Les politiques garantissent la conformité et réduisent l’exposition aux risques. Une politique peut être de n’importe quel type : il peut s’agir d’une politique, d’une procédure, d’une norme, d’un plan, d’une liste de vérification, d’un cadre ou d’un modèle. La publication d’une politique fait partie de son processus d’approbation.

Lorsque vous créez une politique, elle se trouve à l’état Brouillon, et toutes les informations requises sur cette politique sont définies et capturées dans l’enregistrement. Les informations requises que vous capturez sont les attributs qui régissent le flux de processus de la politique.

Le cycle de vie d’un enregistrement de politique passe par différents états. Cette fonction est conçue pour comprendre où se trouve actuellement l’enregistrement et afficher sa progression. Chaque état dispose d’un ensemble spécifique d’activités connexes avant de passer à l’état suivant. Une politique peut également passer à l’état précédent, si nécessaire, qui est configuré et identifié en fonction de l’état actuel.

Brouillon

Un administrateur de conformité, un gestionnaire de conformité ou un utilisateur de conformité peut créer une politique, définir et capturer ses informations connexes. Dans cet état de brouillon, les réviseurs sont identifiés, qui ont la possibilité de modifier la politique à l’état de révision, et les approbateurs qui peuvent approuver la politique. Des objectifs de contrôle qui existent déjà peuvent être ajoutés à la politique ou de nouveaux objectifs peuvent être créés. Chaque politique dispose d’une période de fin de validité au cours de laquelle elle est mise à jour, révisée, republiée ou mise hors service. Dans cet état, les actions que vous pouvez effectuer sur la politique sont Mettre à jour, Prêt pour la révision et Supprimer.

Revue

Seuls les réviseurs de politique peuvent mettre à jour la politique dans cet état pour s’assurer qu’elle répond à toutes les exigences réglementaires. Ils examinent les objectifs de contrôle, ses entités associées, les contrôles et le contenu des documents de référence, et ajoutent des informations supplémentaires, suppriment les mappages inutiles ou créent de nouveaux objectifs de contrôle. Le réviseur peut ramener la politique à l’état Brouillon si la politique ne répond pas aux exigences ou si plus de détails sont nécessaires.

Les réviseurs ne peuvent pas demander l’approbation d’une politique. Toutefois, le propriétaire de la politique avec sn_compliance.user, qui est le rôle minimum requis, et les utilisateurs avec le rôle de gestionnaire de conformité peuvent demander l’approbation d’une politique.

En attente d'approbation

Si un approbateur de politique est affecté à la politique, la politique passe à l’état En attente d’approbation. Sinon, il passe à l’état Publié. Dans cet état, l’approbateur peut également supprimer la politique. Dans l’état En attente d’approbation, une tâche d’approbation de politique est créée et affectée à l’approbateur. La tâche est à l’état Demandé et l’approbateur peut lui passer l’un des états suivants :

• Demandé
• Approuvé
• Rejeté
• Annulé
• N'est plus nécessaire

Publié

Lorsque la politique passe à l’état Publié, le système génère automatiquement un article de la base de connaissances. La politique devient un mandat pour tous les utilisateurs qui doivent suivre ses directives et ses exigences, ce qui se fait par le biais des contrôles qui sont mappés à la politique. Dans cet état, la politique peut également être renvoyée à l’état Réviser, Mis hors service ou Supprimé.

Mis hors service

Une politique peut être mise hors service si elle n’est plus nécessaire ou lorsqu’elle ne sert plus à un objectif professionnel. L’article de la base de connaissances qui a été créé est supprimé, mais la politique conserve l’état Mis hors service à des fins d’audit. Si la politique est à nouveau nécessaire, elle peut être renvoyée à l’étape Brouillon, et le cycle de vie de la politique recommence.