Créer manuellement des GRC problèmes

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • En tant qu’utilisateur GRC , vous pouvez créer manuellement des problèmes pour documenter des observations de politique, de risque ou d’audit, ou pour accepter des problèmes GRC. Vous pouvez également identifier la source du problème pour aider à analyser et classer les problèmes.

    Avant de commencer

    Rôle requis : (par produit)

    • Dans Policy and Compliance Management: sn_grc.business_user, sn_grc.business_user_lite
    • Dans Gestion des risques: sn_grc.business_user, sn_grc.business_user_lite
    • Dans Audit Management: sn_grc.business_usersn_grc.business_user_lite
    Remarque :
    À partir de la version 12.0.1 des produits mentionnés ci-dessus, le rôle minimum de l’utilisateur Affecté à sur le formulaire Problèmes est Utilisateur métier GRC [sn_grc.business_user]. Le rôle minimum du gestionnaire des problèmes est Utilisateur GRC [sn_grc._user].

    Pour plus d’informations sur les limitations du contrôle d’accès aux problèmes, consultez Rôle d’utilisateur métier GRC pour contrôler l’accès et suivre l’utilisation des tables de conformité.

    Procédure

    1. Accédez à l’un des emplacements suivants :
      • Tous > Politique et Conformité > Problèmes > Créer.
      • Risque > Problèmes > Créer.
      • Audit > Problèmes > Créer.
      Remarque :
      À partir de la version 12.0.1 des produits mentionnés ci-dessus, le rôle minimum de l’utilisateur Affecté à sur le formulaire Problèmes est Utilisateur métier GRC [sn_grc.business_user]. Le rôle minimum du gestionnaire des problèmes est Utilisateur GRC [sn_grc._user].
    2. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Problème
      Champ Description
      Numéro Numéro d’identification unique.
      Groupe d'affectation Groupe auquel ce problème a été affecté. Chaque membre reçoit une notification lorsqu’une activité se produit sur ce problème.
      Affecté à Membre du groupe affecté pour résoudre le problème.

      À partir de la version 12.0.1, l’utilisateur doit avoir au moins le rôle sn_grc.business_user.

      Remarque :
      Utilisez l’icône Ampoule pour obtenir des suggestions sur la personne à qui le problème doit être affecté. L’icône d’ampoule apparaît uniquement si l’application GRC : Predictive Intelligence est activée, si le formulaire est enregistré, si le champ Affecté à n’est pas inactif et si la propriété GRC est sélectionnée en tant qu’analyse de similarité. Pour plus d'informations, consultez Propriétés GRC.

      Vous pouvez configurer une hiérarchie d’utilisateurs pour accéder à l’enregistrement de problème. Pour plus d’informations, consultez Contrôle d’accès de la hiérarchie des utilisateurs pour les enregistrements de problèmes et de tâches de rattrapage.

      À partir de la version 12.0.1, l’utilisateur affecté reçoit une notification par e-mail lorsque le gestionnaire des problèmes demande plus d’informations.

