Gérer les indicateurs de contrôle

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 9 minutes de lecture

    • La surveillance continue comprend des activités liées à l’identification et à la création d’indicateurs clés de risque et de contrôle. La vue d’ensemble de la conformité est disponible pour les administrateurs de conformité et les gestionnaires de conformité, fournissant une vue de direction sur les exigences de conformité, la conformité globale et les répartitions de conformité.

    Les informations associées peuvent être collectées pour les indicateurs par le biais de la collecte automatique de données ou de tâches manuelles. Les résultats de l’indicateur sont ensuite utilisés pour créer des problèmes pour les contrôles, mettre à jour les scores de risque et fournir des informations de support pour les activités d’audit et les tests de contrôle.
    Indicateurs
    Les indicateurs collectent des données pour surveiller les contrôles et les risques, et collectent des éléments probants. Les indicateurs surveillent un seul contrôle ou risque.
    Modèles des indicateurs
    Les modèles d’indicateur permettent de créer plusieurs indicateurs pour des contrôles ou des risques similaires.

    Vue d'ensemble de la conformité

    Tableau 1. Rapports Vue d’ensemble de la conformité dans le système de base
    Nom Visuel Description
    Exigences de conformité Couronne Sélectionnez un secteur pour vous concentrer sur une zone de conformité spécifique.
    Conformité globale Couronne Affiche la conformité globale de toutes les exigences de contrôle dans le système. La sélection d’un coin spécifique dans le widget précédent met en évidence cette zone.
    Entité Liste déroulante Sélectionnez une ou plusieurs entités pour afficher et comparer leur conformité à plusieurs éléments.
    État du contrôle Liste de vérification Activez ou décochez les cases pour afficher les rapports de filtre par état de contrôle.
    Conformité par document de référence Histogramme Comparez le niveau de conformité en fonction de l’entité et/ou du document de référence sélectionné.
    Répartition de la conformité Tableau croisé dynamique à plusieurs niveaux Affichez une répartition de la conformité des contrôles par documents de référence et politiques connexes.
    Entités non conformes Histogramme Nombre d’exigences de contrôle non conformes regroupées par entité.

    Documents de référence

    Les documents de référence définissent les politiques, les risques, les contrôles, les audits et d’autres processus pour garantir le respect du contenu faisant autorité.

    Chaque document de référence est défini dans un enregistrement et les listes connexes de cet enregistrement contiennent les conditions individuelles du document de référence.

    Les relations de ces éléments de liste connexe de document de référence sont visibles dans la console GRC de l’application Gestion de la politique et de la conformité .
    Remarque :
    Vous pouvez ajouter des balises de référence de contenu aux documents de référence. Les balises de référence de contenu vous permettent de filtrer les enregistrements afin d’identifier plus facilement les packs de contenu, les intégrations et les accélérateurs de cas d’utilisation associés aux documents de référence.

    Contenu des documents de référence

    Les citations contiennent les dispositions du document de référence, qui peuvent être liées. Les citations décomposent un document de référence en thèmes faciles à gérer.

    Vous pouvez créer des citations ou les importer à partir de documents de référence UCF, puis créer toutes les relations nécessaires entre les citations.
    Remarque :
    Vous pouvez ajouter des balises de référence de contenu aux citations. Les balises de référence de contenu vous permettent de filtrer les enregistrements afin d’identifier plus facilement les packs de contenu, les intégrations et les accélérateurs de cas d’utilisation associés aux citations.

    Créer un indicateur de contrôle

    Les données d’indicateur pour les contrôles, le risque et les preuves d’audit sont mesurées différemment selon l’application GRC .

