Cotes de risque de tiers et calculs de notation

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 10 minutes de lecture

    • Effectuez une évaluation complète des risques externes lors du calcul de plusieurs évaluations et scores à l’aide de l’application Gestion des risques liés aux tiers . Vous pouvez mieux comprendre le processus de calcul global et apprendre comment les paramètres et les configurations définis par l’utilisateur influencent les résultats des questionnaires.

    Échelle d'évaluation des risques

    Chaque fois que vous créez un questionnaire, le système applique une cote de risque par défaut. Vous pouvez configurer l’échelle d’évaluation des risques, qui comprend les catégories et les valeurs minimales et maximales, pour répondre à vos besoins spécifiques en matière de questionnaire, qui peuvent varier d’une évaluation à l’autre. Par exemple, vous pouvez définir les valeurs de cote de risque en tant que couleurs plutôt que de 1-Très élevé à 5-Très faible.

    L’exemple suivant montre les cotes de risque par défaut fournies dans le cadre du système de base.

    Figure 1. Échelle d'évaluation des risques par défaut

    Liste des cotes de risque de défaut. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Mécanisme de calcul du score

    Le mécanisme de calcul du score pour chaque évaluation des risques externes utilise le moteur de calcul du score d’évaluation Now Platform® . Ce moteur effectue ces calculs à l’aide d’une série d’équations connexes qui sont recalculées dynamiquement. Vous définissez les paramètres suivants qui affectent la note d’évaluation calculée :
    • Questions (mesures)

      Pour en savoir plus sur la définition d’une question, reportez-vous à la section Définir une question.

    • Définition de l’échelle de mesure

      Pour en savoir plus sur la définition de la mise à l’échelle des mesures, reportez-vous à la section Définir une question.

    • Catégories

      Pour en savoir plus sur la définition d’une catégorie, reportez-vous à la section Configurer et gérer une banque de questions.

    • Poids

      Pour plus d’informations sur la définition d’un poids, reportez-vous à la section Définir des critères de composant.

    • Échelle d'évaluation des risques

      Pour en savoir plus sur la définition d’une échelle d’évaluation des risques, reportez-vous à la section Configurer les échelles de notation et la notation des risques.

    • Échelle d’évaluation du service d’entreprise
      À la fin du calcul du score, si un tiers ou un engagement est associé à un service d’entreprise que vous avez défini dans la table Service [cmdb_ci_service], ce poids de criticité est pris en compte dans le calcul. Les différents services aux entreprises peuvent présenter différents niveaux de risques associés. En ajustant le poids de criticité, vous pouvez utiliser les valeurs résultantes pour ajuster vos stratégies d’atténuation des risques.
      Remarque :
      Un service aux entreprises est une séquence définie de tâches ou d’activités qui contribuent à la livraison d’un service, par exemple la messagerie, les services informatiques et le commerce électronique.
      Vous pouvez définir les poids de criticité en accédant à Tout > Libre-service > Gestion des risques liés aux tiers > Configuration de l'évaluation > Échelle d'évaluation de Service d'entreprise.
      Dans le cadre du système de base, quatre évaluations sont définies :
      • 1 – Très critique
      • 2 – Assez critique
      • 3 – Moins critique
      • 4 – Non critique

      Vous pouvez associer chaque tiers ou engagement à plusieurs services d’entreprise.

    L’infographie suivante montre le processus de calcul de l’évaluation.

    Figure 2. Processus de calcul de l’évaluation

    Infographie illustrant le calcul de la notation de l’évaluation. Pour la description du texte, consultez la liste ci-dessous.
    1. Les valeurs suivantes sont calculées pour chaque question du questionnaire :

      1. questionRatings : l’évaluation de chaque question est calculée en fonction des réponses. L’évaluation est déterminée par la définition de l’échelle de mesure et les valeurs associées aux réponses.

      2. questionPercentContribution : la contribution en pourcentage de chaque question dans sa catégorie est déterminée par ce calcul. Cette valeur est basée sur le poids affecté par le gestionnaire des risques du tiers à la question et sur le poids global de la catégorie.
      3. questionNormalizedValue : la valeur normalisée de chaque question est calculée en multipliant l’évaluation de la question, la contribution en pourcentage de la question et une valeur constante (100). Cette valeur vous permet de comparer des questions avec des pondérations et des évaluations différentes.
    2. Les catégories de chaque questionnaire ont les cotes suivantes calculées :
      1. categoryRating : la note de chaque catégorie est calculée en additionnant les valeurs normalisées de toutes les questions de la catégorie. La cote de catégorie est dérivée de l’échelle de cote de risque associée.
      2. categoryNormalizedValue : la note de catégorie est normalisée en la multipliant par le poids de la catégorie pour vous permettre de comparer les valeurs de toutes les catégories.
    3. Questionnaire, questionnaireQuantitativeScore : le score quantitatif global de l’évaluation est calculé en additionnant les scores de catégories normalisées. Ce score représente le score de risque pour le questionnaire.
    4. Documents, score qualitatif : le calcul de l’évaluation qualitative du risque pour les demandes de documents est basé sur la réponse à la question par défaut « Avez-vous un document « nom de document » ? sur la demande de document. Cette évaluation peut être remplacée par l’évaluateur des risques du tiers, si nécessaire.
    5. Évaluation, assessmentRating : la note finale de l’évaluation est calculée en prenant la moyenne pondérée des questionnaires et des demandes de documents dans chaque domaine de risque de tiers. Les pondérations sont déterminées par la méthode de notation du domaine de risque.

