Avant de comprendre Advanced Risk Assessment en détail, il est important de comprendre les étapes clés de la gestion des risques :

1. Identification des risques : Identifiez une incertitude ou un risque qui pourrait empêcher votre organisation d’atteindre ses objectifs.
2. Analyse des risques : comprendre la cause et les conséquences du risque.
3. Évaluation des risques : pour déterminer si des mesures supplémentaires sont nécessaires, comparez les résultats de l’analyse des risques avec les critères de risque établis.
4. Traitement des risques : définissez un plan d’action pour faire face au risque.
5. Surveillance des risques : suivez la situation vis-à-vis du risque de l’organisation et communiquez-la aux parties prenantes concernées.

L’évaluation des risques comprend l’identification, l’analyse et l’évaluation des risques. L’évaluation Advanced Risk est effectuée en fonction de facteurs ou de questions et de leurs réponses. Elle peut être effectuée pour une entité telle qu’une organisation. Pour utiliser l’évaluation avancée des risques, vous devez activer la propriété Migrer vers les évaluations avancées des risques située sous le module Administration. L’évaluateur et l’approbateur de l’évaluation des risques doivent avoir le rôle sn_grc.business_user. L’évaluation avancée des risques vous permet de procéder à une évaluation détaillée des risques lorsque les risques inhérents, les contrôles d’atténuation et les risques résiduels sont évalués. Si vous ne disposez pas de la configuration complète GRC des entités, déclarations de risque, contrôles, etc., vous pouvez toujours évaluer les risques sur n’importe quel ServiceNow enregistrement ou objet. L’évaluation de la gestion des changements est un exemple d’évaluation d’objet. Lors de l’évaluation des risques, les risques suivants sont évalués.

• Risques inhérents : les risques inhérents sont des risques qui ne sont pas contrôlés. Par exemple, conduire à grande vitesse sur une autoroute est intrinsèquement plus risqué que de conduire à une vitesse modérée. Le score de ce risque inhérent est obtenu en multipliant l’impact du risque par la probabilité du risque.
• Efficacité du contrôle : les contrôles peuvent atténuer l’impact ou la probabilité d’un risque. Par exemple, les autoroutes sont équipées de moniteurs de limitation de vitesse. Si un risque se matérialise, les contrôles en atténuent l’impact. Les contrôles peuvent être préventifs, détectifs ou correctifs.
  • Les contrôles préventifs sont conçus pour prévenir les erreurs, les inexactitudes ou les fraudes avant que ces problèmes ne se produisent.
  • Les contrôles de détection sont destinés à découvrir l’existence d’erreurs, d’inexactitudes ou de fraudes.
  • Les contrôles correctifs sont conçus pour corriger les erreurs ou les irrégularités qui ont été détectées.
• Risques résiduels : les risques résiduels sont les risques restants qui subsistent après la mise en œuvre des contrôles. Par exemple, malgré les mesures de sécurité en place, s’il y a quand même un accident, les dommages causés par l’accident constituent un risque résiduel. Un score de risque résiduel peut être calculé à l’aide de l’une des méthodes suivantes :
  • Une matrice entre l’efficacité inhérente et résiduelle.
  • Une formule mathématique telle que le score inhérent moins le score de contrôle.
  • Réponses aux facteurs.