Gérer les attestations de contrôle

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 12 minutes de lecture

    • Les attestations sont des enquêtes qui recueillent des preuves pour prouver qu’un contrôle est mis en œuvre. Les attestations documentent la façon dont le contrôle est mesuré. Cette méthode est fréquemment utilisée pendant l’état Brouillon et Contrôle.

    Le concepteur d’attestation fournit une interface unique que les utilisateurs peuvent utiliser pour créer et modifier des attestations, ainsi que pour modifier des paramètres de notation. La banque de questions offre une bibliothèque de questions pour différentes catégories, vous n’avez donc pas à créer chaque questionnaire à partir de zéro.

    Remarque :
    Pour en savoir plus sur les attestations de contrôle, reportez-vous à la section Vue d’ensemble du cycle de vie de la politique dans Gestion de la politique et de la conformité.

    Les utilisateurs peuvent créer plusieurs types d’attestation et définir leurs objectifs de contrôle sur différentes attestations. Un exemple d’attestation appelé Attestation GRC est également fourni comme attestation par défaut, qui se compose des questions simples suivantes :

    Par défaut, l’attestation GRC est utilisée pour les contrôles et fournit les questions d’évaluation suivantes :
    • Est-ce que ce contrôle est implémenté ?
    • Joindre la preuve
    • Expliquer

    Mes attestations se trouve dans la section Contrôles de l’application Policy and Compliance et contient les attestations actives dont vous êtes le répondant. Les attestations apparaissent dans une liste avec un seul enregistrement d’attestation par contrôle.

    Mes attestations groupées contiennent des attestations que vous avez regroupées pour éliminer la tâche de fournir des réponses répétitives pour des évaluations similaires.

    Toutes les attestations sont contenues dans la section Contrôles de l’application Policy and Compliance et contiennent toutes les attestations actives.

    Les gestionnaires de conformité peuvent créer des types d’attestation contenant différents types de questions pour répondre à leurs besoins. Consultez Créer une attestation de contrôle à l’aide du concepteur d’attestation.

    Les gestionnaires de conformité peuvent créer un nouvel ensemble de questions pour chaque objectif de contrôle. La banque de questions offre une bibliothèque de questions pour différentes catégories, de sorte que vous n’avez pas à créer chaque questionnaire à partir de zéro. Consultez Créer un type d’attestation.

    Concepteur de l'attestation

    Le concepteur d’attestation fournit une interface unique que les utilisateurs peuvent utiliser pour créer et modifier des attestations, ainsi que pour modifier des paramètres de notation.

    Tous les enregistrements d’attestation sont stockés dans des tables d’évaluation et affichés dans les vues Attestation de ces tables.

    Créer une attestation de contrôle à l’aide du concepteur d’attestation

    Utilisez le Concepteur d’attestation pour créer et modifier des types de métriques. Utilisez différents types de mesures pour différents contrôles. Sélectionnez plusieurs personnes chargées de répondre pour une attestation et modifiez les paramètres de notation.

    Avant de commencer

    Rôle requis : sn_compliance.attestation_creator, sn_compliance.manager sn_compliance.administrator

