Evaluation des risques par questionnaires
HOPEX Enterprise Risk Management permet de réaliser des évaluations sur vos risques à partir de questionnaires standards. Vous pouvez de cette façon augmenter l’efficacité de vos dispositifs de contrôles internes et réduire vos risques.
Les questionnaires d’évaluation sont envoyés aux destinataires appropriés grâce à des modes de déploiement personnalisables.
Accéder aux fonctionnalités d’évaluation
Selon le profil de l’utilisateur, vous pouvez accéder aux fonctionnalités d’évaluation à partir de différents menus.
|
Profil
|
Action
|
Menu
|
|
Administrateur fonctionnel
|
- Assigner les rôles aux personnes de l’entreprise.
- Définir l’organisation (entités, processus,...)
- Déterminer les répondants (qui sont les évaluateurs des risques pour chaque entité)
|
Environnement
Administration
|
|
Risk Manager
|
- Création des campagnes d’évaluation
- Création des sessions d’évaluation
- Suivi des sessions d’évaluation
|
Risque > Gestion des campagnes
|
|
Evaluateur de risque
|
- Accepter ou refuser un questionnaire
- Répondre au questionnaire
|
Risque > Accueil > Mon bureau > Mes responsabilités > Mes questionnaires d’évaluation
|
Le modèle d’évaluation de HOPEX Enterprise Risk Management
Avant de créer une session d’évaluation, vous devez au préalable avoir créé une campagne d’évaluation et défini son périmètre.
Le périmètre d’une session d’évaluation est défini en précisant :
• La liste des objets à évaluer et des caractéristiques à évaluer sur chacun de ces objets
• Le contexte de l'évaluation : quelles entités, etc.
• La période de l'évaluation
Ce périmètre est défini de manière générique au niveau d’une campagne d’évaluation par un modèle d’évaluation.
Un modèle d'évaluation sert de modèle pour la construction de campagnes et de sessions d'évaluations. Le modèle d'évaluation définit le périmètre de l'évaluation, le modèle de questionnaire à utiliser, et éventuellement les schémas d'agrégation à appliquer pour l’ interprétation des résultats globaux.
Toutes les sessions d’une même campagne portent donc sur un périmètre globalement identique.
Il reste possible au responsable de la session de retirer ou d’ajouter des éléments au périmètre spécifique d’une session.
Accéder au modèle d’évaluation
Un modèle d’évaluation est proposé en standard avec HOPEX Enterprise Risk Management. Son objectif est d’obtenir une évaluation des risques par rapport à une entité.
Pour accéder au modèle d’évaluation :
Cliquez sur
Risque > Gestion des campagnes > Direction des campagnes > Préparation > Modèles d’évaluation.
Le modèle d’évaluation "Evaluation de risque" apparaît.
Ce modèle est le même que celui utilisé dans le cadre de l’évaluation directe.
Le modèle d’évaluation proposé utilise :
• des caractéristiques évaluées
• un modèle de questionnaire
Les caractéristiques évaluées
Une caractéristique évaluée définit ce que l'évaluation cherche à évaluer. Elle peut être associée à une MetaClasse et précisément à l'un de ses MetaAttributs, par exemple : Metaclasse Risque, MetaAttribut: Probabilité.
Pour accéder à la liste des caractéristiques évaluées proposées en standard par HOPEX Enterprise Risk Management :
Dans le bureau
Risque, cliquez sur
Gestion des campagnes > Direction des campagnes > Préparation > Caractéristiques évaluées.
La liste des caractéristiques apparaît dans la fenêtre d’édition.
Ces caractéristiques portent sur la valeur des attributs des risques.
Pour chacun de ces attributs, la caractéristique évaluée peut porter sur la valeur brute, la valeur maximum ou la moyenne.
• Impact : caractérise l’impact du risque lorsqu’il se manifeste
• Probabilité : caractérise la probabilité que le risque se manifeste
• Risque inhérent : permet de donner une appréciation des conséquences du risque.
Le risque inhérent (ou brut) désigne le risque auquel l’organisation est exposée en l’absence de mesures prises pour modifier la probabilité d’occurrence ou l’impact de ce risque. Il s’agit du produit de la valeur de l’impact par la valeur de la probabilité avant prise en compte des mesures de prévention ou d’atténuation du risque.
• Niveau de contrôle : cette caractéristique donne une appréciation globale du niveau de maîtrise du risque.
• Risque Net : est la différence entre le Risque inhérent et le Niveau de contrôle.
Le modèle de questionnaire
Un modèle de questionnaire représente la définition du contenu d'un questionnaire : groupe de questions, questions, réponses uniques ou multiples et réponses possibles. Il peut être associé à une présentation du questionnaire qui précise les options d'affichage. Les questionnaires envoyés aux évaluateurs sont générés depuis la définition fournie dans le modèle du questionnaire.
Pour accéder au modèle de questionnaire proposé en standard par HOPEX Enterprise Risk Management :
Dans le bureau
Risque, cliquez sur
Gestion des campagnes > Direction des campagnes > Préparation > Modèles de questionnaire.
