Gérer les attestations de contrôle

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 11 minutes de lecture

    • Les attestations sont des enquêtes qui rassemblent des preuves pour prouver qu’un contrôle est implémenté. Les attestations documentent la façon dont le contrôle est mesuré. Cette méthode est fréquemment utilisée pendant l’état de surveillance.

    Le concepteur d’attestation fournit une interface unique que les utilisateurs peuvent utiliser pour créer et modifier des attestations, ainsi que modifier les paramètres de notation. La banque de questions offre une bibliothèque de questions pour différentes catégories, de sorte que vous n’avez pas à créer chaque questionnaire à partir de zéro.

    Remarque :
    Pour en savoir plus sur les attestations de contrôle, reportez-vous à la section Vue d’ensemble du cycle de vie des politiques dans Gestion de la politique et de la conformité.

    Les utilisateurs peuvent créer plusieurs types d’attestation et définir leurs objectifs de contrôle sur différentes attestations. Un exemple d’attestation appelé attestation GRC est également fourni en tant qu’attestation par défaut, qui est composé des questions simples suivantes :

    Par défaut, l’attestation GRC est utilisée pour les contrôles et fournit les questions d’évaluation suivantes :
    • Ce contrôle est-il mis en œuvre ?
    • Joindre la preuve
    • Expliquer

    Mes attestations se trouve dans la section Contrôles de l’application Policy and Compliance et contient les attestations actives pour lesquelles vous êtes la personne chargée de répondre. Les attestations apparaissent dans une liste avec un seul enregistrement d’attestation par contrôle.

    Mes attestations groupées contient des attestations que vous avez regroupées pour éliminer la tâche consistant à fournir des réponses répétitives pour des évaluations similaires.

    Toutes les attestations sont contenues dans la section Contrôles de l’application Policy and Compliance et contiennent toutes les attestations actives.

    Les gestionnaires de conformité peuvent créer des types d’attestation contenant différents types de questions pour répondre à leurs besoins. Consultez Créer une attestation de contrôle à l’aide du concepteur d’attestation.

    Les gestionnaires de conformité peuvent créer une nouvelle série de questions pour chaque objectif de contrôle. La banque de questions offre une bibliothèque de questions pour différentes catégories, de sorte que vous n’avez pas à créer chaque questionnaire à partir de zéro. Consultez Créer un type d’attestation.

    Concepteur de l'attestation

    Le concepteur d’attestation fournit une interface unique que les utilisateurs peuvent utiliser pour créer et modifier des attestations, ainsi que modifier les paramètres de notation.

    Tous les enregistrements d’attestation sont stockés dans des tables d’évaluation et affichés dans les vues Attestation de ces tables.

    Créer une attestation de contrôle à l’aide du concepteur d’attestation

    Utilisez le concepteur d’attestation pour créer et modifier des types de mesures. Utilisez différents types de mesures pour différents contrôles. Sélectionnez plusieurs personnes chargées de répondre pour une attestation et modifiez les paramètres de notation.

    Avant de commencer

    Rôle requis : sn_compliance.attest_creator, sn_compliance.manager, sn_compliance.administrator

