Facteurs dans l’évaluation Advanced Risk

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Les facteurs sont des questions que vous pouvez utiliser pour analyser les risques. Les facteurs apparaissent sur une instance d’évaluation des risques.

    Les facteurs sont des questions qui apparaissent au cours de l’évaluation des risques. Pour utiliser l’évaluation Advanced Risk, vous devez d’abord définir ces facteurs et configurer une méthodologie d’évaluation des risques (RAM). Pour plus d’informations sur les RAM, reportez-vous à la section Configurer une méthodologie d’évaluation des risques. Chaque facteur ou question a une réponse. Il existe différents types de facteurs :
    • Facteur manuel : facteur qui nécessite une intervention humaine. Il s’agit d’une réponse manuelle. Votre nom en est un exemple.
    • Facteur automatisé : facteur dont la réponse est calculée automatiquement. Un exemple est la température dans votre ville aujourd’hui. Les informations sont extraites de sources externes.
    • Facteurs automatisés scriptés : facteur utilisé pour écrire des scripts.
    • Facteur de groupe : ensemble de facteurs regroupés logiquement.

    Ces types de facteurs sont expliqués plus en détail dans les sections suivantes. Après avoir défini les facteurs et les avoir publiés, vous pouvez configurer une RAM et associer les facteurs aux types d’évaluation dans la RAM. La RAM constitue la base de l’évaluation des risques. Publiez chacun des types d’évaluation sélectionnés, puis publiez la RAM. Les utilisateurs disposant du rôle sn_risk.user peuvent sélectionner les types d’évaluation pour lesquels l’évaluation doit être effectuée.

    Votre instance d’évaluation des risques est ensuite créée. Ses propriétés dépendent des types d’évaluation et des options que vous avez sélectionnés pour votre RAM. L’instance d’évaluation des risques est l’instance où l’évaluateur des risques évalue les risques. En tant que question, un facteur peut être utilisé dans plusieurs types d’évaluation. Par exemple, une question telle que « Quelle est la probabilité qu’un bâtiment soit inondé ? » peut faire partie d’une évaluation inhérente ou d’une évaluation résiduelle après l’évaluation de l’efficacité du contrôle.

    Remarque :
    Un facteur peut être utilisé dans plusieurs types d’évaluation, mais il ne peut être utilisé que dans une seule RAM. Un facteur créé et utilisé dans une RAM ne peut pas être réutilisé dans d’autres RAMs.

    Types de contributions de facteurs

    Un évaluateur fournit des réponses à des facteurs. Les évaluateurs de risque peuvent contribuer aux facteurs de la manière suivante :
    • Qualitatif : les pertes se présentent sous la forme de termes subjectifs tels que élevé, moyen et faible. Les pertes peuvent également prendre la forme d’un score numérique qui est converti en notation.
    • Quantitatif : Les pertes sont sous forme numérique. Ils peuvent être encourus à partir d’un risque en termes monétaires. Ils contribuent à la perte estimée annuelle (ALE) inhérente.
    • Les deux : les pertes ont à la fois une cote de risque qualitative et une valeur quantitative en dollars. Ces notations sont également appelées semi-quantitatives.
    Pour plus d’informations sur la compréhension des notations qualitatives, quantitatives et semi-quantitatives, voir Types de méthodologies d’évaluation des risques

    Facteurs manuels

    Dans une évaluation des risques, les questions qui nécessitent des réponses humaines de la part des répondants sont appelées facteurs manuels. Dans le cas des facteurs manuels, la réponse est subjective et difficile à classer. Certaines questions nécessitent de l’intelligence humaine et une évaluation. Par conséquent, un facteur manuel est une évaluation subjective du point de vue d’une personne. Des exemples de facteurs manuels sont l’impact sur la réputation, la vitesse d’apparition attendue, etc. Dans les facteurs manuels, les utilisateurs peuvent fournir les types de réponses suivants :
    • Texte : Une réponse descriptive. Par exemple, les commentaires. Ce choix ne contribue pas au calcul du score de risque.
    • Choix : choix définis par l’utilisateur pour les questions de l’évaluation. Par exemple, les utilisateurs peuvent sélectionner des évaluations de risque de faible, moyen ou élevé.
    • Nombre : valeur numérique. Par exemple, le nombre de problèmes ouverts.
    • Devise : montant dans la devise locale de l’utilisateur. Par exemple, l’impact financier d’un certain risque.
    • Pourcentage : une valeur en pourcentage pour les questions de l’évaluation. Par exemple, le pourcentage d’employés satisfaits des stratégies de l’organisation.

