Types d'objet dans Governance console

Le tableau ci-après répertorie les sous-composants inclus par défaut.

Outre les sous-composants répertoriés dans le tableau, les types d'objet suivants sont inclus dans chaque solution et tout utilisateur autorisé peut y accéder:

• Signature
• Fichier
• Lier

Compte

Les comptes correspondent à une ou plusieurs lignes d'un rapport financier. Chaque compte est affecté par des processus récurrents. Ces processus peuvent introduire des risques qui doivent être documentés dans le projet de documentation des contrôles financiers. Un compte est identifié comme significatif en fonction de facteurs tels que la taille, la complexité des processus qui agissent sur le compte ou du fait que le compte est associé à de nouvelles lignes de produit au sein de l'activité. Les processus qui prennent en charge le compte doivent être évalués afin d'identifier les risques potentiels et de déterminer si les risques identifiés ont un impact significatif sur le compte.

Ascent Informations de support

L'objet Ascent Informations de support stocke les informations de support qui sont importées depuis Ascent. L'information à l'appui est un texte réglementaire qui n'atteint pas le niveau d'une exigence juridique, mais qui fournit plus de conseils, de détails et d'autres informations pour aider les entités à comprendre les exigences et l'impact de la réglementation. Le type d'objet Ascent Informations de support possède un parent, Exigence.

Assertion

L'objet Assertion est utilisé pour lier des objets de contrôle à des objets de compte (ou de sous-compte). Il est courant de stocker le type d'assertion que le contrôle couvre sous forme de zone de données dans l'objet Assertion.

Attestation

L'objet Attestation, qui fait partie de la fonction de sensibilisation aux règles, est utilisé pour capturer l'affirmation d'un employé qu'il a lu et compris une règle. Le parent principal de l'attestation est l'enregistrement de l'employé et le parent secondaire est la campagne associée.

Actif

COBIT suggère qu'il existe quatre types d'actifs informatiques, tandis que les praticiens incluent souvent plus de types. L'objet Actif est sous-typé à l'aide de zones dépendantes pour représenter l'un de ces types d'actifs informatiques. Les actifs sont généralement créés en tant que pool associé à l'entité métier informatique propriétaire ou responsable, puis associés aux éléments opérationnels pertinents (versions de référence, processus, etc.) dans l'environnement d'exploitation informatique, et potentiellement associés aux entités métier pertinentes pour l'entreprise également. Bien que les actifs puissent représenter des actifs informatiques individuels (par exemple, un serveur Microsoft Windows particulier), ils représentent plus souvent un groupe d'actifs (par exemple, un pool de serveurs d'applications Windows utilisés pour une application particulière).

Liaison d'actifs

COBIT suggère que les actifs informatiques ont des relations compliquées. Il indique que les actifs de type Personnes, Processus, Infrastructure et Information peuvent être des parents et des enfants les uns des autres. En outre, les actifs de même type doivent souvent être liés les uns aux autres. Un lien d'actif peut être utilisé pour lier des actifs de manière plusieurs à plusieurs, mais la pratique (prise en charge par l'assistant Créer des liens de ressource) consiste à lier exactement deux actifs. Si les noms ou les attributs de l'un des actifs parent sont modifiés, le nom et les attributs du lien d'actif ne sont pas synchronisés avec ses actifs parent.

Effectuer un audit

Une vérification représente chaque exécution d'une vérification par rapport à une entité vérifiable. Par exemple, si une entité auditable est auditée tous les deux ans, une instance d'audit enfant distincte doit être créée pour chaque période de deux ans, par exemple 2022 et 2024. Une organisation peut auditer divers processus. Par exemple, vous pouvez auditer une entité, une exigence réglementaire spécifique ou la sécurité physique d'un centre de données.

L'objet Audit est configuré en tant que type d'objet autonome et un dossier est créé automatiquement pour chaque instance d'audit. Cette configuration vous permet de copier des modèles d'audit et des composants d'audit depuis une bibliothèque dans la hiérarchie d'audits en évitant les conflits de nom d'objet.

La planification des ressources d'audit est effectuée au niveau de l'audit.

La progression générale de l'audit peut être suivie en surveillant les valeurs Statut et Date de l'audit. Vous pouvez assurer le suivi de jalons d'audit clés en ajoutant des zones qui représentent les dates d'achèvement pour chaque jalon clé à suivre.

Utilisez l'objet Audit pour gérer le processus d'audit dans votre entreprise. L'audit identifie un emplacement pour capturer des informations telles que la portée, les objectifs, les informations de temps et les rôles de revue, d'exécution et d'approbation. Vous pouvez assurer le suivi d'un sous-ensemble d'audits que vous planifiez à l'avance ou de tous les audits de l'univers d'audit.

Commentaire de la revue de l'audit

Le type d'objet Commentaire de révision d'audit est utilisé pour fournir des commentaires en retour au cours du processus de révision d'une vérification et de ses composants. Il est associé en tant qu'enfant à l'instance de l'audit, de la section, du document de travail ou du résultat pour laquelle le commentaire est fourni.

Section d'audit

Les sections d'audit peuvent être utilisées pour représenter les phases de l'audit, les programmes de travail dans l'audit ou d'autres composants de l'audit au niveau de granularité de votre choix.

Les organisations peuvent disposer de plusieurs composants standard pour chaque audit. Les modèles d'audit qui incluent des sections pour chaque composant standard peuvent être créés dans une bibliothèque. Les dates Planifié, Début réel et Fin réelle pour ces sections sont utilisées pour indiquer la progression dans les jalons clés dans les audits.

Vous pouvez assurer le suivi détaillé de la progression d'un audit en incluant une section d'audit pour chaque jalon. Autre solution, certaines organisations peuvent ajouter des zones dans l'audit qui représentent les dates d'achèvement pour chaque jalon clé à suivre.

Les sections d'audit peuvent être utilisées pour la planification des ressources d'audit mais la plupart des organisations considèrent que cette méthode est trop détaillée.

Entité auditable

Un objet Entité auditable est un enfant d'une entité métier et d'un plan d'audit récapitulatif. Une hiérarchie d'entité métier d'audit interne est établie et toutes les entités auditables sont créées en tant qu'enfant de l'objet Entité métier d'audit interne. Les entités auditables qui correspondent à des éléments de la hiérarchie organisationnelle des entités métier sont également associés à ces entités métier.

Une entité auditable représente un élément unique de l'univers d'audit, la série d'éléments au sein de l'activité devant être audités. La plupart des entités auditables représentent des entités métier ou légales, mais elles peuvent également représenter des processus, des initiatives ou des projets à exécution longue, des programmes de conformité ou des services informatiques partagés.

Pour les entités auditables, le classement des risques est établi chaque année afin de déterminer la priorité relative à l'exécution d'un audit l'année en question. Une cote de risque pondérée est calculée mais elle peut être remplacée.

Auditeur

La planification des ressources et l'affectation des ressources exigent des renseignements clés sur chaque personne qui pourrait effectuer des travaux de vérification. L'objet Auditeur est utilisé pour créer un pool d'auditeurs pouvant être affectés à des audits.

Chaque utilisateur qui est désigné pour un travail d'audit est représenté par une instance d'auditeur. Les auditeurs sont alors disponibles pour l'allocation des ressources. L'objet Auditeur inclut des attributs permettant d'évaluer et de sélectionner des auditeurs pour les missions d'audit, par exemple les spécialités, les langues et les certifications. Les objets Auditeur sont associés au composant pertinent de la hiérarchie organisationnelle Audit interne. Il est recommandé d'attribuer comme nom à l'objet Auditeur le nom d'utilisateur.

Référence

Un type d'objet de version de référence représente un modèle de configuration de bibliothèque. Il est autonome, ce qui signifie que les dossiers sont créés pour chaque ligne de base. Les lignes de base dans la bibliothèque représentent des éléments de l'environnement d'exploitation informatique. Elles sont liées à des exigences pour ce type d'élément. L'objet Ligne de base est copié depuis la bibliothèque dans la hiérarchie métier, une association est établie à une exigence dans la bibliothèque, et les types d'objet Risque, Contrôle et Test sont créés comme objets enfant. Les objets Risque, Contrôle et Test sont renseignés avec les données de l'exigence lors de l'utilisation de l'auxiliaire de copie de version de référence.

