Évaluer les risques et les objets sur une instance d’évaluation
Évaluez les risques que vous avez configurés et réaffectez-les aux approbateurs appropriés.
Avant de commencer
Rôle requis : sn_grc.business_user
Remarque :
Vous devez affecter manuellement les rôles d’évaluation Advanced Risk au rôle sn_grc.business_user. Pour comprendre comment ajuster l’octroi de rôles et de groupes, consultez l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] dans la Now Support base de connaissances.
Procédure
-
Accédez à la Tout > Évaluation Advanced Risk > Tâches d'évaluation des risques > Mes tâches.
L’état de l’évaluation est Prêt pour évaluation .
-
Pour commencer l’évaluation, cliquez sur Évaluer.
Le workflow passe au premier type d’évaluation des risques. Si un type d’évaluation particulier n’est pas configuré, cette section n’apparaît pas sur le formulaire.
- Facultatif : Pour réaffecter une évaluation, cliquez sur Réaffecter et entrez le nom de la personne à qui vous souhaitez réaffecter l’évaluation.
-
Cliquez sur la section Évaluation inhérente et répondez aux questions du formulaire.
- Cliquez avec le bouton droit de la souris et enregistrez le formulaire.
-
Pour passer à l’évaluation suivante, cliquez sur Évaluation inhérente et remplissez les champs.
Tableau 1. Section Évaluation inhérente Champ Description Résultats Risque inhérent calculé Score de risque inhérent. Remplacer le score calculé Option permettant de remplacer le score inhérent calculé. ALE inhérente calculée ALE inhérente du risque calculée. L’ALE est calculée en fonction des facteurs d’évaluation inhérents. Remplacer le risque inhérent Valeur configurée dans le formulaire de RAM pour remplacer le score de risque inhérent calculé. Ce champ n’est disponible que lorsque l’option Remplacer le score calculé est sélectionnée. Remplacer l'ALE inhérent Valeur qui remplace le score de risque inhérent calculé. La valeur est utilisée pour le déploiement. Commentaires Informations supplémentaires qui fournissent plus de détails pour l’approbateur de l’évaluation des risques. Les utilisateurs doivent saisir un motif pour remplacer le score calculé. Ce champ est obligatoire lorsque l’option Remplacer le score calculé est sélectionnée. - Si nécessaire, ajoutez des commentaires dans la colonne Commentaires .
- Cliquez sur Enregistrer et calculer.
-
Pour effectuer une évaluation de contrôle, cliquez sur Effectuer une évaluation de contrôle et procédez comme suit.
-
Renseignez les champs du formulaire.
Tableau 2. Section Évaluation de contrôle Champ Description Résultats Efficacité du contrôle calculée Score d’efficacité du contrôle. Remplacer le score calculé Option permettant de remplacer le score d’efficacité de contrôle calculé. Commentaires Informations supplémentaires qui fournissent plus de détails pour l’approbateur de l’évaluation des risques. Ce champ est obligatoire lorsque l’option Remplacer le score calculé est sélectionnée. Remarque :Si vous avez sélectionné Évaluation individuelle des contrôles dans le champ Calculer en fonction d’une base du formulaire Évaluation de contrôle, vous pouvez créer des contrôles à partir de la bibliothèque, ajouter des contrôles existants, en ajouter de nouveaux ou supprimer des contrôles existants. Utilisez un texte d’orientation pour vous aider à répondre aux questions. Pour déterminer si le contrôle est conforme, consultez la colonne État. -
Pour créer, ajouter ou supprimer des contrôles, effectuez l’une des actions suivantes :
Si le risque comporte des contrôles par défaut, ces contrôles sont automatiquement ajoutés à l’évaluation de contrôle.Choix Action Pour créer des contrôles à partir de la bibliothèque - Cliquez sur Créer à partir d’une bibliothèque dans la fenêtre Choisir des contrôles.
- Sélectionnez les objectifs de contrôle nécessaires.
- Cliquez sur Ajouter des contrôles.
Pour ajouter un contrôle existant - Cliquez sur Ajouter.
- Sélectionnez les contrôles.
- Cliquez sur Ajouter des contrôles.
Pour créer un nouveau contrôle - Renseignez les champs de la fenêtre Nouveau contrôle.
- Cliquez sur Envoyer.