      À partir de la version 12.0.1, lorsqu’un problème passe à l’état Répondre , une entrée dans le champ Affecté à est obligatoire.
      Source du problème Source à partir de laquelle le problème a été créé. Ce champ est automatiquement renseigné avec l’une des options suivantes en fonction de la façon dont le problème est créé :
      • Défaillance de l’indicateur : le problème est créé par une défaillance de l’indicateur
      • Évaluation des risques : un problème est créé dans un risque
      • Événement à risque : le problème est créé dans un événement à risque
      • Échec de l’attestation de contrôle : le problème est créé en raison d’un contrôle non conforme
      • Échec du test de contrôle : un problème est créé lorsqu’un contrôle est inefficace et que le test de contrôle est marqué comme fermé et terminé
      • Ad hoc : le problème est créé manuellement
      Type de problème Type de problème. Les choix possibles sont les suivants :
      • Échec de l'efficacité de la conception du contrôle
      • Échec de l'efficacité opérationnelle du contrôle
      • Contrôle ne répondant pas aux exigences
      • Contrôle inexistant
      • Non-conformité à une réglementation
      • Non-conformité à une politique
      • Amélioration ou suggestion à une politique existante
      • Recommandation pour une nouvelle politique
      • Optimisation ou amélioration des processus
      • Observation
      • Violation de données
      • Fraude
      • Inexactitude
      • Formation
      • Documentation
      • Problème de risque
      • Autre
      Classification Classification du problème en tant que risque, conformité ou audit, basée sur le type de problème.
      Groupe du gestionnaire des problèmes Groupe responsable de la gestion et de l’examen du problème.
      À partir de la version 12.0.1, les améliorations et exigences suivantes ont été introduites :
      • Les membres du groupe du gestionnaire des problèmes doivent avoir l’un des rôles suivants :
        • sn_audit.gestionnaire
        • sn_audit.user
        • sn_compliance.manager
        • sn_compliance.user
        • sn_grc.manager
        • sn_grc.user
        • sn_risk.manager
        • sn_risk.user
      • Lorsqu’un problème passe à l’état Analyser , une entrée dans le champ Groupe du gestionnaire des problèmes ou Gestionnaire des problèmes est obligatoire.
      • Lorsqu’un problème est affecté au groupe, les membres reçoivent une notification par e-mail. En outre, le gestionnaire des problèmes reçoit une notification par e-mail lorsque le problème passe à l’état Réviser .
      Gestionnaire des problèmes Utilisateur responsable de la gestion et de l’examen du problème.
      À partir de la version 12.0.1, les améliorations et exigences suivantes ont été introduites :
      • Le gestionnaire des problèmes doit avoir au moins le rôle sn_grc.user.
      • Le gestionnaire des problèmes reçoit une notification par e-mail lorsque l’utilisateur affecté fournit les informations demandées.
      • Lorsqu’un problème passe à l’état Analyser , une entrée dans ce champ ou dans Gestionnaire des problèmes est obligatoire.
      • Lorsqu’un problème passe à l’état de réponse , une entrée dans ce champ est obligatoire.
      État
      • Nouveau
      • Analyser
      • Répondre
      • Revue
      • Fermé terminé
      • Fermé incomplet
      Sous-état Sous-état et détails applicables pour le sous-état.
      Priorité L’ordre dans lequel un problème doit être résolu, en fonction de son impact et de son urgence :
      • 1 — Critique
      • 2 — Élevée
      • 3 — Modérée
      • 4 — Faible
      • 5 — Planification
      Évaluation du problème À partir de la version 12.0.1, le gestionnaire des problèmes peut attribuer l’évaluation du problème au problème. En fonction de l’évaluation du problème, la date d’échéance sous l’onglet Dates est calculée comme suit et affichée :
      • Très élevé (2 jours)
      • Haute (4 jours)
      • Modérée (8 jours)
      • Faible (10 jours)
      • Très faible (15 jours)
      Vous pouvez remplacer manuellement la date d’échéance.
      Remarque :
      Les utilisateurs disposant du rôle sn_grc.manager et sn_grc_advanced.issue_triage_manager peuvent accéder à Politique et Conformité > Administration > Évaluation du problème et définir d’autres cotes de problème.p

      Lorsque le problème passe à l’état Répondre , le champ Évaluation du problème est en lecture seule.
      Règle de regroupement des problèmes Règle de groupe affectée à ce problème. La règle de regroupement des problèmes est utilisée pour regrouper des problèmes similaires en un seul problème parent en fonction des conditions définies dans la règle. Cette règle vous permet de travailler simultanément sur des problèmes similaires et de fermer le problème parent une fois qu’ils ont été résolus. Cela met fin à tous les problèmes d’enfants.
      Problème parent Problème parent auquel ce problème appartient.
      Élément de configuration Élément associé à ce problème. Si tous les problèmes enfants ont le même élément de configuration, il est copié vers le problème parent
      Emplacement Emplacement où le problème s’est produit.
      Description courte

      À partir de la version 12.0.1, cette étiquette a été changée en Nom.

      		 Nom du problème.
      Description Description plus complète du problème.
      Détails
      Contrôle/Risque Contrôle ou risque associé au problème.

      Lorsque le contrôle est associé, l’entité correspondante du contrôle est ajoutée au champ Entité et l’objectif du contrôle est ajouté au champ Objectif du contrôle/Définition du risque . Cet objectif et cette entité de contrôle sont ceux qui sont liés à ce contrôle.