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Administration > Types d'attestations.
    2. Cliquez sur Concepteur de l’attestation.
      Le concepteur contient les éléments suivants :
      Élément Description
      Contrôles Les types de données de questions pris en charge sont disponibles dans la palette Contrôles. Faites glisser un contrôle sur le canevas du concepteur pour créer une question de ce type.
      Questions Une bibliothèque de questions pour différentes catégories, afin que vous n’ayez pas à créer chaque questionnaire à partir de zéro.
      Catégories Une nouvelle évaluation s’ouvre en mode Création . Le champ Nom du questionnaire apparaît au-dessus de la première catégorie dans le canevas. Un champ de question vide apparaît dans le conteneur de catégorie.
    3. Entrez un nom dans le champ Nom .
    4. Faites glisser un contrôle sur le canevas du concepteur pour créer une question de ce type.
      Tableau 1. Contrôles de question
      Type de données Description Score obtenu
      Pièce jointe Question avec une icône Gérer les pièces jointes qui permet aux utilisateurs de joindre un ou plusieurs fichiers. N
      Booléen Question avec une case à cocher ou une liste Oui/Non pour les réponses de l’utilisateur. Y
      Choix Liste des options prédéfinies. Pour plus d’informations, consultez la définition de Choix. Y
      Date Champ de date. N
      Date/Heure Champ de date et d’heure. N
      Numéro Champ numérique avec valeurs minimales et maximales prédéfinies. La valeur par défaut est comprise entre 1 et 10. N
      Pourcentage Champ de pourcentage avec une plage prescrite. N
      Échelle Échelle de Likert prédéfinie. Les options de réponse s’affichent sous forme de cases d’option. Y
      Échelle numérique Échelle numérique sélectionnable. La valeur par défaut est comprise entre 1 et 5. Les options de réponse s’affichent sous forme de cases d’option. Y
      Chaîne Champ texte d’une ou plusieurs lignes. N
      Modèle Liste de choix des modèles qui fournissent une échelle prédéfinie d’options.
      Remarque :
      Il est important d’affecter un modèle à chaque attestation. Cela permet de créer automatiquement des contrôles en fonction des objectifs de contrôle et des types d’entité.
      		 Y
      Référence Liste de choix des champs à partir d’une table de référence spécifiée. Ce type de données ne prend pas en charge les qualificatifs de référence. N
      Remarque :
      Définissez la réponse correcte pour la mesure que vous souhaitez noter. Les mesures notées déterminent l’état de conformité des contrôles.
    5. Pointez sur l’icône de menu dans le coin supérieur droit du concepteur d’attestation pour sélectionner l’une des options suivantes.
      Remarque :
      La disponibilité de chaque option dépend de l’état de l’attestation qui est ouverte dans le concepteur.
      OptionDescription
      Nouvelle attestation Ouvre un nouveau canevas pour une nouvelle attestation.
      Charger l'attestation Ouvre une liste d’attestations existantes que vous pouvez sélectionner et modifier.
      Contrairement à d’autres types d’évaluations, les attestations de contrôle n’apparaissent pas dans le Libre-service > Mes évaluations et enquêtes , car plusieurs attestations de contrôle peuvent être générées à la fois. Au lieu de cela, les attestations de contrôles sont affichées sous forme de liste dans le fichier Politique et Conformité > Contrôles > Mes attestations et le module Toutes les attestations .

    Que faire ensuite

    Si vous implémentez l’option Gestion de la politique et de la conformité logiciel, retournez à la page Gestion de la politique et de la conformité Configurer la liste de vérification et passez à l’étape suivante.

    Créer un type d’attestation

    Plutôt que d’utiliser le type d’attestation GRC par défaut, le gestionnaire de conformité peut créer un nouvel ensemble de questions pour chaque objectif de contrôle.

    Avant de commencer

    Rôle requis : sn_compliance.attestation_creator ou sn_compliance.manager ou sn_compliance-admin

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Administration > Types d'attestations.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 2. Formulaire de type de métrique d’évaluation
      Champ Description
      Nom Nom du type d’évaluation.
      Durée d'évaluation Durée allouée de la génération à l’achèvement de l’évaluation.
      Table Table à laquelle cette évaluation s’applique.
      Facteur de mise à l'échelle Valeur d’échelle à utiliser pour tous les résultats d’évaluation.
      Condition Définissez des enregistrements spécifiques à partir de la table.
      Description Plus de détails sur l’évaluation.
      État État de l’évaluation : brouillon ou publié
      Appliquer la condition Option qui indique si les enregistrements accessibles de ce type qui ne remplissent pas les conditions spécifiées sont supprimés.
      Rôles Rôles ayant accès aux informations relatives à ce type de mesure.
    4. Cliquez sur Envoyer.

    Consolider les attestations de contrôle à l’aide de la fonctionnalité Même réponse

    Gestion de la politique et de la conformité et Gestion des risques proposent deux méthodes pour consolider les attestations et les évaluations des risques en groupes qui permettent d’éliminer la tâche consistant à fournir des réponses répétitives pour des évaluations similaires. Vous pouvez fournir les mêmes preuves aux évaluations groupées ou répondre à des évaluations individuelles dans la même interface utilisateur.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Lorsque vous consolidez des attestations de contrôle à l’aide de la fonctionnalité Même réponse, vous pouvez regrouper des attestations contenant un maximum de 1000 questions. Lorsque l’attestation ou l’évaluation des risques pour le groupe est effectuée, tous les enregistrements du groupe héritent des réponses.
    Remarque :
    Pour modifier la limite de 1 000 questions, accédez à Tout > Politique et Conformité > Administration > Propriétés de GRC et modifiez la propriété sn_grc.consolidated_questions_limit .

