Gérer les indicateurs de contrôle

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 10 minutes de lecture

    • La surveillance continue comprend des activités liées à l’identification et à la création d’indicateurs clés de risques et de contrôles. La vue d’ensemble de la conformité est disponible pour les administrateurs et les gestionnaires de conformité, fournissant une vue de direction sur les exigences de conformité, la conformité globale et les répartitions de la conformité.

    Les informations de support peuvent être collectées pour les indicateurs par le biais d’une collecte automatique de données ou de tâches manuelles. Les résultats des indicateurs sont ensuite utilisés pour créer des problèmes pour les contrôles, mettre à jour les scores de risque et fournir des informations complémentaires pour les activités d’audit et les tests de contrôle.
    Indicateurs
    Les indicateurs collectent des données pour surveiller les contrôles et les risques, et recueillent des éléments probants. Les indicateurs surveillent un seul contrôle ou risque.
    Modèles des indicateurs
    Les modèles d’indicateurs permettent la création de plusieurs indicateurs pour des contrôles ou des risques similaires.

    Vue d'ensemble de la conformité

    Tableau 1. Rapports Vue d’ensemble de la conformité dans le système de base
    Nom Visual Description
    Exigences de conformité Couronne Sélectionnez un coin pour vous concentrer sur un domaine de conformité spécifique.
    Conformité globale Couronne Affiche la conformité globale de toutes les exigences de contrôle dans le système. La sélection d’un coin spécifique dans le widget précédent met l’accent sur cette zone.
    Entité Liste déroulante Sélectionnez une ou plusieurs entités pour afficher et comparer leur conformité sur plusieurs éléments.
    État du contrôle Liste de vérification Cochez ou décochez les cases pour afficher les rapports de filtre par état de contrôle.
    Conformité par document de référence Histogramme Comparez le niveau de conformité en fonction de l’entité et/ou du document de référence sélectionné.
    Répartition de la conformité Tableau croisé dynamique à plusieurs niveaux Affichez une répartition de la conformité aux contrôles par documents de référence et politiques connexes.
    Entités non conformes Histogramme Nombre d’exigences de contrôle non conformes regroupées par entité.

    Documents de référence

    Les documents de référence définissent les politiques, les risques, les contrôles, les audits et d’autres processus pour garantir le respect du contenu faisant autorité.

    Chaque document de référence est défini dans un enregistrement et les listes connexes de cet enregistrement contiennent les conditions individuelles du document de référence.

    Les relations de ces éléments de liste connexes de document de référence sont visibles dans la console GRC de l’application Policy and Compliance Management .
    Remarque :
    Vous pouvez ajouter des balises de référence de contenu aux documents de référence. Les balises de référence de contenu vous permettent de filtrer les enregistrements afin d’identifier plus facilement les packs de contenu, les intégrations et les accélérateurs de cas d’utilisation associés aux documents de référence.

    Contenu des documents de référence

    Les citations contiennent les dispositions du document de référence, qui peuvent être liées. Les citations décomposent un document de référence en thèmes faciles à gérer.

    Vous pouvez créer des citations ou les importer à partir de documents de référence UCF, puis créer toutes les relations nécessaires entre les citations.
    Remarque :
    Vous pouvez ajouter des balises de référence de contenu aux citations. Les balises de référence de contenu vous permettent de filtrer les enregistrements afin d’identifier plus facilement les packs de contenu, les intégrations et les accélérateurs de cas d’utilisation associés aux citations.

    Créer un indicateur de contrôle

    Les données d’indicateur pour les contrôles, les risques et les éléments probants sont mesurées différemment selon l’application GRC .

