Évaluer les risques et les objets sur une instance d’évaluation
Évaluez les risques que vous avez configurés et réaffectez-les aux approbateurs appropriés.
Avant de commencer
Rôle requis : sn_grc.business_user
Remarque :
Vous devez affecter manuellement les rôles d’évaluation avancée des risques au rôle sn_grc.business_user. Pour découvrir comment ajuster l’octroi de rôles et de groupes, consultez l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] dans la Now Support base de connaissances.
Procédure
-
Accédez à la Tous > Évaluation Advanced Risk > Tâches d'évaluation des risques > Mes tâches.
L’évaluation est à l’état Prêt à évaluer .
-
Pour commencer l’évaluation, cliquez sur Évaluer.
Le flux de travail passe au premier type d’évaluation des risques. Si un type d’évaluation particulier n’est pas configuré, cette section n’apparaît pas sur le formulaire.
- Facultatif : Pour réaffecter une évaluation, cliquez sur Réaffecter et entrez le nom de la personne à qui vous souhaitez réaffecter l’évaluation.
-
Cliquez sur la section Évaluation inhérente et répondez aux questions du formulaire.
- Cliquez avec le bouton droit de la souris et enregistrez le formulaire.
-
Pour passer à l’évaluation suivante, cliquez sur Évaluation inhérente et renseignez les champs.
Tableau 1. Section Évaluation inhérente Champ Description Résultats Risque inhérent calculé Score de risque inhérent. Remplacer le score calculé Option permettant de remplacer le score inhérent calculé. ALE inhérente calculée ALE inhérente du risque calculée. L’ALE est calculée en fonction des facteurs d’évaluation inhérents. Remplacer le risque inhérent Valeur configurée dans le formulaire de RAM pour remplacer le score de risque inhérent calculé. Ce champ n’est disponible que lorsque l’option Remplacer le score calculé est sélectionnée. Remplacer l'ALE inhérent Valeur qui remplace le score de risque inhérent calculé. La valeur est utilisée pour le déploiement. Commentaires Informations supplémentaires qui fournissent plus de détails pour l’approbateur d’évaluation des risques. Les utilisateurs doivent entrer un motif pour remplacer le score calculé. Ce champ est obligatoire lorsque l’option Remplacer le score calculé est sélectionnée. - Si nécessaire, ajoutez des commentaires dans la colonne Commentaires .
- Cliquez sur Enregistrer et calculer.
-
Pour effectuer une évaluation de contrôle, cliquez sur Effectuer une évaluation de contrôle et procédez comme suit.
-
Remplissez les champs du formulaire.
Tableau 2. Section d’évaluation de contrôle Champ Description Résultats Efficacité du contrôle calculée Score d’efficacité du contrôle. Remplacer le score calculé Option permettant de remplacer le score d’efficacité du contrôle calculé. Commentaires Informations supplémentaires qui fournissent plus de détails pour l’approbateur d’évaluation des risques. Ce champ est obligatoire lorsque l’option Remplacer le score calculé est sélectionnée. Remarque :Si vous avez sélectionné Évaluation individuelle des contrôles dans le champ Calculer sur la base du formulaire Évaluation de contrôle, vous pouvez créer des contrôles à partir de la bibliothèque, ajouter des contrôles existants, ajouter de nouveaux contrôles ou supprimer des contrôles existants. Utilisez le texte d’orientation pour obtenir de l’aide pour répondre aux facteurs. Pour déterminer si le contrôle est conforme, consultez la colonne État. -
Pour créer, ajouter ou supprimer des contrôles, effectuez l’une des actions suivantes :
Si le risque dispose de contrôles par défaut, ces contrôles sont automatiquement ajoutés à l’évaluation de contrôle.Choix Action Pour créer des contrôles à partir de la bibliothèque - Cliquez sur Créer à partir de la bibliothèque dans la fenêtre Choisir des contrôles.
- Sélectionnez les objectifs de contrôle nécessaires.
- Cliquez sur Ajouter des contrôles.
Pour ajouter un contrôle existant - Cliquez sur Ajouter.
- Sélectionnez les contrôles.
- Cliquez sur Ajouter des contrôles.
Pour créer un nouveau contrôle - Renseignez les champs de la fenêtre Nouveau contrôle.
- Cliquez sur Envoyer.
