Présentation de l’instance d’évaluation des risques

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Une instance d’évaluation des risques est l’endroit où un évaluateur des risques peut évaluer les risques et les objets en répondant à des questions ou à des facteurs.

    Une fois la méthodologie d’évaluation des risques (RAM) créée et le périmètre de l’évaluation des risques définis, les évaluations sont initiées par l’administrateur des risques. L’évaluateur reçoit une notification l’obligeant à évaluer les risques. Pour effectuer l’évaluation des risques, un évaluateur doit avoir le rôle sn_grc.business_user. L’évaluation est utilisée pour obtenir un score de risque pour une entité.
    Remarque :
    Vous devez affecter manuellement les rôles d’évaluation Advanced Risk au rôle sn_grc.business_user. Pour comprendre comment ajuster l’octroi de rôles et de groupes, consultez l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] dans la Now Support base de connaissances.

    Les questions auxquelles un évaluateur de risque répond sont configurées dans la RAM. Une évaluation peut contenir des facteurs manuels et automatisés. Les facteurs manuels nécessitent une intervention humaine en guise de réponses. Les réponses sont calculées automatiquement pour les facteurs automatisés. Les facteurs automatisés sont automatiquement exécutés en fonction du calendrier défini dans leur configuration.

    Une fois l’évaluation terminée, une nouvelle évaluation est automatiquement déclenchée en fonction de la fréquence de réévaluation définie. Une nouvelle évaluation n’est déclenchée que si l’instance existante d’évaluation des risques est dans l’état Surveillance. Si une évaluation est à l’état Surveillance, chaque fois que des facteurs automatisés s’exécutent conformément à leur calendrier, les scores d’évaluation changent et les facteurs contribuent à la création de nouveaux scores pour le déploiement.

    Si l’évaluateur des risques détermine qu’une évaluation doit être réaffectée à un autre évaluateur pertinent, il peut réaffecter l’évaluation. L’évaluateur peut également modifier les réponses après avoir répondu aux facteurs.

    Si une évaluation est effectuée plusieurs fois et que l’option permettant de copier les réponses de l’évaluation précédente est activée dans la RAM, les réponses des évaluations précédentes sont automatiquement copiées dans l’évaluation actuelle.
    Remarque :
    Les réponses du facteur automatisé et les scores remplacés ne sont pas copiés à partir des évaluations précédentes.

    Composants d’une instance d’évaluation des risques

    En fonction des configurations de la RAM, le formulaire d’instance d’évaluation des risques affiche également les listes connexes suivantes :
    • Évaluations précédentes : les cinq évaluations précédentes du risque en cours d’évaluation.
    • Événements à risque : nombre d’événements à risque associés au risque.
    • Indicateurs de risque : nombre d’indicateurs de risque qui ont réussi et échoué pour ce risque.
    • Problèmes ouverts : nombre de problèmes ouverts pour le risque, leur état et leurs propriétaires.
    • Tâches de réponse aux risques : nombre de tâches de réponse aux risques créées pour l’évaluation.
    • Contrôles connexes : contrôles associés au risque. Cette liste connexe s’affiche uniquement lors de l’évaluation de l’environnement de contrôle.
      Remarque :
      Les clients des versions précédentes peuvent ne pas être en mesure de voir le nombre mis à jour d’indicateurs réussis et échoués. Pour résoudre ce problème, exécutez le script correctif Mettre à jour l’indicateur et le nombre de contrôles .

    Un évaluateur a la possibilité de ne pas évaluer les contrôles d’atténuation. L’option de retrait des contrôles est utile dans les cas où il existe un risque, mais qu’il n’existe aucun contrôle pour l’atténuer. Prenons l’exemple d’un scénario où une pandémie constitue un risque, mais qu’il n’existe pas de vaccins pour la contrôler. Dans un tel cas, le risque est évalué, mais les contrôles peuvent être exclus de l’évaluation. Lorsqu’un évaluateur décide de refuser l’évaluation des contrôles d’atténuation et des risques résiduels, le score est défini sur Non applicable.

    Si l’évaluation de contrôle est configurée pour évaluer des contrôles individuels et que les contrôles sont associés au risque évalué, l’option de désabonnement des contrôles ne s’affiche pas. Cela est dû au fait que les contrôles sont définis par défaut.

    Si l’évaluation résiduelle porte sur les risques et les contrôles inhérents, et si l’évaluateur des risques choisit de ne pas participer à l’évaluation contrôlée, les risques résiduels ne sont pas applicables. Cette condition est créée car s’il n’y a pas de contrôles, cela signifie automatiquement qu’il n’y a que des risques inhérents et aucun risque résiduel.

    Étapes de l’évaluation des risques

    Le cycle de vie de l’évaluation des risques passe par les états suivants :
    1. Prêt pour l’évaluation : une nouvelle instance d’évaluation est créée.
    2. Évaluation inhérente : l’évaluation des risques inhérents est effectuée.
    3. Évaluation de contrôle : l’évaluation de contrôle est effectuée.
    4. Évaluation résiduelle : L’évaluation des risques résiduels est effectuée.
    5. Réagissez : Vous réagissez aux risques.
    6. En attente d’approbation : l’évaluation des risques est en attente d’approbation des approbateurs s’ils ont été identifiés.
    7. Surveiller : L’évaluation des risques est terminée et fait l’objet d’un suivi.