Créer une définition du risque dans le Espace de travail Risk

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Créez des déclarations de risque pour regrouper les risques en catégories gérables.

    Avant de commencer

    Rôle requis : sn_risk.admin

    Pourquoi et quand exécuter cette tâche

    Lorsque vous créez une définition du risque, vous pouvez associer des types d’entité ou ajouter des entités supplémentaires pour générer des risques.
    Remarque :
    Lorsque l’un des champs de définition du risque suivants change : Nom, Description, Référence, Catégorie, Type, Classification et Attestation, tous les contrôles et risques associés sont mis à jour et leur état revient à Brouillon. Toutes les évaluations des risques associées sont également annulées.

    Procédure

    1. Accédez à la Tout > Espace de travail Risk > Bibliothèque > Déclarations de risque.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de déclaration de risque
      Champ Description
      Nom Nom de la définition du risque.
      Description Description de la déclaration de risque.
      Société parente Définition du risque parente. Vous pouvez définir la hiérarchie à l’aide de ce champ.
      Cadre de travail Cadre de travail auquel cette définition du risque est associée.
      Remarque :
      Ce champ n’apparaît que si la Migrate to Advanced Risk Assessment propriété est activée. Pour plus d'informations, voir Déploiement du score de risque dans l’évaluation Advanced Risk
      Catégorie Catégorie de la déclaration de risque. Les choix sont les suivants :
      • Légal
      • Financier
      • Opérationnel
      • Réputation
      • Juridique/Réglementation
      • Crédit
      • Marché
      • Informatique
      • Projet
      Niveau Niveau auquel la définition du risque est créée. Par exemple, si la définition du risque a un parent et un grand-parent, alors le niveau de cette nouvelle définition du risque sera 3.
      Évaluation Modèle d’évaluation des risques à affecter à cette définition du risque. Un modèle d’évaluation est un questionnaire utilisé pour évaluer un risque.
      Remarque :
      Ce champ s’affiche lorsque vous utilisez le risque classique avec l’activation de la propriété de risque avancé.
      Règle de regroupement des problèmes Règle de groupe de problèmes affectée à cette définition du risque pour la génération de rapports. L’objectif de la règle de regroupement des problèmes est de regrouper des problèmes similaires dans un problème parent en fonction des conditions définies dans la règle. Cette fonctionnalité vous permet de travailler sur les problèmes similaires en une seule fois et de fermer le problème parent une fois résolu, ce qui fermera tous les problèmes enfants.
      Informations supplémentaires Informations supplémentaires pour cette définition du risque.
    4. Pour renseigner les champs de la section Appétence au risque, reportez-vous à la section Définir l’appétence au risque pour une définition du risque.
    5. Si vous utilisez le risque classique, renseignez les champs de la section Scores par défaut.
      Champ Description
      SLE inhérente La perte estimée unique (SLE) est la valeur monétaire attendue de la survenance d’un risque sur un actif s’il n’existe aucun contrôle pour vérifier l’événement.
      SLE résiduelle Valeur monétaire attendue de la survenue d’un risque sur un actif s’il existe des contrôles pour vérifier l’événement.
      ARO inhérent Le taux d’occurrence annualisé (ARO) est une estimation de la fréquence de la menace qui se produit au cours d’une année. L’ARO est utilisé pour calculer la perte estimée annualisée (ALE). La valeur de ce champ indique la probabilité que l’événement se produise s’il n’existe aucun contrôle pour vérifier l’événement.
      ARO résiduel La valeur de ce champ indique la probabilité que l’événement se produise s’il existe des contrôles pour vérifier l’événement.
    6. Si vous utilisez le risque classique avec le module d’extension de risque avancé activé, renseignez les champs de la section Déploiement et tolérance des risques .
      Champ Description
      ALE attendue ALE fait référence au produit de l’ARO et de la SLE. L’ALE attendue est la valeur attendue de l’ALE pour la définition du risque. Saisissez la devise et le montant de l’ALE attendu.
      Remarque :
      Cette valeur doit être inférieure ou égale à l’ALE maximale acceptable.
      Somme de l'ALE calculée Ce calcul est basé sur la somme de l’ALE calculée de tous les risques sous-jacents de la définition du risque et de ses déclarations de risque enfants.
      ALE maximale calculée Ce calcul est basé sur l’ALE maximale calculée de tous les risques sous-jacents de la définition du risque et de ses déclarations de risque enfants.
      ALE acceptable maximale Valeur de seuil pour l’ALE pour la définition du risque.
      Remarque :
      Cette valeur doit être supérieure ou égale à l’ALE attendue. Cette valeur a un impact sur le champ État de tolérance .
      ALE moyenne calculée Ce calcul est basé sur la moyenne de l’ALE calculée de tous les risques sous-jacents de la définition du risque et de ses déclarations de risque enfants.
      ALE minimale calculée Ce calcul est basé sur le minimum de l’ALE calculée de tous les risques sous-jacents de la définition du risque et de ses déclarations de risque enfants.
      État de tolérance État global du risque. Ce champ s’affiche lorsque les autres champs ALE sont renseignés.
      Score calculé Score correspondant à l’ALE calculée :
      • Faible
      • Méd.
      • Élevé
    7. Dans la section Catégorisation de Bâle, sélectionnez Hiérarchie des catégories de Bâle.
      Les catégories de Bâle sont les suivantes :
      • Fraude interne : détournement d’actifs, évasion fiscale, marquage intentionnel de postes, corruption.
      • Fraude externe : vol d’informations, dommages causés par le piratage, vol par des tiers et falsification.
      • Pratiques d’emploi et sécurité au travail : discrimination, indemnisation des accidents du travail, santé et sécurité des employés.
      • Clients, produits et pratiques commerciales : manipulation du marché, antitrust, commerce irrégulier, défauts de produits, violations, désabonnement de comptes.
      • Dommages aux biens matériels : catastrophes naturelles, terrorisme, vandalisme.
      • Interruption de l’activité et défaillances des systèmes : perturbations des services publics, défaillances logicielles, défaillances matérielles.
      • Exécution, livraison et gestion des processus : erreurs de saisie de données, erreurs comptables, échec des rapports requis, perte négligente des actifs des clients.
    8. Cliquez sur Enregistrer.
    9. Pour ajouter des types d’entité, cliquez sur la liste connexe Types d’entité.
      1. Cliquez sur Ajouter.
      2. Sélectionnez les types d’entité à ajouter.
      3. Cliquez sur Ajouter.
    10. Pour ajouter des entités supplémentaires, cliquez sur la liste connexe Entités supplémentaires .
      1. Cliquez sur Ajouter.
      2. Sélectionnez les entités à ajouter.
      3. Cliquez sur Ajouter.
    11. Cliquez sur Enregistrer.

    Résultats

    La définition du risque est créée.

    Que faire ensuite

    Vous pouvez continuer à ajouter des objectifs de contrôle, des modèles d’indicateurs et des objets d’informations à la définition du risque. Vous pouvez également désormais évaluer les risques générés dans l’onglet Risques. Vous pouvez également afficher la hiérarchie de la définition des risques sur la barre latérale de la définition du risque. Pour afficher le profil de risque complet en un coup d’œil, cliquez sur l’onglet Vue d’ensemble .