Gérer les indicateurs de contrôle

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 10 minutes de lecture

    • La surveillance continue comprend des activités liées à l’identification et à la création d’indicateurs clés de risque et de contrôle. La vue d’ensemble de la conformité est disponible pour les administrateurs et les gestionnaires de conformité et fournit une vue d’ensemble des exigences de conformité, de la conformité globale et des répartitions de la conformité.

    Les informations de support peuvent être collectées pour les indicateurs par le biais d’une collecte automatique de données ou de tâches manuelles. Les résultats de l’indicateur sont ensuite utilisés pour créer des problèmes pour les contrôles, mettre à jour les scores de risque et fournir des informations complémentaires pour les activités d’audit et les tests de contrôle.
    Indicateurs
    Les indicateurs collectent des données pour surveiller les contrôles et les risques et recueillir des preuves d’audit. Les indicateurs surveillent un seul contrôle ou risque.
    Modèles des indicateurs
    Les modèles d’indicateur permettent la création de plusieurs indicateurs pour des contrôles ou des risques similaires.
    Remarque :
    L’accès basé sur l’entité fournit un cadre pour une approche plus granulaire de la gestion de l’accès aux données aux objets associés à une entité. Les administrateurs peuvent accorder l’accès aux enregistrements connexes d’une entité en ajoutant des utilisateurs ou des groupes d’utilisateurs, ou en utilisant les champs d’utilisateur d’entité pour la configuration de l’accès basé sur les entités. Pour plus d'informations, consultez Accès basé sur l'entité. Lorsqu’un utilisateur est qualifié en fonction de ces configurations et qu’il dispose des rôles minimaux requis, il aura accès aux tables suivantes :
    • Indicateur
    • Tâche d'indicateur
    • Résultat de l'indicateur

    Vue d'ensemble de la conformité

    Tableau 1. Rapports Vue d’ensemble de la conformité dans le système de base
    Nom Visuel Description
    Exigences de conformité Couronne Sélectionnez un coin pour vous concentrer sur un domaine de conformité spécifique.
    Conformité globale Couronne Affiche la conformité globale de toutes les exigences de contrôle dans le système. La sélection d’un coin spécifique dans le widget précédent met en évidence cette zone.
    Entité Liste déroulante Sélectionnez une ou plusieurs entités pour afficher et comparer leur conformité sur plusieurs éléments.
    État de contrôle Liste de vérification Activez ou désactivez les cases à cocher pour afficher les rapports de filtre par état de contrôle.
    Conformité par document de référence Histogramme Comparez le niveau de conformité en fonction de l’entité et/ou du document de référence sélectionné.
    Répartition de la conformité Tableau croisé dynamique à plusieurs niveaux Affichez une répartition de la conformité aux contrôles par documents de référence et politiques connexes.
    Entités non conformes Histogramme Nombre d’exigences de contrôle non conformes regroupées par entité.

    Documents de référence

    Les documents de référence définissent les politiques, les risques, les contrôles, les audits et d’autres processus pour garantir le respect du contenu faisant autorité. Chaque document de référence est défini dans un enregistrement et les listes connexes de cet enregistrement contiennent les conditions individuelles du document de référence.

    Les relations de ces éléments de la liste connexe du document de référence sont visibles dans la console GRC de l’application Gestion de la politique et de la conformité .
    Remarque :
    Vous pouvez ajouter des balises de référence de contenu aux documents de référence. Les balises de référence de contenu vous permettent de filtrer les enregistrements afin d’identifier plus facilement les packs de contenu, les intégrations et les accélérateurs de cas d’utilisation associés aux documents de référence.

    Contenu des documents de référence

    Les citations contiennent les dispositions du document de référence, qui peuvent être liées. Les citations décomposent un document de référence en thèmes faciles à gérer.

    Vous pouvez créer des citations ou les importer à partir de documents de référence UCF, puis créer toutes les relations nécessaires entre les citations.
    Remarque :
    Vous pouvez ajouter des balises de référence de contenu aux citations. Les balises de référence de contenu vous permettent de filtrer les enregistrements afin d’identifier plus facilement les packs de contenu, les intégrations et les accélérateurs de cas d’utilisation associés aux citations.

    Créer un indicateur de contrôle

    Les données d’indicateur pour les contrôles, les risques et les preuves d’audit sont mesurées différemment selon l’application GRC .