Par exemple, un objet Ligne de base peut représenter une collection d'objets Exigence pour un centre de données avec des informations identifiant la personne et une classification des données confidentielles. Pour chaque objet Exigence, configurez une meilleure pratique pour définir l'élément à contrôler (l'objet Risque) et la façon de le contrôler (l'objet Contrôle). Vous pouvez aussi établir une pratique pour vérifier l'efficacité du contrôle (l'objet Test).

Evénement de continuité des opérations

L'objet Evénement de continuité des opérations est utilisé pour identifier un incident ayant un impact négatif sur les opérations métier, par exemple une pandémie, un ouragan, une tornade ou une violation de la cybersécurité. Le type d'objet Evénement de continuité des opérations contient des informations telles que l'emplacement et le type. Un objet Evénement de continuité des opérations peut être associé à un objet Plan de continuité des opérations afin de faciliter l'association d'occurrences spécifiques aux plans correspondants.

Plan de continuité des opérations

Un plan de continuité des opérations est une stratégie proactive, comprenant des règles et des procédures, qui décrit comment une organisation et ses fonctions critiques réagiront pendant et immédiatement après une interruption ou une catastrophe. Le plan de continuité des opérations traite des ressources humaines, des processus métier, des actifs et des services de support externalisés. L'objet Plan de continuité des opérations peut être associé à d'autres objets de continuité des opérations principaux tels que des analyses d'impact sur les opérations, des plans de test de continuité des opérations, des évaluations du risque, des emplacements et des équipes.

Plan de test de continuité des opérations

Le test d'un plan de continuité des opérations est un processus utile permettant d'évaluer l'efficacité du plan et d'identifier les faiblesses ou les manques. Le test peut être mené en suivant diverses approches, telles que le test de cheminement et la simulation complète, et peut contribuer à la formation et à la sensibilisation des participants au plan. L'objet Plan de test de continuité des opérations peut être utilisé pour documenter les détails du test et être associé à l'objet Plan de continuité des opérations et à des objets enfant tels que les objets Résultat et Problème du plan de test de continuité des opérations.

Résultat du test de continuité des opérations

Les objets Résultat du test de continuité des opérations sont des objets enfant d'un plan de test de continuité des opérations. Ils sont utilisés pour capturer les résultats du plan de test de continuité des opérations exécuté. Un résultat de test de continuité des opérations peut être associé à un plan de test de continuité des opérations connexe et à tout problème lié.

Entité métier

Les entités métier sont des représentations abstraites de votre structure métier. Une entité métier peut contenir des sous-entités (comme des services, des unités d'activité ou des emplacements géographiques). La structure d'entité que vous créez dépend de vos besoins d'affaires. Par exemple, vous pouvez créer une entité parent pour le siège social de votre entreprise et une sous-entité pour chaque agence ou service. Vous pouvez aussi représenter une structure d'entité légale et une structure d'entité métier.

Les entités métier sont aussi utilisées pour organiser les données de bibliothèque telles que les bibliothèques de risques et de contrôles, ou le contenu réglementaire (comme les lois, les réglementations et les normes).

Lorsque vous configurez votre hiérarchie d'entités métier, travaillez avec votre conseiller IBM® . La structure de vos entités métier a un impact sur le type et la qualité des informations pouvant être extraites de l'application.

Dans watsonx.governance Gestion de l'audit interne , les entités métier modélisent également la structure organisationnelle de l'audit interne, qui facilite la génération de rapports et la sécurité de l'équipe d'audit interne. La structure organisationnelle d'audit interne est une entité de niveau supérieur qui réduit le risque d'accorder accidentellement un accès utilisateur métier aux informations d'audit interne. Les éléments de l'univers d'audit qui appartiennent à l'équipe d'audit interne sont associés à l'entité métier de l'équipe. Vous pouvez créer une autre structure d'entité métier de niveau supérieur pour organiser les audits confidentiels et assurer une sécurité particulière pour ces audits. L'entité métier peut aussi être utilisée pour organiser une bibliothèque de modèle de contenu d'audit.

Analyse d'impact sur les activités

Une analyse d'impact sur l'activité (BIA) est utilisée pour évaluer la criticité des processus prédéterminés, leurs dépendances et l'impact sur l'activité en cas d'interruption. Elle est utilisée pour mesurer l'impact que des événements tels que des catastrophes naturelles, des pandémies et le terrorisme peuvent avoir sur des processus métier critiques en fonction de la gravité des pertes.

Le type d'objet Analyse d'impact sur les opérations a été conçu pour vous aider à hiérarchiser l'impact critique pour l'activité en classant des catégories prédéterminées à l'aide d'un score numérique. Les évaluations d'impact numériques peuvent être optimisées pour les zones de données clés, telles que l'objectif de temps de reprise et l'objectif de point de reprise. Vous pouvez également utiliser la fonction de calcul pour convertir vos données d'impact en informations mesurables telles que les scores d'impact, les niveaux d'impact et les interruptions maximales acceptables (MAO).

Services d'entreprise

Un service métier est un service fourni par l'organisation, tel que le retrait de l'argent liquide et du guichet automatique ou la possibilité de vérifier un solde en ligne, qui peut être ventilé en processus de support. Les services aux entreprises peuvent être classés en tant que services commerciaux importants, qui sont des services fournis aux utilisateurs finaux externes lorsqu'une interruption causerait des dommages intolérables aux consommateurs ou aux participants au marché, à l'intégrité du marché, à la protection, à la sûreté et à la solidité des souscripteurs, ou à la stabilité financière.

Un objet de service métier peut être un enfant d'une entité métier ou d'un objet Location.

Éval. du service métier

Les objets Évaluation du service métier sont des enfants d'objets de service métier et ils sont utilisés pour capturer des valeurs fournies dans le cadre de l'évaluation du service métier à des fins de tendance. L'évaluation du service métier est créée et remplie lors de la dernière étape d'un flux de travaux d'évaluation de service métier.

Campagne

L'objet Campagne fait partie de la fonction de sensibilisation à la politique et est utilisé pour gérer les aspects de gestion de projet d'une campagne de sensibilisation. Il est également utilisé pour définir les exigences et les critères qui identifient les employés ayant besoin de lire et d'accepter chaque règle. En général, les campagnes sont créées dans la hiérarchie des règles publiées.

Le défi

L'objet Défi peut être utilisé pour stocker et démontrer la présence d'un défi dans une partie quelconque de l'inventaire de modèle. Un défi est déclenché et la réponse enregistrée. L'objet Challenge est un enfant des objets de déploiement de modèle et de modèle.

Demande de changement

L'objet Demande de modification est un enfant des objets Modèle et Déploiement de modèle et permet de créer et de suivre des activités de gouvernance liées aux changements dans les modèles et à leurs déploiements. L'objet capture des données telles que Type de modification, Description de modification et Statut. Il est pris en charge par un flux de travaux.

Comité

L'objet Comité est un enfant d'Entité métier et il permet à une organisation de représenter des groupes/comités de gouvernance. Ces derniers peuvent alors être alignés sur des modèles et être un parent de l'objet Employé. Il peut stocker des informations telles que les termes de référence pour un comité, la fréquence des réunions, et des détails sur l'organisateur.

Plan de conformité

Les plans de conformité permettent de créer un plan global pour gérer les exigences réglementaires dans un cadre structuré ou pour structurer un ensemble de tâches réglementaires. Par exemple, un plan de conformité peut être créé pour effectuer le suivi de tâches réglementaires ou pour mener à bien des évaluations sur la conformité à des exigences réglementaires. Un ou plusieurs termes de conformité peuvent être regroupés dans un plan de conformité global pour l'organisation.

Éval. du plan de conformité

Les objets Évaluation du plan de conformité sont des enfants de l'objet Plan de conformité. Les objets Eval du plan de conformité sont utilisés pour capturer les valeurs fournies dans le cadre de l'évaluation de conformité qui est enregistrée dans le plan de conformité. Un enregistrement Évaluation du plan de conformité est créé et rempli comme dernière étape dans les flux de travaux de l'évaluation de la bibliothèque du plan de conformité et du plan de conformité.

Commentaire pour l'examen de conformité

Le type d'objet Commentaire de la révision de conformité permet à un utilisateur d'ajouter et de poster des commentaires sur la modification réglementaire, la tâche réglementaire, le composant RI, le sous-composant RI et les objets d'interaction réglementaire. Un commentaire d'examen de conformité peut être envoyé à un individu ou à un groupe d'utilisateurs pour leur réponse, et des fichiers peuvent être téléchargés sur l'objet pour améliorer la collaboration entre les utilisateurs.

