Présentation de l’instance d’évaluation des risques

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Une instance d’évaluation des risques est l’instance dans laquelle un évaluateur des risques peut évaluer les risques et les objets en répondant à des questions ou à des facteurs.

    Une fois la méthodologie d’évaluation des risques (RAM) créée et le périmètre de l’évaluation des risques définis, les évaluations sont lancées par l’administrateur des risques. L’évaluateur reçoit une notification pour évaluer les risques. Pour effectuer l’évaluation des risques, un évaluateur doit avoir le rôle sn_grc.business_user. L’évaluation est utilisée pour obtenir un score de risque pour une entité.
    Remarque :
    Vous devez affecter manuellement les rôles d’évaluation Advanced Risk au rôle sn_grc.business_user. Pour savoir comment ajuster l’octroi de rôles et de groupes, consultez l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] dans la base de Now Support connaissances.

    Les questions auxquelles un évaluateur de risque répond sont configurées dans la RAM. Une évaluation peut contenir des facteurs manuels et automatisés. Les facteurs manuels nécessitent une intervention humaine en tant que réponses. Pour les facteurs automatisés, les réponses sont calculées automatiquement. Les facteurs automatisés sont automatiquement exécutés en fonction du calendrier défini dans leur configuration.

    Une fois l’évaluation terminée, une nouvelle évaluation est automatiquement déclenchée en fonction de la fréquence de réévaluation définie. Une nouvelle évaluation n’est déclenchée que si l’instance existante d’évaluation des risques est à l’état Surveiller. Si une évaluation est à l’état Surveiller, chaque fois que des facteurs automatisés s’exécutent selon leur calendrier, les scores de l’évaluation changent et les facteurs contribuent à de nouveaux scores pour le déploiement.

    Si l’évaluateur des risques détermine qu’une évaluation doit être réaffectée à un autre évaluateur pertinent, il peut réaffecter l’évaluation. L’évaluateur peut également modifier les réponses après avoir répondu aux facteurs.

    Si une évaluation est effectuée plusieurs fois et que l’option de copie des réponses d’évaluation précédentes est activée dans la RAM, les réponses des évaluations précédentes sont automatiquement copiées dans l’évaluation actuelle.
    Remarque :
    Les réponses automatisées du facteur et les scores remplacés ne sont pas copiés à partir des évaluations précédentes.

    Composants d’une instance d’évaluation des risques

    En fonction des configurations de la RAM, le formulaire d’instance d’évaluation des risques affiche également les listes connexes suivantes :
    • Évaluations précédentes : les cinq évaluations précédentes du risque actuellement évalué.
    • Événements à risque : nombre d’événements à risque associés au risque.
    • Indicateurs de risque : nombre d’indicateurs de risque qui ont réussi et échoué pour ce risque.
    • Problèmes ouverts : nombre de problèmes ouverts pour le risque, leur état et leurs propriétaires.
    • Tâches de réponse aux risques : nombre de tâches de réponse aux risques créées pour l’évaluation.
    • Contrôles associés : contrôles associés au risque. Cette liste connexe s’affiche uniquement lors de l’évaluation de l’environnement de contrôle.
      Remarque :
      Les clients des versions précédentes peuvent ne pas être en mesure de voir le nombre mis à jour pour les indicateurs réussis et échoués. Pour résoudre ce problème, exécutez le script correctif Mettre à jour l’indicateur et le nombre de contrôles .

    Un évaluateur a la possibilité de ne pas évaluer les contrôles d’atténuation. La possibilité de se désabonner des contrôles est utile dans les cas où il existe un risque, mais qu’il n’existe aucun contrôle pour l’atténuer. Par exemple, imaginez un scénario dans lequel une pandémie représente un risque, mais il n’existe aucun vaccin pour la contrôler. Dans ce cas, le risque est évalué, mais les contrôles peuvent être exclus de l’évaluation. Lorsqu’un évaluateur décide de ne pas évaluer les contrôles d’atténuation et les risques résiduels, le score est défini sur Non applicable.

    Si l’évaluation des contrôles est configurée pour évaluer des contrôles individuels et que les contrôles sont associés au risque évalué, l’option de désabonnement des contrôles n’apparaît pas. Cela est dû au fait que les contrôles sont définis par défaut.

    Si l’évaluation résiduelle porte sur les risques et les contrôles inhérents et que l’évaluateur des risques choisit de ne pas participer à l’évaluation de contrôle, les risques résiduels ne sont pas applicables. Cette condition est créée car s’il n’y a pas de contrôles, cela signifie automatiquement qu’il n’y a que des risques inhérents et aucun risque résiduel.

    Étapes de l’évaluation des risques

    Le cycle de vie de l’évaluation des risques passe par les états suivants :
    1. Prêt pour l’évaluation : une nouvelle instance d’évaluation est créée.
    2. Évaluation inhérente : l’évaluation des risques inhérents est effectuée.
    3. Évaluation de contrôle : l’évaluation de contrôle est effectuée.
    4. Évaluation résiduelle : l’évaluation des risques résiduels est effectuée.
    5. Évaluation cible : l’évaluation des risques cibles est effectuée.
    6. Répondre : Vous réagissez aux risques.
    7. En attente d’approbation : l’évaluation des risques est en attente de l’approbation des approbateurs s’ils ont été identifiés.
    8. Surveiller : l’évaluation des risques est terminée et est en cours de surveillance.