    Avant de commencer

    Rôle requis : sn_compliance_admin, sn_compliance_manager

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Politique et Conformité > Indicateurs > Indicateurs.
      • Risque > Indicateurs > Indicateurs.
      • Audit > Indicateurs > Indicateurs.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Indicateur
      Champ Description
      Catégorie Sélectionnez Indicateur de conformité pour un indicateur de contrôle et Indicateur de risque pour un indicateur de risque.
      Nom Nom de l'indicateur.
      Concerne Entité liée à l’élément.
      Groupe propriétaire Groupe propriétaire de l’indicateur.
      Propriétaire Propriétaire de l’indicateur.
      Numéro Numéro d’identification unique.
      Actif Option qui indique si l’indicateur est actif.
      Élément Contrôle ou risque connexe.
      Modèle Modèle d’indicateur connexe.
      Remplacer le modèle Option indiquant s’il faut remplacer le modèle d’indicateur associé à cet indicateur
      Dernier résultat réussi Option qui indique si le dernier résultat a été validé.
      Calendrier
      Fréquence de collecte Fréquence de collecte des résultats de l’indicateur. Les tâches et les résultats de l’indicateur sont générés automatiquement en fonction du calendrier de l’indicateur.
      Prochaine heure d'exécution Prochaine heure de collecte pour les résultats de l’indicateur.
      Méthode
      Type Les résultats peuvent être collectés manuellement à l’aide de l’affectation de tâches ou automatiquement à l’aide des conditions de filtre de base, d’Analyse des performances ou d’un script.
      • Manuel
      • Élémentaire
      Description brève Si le type est manuel, ce champ est présent. Description brève du problème.
      Instructions Si le type est manuel, ce champ est présent. Instructions pour la collecte des résultats de l’indicateur.
      Valeur obligatoire Si le type est manuel, ce champ est présent.
      Réussite/Échec Si le type est Basique, ce champ est présent. L’indicateur est valide ou échoué.
      Seuil PA Si le type est Indicateur PA, ce champ est présent. Seuil PA associé.
      Script Si le type est Script, ce champ est présent. Script qui obtient les informations système souhaitées.
      Données associées
      Remarque :
      À partir de la version 10.1, les données historiques réelles des enregistrements de données associées provenant des résultats de l’indicateur ou des tâches d’indicateur sont affichées. Auparavant, seul l’état en temps réel des enregistrements collectés pouvait être visualisé.
      Table Utilisez les données associées pour recueillir des preuves à partir d'autres applications.
      Champs de données associées Champs de données associées basés sur la table sélectionnée.
    4. Sélectionnez Soumettre.

    Que faire ensuite

    Si vous implémentez l’option Gestion de la politique et de la conformité logiciel, vous avez terminé les étapes de configuration requises. Revenir à Gestion de la politique et de la conformité Configurer la liste de vérification et passez aux étapes facultatives, au besoin.

    Créer un modèle d’indicateur GRC

    Les responsables de la conformité ou des risques créent des modèles d’indicateurs à partir desquels de nombreux indicateurs peuvent être créés.

    Avant de commencer

    Rôle requis :
    • sn_compliance.admin ou sn_compliance.manager
    • sn_risk.admin ou sn_risk.manager
    • sn_audit.admin ou sn_audit.manager
    • sn_grc.user

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Tout > Politique et Conformité > Indicateurs > Modèles des indicateurs.
      • Tout > Risque > Indicateurs > Modèles des indicateurs.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 3. Formulaire de modèle d’indicateur
      Champ Description
      Nom Nom de l'indicateur.
      Description Description de l’indicateur.
      Catégorie Catégorie pour laquelle vous créez un modèle d’indicateur. Par exemple, sélectionnez Modèle d’indicateur de risque pour créer un modèle d’indicateur de risque.
      Actif Option qui détermine si le modèle d’indicateur est actif.
      Méthode
      Type Méthode utilisée pour déterminer le type de modèle d’indicateur. Les choix sont les suivants :
      • Manuel : les indicateurs manuels sont utilisés pour les données qui ne peuvent pas être récupérées à partir d’une ServiceNow instance car elles proviennent d’un système externe, telles que les données client d’un système de vente tiers.
      • Basique : les indicateurs de base sont des indicateurs automatisés basés sur une source d’indicateur. La source d’indicateur spécifie une table et une fréquence à laquelle les scores de cette table sont enregistrés.
      • Script : les indicateurs scriptés utilisent un script personnalisé pour collecter les données.
      Résultat si la valeur atteint ou dépasse la valeur cible Champ de configuration de résultat. Les choix sont les suivants :
      • Réussi
      • Échoué