Thème de conformité

L'objet Thème de conformité permet aux utilisateurs de classer les exigences réglementaires par thèmes à des fins d'évaluation. Il permet d'aborder l'évaluation de la conformité aux exigences réglementaires selon une approche qui ne se limite pas au niveau des entités métier classiques, en regroupant par thèmes les exigences réglementaires qui s'appliquent à l'organisation. Les exemples de thèmes peuvent inclure la confidentialité des données, la gouvernance, la responsabilisation, etc. Cela permet aux utilisateurs d'évaluer l'impact de la réglementation non seulement au sein des entités commerciales, mais aussi sur des thèmes qui touchent plusieurs domaines de l'organisation.

Éval. thème de conformité

Les objets Évaluation du thème de conformité sont les enfants des objets Thème de conformité. Les objets Eval du thème de conformité sont utilisés pour capturer les valeurs fournies dans le cadre de l'évaluation de conformité qui est capturée sur le thème de conformité. Un enregistrement Évaluation du thème de conformité est créé et rempli comme dernière étape dans les flux de travaux d'évaluation de la bibliothèque Thème d'évaluation et de conformité du thème de conformité.

Contrat

Les objets de contrat sont des objets enfant des objets Fournisseur ou Engagement. Un contrat est un accord commercial ou juridique entre une entité métier et un fournisseur ou un engagement. Il contient des informations de support supplémentaires, comme la période du contrat ou des informations monétaires. Les contrats sont facultatifs.

Contrôle

Les contrôles sont des règles et des procédures qui garantissent des réponses concernant la limitation des risques.

Une fois que vous avez identifié les risques dans vos pratiques, établissez des contrôles, par exemple des approbations, des autorisations et des vérifications. Ces contrôles suppriment, limitent ou transfèrent les risques.

Les contrôles constituent une mesure de prévention ou de détection des risques. Ils sont associés à des tests permettant de vérifier qu'un contrôle est efficace. Par exemple, le département des ressources humaines identifie un risque dans le nouveau processus de recrutement. Le processus n'est pas conforme aux réglementations et au guide de bonnes pratiques concernant la diversité et la discrimination. Définissez des contrôles afin d'atténuer les risques, par exemple en établissant des règles et des procédures de recrutement et en mettant en place une formation obligatoire pour les recruteurs.

Dans watsonx.governance Internal Audit Management , utilisez des contrôles pour créer un modèle détaillé des contrôles qui existent ou que vous souhaitez appliquer aux activités qui sont auditées. S'ils sont partagés avec l'entreprise, les contrôles peuvent être classés séparément par l'audit interne et par l'entreprise.

Evaluation de contrôle

Les objets Évaluation de contrôle sont similaires aux objets Évaluation des risques, sauf qu'ils sont créés en tant qu'enfants de Contrôles. Ils stockent des données d'évaluation de contrôle. Lorsque des périodes de génération de rapports et des cycles d'évaluation des contrôles ne correspondent pas, utilisez des objets Evaluation de contrôle pour capturer plusieurs cycles d'évaluation dans une période de génération de rapports unique.

Objectif de contrôle

Un objectif de contrôle est un objet d'évaluation qui définit les catégories de risque pour un processus ou un sous-processus.

Les objectifs de contrôle définissent les catégories de conformité COSO que les contrôles doivent atténuer. Les objectifs de contrôle peuvent être classés en catégories telles que Conformité, Génération de rapports financiers, Stratégique, Opérations ou Inconnu.

Une fois qu'un objectif de contrôle a été identifié, les risques appartenant à cet objectif de contrôle peuvent être définis. Dans la plupart des cas, chaque objectif de contrôle est associé à un risque. Toutefois, plusieurs risques peuvent lui être associés. Par exemple, une entreprise proposant des services financiers emploie des négociateurs qui connaissent les normes éthiques requises. Le département des ressources humaines configure un objectif de contrôle appelé "Personnel". Un risque associé à l'objectif de contrôle est Les employés s'engagent dans des relations d'affaires qui vont à l'encontre des objectifs de l'entreprise concernant le commerce équitable.

Par défaut, un objectif de contrôle de gestion d'audit interne est désactivé. Cet objet n'est pas d'un usage fréquent, sauf pour l'alignement avec d'autres solutions pouvant l'utiliser.

Centre de coûts

Les objets de centre de coûts sont utilisés pour regrouper des événements de perte sous une entité métier. Dans la plupart des cas, les entreprises souhaitent identifier précisément les endroits auxquels surviennent les événements causant des pertes, par exemple au niveau du centre de coûts, sans représenter toutes les couches organisationnelles sous forme d'entités métier.

Déclaration de situation

Ce type d'objet est principalement utilisé pour enregistrer des commentaires textuels en relation avec les exigences de divulgation. Les instructions de divulgation sont des enfants des exigences.

Employé

L'objet Employé fait partie de la fonction de découverte de la politique. Il est utilisé pour capturer des informations sur chaque employé, telles que le nom, le titre, l'adresse électronique, la région, le service ou le statut. Les informations du profil de l'employé sont ensuite mises en correspondance avec les exigences d'attestation définies dans une campagne afin de déterminer quels employés doivent accepter des règles et lesquelles. En général, les données concernant les employés sont dérivées d'une exportation du système des ressources humaines, chargée via Online FastMap, et se trouvent dans l'entité métier Employé de référence. Il est recommandé de faire correspondre la zone de nom de l'employé avec le nom d'utilisateur.

de l'individu

Les objets d'engagement sont des objets enfant des objets Fournisseur. Un engagement est un service unique qui est mis à disposition par un fournisseur. Vous utilisez des engagements afin de différencier les divers services et accords que vous avez avec un fournisseur. Les engagements sont facultatifs. Ils peuvent faire l'objet d'évaluations de questionnaire, d'évaluations de risque ou d'une hiérarchisation. Vous pouvez résumer et analyser le risque qui est associé à différents engagements. Vous pouvez ajouter une association parent au processus ou au sous-processus pris en charge par un engagement.

Fichier

Le type d'objet Fichier est utilisé pour incorporer une référence à un fichier (tel qu'un document, un diagramme ou une feuille de calcul) dans le Governance consoleet l'associer à un ou plusieurs objets pertinents.

Résultat

Les constatations peuvent être utilisées pour représenter les observations qui doivent être déclarées à l'entreprise et/ou au comité d'audit. Les résultats peuvent aussi être utilisés pour représenter des observations factuelles individuelles, alors que les problèmes sont utilisés pour représenter des thèmes consolidés et des problèmes systémiques, qui sont ensuite inclus dans un rapport soumis à l'entreprise, au comité d'audit ou au deux.

Un résultat représente tous les éléments non couverts au cours d'un audit qui doit être pris en compte et traité par l'entité de gestion. Vous pouvez utiliser un résultat pour assurer le suivi de la progression de la gestion au cours du traitement du problème sous-jacent identifié. L'objet Problème peut être utilisé à la place de l'objet Résultat ou en conjonction avec l'objet Résultat.

Perte FIRST

Les objets de perte FIRST peuvent être importés à partir de la base de données de pertes externes FIRST, pour être utilisés avec l'analyse de scénario, l'analyse comparative et la génération de rapports, et pour exporter des données de perte vers des outils analytiques ou des applications d'allocation de capital. Ils sont souvent organisés en catégories de perte, comme des lignes de produit ou des types d'événement. Par exemple, utilisez une entité métier afin de créer une hiérarchie pour les données de perte FIRST. Nommez l'objet racine FIRST-data et créez des dossiers de catégorie sous la racine. Liez des pertes externes à l'objet.

Incident

Un incident est une occurrence qui a potentiellement un impact négatif sur votre entreprise. Créez un objet Incident pour enregistrer des informations, comme la personne en charge de l'examen de l'incident ainsi que d'autres données liées. L'objet Incident est utilisé par un flux de travaux pour faciliter l'analyse des incidents. Les catégories valables pour les incidents sont Conformité aux réglementations, Conformité juridique, Sécurité des informations et Informatique. Les incidents sont stockés sous l'entité métier ou l'actif où l'événement s'est produit et associés secondairement à un mandat ou à une règle impacté.

Problème, Action

Bien que des problèmes soient générés dans des zones où les contrôles internes ne sont pas correctement implémentés, utilisez l'objet Problème pour documenter une préoccupation associée à n'importe quel type d'objet. Par exemple, un test est associé à un contrôle, mais la dernière exécution du test a échoué. Vous pouvez mettre en évidence ce problème potentiel en le capturant dans un objet Problème.