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Administration > Types d'attestations.
    2. Cliquez sur Concepteur de l’attestation.
      Le designer contient les éléments suivants :
      Élément Description
      Contrôles Les types de données de questions pris en charge sont disponibles dans la palette Contrôles. Faites glisser un contrôle sur le canevas du concepteur pour créer une question de ce type.
      Questions Une bibliothèque de questions pour différentes catégories, afin que vous n’ayez pas à créer chaque questionnaire à partir de zéro.
      Catégories Une nouvelle évaluation s’ouvre en mode Conception . Le champ Nom du questionnaire s’affiche au-dessus de la première catégorie du canevas. Un champ de question vide apparaît dans le conteneur de catégorie.
    3. Entrez un nom dans le champ Nom .
    4. Faites glisser un contrôle sur le canevas du concepteur pour créer une question de ce type.
      Tableau 1. Contrôles de la question
      Type de données Description Score obtenu
      Pièce jointe Question avec une icône Gérer les pièces jointes qui permet aux utilisateurs de joindre un ou plusieurs fichiers. N
      Booléen Question avec une case à cocher ou une liste Oui/Non pour les réponses de l’utilisateur. Y
      Choix Liste des options prédéfinies. Pour plus d’informations, consultez la définition de Choix. Y
      Date Champ Date. N
      Date/Heure Champ de date et d’heure. N
      Numéro Champ Nombre avec valeurs minimales et maximales prédéfinies. La valeur par défaut est de 1 à 10. N
      Pourcentage Champ Pourcentage avec une plage prescrite. N
      Échelle Échelle de Likert prédéfinie. Les options de réponse apparaissent sous forme de cases d’option. Y
      Échelle numérique Échelle de nombre sélectionnable. La valeur par défaut est de 1 à 5. Les options de réponse apparaissent sous forme de cases d’option. Y
      Chaîne Champ de texte à une ou plusieurs lignes. N
      Modèle Liste de choix de modèles qui fournissent une échelle prédéfinie d’options.
      Remarque :
      Il est important d’attribuer un modèle à chaque attestation. Cela permet de créer automatiquement des contrôles en fonction des objectifs de contrôle et des types d’entités.
      		 Y
      Référence Liste de choix de champs à partir d’une table de référence spécifiée. Ce type de données ne prend pas en charge les qualificatifs de référence. N
      Remarque :
      Définissez la réponse correcte pour la mesure que vous souhaitez obtenir. Les mesures notées déterminent l’état de conformité des contrôles.
    5. Pointez sur l’icône de menu située dans l’angle supérieur droit du Concepteur d’attestation pour sélectionner l’une des options suivantes.
      Remarque :
      La disponibilité de chaque option dépend de l’état de l’attestation ouverte dans le concepteur.
      OptionDescription
      Nouvelle attestation Ouvre un nouveau canevas pour une nouvelle attestation.
      Charger l'attestation Ouvre une liste des attestations existantes que vous pouvez sélectionner et modifier.
      Contrairement à d’autres types d’évaluations, les attestations de contrôle n’apparaissent pas dans le Libre-service > Mes évaluations et enquêtes , car de nombreuses attestations de contrôle pouvaient être générées simultanément. Au lieu de cela, les attestations de contrôle sont affichées sous forme de liste dans le Politique et Conformité > Contrôles > Mes attestations et le module Toutes les attestations .

    Que faire ensuite

    Si vous implémentez l’option Gestion de la politique et de la conformité logiciel, retournez à Gestion de la politique et de la conformité Liste de vérification de configuration et passez à l’étape suivante.

    Créer un type d’attestation

    Plutôt que d’utiliser le type d’attestation GRC par défaut, le gestionnaire de conformité peut créer un nouvel ensemble de questions pour chaque objectif de contrôle.

    Avant de commencer

    Rôle requis : sn_compliance.attestation_creator ou sn_compliance.manager ou sn_compliance-admin

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Administration > Types d'attestations.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Tableau 2. Formulaire de type de mesure d’évaluation
      Champ Description
      Nom Nom du type d’évaluation.
      Durée d'évaluation Durée autorisée de la génération à l’achèvement de l’évaluation.
      Table Table à laquelle cette évaluation s’applique.
      Facteur de mise à l'échelle Valeur d’échelle à utiliser pour tous les résultats d’évaluation.
      Condition Définissez des enregistrements spécifiques à partir de la table.
      Description Plus de détails sur l’évaluation.
      État État de l’évaluation : Brouillon ou Publié
      Appliquer la condition Option qui indique si les enregistrements accessibles de ce type qui ne remplissent pas les conditions spécifiées sont supprimés.
      Rôles Rôles ayant accès aux informations sur ce type de mesure.
    4. Cliquez sur Envoyer.

    Attestations de groupe utilisant la même réponse

    Gestion de la politique et de la conformité et Gestion des risques offrir deux méthodes pour consolider les attestations et les évaluations des risques en groupes qui aident à éliminer la tâche de fournir des réponses répétitives pour des évaluations similaires. Vous pouvez fournir les mêmes preuves aux évaluations groupées ou répondre à des évaluations individuelles dans la même interface utilisateur.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Lorsque vous consolidez les attestations de contrôle à l’aide de la fonctionnalité Même réponse, vous pouvez regrouper les attestations contenant un maximum de 1 000 questions. Lorsque l’attestation ou l’évaluation des risques pour le groupe est effectuée, tous les enregistrements du groupe héritent des réponses.
    Remarque :
    Pour modifier la limite de 1 000 questions, accédez à Tous > Politique et Conformité > Administration > Propriétés de GRC et modifiez la propriété sn_grc.consolidated_questions_limit .