    Si vous ne souhaitez pas que vos utilisateurs aient accès à cette option, accédez à Tout > Politique et Conformité > Administration > Propriétés de GRCet désactivez la propriété sn_grc.enable_consolidate_asmt .

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Contrôles > Mes attestations.
    2. Sélectionnez les attestations que vous souhaitez regrouper.
    3. Dans la liste de choix Actions sur les lignes sélectionnées , cliquez sur Évaluations de groupe.
      Évaluations de groupe
    4. Dans Type de réponse, sélectionnez Fournir la même réponse pour toutes les évaluations.
    5. Renseignez les champs nécessaires.
      Champ Description
      Critères par défaut Ce champ est défini par défaut sur Type de mesure.
      Critères supplémentaires Vous pouvez éventuellement définir des critères de regroupement supplémentaires :
      • Catégorie
      • Objectif du contrôle/Définition du risque
      • Entité

      Vous pouvez également définir des options de critères d’évaluation supplémentaires si les valeurs par défaut ne correspondent pas à vos besoins.

      Remarque :
      L’utilisation de ces schémas de regroupement est judicieuse si les attestations groupées contiennent plusieurs instances des critères sélectionnés. Par exemple, si vous avez sélectionné un groupe de 20 attestations, dont 10 associées à une entité et les 10 autres à une entité différente, la sélection d’Entité dans ce champ entraîne la création de deux groupes d’attestations distincts. Si, toutefois, le groupe est constitué de 5 attestations associées à une entité et de chacune des 15 autres attestations associées à différentes entités, seules ces 5 attestations sont regroupées et les autres sont ignorées.
      Aperçu L’aperçu affiche le nombre d’attestations à regrouper. En fonction des critères supplémentaires que vous avez sélectionnés, l’aperçu peut afficher plusieurs groupes. Si vous souhaitez afficher les attestations à regrouper, cliquez sur le lien qui indique le nombre d’attestations ou d’évaluations des risques à regrouper.
    6. Lorsque vous êtes satisfait des attestations ou des évaluations des risques à consolider, cliquez sur Grouper.

      Un message de confirmation s’affiche, ainsi qu’un lien vers le groupe d’attestations.

      Message d’évaluation créée
      Remarque :
      Lorsque des groupes d’attestations sont créés, vous pouvez les afficher en accédant à Politique et Conformité > Contrôles > Mes attestations groupées. Si vous ouvrez une attestation groupée, vous avez la possibilité de supprimer une ou plusieurs attestations du groupe. Pour ce faire, sélectionnez celles que vous souhaitez supprimer et sélectionnez Dissocier l’évaluation dans la liste de choix Actions sur les lignes sélectionnées . Si vous supprimez des attestations d’un groupe au point qu’il n’existe plus qu’une seule attestation, le groupe est supprimé.
    7. Lorsque vous êtes prêt à passer l’évaluation, cliquez sur le lien dans le message de confirmation ou sur le numéro d’attestation dans Mes attestations groupées.
      Instances d'évaluation
    8. Cliquez sur Effectuer une évaluation.
    9. Terminez l’évaluation comme vous le feriez pour n’importe quelle autre, puis cliquez sur Soumettre.
      Toutes les attestations du groupe héritent des réponses que vous avez fournies, et l’état de chaque attestation dans le groupe passe à Terminé.

    Consolider les attestations de contrôle à l’aide de la fonctionnalité Réponse différente

    Gestion de la politique et de la conformité et Gestion des risques proposent deux méthodes pour consolider les attestations et les évaluations des risques en groupes qui permettent d’éliminer la tâche consistant à fournir des réponses répétitives pour des évaluations similaires. Vous pouvez fournir les mêmes preuves aux évaluations groupées ou répondre à des évaluations individuelles dans la même interface utilisateur.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Lorsque vous consolidez des attestations de contrôle ou des évaluations des risques à l’aide de la fonctionnalité Réponse différente, vous pouvez regrouper des attestations ou des évaluations des risques qui contiennent un maximum de 150 questions. Toutes les questions s’affichent dans une interface utilisateur unique.
    Remarque :
    Pour modifier la limite de 1 000 questions, accédez à Politique et Conformité > Administration > Propriétés de GRC et modifiez la propriété sn_grc.grouped_questions_limit .