Un problème est résolu via des actions. Vous pouvez utiliser une action ou une série d'actions liées afin d'établir un plan d'action. Chaque action est affectée à un utilisateur pour la résolution et effectue le suivi de la progression. Une fois toutes les actions pour un problème terminées (lorsqu'un cessionnaire définit la valeur 100 %), fermez le problème.

Dans la solution de gestion de l'audit interne, les problèmes et les actions peuvent être utilisés à la place ou avec les résultats.

Indicateur clé de performance, Valeur de l'indicateur clé de performance

Les KPI (indicateurs clés de performance) sont des éléments du processus de surveillance des risques utilisés pour fournir des indicateurs avancés ou à la traîne pour les conditions de risque potentielles. Chaque instance d'un indicateur clé de performance dans l'organisation peut avoir une cible unique et des limites de seuil. Le type d'objet Valeur de l'indicateur clé de performance enregistre la valeur d'un objet Indicateur clé de performance à un moment spécifique. Créez un objet Indicateur clé de performance, puis régulièrement (tous les jours, toutes les semaines, tous les mois), créez un objet Valeur de l'indicateur clé de performance afin de détecter les tendances.

Indicateur clé de risques, Valeur de l'indicateur clé de risques

Les KRI (indicateurs clés de risque) sont des éléments du processus de surveillance des risques et servent à fournir des indicateurs avancés ou à la traîne pour les conditions de risque possibles. Chaque instance d'un indicateur clé de risques dans l'organisation peut avoir une cible unique et des limites de seuil. Les valeurs d'indicateur clé de risques sont utilisées pour enregistrer la valeur réelle d'un indicateur à un moment spécifique.

Lier

Le type d'objet Lien est utilisé pour incorporer une référence à un URL dans le site Governance console et l'associer à un ou plusieurs objets pertinents.

Emplacement

Le type d'objet Emplacement est utilisé pour capturer les détails de la zone géographique et de l'emplacement requis dans le processus de planification d'urgence. Les informations d'emplacement peuvent inclure, par exemple, le nombre d'employés qui travaillent à un emplacement, les actifs (comme le matériel informatique) et d'autres détails relatifs à l'emplacement.

Evénement causant des pertes

Les événements de perte sont utilisés pour suivre les pertes opérationnelles qui surviennent dans une partie d'une organisation. En général, ils sont stockés sous l'entité métier dans laquelle la perte est survenue. Les objets Evénement causant des pertes sont utilisés pour assurer le suivi des données de perte internes liées, pour les évaluer et pour les gérer. Vous pouvez ajouter plusieurs impacts et reprises pour chaque événement causant des pertes avec les objets Impact de la perte et Reprise sur pertes.

Impact des pertes

Un impact de perte est une conséquence financière et non financière qui résulte d'un événement de perte. Les impacts de perte effectuent le suivi de différents types d'impacts déclenchés par un événement causant des pertes, comme une responsabilité juridique, la perte et le dommage d'un bien ou l'interruption de l'activité. Plusieurs impacts de perte peuvent être associés à un événement causant des pertes.

Reprise sur pertes

Les objets Reprise sur pertes sont utilisés pour assurer le suivi des processus associés à l'indemnisation des dommages résultant d'événements causant des pertes.

Mandat

Les mandats représentent des éléments externes auxquels les organisations doivent se conformer, telles que les lois, les règlements et les normes. Le contenu peut être extrait de fournisseurs tiers, tels que UCF, Ascent Reg Techou Wolters Kluwer. Les mandats sont représentés dans une structure d'entité métier de bibliothèque et ne sont pas répliqués sur tout le système.

Par exemple, une compagnie d'assurance possède un objet Mandat pour HIPAA et un autre objet Mandat pour GLBA. Vous pouvez associer le même mandat à des groupes différents dans votre organisation. Les mandats privés, par exemple, peuvent s'appliquer au service de paie, aux services d'assurance, au service juridique et au département informatique.

L'objet Mandat prend également en charge le contenu pour la conformité aux réglementations.

Indicateur, Valeur d'indicateur

L'objet Indicateur enregistre la définition d'une mesure de performance suivie par l'organisation. Un utilisateur définit le type d'indicateur, les seuils jaunes et rouges et d'autres informations de collecte. Une unité de mesure est un enfant des objets Modèle de déploiement et Modèle.

L'objet Valeur d'indicateur enregistre le résultat de la mesure des performances de l'indicateur. Il a été conçu pour permettre à l'organisation de stocker les résultats des mesures sous forme de séries temporelles.

Modèle

L'objet Modèle fournit la représentation des modèles dans une organisation. D'un point de vue théorique, un modèle est une méthode, un système ou une approche quantitative qui applique des théories statistiques, économiques, financières ou mathématiques, ainsi que des techniques et des hypothèses, dans le but de transformer les données en entrée en estimations quantitatives. Dans l'objet Modèle, des informations de modèle clés peuvent être représentées, notamment la description du modèle, la propriété du modèle, le statut du modèle, les dates du cycle de vie de développement, le type et la catégorie du modèle, et l'évaluation des risques liés au modèle. Un objet Modèle est un enfant d'une entité métier et parent d'objets Déploiement de modèle.

Attestation de modèle

L'attestation de modèle permet à une organisation de demander une validation ou une attestation régulière d'un modèle. L'administrateur de MRG créé régulièrement un ensemble d'attestations de modèle vierges qui sont affectées aux propriétaires de modèle respectifs. Chaque propriétaire de modèle répond à un ensemble de questions sur le modèle et soumet son attestation de modèle.

Déploiement de modèle

L'objet Déploiement de modèle est un enfant de Modèle. Il est utilisé en tant qu'élément clé d'enregistrement du déploiement d'un ou de plusieurs modèles.

Entrée de modèle

Si une organisation souhaite adopter une approche plus granulaire de la documentation sur les modèles, l'objet Entrée de modèle offre la possibilité d'enregistrer les entrées. Les zones incluent le propriétaire, le type, l'état et la description de l'entrée. Un objet Entrée de modèle peut aussi être l'enfant d'un objet Sortie de modèle, ce qui permet de créer une chaîne de modèles de manière détaillée si l'approche Lien de modèle n'est pas suffisamment granulaire.

Lien de modèle

Si une organisation souhaite adopter une approche moins granulaire de la documentation du modèle, utilisez le lien de modèle, qui est une association de type large qui ne fournit pas de détails explicites sur le flux d'un modèle à un autre. Elle agit en tant qu'enfant de plusieurs modèles pour permettre la génération de chaînes de modèles.

Sortie du modèle

Si une organisation souhaite adopter une approche plus granulaire de la documentation sur les modèles, l'objet Sortie de modèle offre la possibilité d'enregistrer les sorties du modèle. L'objectif est d'enregistrer la description et la présentation de la sortie d'un point de vue de gouvernance.

Fiche de score de modèle

Les évaluations des risques liés au modèle sont effectuées pendant la phase de développement et de documentation d'un modèle. En général, elles sont également effectuées régulièrement une fois qu'un modèle est en production. Le type d'objet Model Scorecard est utilisé pour effectuer cette évaluation des risques. L'utilisateur répond à plusieurs questions sur le modèle. Les déclencheurs de la carte de score du modèle calculent un score de risque et déterminent le niveau du modèle.

Version du modèle

L'objet Version de modèle est un enfant de l'objet de modèle et un parent du déploiement de modèle. L'objet Version de modèle est facultatif. Si vous avez besoin de plus de détails lors de la génération de plusieurs versions d'un modèle, l'objet Version de modèle peut être utilisé comme objet intermédiaire.

Obligation

Le type d'objet Obligation représente les choses normalisées et harmonisées que vous devez accomplir pour être conforme à tous les objets de mandat, de sous-mandat et d'exigence associés de l'obligation.

Les objets Obligation remplissent deux objectifs principaux : ils traduisent le jargon juridique souvent difficile et opaque de Mandats / Sous-Mandats / Exigences en anglais, et ils utilisent la communité à travers de multiples Mandats / Sous-Mandats / Exigences. Par exemple, vous pouvez avoir de nombreux sous-mandats et exigences dans de nombreux Mandats qui nécessitent l'utilisation de mots de passe forts. Un objet Obligation unique peut documenter les détails des mots de passe forts. En se conformant à cette obligation unique, IT peut satisfaire de nombreux mandats, sous-mandats et exigences.

