionnez les attestations que vous souhaitez regrouper.
    3. Dans la liste de choix Actions sur les lignes sélectionnées , cliquez sur Évaluations de groupe.
      Évaluations de groupe
    4. Dans Type de réponse, sélectionnez Fournir une réponse différente pour chaque évaluation.
    5. Renseignez les champs nécessaires.
      Champ Description
      Critères par défaut La valeur par défaut de ce champ est Type de mesure.
      Critères supplémentaires Vous pouvez éventuellement définir d’autres critères de regroupement :
      • Catégorie
      • Objectif du contrôle/Définition du risque
      • Entité

      Vous pouvez également définir des options de critères d’évaluation supplémentaires si les valeurs par défaut ne correspondent pas à vos besoins.

      Remarque :
      L’utilisation de ces schémas de regroupement est judicieuse si les attestations groupées contiennent plusieurs instances des critères sélectionnés. Par exemple, si vous avez sélectionné un groupe de 20 attestations, dont 10 sont associées à une entité et les 10 autres à une entité différente, sélectionner Entité dans ce champ entraîne la création de deux groupes distincts d’attestations. Toutefois, si le groupe se compose de 5 attestations associées à une entité et de chacune des 15 autres attestations associées à différentes entités, seules ces 5 sont regroupées et les autres sont ignorées.
      Aperçu de L’aperçu affiche le nombre d’attestations à regrouper. En fonction des critères supplémentaires que vous avez sélectionnés, l’aperçu peut afficher plusieurs groupes. Si vous souhaitez afficher les attestations à regrouper, cliquez sur le lien qui indique le nombre d’attestations ou d’évaluations des risques à regrouper.
    6. Lorsque vous êtes satisfait des attestations ou des évaluations des risques à consolider, cliquez sur Groupe.

      Un message de confirmation s’affiche, ainsi qu’un lien vers le groupe d’attestations.

      Message d’évaluation créée
      Remarque :
      Lorsque des groupes d’attestations sont créés, vous pouvez les afficher en accédant à Politique et Conformité > Contrôles > Mes attestations groupées. Si vous ouvrez une attestation groupée, vous pouvez supprimer une ou plusieurs attestations du groupe. Pour ce faire, sélectionnez celles que vous souhaitez supprimer et sélectionnez Dissocier l’évaluation dans la liste de choix Actions sur les lignes sélectionnées . Si vous supprimez des attestations d’un groupe au point qu’il n’existe plus qu’une seule attestation, le groupe est supprimé.
    7. Lorsque vous êtes prêt à passer l’évaluation, cliquez sur le lien dans le message de confirmation ou sur le numéro d’attestation dans Mes attestations groupées.
      Instances d'évaluation
    8. Cliquez sur Effectuer une évaluation.
      Les questionnaires s’affichent pour toutes les attestations sélectionnées dans le groupe.
    9. Terminez l’évaluation pour chacune des attestations, puis cliquez sur Soumettre.

    Définir les critères de regroupement d’évaluation

    Vous pouvez éventuellement définir des critères de regroupement supplémentaires si les critères par défaut ne répondent pas à vos besoins.

    Avant de commencer

    Rôle requis : sn_compliance.admin, sn_compliance.manager

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Administration > Critères de regroupement d'évaluation.
      Critères de regroupement d’évaluation
    2. Cliquez sur Nouveau.
      Créer un nouvel enregistrement de critères de regroupement d’évaluation
    3. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom des critères de groupement d’évaluation.
      Nom de champ Sélectionnez le nom du champ dans la table Instance d’évaluation [asmt_assessment_instance ].
      Actif Sélectionnez cette option pour activer la structure de regroupement.
    4. Cliquez sur Envoyer.

    GRC Tableau de bord Vue d’ensemble de l’attestation

    Le GRC tableau de bord Vue d’ensemble de l’attestation fournit des vues des attestations qui vous sont affectées, ainsi que des attestations en attente et en retard.

    Tableau de bord Mes attestations

    Visualisations de données

    Le GRC tableau de bord Vue d’ensemble de l’attestation contient les visualisations suivantes :

    Nom Type Description
    Mes attestations passées à échéance Colonne Icône de colonne Nombre total d’attestations échues qui vous sont affectées
    Mes attestations Colonne Icône de colonne Nombre total d’attestations qui vous sont affectées, réparties par état
    Mes attestations en attente Liste icône 3 de liste Une liste des attestations en attente qui vous sont affectées