Cotes de risque de tiers et calculs de notation

Gouvernance, risque et conformité Xanadu

Release

xanadu

ft:locale

fr-FR

ft:publication_title

Gouvernance, risque et conformité Xanadu

ft:clusterId

grc

bundleId

grc

workflow

Technology

Cotes de risque de tiers et calculs de notation

Rversion finale: Xanadu

Mis à jour 1 août 2024

10 minutes de lecture

Effectuez une évaluation complète des risques externes lors du calcul de plusieurs évaluations et scores à l’aide de l’application Gestion des risques liés aux tiers . Vous pouvez mieux comprendre le processus de calcul global et découvrir comment les paramètres et configurations définis par l’utilisateur influencent les résultats des questionnaires.

Échelle d'évaluation des risques

Chaque fois que vous créez un questionnaire, le système applique une cote de risque par défaut. Vous pouvez configurer l’échelle d’évaluation des risques, qui comprend les catégories, les valeurs minimales et maximales, pour répondre à vos besoins spécifiques en matière de questionnaire, qui peuvent varier pour chaque évaluation. Par exemple, vous pouvez définir les valeurs de cote de risque sous forme de couleurs plutôt que de 1 - Très élevé à 5 - Très faible.

L’exemple suivant montre les évaluations de risque par défaut fournies dans le cadre du système de base.

Liste des évaluations de risque par défaut. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 1. Échelle d'évaluation des risques par défaut

Mécanisme de calcul du score

Le mécanisme de calcul du score pour chaque évaluation des risques externes utilise le moteur de calcul du score d’évaluation Now Platform® . Ce moteur effectue ces calculs à l’aide d’une série d’équations connexes qui sont recalculées dynamiquement. Vous définissez les paramètres suivants qui affectent l’évaluation calculée :

Questions (mesures)
Pour en savoir plus sur la définition d’une question, reportez-vous à la section Définir une question.
Définition d’échelle de mesure
Pour en savoir plus sur la définition de l’échelle des mesures, reportez-vous à la section Définir une question.
Catégories
Pour en savoir plus sur la définition d’une catégorie, reportez-vous à la section Configurer et gérer une banque de questions.
Poids
Pour en savoir plus sur la définition d’une pondération, reportez-vous à la section Définir les critères du composant.
Échelle d'évaluation des risques
Pour en savoir plus sur la définition d’une échelle d’évaluation des risques, reportez-vous à la section Configurer les échelles de notation et la notation des risques.
Échelle d’évaluation du service d’entreprise
À la fin du calcul du score, si un tiers ou un engagement est associé à un service d’entreprise que vous avez défini dans la table Service [cmdb_ci_service], cette pondération de criticité est prise en compte dans le calcul. Les différents services aux entreprises peuvent présenter différents niveaux de risques associés. En ajustant la pondération de criticité, vous pouvez utiliser les valeurs résultantes pour ajuster vos stratégies d’atténuation des risques.
Remarque :
Un service aux entreprises est une séquence définie de tâches ou d’activités qui contribuent à la livraison d’un service, par exemple la messagerie, les services informatiques ou le commerce électronique.
Vous pouvez définir les poids de criticité en accédant à Tout > Libre-service > Gestion des risques liés aux tiers > Configuration de l'évaluation > Échelle d'évaluation de Service d'entreprise.
Dans le cadre du système de base, quatre cotes sont définies :
- 1 – Très critique
- 2 – Assez critique
- 3 – Peu critique
- 4 – Non critique
Vous pouvez associer chaque tiers ou engagement à plusieurs services d’entreprise.

L’infographie suivante illustre le processus de calcul de la cote d’évaluation.

Infographie montrant le calcul de la note d’évaluation. Pour la description du texte, reportez-vous à la liste qui suit. — Figure 2. Processus de calcul de la cote d’évaluation

Les valeurs suivantes sont calculées pour chaque question du questionnaire :
1. questionRatings : l’évaluation de chaque question est calculée en fonction des réponses. L’évaluation est déterminée par la définition de l’échelle de mesure et les valeurs associées aux réponses.
2. questionPercentContribution : le pourcentage de contribution de chaque question dans sa catégorie est déterminé par ce calcul. Cette valeur est basée sur le poids affecté par le gestionnaire des risques du tiers à la question et le poids global de la catégorie.
3. questionNormalizedValue : la valeur normalisée de chaque question est calculée en multipliant l’évaluation des questions, le pourcentage de contribution aux questions et une valeur constante (100). Cette valeur vous permet de comparer des questions avec différents poids et évaluations.
Les cotes suivantes sont calculées pour les catégories de chaque questionnaire :
1. categoryRating : la note de chaque catégorie est calculée en additionnant les valeurs normalisées de toutes les questions de la catégorie. La cote de la catégorie est dérivée de l’échelle d’évaluation des risques associée.
2. categoryNormalizedValue : l’évaluation de la catégorie est normalisée en la multipliant par le poids de la catégorie pour vous permettre de comparer les valeurs dans toutes les catégories.
Questionnaire, questionnaireQuantitativeScore : le score quantitatif global de l’évaluation est calculé en additionnant les scores de la catégorie normalisée. Ce score représente le score de risque pour le questionnaire.
Documents, Score qualitatif : le calcul de l’évaluation qualitative du risque pour les demandes de documents est basé sur la réponse à la question par défaut « Avez-vous un document « nom de document » ? sur la demande de document. Si nécessaire, l’évaluateur de risque de tiers peut remplacer cette évaluation.
Évaluation, évaluationNotation : la note finale de l’évaluation est calculée en prenant la moyenne pondérée des questionnaires et des demandes de documents dans chaque domaine de risque de tiers. Les pondérations sont déterminées par la méthode de notation du domaine de risque.