Généralement, les objets obligation sont représentés dans une structure d'entité métier de bibliothèque et ne sont pas répliqués dans tout le système.

Évaluation d'obligation

Une fois que les utilisateurs ont mappé des contrôles internes sur les obligations, les utilisateurs peuvent effectuer une évaluation de leur fonctionnement par rapport à l'obligation identifiée. Les utilisateurs peuvent évaluer l'efficacité opérationnelle et l'efficacité de la conception des contrôles dans le cadre d'un thème de conformité

Valeur d'évaluation d'obligation

Les valeurs d'évaluation d'obligation servent à inscrire la valeur réelle d'une obligation à un moment donné dans le cadre d'une évaluation de l'obligation.

Perte ORIC

Les objets Perte ORIC peuvent être importés depuis la base de données des pertes ORIC externe en vue de leur utilisation avec l'analyse de scénario, le benchmarking et la génération de rapports, et pour exporter des données de perte dans des outils analytiques ou des applications d'allocation de capital.

Perte ORX

Les objets Perte ORX peuvent être importés à partir de la base de données de pertes externes ORX pour être utilisés avec l'analyse de scénario, l'analyse comparative et la génération de rapports, et pour exporter des données de perte vers des outils analytiques ou des applications d'allocation de capital. Vous pouvez importer des données de perte ORX externes dans watsonx.governance Operational Risk Management à utiliser avec l'analyse de scénario.

Plan, Feuille de temps

Un type d'objet Plan facilite la planification des ressources d'audit et leur allocation à n'importe quel niveau. Par exemple, vous pouvez créer un objet Plan unique pour un audit entier ou créer un objet Plan par tâche pour chaque auditeur impliqué dans l'audit. Les objets Plan sont utilisés pour déterminer la disponibilité, les compétences et l'expérience requises de la ressource de votre choix. Les vues d'audit, les rapports, etc., sont alignés sur la planification au niveau de l'audit. A la place, les plans peuvent être associés à des sections d'audit, auquel cas ces composants doivent être modifiés.

Les objets Plan effectuent aussi le suivi temporel (toutes les données temporelles sont suivies dans des plans). Un type d'objet Feuille de temps est utilisé pour enregistrer toutes les semaines les heures réelles et les dépenses engagées pour un objet Plan pour un audit. Etant donné que les objets Feuille de temps sont associés à des plans, il est facile d'assurer le suivi des écarts entre le temps et les dépenses planifiés et réels.

En général, vous créez ou modifiez un objet de plan à l'aide de l'auxiliaire d'ajout ou de modification de plans, auquel les propriétaires d'audit peuvent accéder à partir d'un lien dans la vue des tâches d'audit. Vous pouvez également modifier les plans (mais pas les créer) en accédant à l'option de menu Gestion des audits > Plans.

Vous devez toujours utiliser les auxiliaires Feuilles de temps pour entrer, modifier et approuver les données de temps et de dépenses. Les informations relatives aux feuilles de temps peuvent être consultées en accédant à l'élément de menu Gestion des audits > Feuilles de temps. Vous pouvez également ajouter les auxiliaires Feuilles de temps à un onglet Rapports sur votre tableau de bord.

Règle

Les politiques représentent des lignes directrices internes qui sont adoptées par le conseil d'administration ou le cadre supérieur de gouvernance au sein d'une organisation. Le texte d'une règle peut être stocké dans des zones normalisées dans l'objet ou sous forme de pièce jointe à un objet. En général, les règles ont un cycle de vie distinct, de Brouillon à Publié, à Expiré, ainsi qu'un processus de revue et d'approbation. Les ébauches de règle se trouvent généralement dans la hiérarchie métier organisationnelle, alors que les règles publiées et arrivées à expiration se trouvent généralement dans des entités de bibliothèque de référence. Les règles sont aussi souvent mappées à des mandats applicables dans la bibliothèque à laquelle elles sont liées.

Commentaire de la revue de règle

Les commentaires de revue de règle prennent en charge et facilitent le processus de revue et d'approbation des règles et des procédures par des experts de domaine et le personnel en charge de la conformité.

Préférence, Groupe de préférences

L'objet Préférence est un enfant d'une entité métier ou d'un groupe de préférences et inclut des valeurs de variable qui peuvent générer des rapports, des flux de travaux et des zones calculées. Il comporte des valeurs de variable propres à une entité qui activent un comportement différent pour les mêmes flux de travaux. Par exemple, définissez des valeurs de variable afin de déterminer le comportement pour les flux de travaux de revue et d'approbation, comme les utilisateurs appropriés à chaque niveau de revue et d'approbation, et les seuils déterminant le nombre de niveaux de revue et d'approbation qui sont requis.

Le groupe de préférences est utilisé pour regrouper des objets Préférence. Sans cet objet de regroupement, chaque objet Préférence doit être associé séparément à chaque entité métier pertinente. Le groupe de préférences permet de réduire le travail de maintenance associé.

Dans la configuration watsonx.governance Gestion de l'audit interne par défaut, ces objets sont utilisés pour contenir les pondérations des facteurs de risque utilisés dans le classement des risques de l'évaluation annuelle. Etant donné que les poids et les facteurs peuvent être différents pour chaque type d'audit (par exemple financier, opérationnel ou stratégique), créez une instance de préférence distincte pour chaque type d'audit. En tant qu'enfant de l'entité métier, cette approche permet d'avoir des valeurs de variable propre à une entité.

Dans la configuration watsonx.governance Model Risk Governance par défaut, ces objets sont utilisés pour identifier les participants dans divers flux de travaux MRG et pour configurer les paramètres dans la configuration de la fiche de score de risque de modèle.

Procédure

Les procédures représentent quoi, où, quand et comment les politiques sont mises en œuvre dans une organisation. Le texte des procédures est généralement stocké dans les zones de l'objet. En général, les procédures sont représentées en tant qu'enfant d'une règle et se trouvent dans la même structure d'entité que leur règle parent.

Processus

Les processus représentent les principales activités métier de bout en bout au sein d'une entité métier à risque. Ils se trouvent dans des zones telles que la génération de rapports financiers, la conformité et la sécurité des informations. Par exemple, les processus dans le service des comptes client (commande à encaissement par exemple) peuvent être améliorés avec des contrôles afin d'assurer une protection contre les risques liés à la génération de rapports financiers, comme un comportement frauduleux ou des inexactitudes dans les rapports financiers.

Dans la solution de gestion de l'audit interne, les processus sont également utilisés dans les audits de portée. Les audits peuvent copier les processus qui sont créés par l'entité métier, ou créer leurs propres processus.

Éval du processus

Les objets Evaluation de processus sont des enfants d'objets Processus et sont utilisés pour capturer les valeurs de mesure de processus afin d'établir des tendances.

Lorsque les périodes de génération de rapports ne correspondent pas aux cycles d'évaluation, vous pouvez utiliser des objets Evaluation du processus pour capturer plusieurs cycles d'évaluation dans une période de génération de rapports unique.

Produit

Ce type d'objet est un enfant du type d'objet Objectif stratégique et est utilisé pour représenter les produits.

Programme

Les objets Programme sont utilisés conjointement avec les modèles de questionnaire pour implémenter les évaluations de questionnaire. Lorsqu'un administrateur lance un programme, des évaluations de questionnaire sont créées. Un programme est associé à des actifs sous-jacents, aux évaluations de questionnaire qu'il a créées et au modèle de questionnaire sur lequel il est basé. Le programme fournit une entrée pour le flux de travaux.

Projet

Un projet est conçu pour classer les tâches réglementaires dans un projet de conformité global. Par exemple, il peut s'avérer nécessaire de gérer des changements de réglementation dans l'infrastructure de conformité. Les utilisateurs peuvent créer un projet pour identifier et affecter des tâches.

Evaluation de questionnaire

Les objets Evaluation de questionnaires constituent un moyen de collecter des informations auprès des utilisateurs métier dans l'organisation. Des évaluations de questionnaire sont créées lorsqu'un programme est lancé. Les évaluations de questionnaire sont associées à des actifs sous-jacents, au programme qui les a lancées et au modèle de questionnaire sur lequel elles sont basées. Les évaluations de questionnaire sont utilisées par un flux de travaux pour faciliter un processus de révision.