    Calcul questionRating

    Vous utilisez le calcul questionRating pour définir le degré relatif de signification de chaque mesure d’évaluation individuelle par rapport à d’autres mesures. Cette variable clé permet de calculer la valeur normalisée ultérieurement dans le processus.

    Vous pouvez définir la définition d’échelle d’une mesure d’évaluation individuelle en la définissant sur Élevée ou Faible.

    L’exemple suivant montre comment le champ de définition d’échelle de mesure a été défini dans le formulaire Mesure d’évaluation.
    Figure 3. Exemple de définition d’échelle de mesure

    Exemple de définition d’échelle de mesure. Pour la description du texte, consultez le texte qui suit.
    • Élevé signifie que les grandes valeurs numériques indiquent un résultat positif. Si la définition de l’échelle de mesure est élevée, l’équation suivante est utilisée :

      questionRating = (value - minValue) / (maxValue - minValue)

    • Faible signifie que de petites valeurs numériques indiquent un résultat positif. Si la définition d’échelle de mesure est faible, l’équation suivante est utilisée :

      questionRating = 1 - ((value - minValue) / (maxValue - minValue))

    L’exemple suivant montre le champ de valeur de la question qui est défini dans le formulaire de question d’instance d’évaluation.

    Figure 4. Exemple de valeur de question d’évaluation
    Exemple de champ de valeur de question d’évaluation. Pour la description du texte, consultez le texte qui suit.

    La valeur utilisée dans l’équation est tirée de la réponse à la question. La configuration de la mesure définit la réponse correcte, qui est la valeur, et les autres valeurs associées aux autres réponses incorrectes ou moins souhaitables.

    calcul questionPercentContribution

    La question PercentContribution définit le degré de signification de la mesure d’évaluation dans la catégorie où elle est incluse. Cette variable clé est utilisée pour calculer la valeur normalisée ultérieurement dans le processus.

    L’équation suivante est utilisée pour calculer la questionPercentContribution.

    questionPercentContribution = (questionWeight/sumOfAllQuestionWeightsWithinCategory)

    Remarque :
    sumOfAllQuestionWeightsWithinCategory est la somme des poids de la catégorie pour les questions ayant reçu une réponse.

    La catégorie représente un thème pour évaluer les enregistrements évaluables dans un type de mesure. Vous pouvez définir l’exemple de cette catégorie avec le retour sur investissement (ROI), le risque, la performance, la sécurité, les données personnelles, etc.

    Le poids est une valeur numérique qui représente l’importance de la mesure associée à d’autres mesures. Un poids plus élevé par rapport au poids global de la catégorie a une influence plus forte sur le score final. Vous pouvez définir le poids, le définir sur n’importe quel nombre entier et l’appliquer aux questions et aux catégories.

    L’exemple suivant montre la catégorie de question et le champ de pondération que vous pouvez définir dans le formulaire de mesure d’évaluation.

    Figure 5. Exemple de catégorie et de pondération de question d’évaluation
    Exemples de champs de catégorie et de poids. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Calcul questionNormalizedValue

    La questionNormalizedValue permet de comparer de manière égale des questions de pondérations et d’évaluations différentes sur la même échelle.

    L’équation suivante est utilisée pour calculer la questionNormalizedValue.

    questionNormalizedValue = 100 * questionRating * questionPercentContribution

    Chaque réponse à chaque question (mesure d’évaluation) du questionnaire a une valeur normalisée. Cette valeur normalisée vous permet d’effectuer une comparaison significative qui est ensuite déployée sur la catégorie et les résultats de l’évaluation globaux.

    L’exemple suivant montre une liste de valeurs normalisées pour un groupe d’évaluation.

    Figure 6. Liste de valeurs normalisées pour un exemple de groupe d’évaluation

    Liste de valeurs normalisées du groupe d’évaluation. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Calcul de categoryRating

    Maintenant qu’il existe des valeurs normalisées pour chaque mesure dans la catégorie, categoryRating calcule une valeur pour l’ensemble de la catégorie qui peut ensuite être normalisée à l’aide de l’équation categoryNormalizedValue pour faciliter les comparaisons entre catégories.

    L’équation suivante est utilisée pour calculer la questionPercentContribution.

    categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory

    L’évaluation de la catégorie est la somme de toutes les valeurs normalisées pour les mesures de la catégorie.

    La cote de risque indiquée pour chaque catégorie est dérivée de l’échelle de cote de risque associée.

    L’exemple suivant montre la liste des évaluations de catégorie et des évaluations de risque pour une catégorie d’évaluation.