Pour plus d’informations, consultez Afficher un résultat de mesure.

Calcul questionRating

Le calcul questionRating vous permet de définir le degré relatif de signification de chaque mesure d’évaluation individuelle par rapport à d’autres mesures. Cette variable clé permet de calculer la valeur normalisée plus tard dans le processus.

Vous pouvez définir la définition d’échelle pour une mesure d’évaluation individuelle en la définissant sur Élevée ou Faible.

L’exemple suivant montre comment le champ Définition de l’échelle de mesure a été défini dans le formulaire Mesure d’évaluation.

Exemple de définition d’échelle de mesure. Pour la description du texte, reportez-vous au texte qui suit. — Figure 3. Exemple de définition d’échelle de mesure

Élevé signifie que les grandes valeurs numériques indiquent un résultat positif. Si la définition de l’échelle métrique est élevée, l’équation suivante est utilisée :
questionRating = (valeur - minValue) / (maxValue - minValue)
Faible signifie que les petites valeurs numériques indiquent un résultat positif. Si la définition de l’échelle métrique est faible, l’équation suivante est utilisée :
questionRating = 1 - ((valeur - minValue) / (maxValue - minValue))

L’exemple suivant montre le champ de valeur de question qui est défini dans le formulaire de question d’instance d’évaluation.

Exemple de champ de valeur de question d’évaluation. Pour la description du texte, reportez-vous au texte qui suit. — Figure 4. Exemple de valeur de question d’évaluation

La valeur utilisée dans l’équation est tirée de la réponse à la question. La configuration de la mesure définit la réponse correcte, qui est la valeur, et les autres valeurs associées aux autres réponses incorrectes ou moins souhaitables.

Calcul questionPercentContribution

questionPercentContribution définit le degré de signification de la mesure d’évaluation dans la catégorie où elle est incluse. Cette variable clé est utilisée dans le calcul de la valeur normalisée plus tard dans le processus.

L’équation suivante est utilisée pour calculer la questionPercentContribution.

questionPercentContribution = (questionWeight / sumOfAllQuestionWeightsWithinCategory)

Remarque :

sumOfAllQuestionWeightsWithinCategory est la somme des pondérations de la catégorie pour les questions auxquelles une réponse a été apportée.

La catégorie représente un thème pour l’évaluation des enregistrements évaluables dans un type de mesure. Vous pouvez définir l’exemple de cette catégorie avec le retour sur investissement (ROI), le risque, les performances, la sécurité, les données personnelles, etc.

Le poids est une valeur numérique qui représente l’importance de la mesure associée à d’autres mesures. Un poids plus élevé par rapport au poids global de la catégorie a une plus grande influence sur le score final. Vous pouvez définir le poids, le définir sur n’importe quel nombre entier et l’appliquer aux questions et aux catégories.

L’exemple suivant montre la catégorie de question et le champ de poids que vous pouvez définir dans le formulaire Mesure d’évaluation.

Exemples de champs Catégorie et Poids. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 5. Exemple de catégorie et de pondération des questions d’évaluation

Calcul questionNormalizedValue

La questionNormalizedValue permet de comparer de manière égale des questions ayant des poids et des évaluations différents sur la même échelle.

L’équation suivante est utilisée pour calculer la questionNormalizedValue.

questionNormalizedValue = 100 * questionRating * questionPercentContribution

Chaque réponse à chaque question (mesure d’évaluation) du questionnaire a une valeur normalisée. Cette valeur normalisée vous permet d’effectuer une comparaison significative qui est ensuite déployée dans la catégorie et les résultats d’évaluation globaux.

L’exemple suivant montre une liste de valeurs normalisées pour un groupe d’évaluation.

Liste de valeurs normalisées du groupe d’évaluation. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 6. Liste de valeurs normalisées pour un exemple de groupe d’évaluation

Calcul de categoryRating

Maintenant qu’il existe des valeurs normalisées pour chaque mesure au sein de la catégorie, categoryRating calcule une valeur pour l’ensemble de la catégorie qui peut ensuite être normalisée à l’aide de l’équation categoryNormalizedValue pour faciliter les comparaisons entre catégories.

L’équation suivante est utilisée pour calculer la questionPercentContribution.

categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory

L’évaluation de la catégorie est la somme de toutes les valeurs normalisées pour les mesures de la catégorie.