Modèle de questionnaire, modèle de section, modèle sous-section et modèle de question

Les objets Modèle de questionnaire, Modèle de section, Modèle de sous-section et Modèle de question sont utilisés conjointement avec les programmes pour implémenter les évaluations de questionnaire. Les objets Modèle de questionnaire sont des objets parent et classent des objets Modèle de section. Ces derniers sont des enfants des objets Modèle de questionnaire et classent des objets Modèle de sous-section. Les objets Modèle de sous-section sont des enfants des objets Modèle de section parent et classent des objets Modèle de question. Ces derniers contiennent des questions et des choix de réponses.

RapidRatings Evaluations

RapidRatings Les objets de classement sont utilisés avec le connecteur RapidRatings dans watsonx.governance Third-Party Risk Management. Les RapidRatings objets de classement stockent des évaluations financières et sont des enfants d'objets fournisseur.

Reg-Track Événements de réglementations

L'objet Evénement de réglementation Reg-Track permet l'ingestion directe des flux d'événements de réglementation de Reg-Track dans watsonx.governance Regulatory Compliance Management.

Série d'événements de réglementation Reg-Track

L'objet Série d'événements de réglementation Reg-Track est une collection d'événements de réglementation Reg-Track auxquels le même ID de série Reg-Track a été affecté dans le flux Reg-Track . Le regroupement d'événements de réglementation Reg-Track au sein de la série d'événements de réglementation Reg-Track permet de suivre les changements depuis l'étape proposée jusqu'à l'étape finale de l'évolution des changements réglementaires.

Applicabilité de la réglementation

L'objet Applicabilité de la règle réside dans la hiérarchie métier organisationnelle. Il évalue l'impact réglementaire d'un mandat de la bibliothèque sur une entité métier, et en assure le suivi.

Régulateur

L'objet Régulateur fait partie de la fonction de gestion des interactions de la réglementation et permet aux organisations de créer un inventaire unique de tous les organismes de réglementation avec lesquels elles interagissent. En général, les organismes de réglementation sont créés dans une entité métier de bibliothèque de référence. Cet objet est un enfant d'une entité métier et peut être associé à des mandats et à des interactions avec l'organisme de réglementation.

Interaction avec l'organisme de réglementation

L'objet Interaction avec l'organisme de réglementation fait partie de la fonction de gestion des interactions de la réglementation. L'objet Interaction avec l'organisme de réglementation permet de gérer les interactions, la communication, le travail interne, la revue et les approbations qui sont associés à des organismes de réglementation externes tels que les demandes d'informations, les soumissions, les dépôts, les examens et les réunions. Pour les interactions complexes telles que les examens, vous pouvez utiliser les objets Composant IR et Sous-composant IR pour fractionner l'interaction en composants plus petits ou effectuer le suivi des demandes d'informations complémentaires de l'organisme de réglementation. Une interaction avec l'organisme de réglementation peut être mappée aux objets parent suivants : Organisme de réglementation, Mandat, Sous-mandat, Exigence, Règle, Procédure et Contrôle. Ces associations de parent permettent à un utilisateur de lier des objets traités dans l'interaction avec l'organisme de réglementation et d'identifier les utilisateurs qui sont pertinents pour ces objets et qu'il pourrait être nécessaire de consulter dans le cadre de la réponse à l'organisme de réglementation. Les tâches individuelles liées à la gestion et à la réponse de l'interaction du régulateur peuvent être affectées aux utilisateurs par l'intermédiaire des objets enfant de la tâche de réglementation.

Changement réglementaire

L'objet Modification à la réglementation fait partie de la capacité de gestion du changement réglementaire. Il permet d'assurer le suivi des changements réglementaires, d'évaluer l'impact d'un changement sur l'organisation, de communiquer le changement en interne aux personnes appropriées et d'exécuter des processus internes en réponse au changement.

Les modifications réglementaires résident généralement dans l'entité métier de la bibliothèque et peuvent être associées directement à l'événement de réglementation, au mandat, au sous-mandat ou à l'exigence qui a été modifié. Le triage du changement réglementaire est effectué via l'affectation d'objets Tâche réglementaire enfant.

Pour les organisations qui reçoivent un flux d'événements de réglementation, les utilisateurs peuvent créer plusieurs objets de changement réglementaire et initier des flux de travaux à partir de l'ingestion d'un événement de réglementation en fonction des règles créées dans le moteur de règles.

Événements de réglementations

L'objet d'événement de réglementation est utilisé avec watsonx.governance Regulatory Compliance Management (RCM). Le type d'objet Evénement de réglementation permet l'ingestion directe de flux d'événements de réglementation à l'aide de l'API REST ou d' IBM AppConnect dans RCM. Avec le moteur de règles, le type d'objet Evénement de réglementation prend en charge la génération automatisée de flux de travaux qui affectent des événements de réglementation entrants aux utilisateurs en fonction des points de données fournis. Les documents qui sont impactés par les changements réglementaires sont également pris en charge. Ces fonctions permettent d'affecter des tâches de manière efficace aux utilisateurs pour qu'ils puissent répondre efficacement aux changements réglementaires et s'y préparer. Un événement de réglementation peut être un enfant d'une entité métier, d'un contrôle, d'un mandat, d'un sous-mandat, d'une exigence, d'une règle ou d'une procédure. Les utilisateurs peuvent créer des objets de changement réglementaire en tant qu'enfants d'événements de réglementation.

Remarque: Si vous utilisez un fournisseur de données, consultez le type d'objet d'événement de réglementation pour ce flux, tel que le type d'objet d'événement de réglementation Reg-Track .

Initiative réglementaire

L'objet Initiative réglementaire est un enfant d'Entité métier et il capture des informations descriptives sur les réglementations qui s'appliquent à une organisation. Les initiatives réglementaires regroupent un grand nombre de réglementations. Par exemple, la lutte contre le blanchiment d'argent peut être une initiative réglementaire qui inclut plusieurs réglementations contre le blanchiment d'argent auxquelles les organisations doivent se conformer.

Tâche réglementaire

L'objet Tâche de réglementation est utilisé pour affecter des tâches aux utilisateurs lorsque la tâche est associée à l'un des objets parent suivants: Projet, Stratégie, Changement réglementaire, Interaction avec l'organisme de réglementation, Composant IR ou Sous-composant IR. Une tâche réglementaire peut également être associée à une entité métier.

Condition requise

L'objet Exigence détaille les exigences spécifiques trouvées dans l'objet associé Mandat ou Sous-mandat que l'organisation doit satisfaire pour être en conformité.

Le contenu peut être extrait d'UCF, Ascent Reg Techou d'autres fournisseurs tiers. En général, les exigences sont représentées dans une structure d'entité métier de bibliothèque et ne sont pas répliquées sur tout le système.

Pour Ascent Reg Tech, une exigence est créée pour chaque tâche entrante.

Evaluation des exigences

Après avoir mappé des contrôles internes aux exigences qui résultent des réglementations, les utilisateurs peuvent évaluer s'ils se comportent correctement par rapport à une exigence donnée. Ils peuvent évaluer l'efficacité des contrôles du point de vue de leur fonctionnement et de leur conception, dans le cadre d'un thème de conformité.

Valeur d'évaluation d'exigence

Les valeurs d'évaluation d'une exigence sont utilisées pour enregistrer la valeur réelle de l'exigence à un instant donné dans le cadre d'une évaluation d'exigence.

Version de l'exigence

L'objet Version d'exigence détaille les versions précédentes et futures du texte réglementaire d'exigence. L'objet Version de l'exigence est un enfant de l'exigence. L'objet Version d'exigence assure le suivi des changements réglementaires au fil du temps. Les versions antérieures peuvent aider à réviser une exigence à un moment donné. Les versions futures permettent à l'utilisateur de se préparer au futur changement de texte réglementaire et de commencer son analyse d'impact.

Réviser

L'objet Revue permet d'enregistrer la planification et les résultats d'une activité de revue de modèle. Il s'agit de l'enfant des objets Modèle de déploiement et Modèle. Cet objet a pour but de capturer les résultats des revues effectuées avant l'implémentation et après l'implémentation ou exécutées par la deuxième ou troisième ligne de défense.

