Gérer les contrôles

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Les contrôles sont des implémentations spécifiques d’un objectif de contrôle. Les contrôles mis hors service n’apparaissent pas dans la liste. Avant de définir des contrôles, prenez le temps de rationaliser, consolider et définir les contrôles importants dans votre organisation.

    Rationaliser vos contrôles

    Si vous chargez tous vos contrôles en bloc, vous manquez l’occasion d’affiner et de rationaliser votre ensemble de contrôles. Au fur et à mesure que votre entreprise évolue et que vos données informatiques, vos processus et votre technologie s’améliorent, remplacez les contrôles et procédures obsolètes lorsque vous implémentez votre GRC application. Considérez ce qui suit :
    • Comment ce contrôle affecte-t-il mon objectif business ?
    • Ce contrôle prévient-il ou détecte-t-il réellement le risque ?
    • Y a-t-il un contrôle différent que vous pouvez placer pour mieux protéger votre entreprise ?
    • Y a-t-il un contrôle que vous pouvez mettre en place pour réduire les frais généraux des processus et améliorer les performances informatiques tout en atténuant les risques ?
    • Un contrôle compliqué peut-il être remplacé par un contrôle plus simple et plus efficace ?
    Remarque :
    Lorsque vous définissez des contrôles manuellement ou lorsque vous les importez à partir d’Unified Compliance Framework (UCF), une entité est associée aux contrôles. Il s’agit d’un champ obligatoire du formulaire de contrôle. Toutefois, si vous importez des contrôles à partir d’une source autre que l’UCF, vous risquez de rencontrer des contrôles qui n’ont pas d’entités associées. Il est important que vous reveniez au formulaire Contrôle et que vous ajoutiez une entité au contrôle. Les entités manquantes peuvent entraîner des résultats peu fiables dans les calculs. En outre, si vous rencontrez un contrôle avec une entité qui a été désactivée, le contrôle doit être mis hors service.

    Consolidez vos contrôles

    Recherchez des opportunités de consolidation des contrôles. Par exemple, vous pouvez rechercherdes contrôles communs et répétés dans plusieurs autorités réglementaires de cadres (telles que SOX, GLBA et AML). Évitez d’utiliser une seule commande plusieurs fois pour chaque régulation en croisant les contrôles et en éliminant les contrôles redondants. Ce processus établit un seul ensemble consolidé de contrôles = cadre de contrôle. La réformeet la préservation de la cartographie croisée des contrôles sont essentielles pour les audits.
    Figure 1. Les réglementations et les exigences du secteur se chevauchent
    Les réglementations et les exigences de l’industrie se chevauchent.

    Définir des contrôles et des règles métier

    Les règles métier que vous définissez à l’avance établissent les paramètres de GRC configuration ultérieurement. Soyez prêt à effectuer les tâches suivantes :
    • Identifier les contrôles et les propriétaires de contrôle
    • Définir les tests de contrôle et les résultats attendus
    • Établir les fréquences de test et de contrôle
    • Identifier les risques : impactet probabilité
    • Préparer les attestations, les évaluations, les questionnaires et les preuves requises
    • Composer les cas d’utilisation probables (qui a besoin d’interagir ou d’afficher le GRC contenu du système et à quelles fins)
    • Mappez les sources de référence aux politiques, procédures, contrôles ou risques

    Accès basé sur l’entité (EBA)

    L’EBA fournit un cadre pour une approche plus granulaire de la gestionde l’accès aux données des objets associés à une entité. Les administrateurs peuvent accorder l’accès aux enregistrements connexes d’une entité en ajoutant des utilisateurs ou des groupes d’utilisateurs ou en utilisant les champs d’utilisateur d’entité pour la configuration de l’accès basé sur les entités. Pour plus d'informations, consultez Accès basé sur l'entité.

    Lorsqu’un utilisateur est qualifié en fonction de ces configurations et qu’il dispose des rôles minimaux requis, il aura accès aux tables suivantes :
    • Contrôle
    • Attestation
    • Exception de politique pour le contrôle

    Règles de l’ABE

    Lorsque les règles d’accès aux enregistrements basés sur une entité sont activées sur la page Propriétés de configuration de l’accès basé sur l’entité, tous les nouveaux contrôles, attestations de contrôle, indicateurs et tâches d’indicateur associés à une entité configurée héritent automatiquement de la valeur d’accès basé sur l’entité (EBA) de cette entité. Auparavant, les utilisateurs devaient exécuter des mises à jour d’accès en masse pour appliquer des restrictions EBA chaque fois que de nouveaux objets étaient créés.

    Pour plus d’informations, consultez Règles d’accès aux enregistrements basées sur l’entité pour sécuriser les nouveaux enregistrements.