    Avant de commencer

    Rôle requis : sn_compliance_admin, sn_compliance_manager

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Politique et Conformité > Indicateurs > Indicateurs.
      • Risque > Indicateurs > Indicateurs.
      • Audit > Indicateurs > Indicateurs.
    2. Sélectionnez Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 2. Formulaire Indicateur
      Champ Description
      Catégorie Sélectionnez Indicateur de conformité pour un indicateur de contrôle et Indicateur de risque pour un indicateur de risque.
      Nom Nom de l'indicateur.
      Concerne Entité associée à l’élément.
      Groupe propriétaire Groupe propriétaire de l’indicateur.
      Propriétaire Propriétaire de l’indicateur
      Numéro Numéro d’identification unique.
      Actif Option qui indique si l’indicateur est actif.
      Élément Contrôle ou risque connexe.
      Modèle Modèle d’indicateur connexe.
      Remplacer le modèle Option qui indique s’il faut remplacer le modèle d’indicateur associé à cet indicateur
      Dernier résultat réussi Option qui indique si le dernier résultat a réussi.
      Planifier
      Fréquence de collecte Fréquence de collecte des résultats de l’indicateur. Les tâches et les résultats de l’indicateur sont générés automatiquement en fonction du calendrier de l’indicateur.
      Prochaine heure d'exécution Prochaine heure de collecte des résultats de l’indicateur.
      Fonction de message REST
      Type Les résultats peuvent être collectés manuellement à l’aide de l’affectation de tâches ou automatiquement à l’aide de conditions de filtre de base, d’Analyse des performances ou d’un script.
      • Manuel
      • Élémentaire
      Description brève Si le type est manuel, ce champ est présent. Description brève du problème.
      Instructions Si le type est manuel, ce champ est présent. Instructions pour la collecte des résultats des indicateurs.
      Valeur obligatoire Si le type est manuel, ce champ est présent.
      Réussite/Échec Si le type est Basique, ce champ est présent. L’indicateur réussit ou échoue.
      Seuil PA Si le type est Indicateur PA, ce champ est présent. Seuil PA associé.
      Script Si Type est Script, ce champ est présent. Script qui obtient les informations système souhaitées.
      Données associées
      Remarque :
      À partir de la version 10.1, les données historiques réelles pour les enregistrements de données de support des résultats d’indicateur ou des tâches d’indicateur sont affichées. Auparavant, seul l’état en temps réel des enregistrements collectés pouvait être visualisé.
      Table Utilisez les données associées pour recueillir des preuves à partir d'autres applications.
      Champs de données associées Champs de données associées basés sur la table sélectionnée.
    4. Sélectionnez Soumettre.

    Que faire ensuite

    Si vous implémentez la commande Gestion de la politique et de la conformité , vous avez effectué les étapes de configuration requises. Revenir au Gestion de la politique et de la conformité Liste de vérification de configuration et passez aux étapes facultatives, selon les besoins.

    Créer un modèle d’indicateur GRC

    Les responsables de la conformité ou des risques créent des modèles d’indicateurs à partir desquels de nombreux indicateurs peuvent être créés.

    Avant de commencer

    Rôle requis :
    • sn_compliance.admin ou sn_compliance.manager
    • sn_risk.admin ou sn_risk.manager
    • sn_audit.admin ou sn_audit.manager
    • sn_grc.utilisateur

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Tous > Politique et Conformité > Indicateurs > Modèles des indicateurs.
      • Tous > Risque > Indicateurs > Modèles des indicateurs.
    2. Sélectionnez Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 3. Formulaire de modèle d’indicateur
      Champ Description
      Nom Nom de l'indicateur.
      Description Description de l’indicateur.
      Catégorie Catégorie pour laquelle vous créez un modèle d’indicateur. Par exemple, sélectionnez Modèle d’indicateur de risque pour créer un modèle d’indicateur de risque.
      Actif Option qui détermine si le modèle d’indicateur est actif.
      Fonction de message REST
      Type Méthode utilisée pour déterminer le type de modèle d’indicateur. Les choix sont les suivants :
      • Manuel : les indicateurs manuels sont utilisés pour les données qui ne peuvent pas être récupérées à partir d’une ServiceNow instance car elles proviennent d’un système externe, comme les données client d’un système de vente tiers.
      • De base : les indicateurs de base sont des indicateurs automatisés basés sur une source d’indicateur. La source d’indicateur spécifie une table et une fréquence à laquelle les scores de cette table sont enregistrés.
      • Script : les indicateurs scriptés utilisent un script personnalisé pour collecter les données.
      Résultat si la valeur atteint ou dépasse la valeur cible Champ de configuration de résultat. Les choix sont les suivants :
      • Réussi
      • Échoué