Composant IR

L'objet de composant RI (anciennement appelé catégorie RI) fait partie de la fonction de gestion des interactions de l'organisme de réglementation et est utilisé comme niveau intermédiaire du modèle d'objet à trois niveaux (interaction entre les régulateurs, le composant RI et le sous-composant RI). Il permet de fractionner une interaction avec l'organisme de réglementation complexe en petits enregistrements plus gérables ou de lier une demande d'informations complémentaires d'un organisme de réglementation à l'objet Interaction avec l'organisme de réglementation parent. De plus, le composant IR peut être mappé aux objets parent suivants : Mandat, Sous-mandat, Exigence, Règle, Procédure et Contrôle. Ces associations permettent à un utilisateur de lier des objets traités et d'identifier les utilisateurs qui sont pertinents pour ces objets et qu'il peut être nécessaire de consulter dans le cadre de la réponse à l'organisme de réglementation. Des tâches individuelles liées à la gestion de l'interaction avec l'organisme de réglementation et à la réponse à cette interaction peuvent être affectées à des utilisateurs par le biais d'objets enfant Tâche réglementaire.

Sous-composant RI

L'objet Sous-composant RI (anciennement appelé Demande RI) fait partie de la fonction de gestion des interactions de l'organisme de réglementation et est utilisé comme dernier niveau du modèle d'objet à trois niveaux (interaction entre les régulateurs, le composant RI et le sous-composant RI). Il permet de fractionner une interaction avec l'organisme de réglementation et un composant IR en petits enregistrements plus gérables. De plus, un sous-composant IR peut être mappé aux objets parent suivants : Mandat, Sous-mandat, Exigence, Règle, Procédure et Contrôle. Ces associations permettent à un utilisateur de lier des objets traités et d'identifier les utilisateurs qui sont pertinents pour ces objets et qu'il peut être nécessaire de consulter dans le cadre de la réponse à l'organisme de réglementation. Des tâches individuelles liées à la gestion de l'interaction avec l'organisme de réglementation et à la réponse à cette interaction peuvent être affectées à des utilisateurs par le biais d'objets enfant Tâche réglementaire.

Risque

Les risques sont des responsabilités potentielles. Ils peuvent être associés à des processus métier, des entités métier ou une conformité à un mandat. Chaque risque possède des contrôles qui servent de protection contre le risque. Les contrôles permettent de limiter les conséquences résultant du risque. Utilisez l'objet Risque pour catégoriser les risques, capturer la fréquence, établir un classement et déterminer la gravité des données de risque observées et calculées, et afficher des rapports afin d'identifier les risques principaux. Par exemple, un compte de trésorerie comporte un processus appelé Paie. L'un des risques potentiels pouvant survenir pour la paie est un versement en double de la paie ou la création d'un versement de paie fictif. L'identification des risques dans les processus est essentielle dans le cadre du développement d'un projet de documentation des contrôles financiers.

Dans la solution de gestion de l'audit interne, un risque partagé entre un audit interne et l'entreprise peut être évalué séparément.

Évaluation des risques

Les évaluations des risques vous permettent d'évaluer et de déclarer les responsabilités potentielles d'un ensemble d'entités ou de processus métier. Un objet Evaluation de risque contient le nom de l'assesseur et le nom du réviseur, les délais d'évaluation et le statut de l'évaluation. Utilisez l'évaluation de risque pour gérer le processus d'auto-évaluation de risque. Associez des objets Risque à une évaluation de risque afin de créer un lien entre l'entité métier et les risques. Par exemple, créez une évaluation de risque pour évaluer les risques opérationnels, comme le vol et la fraude, la fraude interne, les dégâts matériels ou l'interruption de l'activité.

Estimation de l'évaluation de risque

Les objets Estimation de l'évaluation des risques sont similaires aux objets Évaluation des risques, sauf qu'ils sont instanciés en tant qu'enfants d'évaluations des risques. Ils stockent les données d'évaluation de risque.

Evaluation de risque

Les objets d'évaluation des risques sont des enfants d'objets de risque et ils sont utilisés pour capturer les valeurs de mesure des risques à des fins de tendance. Souvent, les périodes de génération de rapports ne correspondent pas aux cycles d'évaluation de risque et par conséquent, les objets Evaluation de risque peuvent être utilisés pour capturer plusieurs cycles d'évaluation dans une période de génération de rapports unique.

RiskRecon Evaluations

RiskRecon Les objets de classement sont utilisés avec le connecteur RiskRecon dans watsonx.governance Third-Party Risk Management. Les objets RiskRecon Ratings stockent les évaluations et les scores des fournisseurs aux niveaux de la catégorie et de la sous-catégorie. Les RiskRecon objets de classement sont créés sous /BusinessEntity/Library/VRM/VRMLibrary/RiskRecon et sont des enfants d'objets fournisseur.

Analyse du scénario

L'analyse de scénarios (SA) est une technique d'évaluation qui permet d'identifier et de mesurer l'occurrence potentielle d'événements de risque opérationnel ou d'évaluer la résilience opérationnelle. Contrairement aux évaluations des risques opérationnels classiques, il s'agit d'une analyse s'interrogeant sur des hypothèses.

L'analyse de scénarios est conçue pour établir des évaluations raisonnées de la probabilité et de l'impact des pertes opérationnelles plausibles ou pour analyser la résilience opérationnelle. Vous pouvez utiliser le processus d'analyse de scénario dans Governance console pour construire des analyses de scénario et collecter des données qualitatives et quantitatives à l'appui. Dans chaque analyse de scénario, vous pouvez enregistrer une plage d'estimations de fréquence et de gravité dans des compartiments, ainsi que des informations utiles pour l'évaluation.

Dans watsonx.governance Operational Risk Management (ORM), l'analyse de scénario est souvent utilisée pour identifier et mesurer les événements avec une fréquence faible mais des pertes de gravité élevée, par exemple les catastrophes naturelles, le terrorisme ou les traders voyous. En plus de ses éléments qualitatifs, l'analyse de scénarios est souvent utilisée comme entrée directe dans l'estimation du capital de risque opérationnel d'une entreprise. Les analyses de scénario sont généralement créées pour les entités métier et affectées à une catégorie de risque. Vous pouvez également associer les données ORM, par exemple les évaluations de risque, les événements de pertes pertinents, les pertes ORIC, les pertes ORX et les risques.

Dans watsonx.governance Business Continuité Management (BCM), l'analyse de scénario est utilisée pour identifier et mesurer des scénarios graves, mais plausibles, qui pourraient perturber des services métier importants afin de tester la probabilité de la capacité de reprise du service métier dans les limites des tolérances d'impact établies. Les objets d'analyse de scénario sont créés en tant qu'objets enfant d'objets de service métier. Les résultats d'une analyse de scénario sont stockés dans un objet de résultat de scénario.

Résultat du scénario

Les objets Résultat du scénario sont des enfants d'objets Analyse de scénario. Ils sont utilisés pour capturer les résultats des ateliers d'analyse de scénario en vue de la comparaison et de l'établissement de tendances.

Dans watsonx.governance Gestion de la continuité des opérations, un objet Résultats du scénario est créé dans le cadre de la dernière action du flux de travaux Analyse de scénario.

Signature

En général, une signature indique que vous approuvez l'objet. Elle n'a pas de pouvoir coercitif et n'empêche pas la modification de l'élément après son approbation.

Les signatures (avec ou sans verrous associés) sont appliquées à un objet à partir de la vue de tâche d'un objet.

Si des verrous de signature sont configurés sur votre système, lorsque vous validez un objet, l'objet et tous ses objets enfant associés sont verrouillés et ne peuvent pas être modifiés tant que vous ne révoquez pas votre signature ou tant qu'un administrateur ne déverrouille pas l'objet.

Objectif stratégique

Ce type d'objet est utilisé pour représenter les objectifs ESG d'une organisation. Le type d'objet inclut des zones pour le domaine ESG et les objectifs. Le type d'objet Objectif stratégique a un parent: Entité métier.

Sous-compte

Un sous-compte représente un poste plus petit et plus ciblé qui fait partie d'un compte parent plus grand (ou d'un autre sous-compte). Chaque objet Sous-compte peut être associé à des objets Compte ou Sous-compte parent.

Sous-mandat

Les sous-mandats représentent des sous-éléments externes (ou internes) auxquels l'organisation doit se conformer. Le contenu peut être extrait de fournisseurs tiers, notamment UCF, Ascent Reg Techet Wolters Kluwer. En général, les sous-mandats sont représentés dans une structure d'entité métier de bibliothèque et ne sont pas répliqués sur tout le système. Le sous-mandat est récursif, mais le contenu Deloitte, UCF, Ascent Reg Techet Wolters Kluwer utilise exactement un niveau de sous-mandat. Les sous-mandats prennent également en charge le contenu de la conformité aux réglementations. Ils peuvent être utilisés pour représenter les paragraphes dérivés des documents de réglementation.