    Avant de commencer

    Rôle requis : sn_compliance_admin, sn_compliance_manager

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Politique et Conformité > Indicateurs > Indicateurs.
      • Risque > Indicateurs > Indicateurs.
      • Audit > Indicateurs > Indicateurs.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Indicateur
      Champ Description
      Catégorie Sélectionnez Indicateur de conformité pour un indicateur de contrôle et Indicateur de risque pour un indicateur de risque.
      Nom Nom de l'indicateur.
      S'applique à Entité associée à l’élément.
      Groupe propriétaire Groupe propriétaire de l’indicateur.
      Propriétaire Propriétaire de l’indicateur.
      Numéro Numéro d’identification unique.
      Actif Option indiquant si l’indicateur est actif.
      Élément Contrôle ou risque associé.
      Modèle Modèle d’indicateur connexe.
      Remplacer le modèle Option indiquant s’il faut remplacer le modèle d’indicateur associé à cet indicateur
      Dernier résultat réussi Option qui indique si le dernier résultat est réussi.
      Programmation
      Fréquence de collecte Fréquence de collecte des résultats de l’indicateur. Les tâches et les résultats de l’indicateur sont générés automatiquement en fonction du calendrier de l’indicateur.
      Prochaine heure d'exécution Heure de collecte suivante pour les résultats de l’indicateur.
      Méthode
      Type Les résultats peuvent être collectés manuellement à l’aide de l’affectation de tâches ou automatiquement à l’aide des conditions de filtre de base, de Performance Analytics ou d’un script.
      • Manuel
      • Élémentaire
      Description courte Si le type est manuel, ce champ est présent. Description brève du problème.
      Instructions Si le type est manuel, ce champ est présent. Instructions pour la collecte des résultats de l’indicateur.
      Valeur obligatoire Si le type est manuel, ce champ est présent.
      Réussite/Échec Si le type est De base, ce champ est présent. L’indicateur est de réussite ou d’échec.
      Seuil PA Si le type est Indicateur PA, ce champ est présent. Seuil PA associé.
      Script Si Type est Script, ce champ est présent. Script qui obtient les informations système souhaitées.
      Données associées
      Remarque :
      À partir de la version 10.1, les données historiques réelles pour les enregistrements de données associées des résultats de l’indicateur ou des tâches d’indicateur sont affichées. Auparavant, seul l’état en temps réel des enregistrements collectés pouvait être visualisé.
      Table Utilisez les données associées pour recueillir des preuves à partir d'autres applications.
      Champs de données associées Champs de données associées basés sur la table sélectionnée.
    4. Sélectionnez Envoyer.
      Remarque :
      En tant que gestionnaire de conformité ou administrateur de conformité, vous pouvez affecter la tâche d’indicateur à un utilisateur disposant du rôle Business User Lite. Si vous affectez un utilisateur disposant d’un rôle Business User Lite en tant que propriétaire dans le champ Propriétaire et que vous exécutez l’indicateur, une tâche d’indicateur est créée dans la liste connexe Tâches ouvertes. Cette tâche d’indicateur est affectée au propriétaire ayant le rôle d’utilisateur métier Lite.

      En tant qu’utilisateur disposant du rôle Business User Lite, vous pouvez accéder à : Politique et Conformité > Indicateurs > Mes tâches d'indicateur pour afficher les tâches d’indicateur qui vous sont affectées. Vous pouvez afficher l’indicateur en sélectionnant l’icône d’information en regard du champ Indicateur. Vous pouvez également mettre à jour le champ Résultat , le champ État , le champ Valeur , les commentaires supplémentaires et les notes de travail dans le formulaire Tâche d’indicateur.

      Pour accomplir des tâches similaires dans l’Employee Center, consultez GRC Tâches dans le portail Employee Center.

    Que faire ensuite

    Si vous implémentez l’option Policy and Compliance Management logiciel, vous avez terminé les étapes de configuration requises. Revenir à la page Policy and Compliance Management Liste de vérification de configuration et passez aux étapes facultatives, selon les besoins.

    Créer un modèle d’indicateur GRC

    Les gestionnaires de conformité ou des risques créent des modèles d’indicateurs à partir desquels de nombreux indicateurs peuvent être créés.

    Avant de commencer

    Rôle requis :
    • sn_compliance.admin ou sn_compliance.manager
    • sn_risk.admin ou sn_risk.manager
    • sn_audit.admin ou sn_audit.manager
    • sn_grc.user

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Tous > Politique et Conformité > Indicateurs > Modèles des indicateurs.
      • Tous > Risque > Indicateurs > Modèles des indicateurs.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 3. Formulaire Modèle d’indicateur
      Champ Description
      Nom Nom de l'indicateur.
      Description Description de l’indicateur.
      Catégorie Catégorie pour laquelle vous créez un modèle d’indicateur. Par exemple, sélectionnez Modèle d’indicateur de risque pour créer un modèle d’indicateur de risque.
      Actif Option qui détermine si le modèle d’indicateur est actif.
      Méthode
      Type Méthode utilisée pour déterminer le type de modèle d’indicateur. Les choix sont les suivants :
      • Manuel : les indicateurs manuels sont utilisés pour les données qui ne peuvent pas être récupérées à partir d’une ServiceNow instance car elles proviennent d’un système externe, telles que les données client d’un système de vente tiers.
      • Basique : les indicateurs de base sont des indicateurs automatisés basés sur une source d’indicateur. La source de l’indicateur spécifie une table et une fréquence à laquelle les scores de cette table sont enregistrés.
      • Script : les indicateurs scriptés utilisent un script personnalisé pour collecter les données.
      Résultat si la valeur atteint ou dépasse la valeur cible Champ de configuration de résultat. Les choix sont les suivants :
      • Réussi
      • Échoué