    Facteurs de groupe

    Lorsque les facteurs sont regroupés logiquement, ils sont appelés facteurs de groupe. Le score d’un facteur de groupe dépend des réponses des facteurs manuels correspondants. Par exemple, les organisations sont affectées par les risques financiers et les risques non financiers. Vous pouvez créer des facteurs pour les risques financiers et d’autres facteurs pour les risques non financiers. Vous pouvez combiner ces deux ensembles de facteurs en un seul facteur de groupe appelé Impact global. À l’instar des facteurs manuels, les facteurs de groupe peuvent contribuer soit à un score de risque numérique converti en contribution qualitative, soit aux valeurs ALE en tant que contribution quantitative.

    Facteurs automatisés

    Les facteurs automatisés extraient automatiquement les dernières données, au cours d’une évaluation, à partir de n’importe quelle source de données telle que les tables ou les vues de base de données. Les facteurs automatisés permettent d’automatiser le processus d’évaluation des risques. Ils ne reposent pas sur des saisies manuelles, et réduisent ainsi la subjectivité. Par exemple, un évaluateur des risques souhaite effectuer une évaluation pour différents emplacements. L’un des facteurs automatisés est la situation politique d’un pays, et cette information est accessible au public sur un site Web. Étant donné que ces données ne résident pas dans ServiceNow, l’évaluateur peut utiliser des facteurs automatisés pour extraire les données. Voici d’autres exemples de facteurs automatisés :
    • Nombre d’employés sur un projet.
    • Le chiffre d’affaires d’une unité business.
    • Criticité opérationnelle d’un processus.

    Facteurs automatisés scriptés

    Des facteurs scriptés automatisés sont utilisés pour écrire des scripts. Les scripts récupèrent les données à partir d’enregistrements ou de ServiceNow sources externes. Les facteurs automatisés scriptés fournissent automatiquement les réponses pour les facteurs au cours de l’évaluation des risques.

    Les cas d’utilisation suivants illustrent la façon dont vous modélisez les facteurs scriptés. Par exemple, si vous souhaitez utiliser les résultats de la fonction de conformité pour évaluer l’efficacité de l’atténuation des contrôles, il existe deux façons d’évaluer les contrôles :
    • Évaluation individuelle des contrôles
    • Évaluation de l’environnement de contrôle.
    Dans l’évaluation individuelle des contrôles, chaque contrôle est évalué séparément. Pour comprendre l’évaluation du contrôle dans le contexte des facteurs scénarisés, considérons l’exemple du blanchiment d’argent en tant que risque. Dans cet exemple, l’efficacité du contrôle est évaluée en fonction du pourcentage de contrôles ayant échoué. Les valeurs des contrôles ayant échoué sont ensuite transformées en évaluation afin de calculer l’efficacité de ce contrôle. Par exemple, le risque de blanchiment d’argent comporte trois mesures d’atténuation :
    • Formation des employés
    • Audit interne sur les employés
    • Diligence raisonnable à l’égard de la clientèle
    Supposons que vous avez défini les critères d’efficacité du contrôle de la manière suivante :
    Échec de l’efficacité de la conception du contrôle Efficacité du contrôle
    0%-30% Effectif
    30%-60% Nécessite des améliorations
    > 60 % Non effectif

    Supposons maintenant que sur les trois contrôles, un contrôle a réussi et deux ont échoué. La défaillance de deux contrôles se traduit par un taux de défaillance de 66,67 %. Sur la base de la transformation et de la table précédente, l’évaluation d’efficacité du contrôle est inefficace. Vous pouvez utiliser ce script défini pour automatiser la réponse au facteur afin d’évaluer le risque de blanchiment d’argent.

    En ce qui concerne l’évaluation de l’environnement de contrôle, vous pouvez évaluer l’environnement de contrôle dans son ensemble au lieu d’évaluer chaque contrôle individuellement. Pour comprendre l’évaluation de l’environnement de contrôle, considérez l’exemple suivant. Supposons que vous souhaitez évaluer l’environnement de contrôle en fonction de deux aspects : l’efficacité de la conception et l’efficacité opérationnelle. Pour calculer l’efficacité de la conception, vous pouvez extraire les contrôles associés au risque de blanchiment d’argent. Vous pouvez ensuite examiner les résultats des tests pour comprendre combien de contrôles ont échoué. Supposons que vous avez défini les critères d’efficacité du contrôle de la manière suivante :
    Échec de l’efficacité de la conception du contrôle Efficacité du contrôle
    0%-30% Effectif
    30%-60% Nécessite des améliorations
    > 60 % Non effectif

    Supposons maintenant que deux contrôles ont échoué et qu’un contrôle a réussi. Ainsi, le taux d’échec de l’efficacité de la conception du contrôle est de 33,33 %. Sur la base du tableau précédent, cette faible valeur de 33,33 % signifie que la conception du contrôle doit être améliorée. Cette réponse peut être automatiquement scriptée dans le facteur scripted automatisé, car elle ne nécessite aucun calcul ou intervention humaine.