    Figure 7. Exemple de catégories, d’évaluation et de liste d’évaluation du risque

    Liste des catégories, des évaluations et des risques. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Calcul de categoryNormalizedValue

    Une fois les évaluations de catégorie établies, l’équation categoryNormalizedValue utilise cette évaluation et la pondération de la catégorie pour normaliser le résultat dans toutes les catégories.

    L’équation suivante est utilisée pour calculer la valeur categoryNormalizedValue.

    categoryNormalizedValue = categoryRating * (categoryWeight/sumOfAllCategoryWeights)

    Cette valeur normalisée calculée effectue une comparaison plus significative qui est ensuite déployée dans les résultats de l’évaluation globale. Des valeurs categoryWeight plus élevées augmentent la valeur normalisée de la catégorie.

    L’exemple suivant montre la liste des valeurs normalisées pour une catégorie d’évaluation.

    Figure 8. Exemple de liste de valeurs normalisées de catégories

    Exemple de liste de valeurs normalisées de catégories. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Calcul questionnaireQuantitativeScore

    Une fois toutes les catégories normalisées, le score quantitatif global de l’évaluation est calculé.

    L’équation suivante est utilisée pour calculer le score quantitatif du questionnaire.

    questionnaireQuantitativeScore = sumOfAllCategoryNormalizedValues

    La sortie de l’équation questionnaireQuantitativeScore est la somme des scores de catégories normalisées. Il est présenté comme le score de risque sur l’enregistrement du questionnaire.

    L’exemple suivant montre un score de risque pour un questionnaire.

    Figure 9. Enregistrement de questionnaire avec exemple de score de risque

    Exemple de score de risque de questionnaire. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Score qualitatif pour les documents

    Les demandes de documents ont une cote de risque qui est un score qualitatif. L’évaluation préliminaire du risque est basée sur la réponse à la question par défaut « Avez-vous un document « nom de document » ? ».

    La cote de risque du document utilise l’échelle indiquée dans le tableau suivant.
    Tableau 1. Échelle d’évaluation des risques du document
    Réponse Cote de risque
    Oui Faible
    Aucune réponse ou sans réponse Élevé
    N/A Modéré

    L’exemple suivant montre une cote de risque pour une demande de document.

    Figure 10. Exemple d’évaluation des risques de demande de document

    Exemple d’évaluation des risques pour les demandes de documents. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Une fois le document examiné, il peut s’avérer qu’il est déficient, de sorte que l’évaluateur de risque de tiers puisse remplacer l’évaluation par défaut. L’évaluation conserve la cote de risque actuelle et la cote de risque d’origine. La cote de risque indiquée pour chaque catégorie est dérivée de l’échelle de cote de risque associée.

    L’exemple suivant montre une liste connexe de catégories qui inclut la cote de risque initiale et actuelle.

    Figure 11. Exemple de liste connexe de catégories

    Liste connexe de catégories affichant l’exemple de cote de risque d’origine et actuel. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple.

    Calcul assessmentRating

    Pour toute évaluation des risques externe, la note finale de l’évaluation est calculée comme la moyenne pondérée des questionnaires et des demandes de documents dans chaque domaine de risque de tiers.

    L’équation suivante est utilisée pour calculer l’assessmentRating.

    assessmentRating = (MOY (questionnaire + demande de document pour un domaine de risque) * poids affecté à ce domaine de risque + (questionnaire + demande de document pour un autre domaine de risque) * poids affecté à ce domaine de risque) / somme des poids

    • Questionnaire 1 = défini dans le domaine de risque de sécurité
    • Questionnaire 2 = défini dans le domaine du risque financier
    • Questionnaire 3 = défini dans le domaine de risque financier
    • Demande de document 1 = définie dans la zone de risque de sécurité
    Les critères du domaine de risque sont définis comme dans l’exemple affiché dans le tableau suivant :
    Tableau 2. Critères du domaine de risque
    Domaine de risque Méthode de calcul du score Poids
    Risque de sécurité Risque moyen 10
    Risque financier Risque maximal 20
    L’évaluation finale de l’évaluation est calculée à l’aide de l’équation suivante :

    assessmentRating = (MOY (Questionnaire 1 + Demande de document 1) * 10 + MAX (Questionnaire 2 + Questionnaire 3) * 20) / (10 + 20).

    L’évaluation finale est l’évaluation globale qui prend en compte les scores et les évaluations de toutes les évaluations effectuées pour un tiers ou un engagement. Elle est calculée en prenant la moyenne pondérée des questionnaires et des demandes de documents dans chaque domaine de risque. Ce processus de calcul garantit que toutes les mesures, catégories et pondérations pertinentes sont prises en compte en fonction de la façon dont vous avez défini ces paramètres et configurations. Le processus de calcul et les facteurs impliqués peuvent vous aider à prendre des décisions éclairées et à prendre les mesures appropriées en fonction de la note finale.

    Remarque :
    Pour plus d’informations sur la vérification des évaluations de risque et les calculs de notation, reportez-vous à la section Vérification des cotes de risque et calculs de notation.