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Contrôles > Mes attestations.
    2. Sélectionnez les attestations que vous souhaitez regrouper.
    3. Dans la liste de choix Actions sur les lignes sélectionnées , cliquez sur Évaluations de groupe.
      Évaluations de groupe
    4. Dans Type de réponse, sélectionnez Fournir une réponse différente pour chaque évaluation.
    5. Renseignez les champs nécessaires.
      Champ Description
      Critères par défaut Ce champ est défini par défaut sur Type de mesure.
      Critères supplémentaires Vous pouvez éventuellement définir des critères de regroupement supplémentaires :
      • Catégorie
      • Objectif du contrôle/Définition du risque
      • Entité

      Vous pouvez également définir des options de critères d’évaluation supplémentaires si les valeurs par défaut ne correspondent pas à vos besoins.

      Remarque :
      L’utilisation de ces schémas de regroupement est judicieuse si les attestations groupées contiennent plusieurs instances des critères sélectionnés. Par exemple, si vous avez sélectionné un groupe de 20 attestations, dont 10 associées à une entité et les 10 autres à une entité différente, la sélection d’Entité dans ce champ entraîne la création de deux groupes d’attestations distincts. Si, toutefois, le groupe est constitué de 5 attestations associées à une entité et de chacune des 15 autres attestations associées à différentes entités, seules ces 5 attestations sont regroupées et les autres sont ignorées.
      Aperçu L’aperçu affiche le nombre d’attestations à regrouper. En fonction des critères supplémentaires que vous avez sélectionnés, l’aperçu peut afficher plusieurs groupes. Si vous souhaitez afficher les attestations à regrouper, cliquez sur le lien qui indique le nombre d’attestations ou d’évaluations des risques à regrouper.
    6. Lorsque vous êtes satisfait des attestations ou des évaluations des risques à consolider, cliquez sur Grouper.

      Un message de confirmation s’affiche, ainsi qu’un lien vers le groupe d’attestations.

      Message d’évaluation créée
      Remarque :
      Lorsque des groupes d’attestations sont créés, vous pouvez les afficher en accédant à Politique et Conformité > Contrôles > Mes attestations groupées. Si vous ouvrez une attestation groupée, vous avez la possibilité de supprimer une ou plusieurs attestations du groupe. Pour ce faire, sélectionnez celles que vous souhaitez supprimer et sélectionnez Dissocier l’évaluation dans la liste de choix Actions sur les lignes sélectionnées . Si vous supprimez des attestations d’un groupe au point qu’il n’existe plus qu’une seule attestation, le groupe est supprimé.
    7. Lorsque vous êtes prêt à passer l’évaluation, cliquez sur le lien dans le message de confirmation ou sur le numéro d’attestation dans Mes attestations groupées.
      Instances d'évaluation
    8. Cliquez sur Effectuer une évaluation.
      Des questionnaires s’affichent pour toutes les attestations sélectionnées dans le groupe.
    9. Terminez l’évaluation pour chacune des attestations, puis cliquez sur Envoyer.

    Définir des critères de regroupement d’évaluation

    Vous pouvez éventuellement définir des critères de regroupement supplémentaires si les critères par défaut ne répondent pas à vos besoins.

    Avant de commencer

    Rôle requis : sn_compliance.admin, sn_compliance.manager

    Procédure

    1. Accédez à la Tout > Politique et Conformité > Administration > Critères de regroupement d'évaluation.
      Critères de regroupement d’évaluation
    2. Cliquez sur Nouveau.
      Créer un enregistrement de critères de regroupement d’évaluation
    3. Renseignez les champs du formulaire.
      Champ Description
      Nom Nom des critères de regroupement d’évaluation.
      Nom de champ Sélectionnez le nom de champ dans la table Instance d’évaluation [asmt_assessment_instance ]table.
      Actif Sélectionnez cette option pour activer la légende de regroupement.
    4. Cliquez sur Envoyer.