    Si vous ne souhaitez pas que vos utilisateurs accèdent à cette option, accédez à Tous > Politique et Conformité > Administration > Propriétés de GRCet désactivez la propriété sn_grc.enable_consolidate_asmt .

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Contrôles > Mes attestations.
    2. Sélectionnez les attestations que vous souhaitez regrouper.
    3. Dans la liste de choix Actions sur les lignes sélectionnées , cliquez sur Évaluations de groupe.
      Évaluations de groupe
    4. Dans Type de réponse, sélectionnez Fournir la même réponse pour toutes les évaluations.
    5. Renseignez les champs nécessaires.
      Champ Description
      Critères par défaut Ce champ est défini par défaut sur Type de mesure.
      Critères supplémentaires Vous pouvez éventuellement définir des critères de regroupement supplémentaires :
      • Catégorie
      • Objectif du contrôle/Définition du risque
      • Entité

      Vous pouvez également définir des options de critères d’évaluation supplémentaires si les valeurs par défaut ne correspondent pas à vos besoins.

      Remarque :
      L’utilisation de ces schémas de regroupement est logique si les attestations groupées contiennent plusieurs instances des critères sélectionnés. Par exemple, si vous avez sélectionné un groupe de 20 attestations dont 10 sont associées à une entité et les 10 autres à une entité différente, la sélection d’une entité dans ce champ entraîne la création de deux groupes d’attestations distincts. Si, toutefois, le groupe se compose de 5 attestations associées à une entité et de chacune des 15 attestations restantes associées à différentes entités, seules ces 5 attestations sont regroupées et les autres sont ignorées.
      Aperçu L’aperçu affiche le nombre d’attestations à regrouper. En fonction des critères supplémentaires que vous avez sélectionnés, l’aperçu peut afficher plusieurs groupes. Si vous souhaitez afficher les attestations à regrouper, cliquez sur le lien indiquant le nombre d’attestations ou d’évaluations des risques à regrouper.
    6. Lorsque vous êtes satisfait des attestations ou évaluations des risques à consolider, cliquez sur Grouper.

      Un message de confirmation s’affiche, ainsi qu’un lien vers le groupe d’attestation.

      Message de création de l’évaluation
      Remarque :
      Lorsque des groupes d’attestation sont créés, vous pouvez les afficher en accédant à Politique et Conformité > Contrôles > Mes attestations groupées. Si vous ouvrez une attestation groupée, vous avez la possibilité de supprimer une ou plusieurs attestations du groupe. Pour ce faire, sélectionnez celles que vous souhaitez supprimer, puis sélectionnez Évaluation non groupée dans la liste de choix Actions sur les lignes sélectionnées . Si vous supprimez les attestations d’un groupe au point qu’il n’existe qu’une seule attestation, le groupe est supprimé.
    7. Lorsque vous êtes prêt à passer l’évaluation, cliquez sur le lien dans le message de confirmation ou sur le numéro d’attestation dans Mes attestations groupées.
      Instances d'évaluation
    8. Cliquez sur Effectuer l’évaluation.
    9. Terminez l’évaluation comme n’importe quelle autre, puis cliquez sur Soumettre.
      Toutes les attestations du groupe héritent des réponses que vous avez fournies et l’état de chaque attestation du groupe bascule sur Terminé.

    Attestations de groupe utilisant une réponse différente

    Gestion de la politique et de la conformité et Gestion des risques offrir deux méthodes pour consolider les attestations et les évaluations des risques en groupes qui aident à éliminer la tâche de fournir des réponses répétitives pour des évaluations similaires. Vous pouvez fournir les mêmes preuves aux évaluations groupées ou répondre à des évaluations individuelles dans la même interface utilisateur.