La cote de risque déclarée pour chaque catégorie est dérivée de l’échelle de cote de risque associée.

L’exemple suivant montre la liste des évaluations de catégorie et des évaluations de risque pour une catégorie d’évaluation.

Liste des catégories d’évaluation et d’évaluation des risques. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 7. Exemple de liste de cotes de catégories et d’évaluation des risques

Calcul de categoryNormalizedValue

Une fois les évaluations de catégorie établies, l’équation categoryNormalizedValue utilise cette évaluation et le poids de la catégorie pour normaliser le résultat dans toutes les catégories.

L’équation suivante est utilisée pour calculer la catégorie NormalizedValue.

categoryNormalizedValue = categoryRating * (categoryWeight / sumOfAllCategoryWeights)

Cette valeur normalisée calculée effectue une comparaison plus significative qui est ensuite déployée avec les résultats de l’évaluation globale. Les valeurs categoryWeight supérieures augmentent la valeur normalisée de la catégorie.

L’exemple suivant montre la liste des valeurs normalisées pour une catégorie d’évaluation.

Exemple de liste de valeurs normalisées de catégories. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 8. Exemple de liste de valeurs normalisées de catégories

questionnaireCalcul du score quantitatif

Toutes les catégories étant normalisées, le score quantitatif global de l’évaluation est calculé.

L’équation suivante est utilisée pour calculer le questionnaireQuantitativeScore.

questionnaireQuantitativeScore = sumOfAllCategoryNormalizedValues

Le résultat de l’équation questionnaireQuantitativeScore est la somme des scores de la catégorie normalisée. Il est présenté comme le score de risque dans l’enregistrement du questionnaire.

L’exemple suivant montre un score de risque pour un questionnaire.

Exemple de score de risque de questionnaire. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 9. Enregistrement de questionnaire avec exemple de score de risque

Score qualitatif pour les documents

Les demandes de documents ont une cote de risque qui est un score qualitatif. La cote de risque préliminaire est basée sur la réponse à la question par défaut « Avez-vous un document « nom de document » ? ».

L’évaluation du risque lié au document utilise l’échelle indiquée dans le tableau suivant.

Tableau 1. Échelle d’évaluation des risques du document
Réponse	Cote de risque
Oui	Faible
Aucune réponse ou aucune réponse	Élevé
N/A	Modéré

L’exemple suivant montre une cote de risque pour une demande de document.

Demandes de documents Exemple d’évaluation du risque. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 10. Exemple d’évaluation des risques de demande de document

Une fois le document examiné, il peut s’avérer déficient, de sorte que l’évaluateur des risques du tiers peut remplacer la note par défaut. L’évaluation conserve la cote de risque actuelle et la cote de risque d’origine. La cote de risque déclarée pour chaque catégorie est dérivée de l’échelle de cote de risque associée.

L’exemple suivant montre une liste connexe de catégories qui inclut la cote de risque d’origine et actuelle.

Liste connexe Catégories affichant l’exemple de cote de risque d’origine et actuelle. Pour la description du texte, reportez-vous au texte qui a précédé cet exemple. — Figure 11. Exemple de liste connexe de catégories

Calcul de l’évaluation

Pour toute évaluation des risques externes, la note finale de l’évaluation est calculée comme la moyenne pondérée des questionnaires et des demandes de documents dans chaque domaine de risque de tiers.

L’équation suivante est utilisée pour calculer l’assessmentRating.

assessmentRating = (AVG (questionnaire + demande de document pour un domaine à risque) * poids affecté à ce domaine à risque + (questionnaire + demande de document pour un autre domaine à risque) * poids affecté à ce domaine à risque) / somme des poids

Questionnaire 1 = défini dans le domaine à risque de sécurité
Questionnaire 2 = défini dans le domaine des risques financiers
Questionnaire 3 = défini dans le domaine des risques financiers
Demande de document 1 = défini dans le domaine de risque de sécurité

Les critères du domaine de risque sont définis comme illustré dans le tableau suivant :

Tableau 2. Critères du domaine de risque
Domaine à risque	Méthode de calcul du score	Poids
Risque de sécurité	Risque moyen	10
Risque financier	Risque maximal	20

La note finale de l’évaluation est calculée à l’aide de l’équation suivante :

assessmentRating = (AVG (Questionnaire 1 + Demande de document 1) * 10 + MAX (Questionnaire 2 + Questionnaire 3) * 20) / (10 + 20).

La note finale est la note d’évaluation globale qui prend en compte les scores et les notes de toutes les évaluations effectuées pour un tiers ou un engagement. Il est calculé en prenant la moyenne pondérée des questionnaires et des demandes de documents dans chaque domaine de risque. Ce processus de calcul garantit que toutes les mesures, catégories et pondérations pertinentes sont prises en compte en fonction de la façon dont vous avez défini ces paramètres et configurations. Le processus de calcul et les facteurs impliqués peuvent vous aider à prendre des décisions éclairées et à prendre les mesures appropriées en fonction de la note finale.