Sous-processus

Un sous-processus est un composant d'un processus. Il est utilisé pour diviser les processus en unités plus petites à des fins d'évaluation. Par exemple, un processus financier de type commande à encaissement peut être composé de plusieurs sous-processus (par exemple, de comptabilité fournisseur, d'achat ou de comptabilité générale). Ces sous-processus peuvent exposer l'entité métier à un risque et peuvent être améliorés à l'aide de contrôles.

Dans la solution Internal Audit Management, cet objet n'est pas utilisé dans la portée de l'audit, mais peut être utilisé pour documenter les détails du processus.

Sous-traitant

Les objets Sous-traitants sont des objets enfant des objets Fournisseur. Un sous-traitant représente une partie d'un service fourni par un fournisseur. Le sous-traitant est un type d'objet facultatif. Les sous-traitants peuvent faire l'objet d'évaluations de questionnaire, d'évaluations de risque ou de hiérarchisation. Vous pouvez récapituler et analyser les risques associés à différents sous-traitants. Vous pouvez ajouter une association parent au processus ou au sous-processus pris en charge par un sous-traitant.

Plan d'audit récapitulatif

Le type d'objet Plan d'audit récapitulatif permet à un bureau de programme de planifier des audits d'entités auditables pour une période prédéterminée (annuelle, semestrielle ou trimestrielle) par portée, profil de risque, heures prévisionnelles d'audits, etc.

L'objet Plan d'audit récapitulatif est un enfant de l'entité métier. Les enfants du plan d'audit récapitulatif incluent: Audit et Entité auditable.

Supply Wisdom

L'objet Supply Wisdom stocke les évaluations de risque des fournisseurs importés depuis Supply Wisdom. Le type d'objet Supply Wisdom a un parent, le fournisseur.

Supply Wisdom Alerte parent

L'objet d'alerte parent Supply Wisdom stocke les données d'alerte qui sont importées depuis Supply Wisdom. L'importation crée des objets d'événement de continuité des opérations pour les données d'alerte entrantes et associe les alertes aux objets fournisseur et emplacement correspondants dans Governance console.

Système

System est un type d'objet autonome, ce qui signifie que des dossiers sont créés pour chaque objet système. L'objet Système regroupe plusieurs versions de référence pour représenter les éléments de l'environnement d'exploitation qui peuvent être évalués pour le risque. Il agit en tant que conteneur pour une collection d'objets d'actif et les risques, contrôles et exigences associés qui, ensemble, exécutent une fonction ou constituent un service informatique. Par exemple, un objet Système peut représenter les serveurs, les systèmes d'exploitation, les applications, les bases de données, le personnel de support et les installations qui fournissent la messagerie d'entreprise.

Equipe

Le type d'objet Equipe permet à l'organisation de classer les groupes qui prennent en charge le processus de continuité des opérations ou qui sont impactés dans le cadre de la planification de la continuité des opérations. L'objet Equipe peut être utilisé pour identifier les membres clés de l'équipe, le secteur d'activités et l'emplacement et peut être associé à l'objet Employé ou Plan de continuité des opérations.

Plan de Test

Un plan de test est un conteneur pour les tests qui peut être associé à des objets Contrôle parent et des objets enfant, tels que Résultats de test et Problèmes. Déterminez l'efficacité opérationnelle d'un contrôle en effectuant des tests détaillés, puis en documentant les résultats. Les plans de test décrivent les mécanismes qui déterminent si un contrôle est efficace. Voici un exemple de contrôle : Les ressources humaines autorisent la modification du statut d'un employé. Vous pourriez effectuer le test suivant pour ce contrôle : Vérifier le tampon d'autorisation des ressources humaines sur les nouveaux enregistrements d'employé. Ce test vérifie que le nouveau contrôle est implémenté et appliqué.

La configuration par défaut de la gestion de l'audit interne utilise l'objet de document de travail à la place du plan de test et du résultat de test. L'objet Audit requiert l'accès à ces objets car ils sont souvent utilisés pour documenter le test.

Résultat du test

Un résultat de test correspond aux informations obtenues suite à l'exécution d'un plan de test.

La configuration par défaut de la gestion de l'audit interne utilise l'objet de document de travail à la place du plan de test et du résultat de test. L'objet Audit requiert l'accès à ces objets car ils sont souvent utilisés pour documenter le test.

Menace

Une menace est une circonstance ou un événement susceptible d'avoir un impact négatif sur les opérations et les actifs de l'organisation. Une bibliothèque de menaces peut être créée sous l'objet Entité métier et associée ou copiée dans un objet Processus, Système ou Actif parent. Les menaces peuvent également être associées à des vulnérabilités pour identifier et évaluer la probabilité et l'impact de l'exploitation d'une vulnérabilité par une menace, ce qui entraînerait un risque pour un actif, un système ou un processus.

Cas d'utilisation

L'objet Cas d'utilisation est un enfant d'Entity et un parent de l'objet Modèle. L'utilisation de l'objet Cas d'utilisation est facultative. Son objectif principal est de collecter des informations sur un cas d'utilisation pour des modèles.

Révision du cas d'utilisation

L'objet Revue de cas d'utilisation est un enfant de Cas d'utilisation. Son objectif principal est de capturer les informations d'approbation de diverses parties prenantes du cas d'utilisation parent, telles que les noms des réviseurs, les évaluations des risques et les commentaires de l'examen.

Fournisseur

Un vendeur représente une société tierce à laquelle une entreprise achète des biens ou des services. Les fournisseurs peuvent avoir quatre types d'objets enfants : Filiale du fournisseur, SubContractors, Engagements et contrats. Ils peuvent faire l'objet d'évaluations de questionnaire, d'évaluations de risque ou d'une hiérarchisation. Vous pouvez résumer et analyser le risque associé à différents fournisseurs. Vous pouvez ajouter une association parent au processus ou au sous-processus pris en charge par un fournisseur.

Si vous utilisez Supply Wisdom, l'objet fournisseur a également l'objet Supply Wisdom comme objet enfant.

Les évaluations de fournisseur peuvent être importées de SecurityScorecard ou Supply Wisdom à l'aide des connecteurs.

Filiale du fournisseur

Une filiale de fournisseur représente une filiale d'un fournisseur auprès de laquelle une entreprise achète des biens ou des services. Vendor Filiale est un type d'objet facultatif. Vendor Filiale est un enfant de Vendor. La filiale fournisseur peut avoir trois types d’objets enfants : SubContractor, Engagements et contrats. La filiale du fournisseur peut faire l'objet d'évaluations de questionnaire, d'évaluations de risque ou de hiérarchisation. Vous pouvez récapituler et analyser les risques associés aux différentes filiales de fournisseur. Vous pouvez ajouter une association parent au processus ou au sous-processus pris en charge par une filiale du fournisseur.

Vulnérabilité

Les vulnérabilités vous permettent de suivre et d'évaluer les faiblesses de sécurité. Vous affectez des scores aux vulnérabilités avec l'outil CVSS (Common Vulnerability Scoring System) version 2. L'objet parent d'une vulnérabilité peut être un système, un incident, un actif ou un risque. En général, vous importez les vulnérabilités depuis une solution de sécurité liée à la technologie de l'information.

Dérogations

Les dispenses vous permettent de documenter, de traiter et de gérer le cycle de vie des exceptions aux règles, aux exigences ou aux contrôles. Des dispenses peuvent être associées à des entités métier, des stratégies, des procédures, des exigences, des risques, des contrôles, des versions de référence et des actifs.

Evénements de réglementation Wolters Kluwer

L'objet WK Regulatory Event permet l'ingestion directe des flux d'événements de réglementation de Wolters Kluwer dans watsonx.governance Regulatory Compliance Management.

Document de travail

Un document de travail est un artefact ou un livrable que vous voulez suivre dans le cadre d'une vérification. Il peut s'agir d'une lettre de mission, d'une matrice de test, de notes d'entretien ou de tout document pertinent pour l'audit en question. Le document de travail lui-même peut être des attributs stockés sur l'objet de document de travail, ou il peut s'agir d'un fichier Microsoft Word, Microsoft Excel ou d'un autre type de fichier associé à un objet de document de travail. Lorsque le document de travail est utilisé comme preuve de test, il documente la planification du test et les résultats du test.

Créez un objet Workpaper à partir de la vue de tâche d'une section d'audit. Les objets Document de travail peuvent aussi être copiés depuis une bibliothèque, où ils représentent des modèles de différents types de documents de travail générés par un service d'audit interne.