Pour utiliser l’évaluation Advanced Risk, vous devez configurer la méthodologie d’évaluation des risques (RAM), définir le périmètre de l’évaluation et effectuer l’évaluation.

Avant d’utiliser l’évaluation Advanced Risk, différents utilisateurs doivent effectuer différentes tâches de configuration. Ces étapes définissent le workflow de l’évaluation.

1. Configurer la méthodologie d’évaluation des risques (RAM) : un administrateur des risques doté du rôle sn_risk.admin configure le système. L’administrateur effectue les actions suivantes :
   • Identification : identifie si un risque ou un objet est évalué.
   • Évaluation : détermine comment évaluer le problème, par exemple à l’aide de critères d’évaluation, d’évaluation du score de risque ou de préférences en matière de génération de rapports.
   Pour plus d'informations, consultez Configurer une méthodologie d’évaluation des risques.
2. Définir le périmètre de l’évaluation des risques : une fois la RAM définie, le propriétaire de l’entité définit et identifie les éléments suivants :
   • Risques pertinents pour l’entité.
   • Les évaluateurs et les approbateurs de ces évaluations.
   • Périodicité de ces évaluations des risques.
   Pour plus d'informations, voir Créer un périmètre d’évaluation des risques et lancer des évaluations ou ../../grc-workspace-risk/task/create-risk-asses-scope-workspace.html.
3. Effectuer une évaluation des risques : l’évaluateur des risques avec le sn_grc. business_user rôle effectue les tâches d’évaluation suivantes.
   • Évalue les risques inhérents et l’efficacité des contrôles d’atténuation.
   • Examine le risque résiduel et définit le plan de traitement des risques.
   • Déclenche le workflow d’examen et d’approbation.
   Pour plus d'informations, consultez Effectuer une évaluation avancée des risques dans le Espace de travail Risk.
4. Surveiller les évaluations : une fois l’évaluation des risques approuvée, l’évaluation passe à l’état Surveillance. Les risques évalués dans l’évaluation des risques doivent être surveillés, en particulier si elle contient des facteurs automatisés. Les facteurs ou questions automatisés qui extraient automatiquement des données à partir de n’importe quelle source de données ont des évaluations de risque en constante évolution. Par conséquent, un risque qui peut actuellement avoir une cote faible pourrait avoir une cote plus élevée plus tard. Il est donc impératif de surveiller une évaluation terminée afin de réduire les menaces qui pèsent sur votre organisation.