Pour supprimer tout contrôle - Cliquez sur Supprimer dans la fenêtre Choisir des contrôles.
- Sélectionnez les contrôles que vous souhaitez supprimer.
- Cliquez sur Supprimer des contrôles.
-
Si aucun contrôle n’est associé au risque ou à l’objet que vous devez évaluer, sélectionnez l’option Aucun contrôle d’atténuation à évaluer .
Si vous choisissez de ne pas évaluer les contrôles d’atténuation, les risques résiduels sont par défaut marqués comme non applicables à l’étape d’évaluation résiduelle. Toutefois, si un risque est associé à des contrôles d’atténuation, les utilisateurs ne voient pas l’option Aucun contrôle d’atténuation à évaluer .
- Si vous vous désabonnez de l’évaluation des contrôles, saisissez une justification dans le champ Commentaires .
- Cliquez sur Enregistrer et calculer.
-
Remplissez les champs du formulaire.
-
Pour passer à l’évaluation suivante, cliquez sur Effectuer une évaluation résiduelle et procédez comme suit.
-
Remplissez les champs du formulaire.
Tableau 3. Section de l’évaluation résiduelle Champ Description Résultats Risque résiduel calculé Score de risque résiduel. Commentaires Informations supplémentaires qui fournissent plus de détails pour l’approbateur d’évaluation des risques. Ce champ est obligatoire lorsque l’option Remplacer le score calculé est sélectionnée. Remarque :Vous pouvez ajouter des contrôles existants et de nouveaux contrôles au cours de cette étape. Vous pouvez également supprimer les contrôles que vous avez peut-être ajoutés à tort. Les facteurs qui apparaissent pour l’évaluation résiduelle sont les facteurs que vous avez configurés dans le formulaire de facteur. Les réponses que vous fournissez pour ces facteurs déterminent le score de l’évaluation de contrôle. Le score est basé sur le poids qualitatif, le score qualitatif et le score quantitatif. -
Si vous souhaitez évaluer un risque résiduel, mais que vous avez choisi de ne pas évaluer les contrôles d’atténuation, effacez le champ Risque résiduel non applicable .
Si vous ne souhaitez pas évaluer un risque résiduel, ne modifiez pas le champ.
- Cliquez avec le bouton droit de la souris et enregistrez le formulaire.
-
Remplissez les champs du formulaire.
-
Pour passer à l’état suivant et répondre aux risques que vous avez évalués, cliquez sur Répondre.
-
Dans l’onglet Réponse aux risques , cliquez sur Réponse aux risques et sélectionnez une ou plusieurs réponses aux risques parmi les options suivantes :
- Aucune : ne sélectionnez aucune réponse pour le risque.
- Accepter : acceptez et reconnaissez le risque.
- Éviter : éliminer le risque ou son impact.
- Atténuer : réduisez l’impact ou la probabilité du risque.
- Transfert : transférez la responsabilité à un tiers.
- Cliquez avec le bouton droit de la souris et enregistrez le formulaire.
Si plusieurs réponses aux risques sont sélectionnées, des tâches de réponse aux risques sont créées. -
Dans l’onglet Réponse aux risques , cliquez sur Réponse aux risques et sélectionnez une ou plusieurs réponses aux risques parmi les options suivantes :
-
Cliquez sur la liste connexe des tâches de réponse aux risques, affectez la tâche à un utilisateur approprié et cliquez avec le bouton droit de la souris pour enregistrer le formulaire.
Cette liste connexe s’affiche uniquement lorsque l’option Activer la réponse au risque est sélectionnée par l’administrateur du risque pendant la configuration de la RAM.
- Dans le champ Commentaires , saisissez des commentaires.
- Pour afficher les activités de cette évaluation, cliquez sur Journal d’activité.
-
Pour terminer votre évaluation et l’envoyer pour approbation, cliquez sur Enregistrer , puis sur Demander l’approbation.
L’approbateur que vous avez sélectionné dans le périmètre d’évaluation des risques reçoit une notification par e-mail pour approuver ou rejeter l’instance d’évaluation des risques. En l’absence d’approbateurs, l’instance d’évaluation des risques passe à l’état Surveiller.
Que faire ensuite
Pour afficher le résumé de l’évaluation, cliquez sur Résumé de l’évaluation.