Pour supprimer tout contrôle - Cliquez sur Supprimer dans la fenêtre Choisir des contrôles.
- Sélectionnez les contrôles que vous souhaitez supprimer.
- Cliquez sur Supprimer les contrôles.
-
Si aucun contrôle n’est associé au risque ou à l’objet que vous devez évaluer, sélectionnez l’option Aucun contrôle d’atténuation à évaluer .
Si vous choisissez de ne pas évaluer les contrôles d’atténuation, les risques résiduels sont marqués par défaut comme non applicables à l’étape d’évaluation résiduelle. Toutefois, si des contrôles d’atténuation sont associés à un risque, les utilisateurs ne voient pas l’option Aucun contrôle d’atténuation à évaluer .
- Si vous choisissez de ne pas participer à l’évaluation des contrôles, saisissez une justification dans le champ Commentaires .
- Cliquez sur Enregistrer et calculer.
-
Renseignez les champs du formulaire.
-
Pour passer à l’évaluation suivante, cliquez sur Effectuer une évaluation résiduelle et procédez comme suit.
-
Renseignez les champs du formulaire.
Tableau 3. Section de l’évaluation résiduelle Champ Description Résultats Risque résiduel calculé Score de risque résiduel. Commentaires Informations supplémentaires qui fournissent plus de détails pour l’approbateur de l’évaluation des risques. Ce champ est obligatoire lorsque l’option Remplacer le score calculé est sélectionnée. Remarque :Vous pouvez ajouter des contrôles existants et de nouveaux contrôles au cours de cette étape. Vous pouvez également supprimer des contrôles que vous avez peut-être ajoutés à tort. Les facteurs qui apparaissent pour l’évaluation résiduelle sont les facteurs que vous avez configurés dans le formulaire de facteur. Les réponses que vous fournissez pour ces facteurs déterminent le score d’évaluation de contrôle. Le score est basé sur le poids qualitatif, le score qualitatif et le score quantitatif. -
Si vous souhaitez évaluer un risque résiduel mais que vous avez choisi de ne pas évaluer les contrôles d’atténuation, décochez le champ Risque résiduel non applicable .
Si vous ne souhaitez pas évaluer un risque résiduel, ne modifiez pas le champ.
- Cliquez avec le bouton droit de la souris et enregistrez le formulaire.
-
Renseignez les champs du formulaire.
-
Pour passer à l’état suivant et répondre aux risques que vous avez évalués, cliquez sur Répondre.
-
Dans l’onglet Réponse au risque , cliquez sur Réponse au risque et sélectionnez une ou plusieurs réponses au risque parmi les options suivantes :
- Aucune : ne sélectionnez aucune réponse pour le risque.
- Accepter : Acceptez et reconnaissez le risque.
- À éviter : éliminer le risque ou son impact.
- Atténuer : réduire l’impact ou la probabilité du risque.
- Transfert : Transférer la responsabilité à un tiers.
- Cliquez avec le bouton droit de la souris et enregistrez le formulaire.
Si plusieurs réponses au risque sont sélectionnées, des tâches de réponse au risque sont créées. -
Dans l’onglet Réponse au risque , cliquez sur Réponse au risque et sélectionnez une ou plusieurs réponses au risque parmi les options suivantes :
-
Cliquez sur la liste connexe des tâches de réponse aux risques, affectez la tâche à un utilisateur approprié et cliquez avec le bouton droit pour enregistrer le formulaire.
Cette liste connexe s’affiche uniquement lorsque l’option Activer la réponse au risque est sélectionnée par l’administrateur des risques lors de la configuration de la RAM.
- Dans le champ Commentaires , saisissez des commentaires.
- Pour afficher les activités de cette évaluation, cliquez sur Journal d’activité.
-
Pour terminer votre évaluation et l’envoyer pour approbation, cliquez sur Enregistrer , puis sur Demander l’approbation.
L’approbateur que vous avez sélectionné dans le périmètre d’évaluation des risques reçoit une notification par e-mail pour approuver ou rejeter l’instance d’évaluation des risques. S’il n’y a pas d’approbateurs, l’instance d’évaluation des risques passe à l’état Surveillance.
Que faire ensuite
Pour afficher le résumé de l’évaluation, cliquez sur Résumé de l’évaluation.