      Lorsque le contrôle est associé au formulaire de problème, un enregistrement m2m est créé dans la table source [sn_grc_m2m_issue_item]. Chaque fois qu’un enregistrement est ajouté à la table source, un enregistrement correspondant, Problème lié à l’entité, est ajouté dans la table de destination [sn_grc_m2m_issue_to_entity], et un autre enregistrement Problème lié au contenu est ajouté dans la table de destination [sn_grc_m2m_issue_content] pour l’entité associée et l’objectif de contrôle du contrôle.
      Entité Entité connexe.
      Stratégie Politique associée au problème.
      Document de référence Document de référence associé au problème.
      Objectif du contrôle/Définition du risque Objectif du contrôle ou définition du risque associé à ce problème.
      Recommandation Actions de résolution recommandées par les équipes de risque, de conformité ou d’audit.
      Plan d'action Plan pour corriger le problème.
      Dates
      Date de début prévue Date et heure auxquelles le travail sur le problème devrait commencer.
      Date de fin prévue Date et heure auxquelles le travail sur le problème devrait prendre fin.
      Durée estimée Durée de travail estimée pour le problème.
      Date de confirmation (à partir de la version 12.0.1) Date à laquelle le problème est confirmé. Ce champ est en lecture seule et affiche la date du jour à laquelle le problème est déplacé de l’état Nouveau vers l’un des états suivants :
      • Analyser
      • Revue
      • Répondre
      Remarque :
      Si un problème de triage est converti en problème réel, ce champ affiche la date à laquelle il a été converti.
      Date d'échéance (à partir de la version 12.0.1) Cette date est renseignée automatiquement en fonction d’une propriété GRC. Accédez à la Politique et Conformité > Administration > Propriétés de GRC. Si la propriété Date d’échéance de remplissage automatique basée sur l’évaluation du problème est définie sur Oui, ce champ est renseigné automatiquement en fonction du délai de rattrapage prédéfini pour l’évaluation du risque du problème. Sinon, vous pouvez saisir manuellement une date d’échéance.

      Lorsqu’un problème passe à l’état de réponse , une entrée dans ce champ est obligatoire.
      Date de début réelle Heure à laquelle les travaux sur cette question ont commencé.
      Date de fin réelle Valeur en lecture seule déterminée par le champ d’entrée Durée réelle .
      Durée réelle Quantité de temps de travail.
      Créé Date et heure de création du problème.
      Fermées Date et heure auxquelles le problème a été fermé.
      Engagement
      Engagement L’engagement connexe.
      Activité
      Commentaires supplémentaires (visible par le client) Informations publiques sur le problème. Cliquez sur Publier pour ajouter vos commentaires au problème.
      Notes de travail Cochez la case Notes de travail pour afficher le champ Notes de travail . Informations sur la façon de résoudre le problème ou les mesures déjà prises pour le résoudre, le cas échéant. Les notes de travail sont visibles par les utilisateurs affectés au problème. Cliquez sur Publier pour ajouter vos notes de travail au problème.
      Confidentialité
      Confidentiel Option permettant d’activer la confidentialité de l’enregistrement. Seuls les utilisateurs confidentiels affectés ou les groupes d’utilisateurs confidentiels peuvent accéder à l’enregistrement.

      Pour plus d’informations sur l’option confidentielle, consultez Marqueur de confidentialité pour les enregistrements d’audit et de conformité.
      Événement à risque
      Événement à risque L’événement à risque associé.
    3. Enregistrez l’enregistrement de problème.
      Les onglets en bas de l’écran vous permettent d’effectuer diverses tâches pour corriger le problème. Vous pouvez ajouter des exceptions de politique et créer des tâches de correction. En outre, vous pouvez afficher d’autres problèmes, résultats d’indicateurs et SLA de tâche liés au problème.
      Remarque :
      À partir de la version 12.0.1, l’onglet SLA de tâche crée et affiche des SLA en fonction de la date d’échéance. Des notifications sont envoyées au propriétaire du problème et au gestionnaire du problème lorsque la date d’échéance du problème atteint 50 %, puis 75 %, puis en cas de violation. Si les champs Affecté à et Date d’échéance ne sont pas vides et que le problème n’est pas à l’état Nouveau , un SLA est créé pour le problème.

      Si la date d’échéance du SLA change, un nouveau SLA est créé. Le SLA est terminé lorsque le problème passe à l’état Fermé terminé ou Fermé incomplet. En outre, le SLA est annulé si les champs Date d’échéance ou Affecté à sont vides ou si l’état est Nouveau.

      Également à partir de la version 12.0.1, les tâches de rattrapage peuvent être créées avec les rôles d’utilisateur Affecté à et Gestionnaire des problèmes, ainsi qu’avec n’importe quel utilisateur ayant le rôle d’utilisateur métier GRC.