    Avant de commencer

    Rôle requis : sn_grc.business_user, sn_grc.business_user_lite

    Pourquoi et quand exécuter cette tâche

    Lorsque vous consolidez les attestations de contrôle ou les évaluations des risques à l’aide de la fonctionnalité Réponse différente, vous pouvez regrouper les attestations ou les évaluations des risques contenant un maximum de 150 questions. Toutes les questions s’affichent dans une seule interface utilisateur.
    Remarque :
    Pour modifier la limite de 1 000 questions, accédez à Politique et Conformité > Administration > Propriétés de GRC et modifiez la propriété sn_grc.grouped_questions_limit .

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Contrôles > Mes attestations.
    2. Sélectionnez les attestations que vous souhaitez regrouper.
    3. Dans la liste de choix Actions sur les lignes sélectionnées , cliquez sur Évaluations de groupe.
      Évaluations de groupe
    4. Dans Type de réponse, sélectionnez Fournir une réponse différente pour chaque évaluation.
    5. Renseignez les champs nécessaires.
      Champ Description
      Critères par défaut Ce champ est défini par défaut sur Type de mesure.
      Critères supplémentaires Vous pouvez éventuellement définir des critères de regroupement supplémentaires :
      • Catégorie
      • Objectif du contrôle/Définition du risque
      • Entité

      Vous pouvez également définir des options de critères d’évaluation supplémentaires si les valeurs par défaut ne correspondent pas à vos besoins.

      Remarque :
      L’utilisation de ces schémas de regroupement est logique si les attestations groupées contiennent plusieurs instances des critères sélectionnés. Par exemple, si vous avez sélectionné un groupe de 20 attestations dont 10 sont associées à une entité et les 10 autres à une entité différente, la sélection d’une entité dans ce champ entraîne la création de deux groupes d’attestations distincts. Si, toutefois, le groupe se compose de 5 attestations associées à une entité et de chacune des 15 attestations restantes associées à différentes entités, seules ces 5 attestations sont regroupées et les autres sont ignorées.
      Aperçu L’aperçu affiche le nombre d’attestations à regrouper. En fonction des critères supplémentaires que vous avez sélectionnés, l’aperçu peut afficher plusieurs groupes. Si vous souhaitez afficher les attestations à regrouper, cliquez sur le lien indiquant le nombre d’attestations ou d’évaluations des risques à regrouper.
    6. Lorsque vous êtes satisfait des attestations ou évaluations des risques à consolider, cliquez sur Grouper.

      Un message de confirmation s’affiche, ainsi qu’un lien vers le groupe d’attestation.

      Message de création de l’évaluation
      Remarque :
      Lorsque des groupes d’attestation sont créés, vous pouvez les afficher en accédant à Politique et Conformité > Contrôles > Mes attestations groupées. Si vous ouvrez une attestation groupée, vous avez la possibilité de supprimer une ou plusieurs attestations du groupe. Pour ce faire, sélectionnez celles que vous souhaitez supprimer, puis sélectionnez Évaluation non groupée dans la liste de choix Actions sur les lignes sélectionnées . Si vous supprimez les attestations d’un groupe au point qu’il n’existe qu’une seule attestation, le groupe est supprimé.
    7. Lorsque vous êtes prêt à passer l’évaluation, cliquez sur le lien dans le message de confirmation ou sur le numéro d’attestation dans Mes attestations groupées.
      Instances d'évaluation
    8. Cliquez sur Effectuer l’évaluation.
      Des questionnaires s’affichent pour toutes les attestations sélectionnées dans le groupe.
    9. Terminez l’évaluation pour chacune des attestations, puis cliquez sur Soumettre.

    Définir les critères de regroupement d’évaluation

    Vous pouvez éventuellement définir des critères de regroupement supplémentaires si les critères par défaut ne correspondent pas à vos besoins.

    Avant de commencer

    Rôle requis : sn_compliance.admin, sn_compliance.manager

    Procédure

    1. Accédez à la Tous > Politique et Conformité > Administration > Critères de regroupement d'évaluation.
      Critères de regroupement d’évaluation
    2. Cliquez sur Nouveau.
      Créer un enregistrement de critères de regroupement d’évaluation
    3. Remplissez les champs du formulaire.
      Champ Description
      Nom Nom des critères de regroupement d’évaluation.
      Nom de champ Sélectionnez le nom du champ dans la table Instance d’évaluation [asmt_assessment_instance].
      Actif Sélectionnez cette option pour activer les critères de regroupement.
    4. Cliquez sur Envoyer.