Comprendre l’instance d’évaluation des risques

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Une instance d’évaluation des risques permet à un évaluateur de risques d’évaluer les risques et les objets en répondant à des questions ou à des facteurs.

    Une fois la méthodologie d’évaluation des risques (RAM) créée et le périmètre d’évaluation des risques défini, les évaluations sont initiées par l’administrateur des risques. L’évaluateur reçoit une notification pour évaluer les risques. Pour effectuer l’évaluation des risques, un évaluateur doit avoir le rôle sn_grc.business_user. L’évaluation est utilisée pour arriver à un score de risque pour une entité.
    Remarque :
    Vous devez affecter manuellement les rôles d’évaluation avancée des risques au rôle sn_grc.business_user. Pour savoir comment ajuster l’octroi de rôles et de groupes, reportez-vous à l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] dans la Now Support base de connaissances.

    Les questions auxquelles répond un évaluateur de risques sont configurées dans la RAM. Une évaluation peut contenir des facteurs manuels et des facteurs automatisés. Les facteurs manuels nécessitent une intervention humaine comme réponses. Les réponses sont calculées automatiquement pour les facteurs automatisés. Les facteurs automatisés sont automatiquement exécutés en fonction du calendrier défini dans leur configuration.

    Une fois qu’une évaluation est terminée, une nouvelle évaluation est automatiquement déclenchée en fonction de la fréquence de réévaluation définie. Une nouvelle évaluation n’est déclenchée que si l’instance d’évaluation des risques existante est en état de surveillance. Si une évaluation est dans l’état Surveillé, chaque fois que des facteurs automatisés s’exécutent conformément à leur calendrier, les scores d’évaluation changent et les facteurs contribuent à de nouveaux scores dans le déploiement.

    Si l’évaluateur des risques détermine qu’une évaluation doit être réaffectée à un autre évaluateur pertinent, il peut réaffecter l’évaluation. L’évaluateur peut également modifier les réponses après avoir répondu aux facteurs.

    Si une évaluation est effectuée plusieurs fois et si l’option permettant de copier les réponses à l’évaluation précédente est activée dans la RAM, les réponses des évaluations précédentes sont automatiquement copiées dans l’évaluation actuelle.
    Remarque :
    Les réponses du facteur automatisé et les scores remplacés ne sont pas copiés à partir des évaluations précédentes.

    Composants d’une instance d’évaluation des risques

    En fonction des configurations dans la RAM, le formulaire d’instance d’évaluation des risques affiche également les listes connexes suivantes :
    • Évaluations précédentes : les cinq évaluations précédentes du risque qui fait actuellement l’objet d’une évaluation.
    • Événements à risque : nombre d’événements à risque associés au risque.
    • Indicateurs de risque : nombre d’indicateurs de risque qui ont réussi et échoué pour ce risque.
    • Problèmes ouverts : nombre de problèmes ouverts pour le risque, leur état et leurs propriétaires.
    • Tâches de réponse aux risques : nombre de tâches de réponse aux risques créées pour l’évaluation.
    • Contrôles associés : contrôles associés au risque. Cette liste connexe s’affiche uniquement lors de l’évaluation de l’environnement de contrôle.
      Remarque :
      Les clients disposant de versions précédentes peuvent ne pas être en mesure de voir le nombre mis à jour des indicateurs ayant réussi et échoué. Pour résoudre ce problème, exécutez le script correctif Mettre à jour le nombre d’indicateurs et de contrôles .

    Un évaluateur a la possibilité de ne pas évaluer les contrôles d’atténuation. L’option permettant de se désabonner des contrôles est utile lorsqu’il existe un risque, mais qu’il n’existe aucun contrôle pour l’atténuer. Par exemple, considérez un scénario où une pandémie est un risque mais qu’il n’y a pas de vaccins pour la contrôler. Dans ce cas, le risque est évalué, mais les contrôles peuvent être exclus de l’évaluation. Lorsqu’un évaluateur décide de refuser d’évaluer les contrôles d’atténuation et les risques résiduels, le score est défini sur Non applicable.

    Si l’évaluation des contrôles est configurée pour évaluer des contrôles individuels et que les contrôles sont associés au risque évalué, l’option de désabonnement des contrôles n’apparaît pas. Cela se produit parce que les contrôles sont par défaut.

    Si l’évaluation résiduelle concerne les risques et les contrôles inhérents, et si l’évaluateur des risques choisit de se soustraire à l’évaluation des contrôles, les risques résiduels ne sont pas applicables. Cette condition est créée car s’il n’y a aucun contrôle, cela signifie automatiquement qu’il n’y a que des risques inhérents et aucun risque résiduel.

    Étapes de l’évaluation des risques

    Le cycle de vie de l’évaluation des risques passe par les états suivants :
    1. Prêt pour l’évaluation : une nouvelle instance d’évaluation est créée.
    2. Évaluation inhérente : L’évaluation des risques inhérents est effectuée.
    3. Évaluation de contrôle : l’évaluation de contrôle est effectuée.
    4. Évaluation résiduelle : L’évaluation des risques résiduels est effectuée.
    5. Évaluation cible : l’évaluation des risques cibles est effectuée.
    6. Répondre : Vous répondez aux risques.
    7. En attente d’approbation : l’évaluation des risques est en attente d’approbation des approbateurs s’ils ont été identifiés.
    8. Surveiller : l’évaluation des risques est terminée et fait l’objet d’une surveillance.