Ce modèle de questionnaire porte sur l’évaluation des risques uniquement à partir des caractéristiques suivantes :
• Impact : caractérise l’impact du risque lorsqu’il se manifeste
• Probabilité : caractérise la probabilité que le risque se manifeste
• Niveau de contrôle : caractérise le niveau d’efficacité des éléments de maîtrise déployés (contrôles) pour atténuer le risque
Détail du modèle d’évaluation
Un modèle d'évaluation sert de modèle pour la construction de campagnes et de sessions d'évaluations. Le modèle d'évaluation définit le périmètre de l'évaluation, le modèle de questionnaire à utiliser, et éventuellement les schémas d'agrégation à appliquer pour l’ interprétation des résultats globaux.
Le modèle d’évaluation "Evaluation des risques" fourni avec HOPEX Enterprise Risk Management permet d’obtenir une évaluation des risques par rapport à une entité.
Les caractéristiques évaluées
Une caractéristique évaluée définit ce que l'évaluation cherche à évaluer. Elle peut être associée à une MetaClasse et précisément à l'un de ses MetaAttributs, par exemple : Metaclasse Risque, MetaAttribut: Probabilité.
Les caractéristiques évaluées sont les suivantes :
• Impact
• Probabilité
• Risque inhérent
Le risque inhérent (ou brut) désigne le risque auquel l’organisation est exposée en l’absence de mesures prises pour modifier la probabilité d’occurrence ou l’impact de ce risque. Il s’agit du produit de la valeur de l’impact par la valeur de la probabilité avant prise en compte des mesures de prévention ou d’atténuation du risque.
• Niveau de contrôle
Le niveau de contrôle caractérise le niveau d’efficacité des éléments de maîtrise déployés (contrôles) pour évaluer le risque.
• Risque net
Le risque résiduel (ou risque net) désigne le risque auquel l’organisation reste exposée une fois que le management a traité le risque. Il s’agit de la différence entre le risque inhérent et le niveau de contrôle.
Les objets évalués
Les objets évalués sont des risques.
La liste des risques à évaluer comprend tous les risques liés à l’entité (objet de l’évaluation) et à ses sous-entités.
Les répondants
Les répondants sont les personnes définies comme Evaluateur de risque pour l’entité.
Le questionnaire
Un questionnaire propose une liste de questions prédéfinies qui peuvent être appliquées à un type d’événement, un contrôle, un document, etc.
Le questionnaire porte sur les caractéristiques à évaluer pour l’ensemble des risques faisant l’objet d’une évaluation :
• Impact
• Probabilité
• Niveau de contrôle
Le niveau de contrôle caractérise le niveau d’efficacité des éléments de maîtrise déployés (contrôles) pour évaluer le risque.
Le schéma d’agrégation
Chaque valeur d’évaluation renseignée est portée par un nœud d’évaluation qui décrit la valeur renseignée pour une caractéristique d’un objet donné (risque, entité ou processus) dans un contexte précis défini par une entité, un répondant, un processus.
Les "noeuds d’évaluation" peuvent être représentés de manière arborescente jusqu’à remonter à un noeud racine qui peut-être :
• Un risque
• Une entité
• Un processus
• Un type de risque
• Un objectif
Chaque nœud porte l’ensemble des valeurs définies dans les caractéristiques évaluées. Les résultats de l’agrégation de ces valeurs permettent d’obtenir les rapports d’agrégation.
Un schéma d’agrégation est une suite d’étapes qui permettent de consolider les résultats d’une évaluation en fonction des règles d’évaluation prévues.
Les schémas d’agrégation du modèle d’évaluation de HOPEX Enterprise Risk Management définissent le mode de calcul :
• des valeurs brutes pour chacun des risques
Dans l’exemple du rapport d’agrégation, les valeurs présentées sont : l’impact, la probabilité, le niveau de contrôle, le risque inhérent et le risque net.
• des valeurs calculées (maximum et moyenne) sur les entités, processus et types de risque.
Dans l’exemple du rapport d’agrégation, les valeurs présentées sont : les valeurs moyennes calculées sur l’ensemble des risques d’un processus pour l’impact, la probabilité et le risque net.
Les valeurs associées à un risque ’Ri’ sont calculées à partir des valeurs données à ce risque sur chacune des entités ’Ej’ sur lesquelles il porte. Les nœuds d’évaluation pris en compte sont liés aux couples (Ri, Ej)
• Impact de Ri = Max et Moyenne {Impact des (Ri, Ej) pour tous les j}
• Probabilité de Ri = Max et Moyenne {Probabilité des (Ri, Ej) pour tous les j}
• Risque inhérent de Ri = Max et Moyenne {Risque inhérent des (Ri, Ej) pour tous les j}
• Niveau des contrôles de Ri = Max et Moyenne {Niveau des contrôles de (Ri, Ej) pour tous les j}
• Risque net = Max et Moyenne {Risque net des (Ri, Ej) pour tous les j}