      Par exemple, supposons que vous saisissiez 100 dans ce champ. Si la sortie du résultat de l’indicateur est supérieure à 100, l’état de l’indicateur est validé ou échoué en fonction de la valeur configurée dans ce champ.
      Type cible Type de la valeur cible. Les choix sont les suivants :
      • Aucun : utilisez cette option si vous ne souhaitez pas définir de cible ou de seuil pour l’indicateur.
      • Pourcentage : utilisez cette option pour déterminer le résultat de l’indicateur par une valeur de pourcentage.
      • Nombre : utilisez cette option pour déterminer le résultat de l’indicateur par une valeur de nombre ou un nombre total.
      Cible Valeur qui détermine si l’indicateur doit réussir ou échouer.
      Instructions Instructions supplémentaires pour le modèle.
      Valeur obligatoire Option permettant de décider si une valeur doit être obligatoire dans la tâche d’indicateur pour un indicateur manuel.
      Remarque :
      Cette option s’affiche uniquement si l’option Manuel est sélectionnée dans le champ Type . Cette option est automatiquement sélectionnée si l’option Nombre ou Pourcentage est sélectionnée dans le champ Type de cible .
      Données associées
      Remarque :
      À partir de la version 10.1, les données historiques réelles des enregistrements de données associées des résultats de l’indicateur ou des tâches d’indicateur sont affichées. Auparavant, seul l’état en temps réel des enregistrements collectés pouvait être visualisé.
      Inclure les données associées Option permettant d’activer la collecte de données ou de preuves associées à chaque exécution de l’indicateur.
      Table Table utilisée pour collecter les données associées.
      Champs de données associées Champs de la table source à utiliser pour collecter les données associées.
      Type de collection d'échantillons Type de collecte de données de support, tel que nombre ou pourcentage.
      Taille de l'échantillon Nombre minimum d’enregistrements à utiliser pour collecter les données associées.

      Par exemple, un indicateur de base peut interroger une grande table et renvoyer des milliers d’enregistrements à chaque exécution d’indicateur. Vous n’avez pas besoin de tous les enregistrer ; ce n’est qu’un échantillon de ces documents. Si vous entrez une taille d’échantillon de 100, seuls 100 enregistrements sont enregistrés, même si la requête en a renvoyé des milliers.
      Critères de base
      Critères Critères pour filtrer les données à partir de la table source.
      Champ de référence utilisateur Option permettant d’activer l’utilisation du champ de référence.
      Champ de référence Connexion entre la table de données associées et le champ d’enregistrement S’applique à de l’entité.
      Critères supplémentaires
      Pour créer des indicateurs avec des cibles, utilisez les critères de filtre avancés. Cette section s’affiche uniquement lorsque vous sélectionnez Basique dans le champ Type . Cette section est utilisée pour fournir d’autres critères de filtre.
      Critères supplémentaires Plus de critères pour filtrer les données afin de calculer la valeur cible. Cette section s’affiche uniquement lorsque Pourcentage est sélectionné dans le champ Type de cible .
      Calendrier
      Fréquence de collecte Fréquence de collecte des résultats de l’indicateur. Les tâches et les résultats de l’indicateur sont générés automatiquement en fonction du calendrier de l’indicateur.
      Date du premier cycle Heure de la première collecte des résultats de l’indicateur. Ce champ est automatiquement défini en fonction du moment où un indicateur ou un modèle d’indicateur s’exécute pour la première fois. La valeur de ce champ ne peut pas être modifiée.
      Date du cycle suivant Prochaine heure d’exécution pour collecter les résultats de tous les indicateurs en aval pour ce modèle d’indicateur.
      Durée de la date d'échéance (en jours) Date d’échéance Durée en jours entre la création et la date d’échéance de la tâche d’indicateur et la génération de ses résultats.

      La durée de la date d’échéance ajoutée à la date de création est reflétée comme la date d’échéance de la tâche d’indicateur.

      Ce champ n’est disponible que lorsque l’option Manuel est sélectionnée dans le champ Type .

      Pour plus d'informations, consultez Améliorations des performances pour la tâche nocturne de l’indicateur.
    4. Une fois que vous avez rempli ces entrées, vous pouvez également afficher des informations sur les listes connexes suivantes :
      • Objectifs de contrôle/Déclarations de risque
      • Références du contenu
      Remarque :
      L’onglet Objectifs de contrôle/Déclarations de risque vous permet de réutiliser le même modèle pour plusieurs objectifs de contrôle ou déclarations de risque, ou les deux.
    5. Sélectionnez Soumettre.