Évaluation Advanced Risk

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Utilisez la fonctionnalité d’évaluation ServiceNow® Gouvernance, risque et conformité Advanced Risk (GRC) pour créer une plateforme de risque intégrée. Cette plateforme intégrée prend en charge différents types de méthodologies d’évaluation des risques. Il vous permet d’intégrer l’évaluation des risques dans le cadre de votre processus de prise de décision global.

    Advanced Risk Assessment offre les avantages suivants :
    • Digitalise le cycle de vie complet de la gestion des risques, y compris l’identification des risques, l’analyse des risques, l’évaluation des risques, le traitement des risques et la surveillance.
    • Personnalise le processus d’évaluation des risques en fonction des besoins uniques de votre organisation. Cette personnalisation comprend la configuration des critères d’évaluation, du contexte et de la logique de notation du risque global.
    • Prend en charge les méthodes d’évaluation qualitative et quantitative des risques.
    • Agrège automatiquement les scores de l’évaluation des risques ascendante sur l’ensemble du risque.
    • Intègre le processus d’évaluation des risques dans l’espace de travail pour les utilisateurs de première ligne. Cette incorporation aide les utilisateurs à prendre des décisions éclairées en fonction des risques associés aux actions.
    Remarque :
    Pour savoir si votre licence actuelle vous donne droit à Advanced Risk Assessments, contactez ServiceNow.

    Étapes de l’évaluation des risques

    Avant de comprendre Advanced Risk Assessment en détail, il est important de comprendre les étapes clés de la gestion des risques :
    1. Identification des risques : identifiez une incertitude ou un risque qui pourrait empêcher votre organisation d’atteindre ses objectifs.
    2. Analyse des risques : comprendre la cause et les conséquences du risque.
    3. Évaluation des risques : pour déterminer si des mesures supplémentaires sont nécessaires, comparez les résultats de l’analyse des risques avec les critères de risque établis.
    4. Traitement des risques : définissez un plan d’action pour faire face au risque.
    5. Surveillance des risques : suivez la posture de risque de l’organisation et communiquez-la aux parties prenantes concernées.
    Figure 1. Étapes de la gestion des risques
    Étapes de la gestion des risques.
    L’évaluation des risques comprend l’identification, l’analyse et l’évaluation des risques. L’évaluation Advanced Risk est effectuée en fonction de facteurs ou de questions et de leurs réponses. Elle peut être effectuée pour une entité telle qu’une organisation. Pour utiliser l’évaluation avancée des risques, vous devez activer la propriété Migrer vers les évaluations Advanced Risk située sous le module Administration. L’évaluateur et l’approbateur de l’évaluation des risques doivent avoir le rôle sn_grc.business_user. L’évaluation avancée des risques vous permet d’effectuer une évaluation détaillée des risques où les risques inhérents, les contrôles d’atténuation et les risques résiduels sont évalués. Si vous ne disposez pas de la configuration complète GRC pour les entités, les déclarations de risque, les contrôles, etc., vous pouvez toujours évaluer les risques sur n’importe quel ServiceNow enregistrement ou objet. Un exemple d’évaluation d’objet est l’évaluation de Change Management. Lors de l’évaluation des risques, les risques suivants sont évalués.
    • Risques inhérents : les risques inhérents sont des risques qui n’ont pas de contrôles. Par exemple, conduire à grande vitesse sur une autoroute est intrinsèquement plus risqué que de conduire à une vitesse modérée. Le score de ce risque inhérent est obtenu en multipliant l’impact du risque par la probabilité du risque.
    • Efficacité du contrôle : les contrôles peuvent atténuer l’impact ou la probabilité d’un risque. Par exemple, les autoroutes sont équipées de moniteurs de limitation de vitesse. Si un risque se matérialise, les contrôles atténuent l’impact. Les contrôles peuvent être préventifs, de détection ou correctifs.
      • Les contrôles préventifs sont conçus pour prévenir les erreurs, les inexactitudes ou les fraudes avant que ces problèmes ne se produisent.
      • Les contrôles de détection sont destinés à découvrir l’existence d’erreurs, d’inexactitudes ou de fraudes.
      • Les contrôles correctifs sont conçus pour corriger les erreurs ou les irrégularités qui ont été détectées.
    • Risques résiduels : les risques résiduels sont les risques restants qui subsistent après la mise en œuvre des contrôles. Par exemple, malgré les mesures de sécurité en place, s’il y a tout de même un accident, les dommages causés par l’accident constituent un risque résiduel. Un score de risque résiduel peut être calculé à l’aide de l’une des méthodes suivantes :
      • Une matrice entre l’efficacité inhérente et l’efficacité résiduelle.
      • Formule mathématique telle que le score inhérent moins le score de contrôle.
      • Réponses aux facteurs.
    • Risques cibles : les risques cibles sont le risque souhaité qu’une organisation souhaite atteindre à l’avenir. En évaluant le niveau souhaité de probabilité et d’impact des risques identifiés, les organisations peuvent établir des niveaux de risque cibles pour chaque risque. Par exemple, lors de l’évaluation d’un risque, vous prenez en compte divers aspects tels que le risque inhérent, l’efficacité des contrôles et les risques résiduels. Cependant, il est tout aussi important de saisir le niveau de risque souhaité qui sera atteint après la mise en œuvre de votre réponse aux risques. Le risque cible représente le niveau de risque optimal que vous souhaitez atteindre une fois votre plan d’action exécuté avec succès. Il vous permet de mesurer les bénéfices dont votre organisation bénéficie par rapport au coût de l’implémentation de ces actions.