      Par exemple, supposons que vous saisissiez 100 dans ce champ. Si la sortie de résultat de l’indicateur est supérieure à 100, l’état de l’indicateur est validé ou échoué en fonction de la valeur configurée dans ce champ.
      Type cible Type de la valeur cible. Les choix sont les suivants :
      • Aucun : utilisez cette option si vous ne souhaitez pas définir de cible ou de seuil pour l’indicateur.
      • Pourcentage : utilisez cette option pour déterminer le résultat de l’indicateur par une valeur en pourcentage.
      • Nombre : utilisez cette option pour déterminer le résultat de l’indicateur par une valeur de nombre ou un nombre total.
      Cible Valeur qui détermine si l’indicateur doit réussir ou échouer.
      Instructions Instructions supplémentaires pour le modèle.
      Valeur obligatoire Option permettant de décider si une valeur doit être obligatoire dans la tâche d’indicateur pour un indicateur manuel.
      Remarque :
      Cette option s’affiche uniquement si l’option Manuel est sélectionnée dans le champ Type . Cette option est automatiquement sélectionnée si l’option Nombre ou Pourcentage est sélectionnée dans le champ Type cible.
      Données associées
      Remarque :
      À partir de la version 10.1, les données historiques réelles pour les enregistrements de données associées des résultats de l’indicateur ou des tâches d’indicateur sont affichées. Auparavant, seul l’état en temps réel des enregistrements collectés pouvait être visualisé.
      Inclure les données associées Option permettant d’activer la collecte de données ou de preuves associées à chaque exécution de l’indicateur.
      Table Table utilisée pour la collecte des données associées.
      Champs de données associées Champs de la table source à utiliser pour la collecte des données associées.
      Type de collection d'échantillons Type de collecte de données de support, par exemple nombre ou pourcentage.
      Taille de l'échantillon Nombre minimum d’enregistrements à utiliser pour la collecte des données associées.

      Par exemple, un indicateur de base peut interroger une grande table et renvoyer des milliers d’enregistrements à chaque exécution d’indicateur. Vous n’avez pas besoin de tous les enregistrer ; ce n’est qu’un échantillon de ces enregistrements. Si vous saisissez une taille d’échantillon de 100, seuls 100 enregistrements sont enregistrés, même si la requête en a renvoyé des milliers.
      Critères de base
      Critère Critères pour filtrer les données de la table source.
      Champ de référence utilisateur Option permettant d’activer l’utilisation du champ de référence.
      Champ de référence Connexion entre la table de données de support et le champ d’enregistrement S’applique à de l’entité.
      Critères supplémentaires
      Pour créer des indicateurs avec des cibles, utilisez les critères de filtre avancés. Cette section s’affiche uniquement lorsque vous sélectionnez Basique dans le champ Type . Cette section est utilisée pour fournir d’autres critères de filtre.
      Critères supplémentaires Plus de critères pour filtrer les données afin de calculer la valeur cible. Cette section s’affiche uniquement lorsque l’option Pourcentage est sélectionnée dans le champ Type de cible .
      Programmation
      Fréquence de collecte Fréquence de collecte des résultats de l’indicateur. Les tâches et les résultats de l’indicateur sont générés automatiquement en fonction du calendrier de l’indicateur.
      Date du premier cycle Heure de la première collecte pour les résultats de l’indicateur. Ce champ est automatiquement défini en fonction du moment où un indicateur ou un modèle d’indicateur s’exécute pour la première fois. La valeur de ce champ ne peut pas être modifiée.
      Date du cycle suivant Prochaine heure d’exécution pour collecter les résultats de tous les indicateurs en aval de ce modèle d’indicateur.
      Durée de la date d'échéance (en jours) Durée de la date d’échéance, en jours, entre la création et la date d’échéance de la tâche d’indicateur et la génération de ses résultats.

      La durée de la date d’échéance ajoutée à la date de création est reflétée comme la date d’échéance de la tâche d’indicateur.

      Ce champ s’affiche uniquement lorsque l’option Manuel est sélectionnée dans le champ Type .

      Pour plus d'informations, consultez Améliorations des performances pour la tâche nocturne de l’indicateur.
    4. Lorsque vous avez terminé ces entrées, vous pouvez également afficher des informations sur les listes connexes suivantes :
      • Objectifs de contrôle/Déclarations de risque
      • Références de contenu
      Remarque :
      L’onglet Objectifs de contrôle/Déclarations de risque vous permet de réutiliser le même modèle pour plusieurs objectifs de contrôle ou déclarations de risque, ou les deux.
    5. Sélectionnez Envoyer.