      Par exemple, supposons que vous saisissez 100 dans ce champ. Si la sortie du résultat de l’indicateur est supérieure à 100, l’état de l’indicateur passera ou échouera en fonction de la valeur configurée dans ce champ.
      Type cible Type de la valeur cible. Les choix sont les suivants :
      • Aucun : utilisez cette option si vous ne souhaitez pas définir de cible ou de seuil pour l’indicateur.
      • Pourcentage : utilisez cette option pour déterminer le résultat de l’indicateur par une valeur de pourcentage.
      • Nombre : utilisez cette option pour déterminer le résultat de l’indicateur par une valeur de nombre ou un nombre total.
      Cible Valeur qui détermine si l’indicateur doit réussir ou échouer.
      Instructions Instructions supplémentaires pour le modèle.
      Valeur obligatoire Option permettant de décider si une valeur doit être obligatoire dans la tâche d’indicateur pour un indicateur manuel.
      Remarque :
      Cette option s’affiche uniquement si l’option Manuel est sélectionnée dans le champ Type . Cette option est automatiquement sélectionnée si Nombre ou Pourcentage est sélectionné dans le champ Type de cible .
      Données associées
      Remarque :
      À partir de la version 10.1, les données historiques réelles pour les enregistrements de données de support des résultats d’indicateur ou des tâches d’indicateur sont affichées. Auparavant, seul l’état en temps réel des enregistrements collectés pouvait être visualisé.
      Inclure les données associées Option permettant d’activer la collecte de données ou de preuves associées à chaque exécution de l’indicateur.
      Table Table utilisée pour collecter les données associées.
      Champs de données associées Champs de la table source à utiliser pour collecter les données associées.
      Type de collection d'échantillons Type de collecte de données de support, tel que le nombre ou le pourcentage.
      Taille de l'échantillon Nombre minimum d’enregistrements à utiliser pour la collecte des données associées.

      Par exemple, un indicateur de base peut interroger une grande table, renvoyant des milliers d’enregistrements à chaque exécution d’indicateur. Vous n’avez pas besoin de les enregistrer tous ; juste un échantillon de ces enregistrements. Si vous saisissez une taille d’échantillon de 100, seuls 100 enregistrements sont enregistrés, même si la requête en a renvoyé des milliers.
      Critères de base
      Critère Critères pour filtrer les données à partir de la table source.
      Champ de référence utilisateur Option permettant d’activer l’utilisation du champ Référence.
      Champ Référence Connexion entre la table de données associées et le champ d’enregistrement Concerne de l’entité.
      Critères supplémentaires
      Pour créer des indicateurs avec des cibles, utilisez les critères de filtre avancés. Cette section s’affiche uniquement lorsque vous sélectionnez Basique dans le champ Type . Cette section est utilisée pour fournir plus de critères de filtre.
      Critères supplémentaires Critères supplémentaires pour filtrer les données afin de calculer la valeur cible. Cette section s’affiche uniquement lorsque Pourcentage est sélectionné dans le champ Type cible.
      Planifier
      Fréquence de collecte Fréquence de collecte des résultats de l’indicateur. Les tâches et les résultats de l’indicateur sont générés automatiquement en fonction du calendrier de l’indicateur.
      Date du premier cycle Première heure de collecte pour les résultats de l’indicateur. Ce champ est automatiquement défini en fonction du moment où un indicateur ou un modèle d’indicateur s’exécute pour la première fois. La valeur de ce champ ne peut pas être modifiée.
      Date du cycle suivant Prochaine heure d’exécution pour collecter les résultats des indicateurs de tous les indicateurs en aval de ce modèle d’indicateur.
      Durée de la date d'échéance (en jours) Durée de la date d’échéance, en jours, entre la création et la date d’échéance de la tâche d’indicateur et la génération de ses résultats.

      La durée de la date d’échéance ajoutée à la date de création est considérée comme la date d’échéance de la tâche de l’indicateur.

      Ce champ s’affiche uniquement lorsque l’option Manuel est sélectionnée dans le champ Type .

      Pour plus d'informations, consultez Améliorations des performances pour la tâche nocturne de l’indicateur.
    4. Une fois ces entrées terminées, vous pouvez également afficher des informations sur les listes connexes suivantes :
      • Objectifs de contrôle/Déclarations de risque
      • Références du contenu
      Remarque :
      L’onglet Objectifs de contrôle/Déclarations de risque vous permet de réutiliser le même modèle pour plusieurs objectifs de contrôle ou déclarations de risque, ou les deux.
    5. Sélectionnez Soumettre.