Le mode de calcul du risque résiduel permet de préciser comment la valeur du risque résiduel a été obtenue.

 

risque résiduel = risque absolu - risque absolu*(évaluation globale des contrôles/100)

 

L'évaluation globale des contrôles peut être :

- la valeur 1 si aucune évaluation n'est disponible. Dans ce cas, le risque résiduel est égal au risque absolu.

- le coefficient de maîtrise spécifié directement sur le risque par le gestionnaire de risques ). C'est le cas si aucune autre information n'est disponible sur les contrôles associés au risque

- une moyenne de l'évaluation de chacun des contrôles reliés au risque

 

L'évaluation de chacun des contrôles peut être définie par :

- l'évaluation globale du contrôle définie par le gestionnaire de risques

- ou la moyenne des tests du contrôle calculée à partir des résultats des questionnaires envoyés aux différentes parties prenantes pour évaluer l'efficacité du contrôle.

 

Pour chaque contrôle, la priorité dans le calcul est donnée à l'évaluation la plus précise.

- Ainsi, si une moyenne des tests du contrôle issue de questionnaires est disponible, c'est celle-ci qui est prise en compte.

- S'il n'y en a pas, mais qu'il existe une évaluation globale du contrôle spécifiée par le gestionnaire de risque, c'est celle-ci qui est prise en compte.

- Si rien n'est spécifié sur le contrôle, mais que le coefficient de maîtrise du risque a été renseigné par le gestionnaire de risque, c'est cette valeur qui est prise en compte.

- Si le coefficient de maîtrise n'est pas renseigné, la valeur 1 est prise en compte

 

Ce calcul peut être modifié dans la macro "Risk Level Residual Matrix".