Intégrer Gouvernance, risque et conformité à pour identifier les risques et les contrôles de l’application

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Architecture d'entreprise (anciennement Gestion du portefeuille d'applications) s’intègre à Gouvernance, risque et conformité (GRC) pour faciliter l’identification et l’évaluation des risques sur les applications d’entreprise.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    À l’aide de l’application GRC, vous pouvez analyser les risques associés aux actifs tels que le matériel, les logiciels et l’application d’entreprise. Vous pouvez également identifier et tester les contrôles associés à ces risques, ainsi qu’examiner les audits qui ont été effectués sur ces actifs. Cette analyse aide les propriétaires de l’application à comprendre efficacement le risque de l’application d’entreprise.

    Le propriétaire de l’application peut identifier les risques importants et les problèmes de conformité auxquels les applications d’entreprise sont exposées, sans avoir à faire appel à un système d’audit externe et à exécuter les applications par le processus d’audit.

    Activez les modules d’extension suivants à intégrer Architecture d'entreprise à GRC.

    Procédure

    1. Accédez à Tous > Définition du système > Modules d'extension.
    2. Installez le module d’extension GRC : GRC Profile Dependencies (com.snc.grc_profile_dep).
    3. Installez le module d’extension GRC : Vendor Risk Management Dependencies (com.snc.grc_vrm_dep).
    4. Installez le module d’extension GRC : Policy and Compliance Management Dependencies (com.snc.grc_policy_dep).

      Cela nécessite également l’installation d’app-compliance à partir de l’App ServiceNow Store.

      Remarque :
      L’intégration nécessite également certaines applications qui doivent être installées à partir de l’App ServiceNow Store. Consultez la section Demander des applications dans l’App Store pour obtenir des instructions pour les télécharger et les activer.

    Que faire ensuite

    Créez une entité faisant référence à l’application d’entreprise. Joindre l’entité à un audit.

    Créer une entité pour l’audit référençant l’application d’entreprise

    Créez une entité en référence à la table d’application d’entreprise et à son enregistrement d’application spécifique. Utilisez l’entité pour définir le périmètre de l’exposition au risque et effectuer des évaluations des risques sur les applications d’entreprise.

    Avant de commencer

    Rôle requis : sn_audit.admin ou sn_audit.manager

    Pourquoi et quand exécuter cette tâche

    GRC utilise le terme entité au lieu de profil. Une entité peut être auditée, par exemple une base de données, un serveur ou une application d’entreprise.

    Procédure

    1. Accédez à Tous > Audit > Définition du champ d'application > Toutes les entités.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Pour plus d’informations sur le champ, reportez-vous à la section Formulaire d’entité.
    4. Cliquez sur Envoyer.
      Pour en savoir plus, consultez :

    Associer un risque à l’entité

    Attachez l’entité à un risque et créez un enregistrement de risque. Évaluez et identifiez les risques susceptibles d’affecter négativement vos applications d’entreprise.

    Avant de commencer

    Rôle requis : sn_risk.admin et sn_risk.manager

    Procédure

    1. Accédez à Tous > le risque > Registre des risques > Tous les risques.
    2. Créez un risque dans le formulaire Risque.

      Voir : Créer un risque manuellement.

      Remarque :

      Associez le risque à l’entité dans le champ Entité .

    Ajouter une entité d’application d’entreprise à un engagement

    Les entités sont évaluées et évaluées en vue de la mission d’audit. Après quoi, les entités qui sont incluses dans le champ d’application de l’engagement d’audit et qui ont été validées sont associées à un audit.

    Avant de commencer

    Rôle requis : sn_audit.manager ou sn_audit.admin

    Pour ajouter une entité d’application d’entreprise à un engagement, vous devez avoir créé une entité référençant l’application d’entreprise dans le champ Entité du formulaire Entité. Voir : Créer une entité pour l’audit référençant l’application d’entreprise.

    Procédure

    1. Accédez à Tous > Audit > Engagements > Tous les engagements.
    2. Pour ajouter l’entité de l’application d’entreprise à l’engagement, cliquez sur le bouton Ajouter dans la liste connexe Entités .
      Remarque :
      L’engagement doit être dans l’état Champ d’application ou Valider .

      Voir : Ajouter des profils à un champ d’application d’engagement.

      Lorsqu’un profil d’application est joint à un engagement, un enregistrement d’engagement avec le profil associé est créé dans la table Profil à engagements [sn_audit_m2m_profile_engagement].

    Ajouter un contrôle à l’entité d’application d’entreprise

    Associez un contrôle à une entité d’application d’entreprise susceptible d’être à risque. Il est obligatoire de définir un contrôle efficace sur les applications d’entreprise pour atténuer les risques et protéger votre entreprise. Lorsque vous mettez à niveau vos applications d’entreprise, vous pouvez remplacer vos contrôles obsolètes.

    Avant de commencer

    Rôle requis : admin

    Vous devez avoir créé une entité avant de lui associer un contrôle. Les contrôles sont créés dans GRC.

    Procédure

    Pour créer un contrôle et y ajouter une entité, consultez Créer un contrôle.
    • L’entité que vous sélectionnez dans la table Contrôles [sn_compliance_control] doit être une application d’entreprise et la classe d’entité de l’enregistrement doit être application.
    • L’enregistrement de contrôle peut être à l’état Brouillon ou Mis hors service . Toutefois, les contrôles dans ces états ne sont pas visibles dans Architecture d'entreprise (anciennement Gestion du portefeuille d'applications) pour être associés à une application d’entreprise.

    Afficher les risques et les engagements pour l’application Gouvernance, risque et conformité d’entreprise

    En tant que propriétaire d’application, vous pouvez afficher les risques auxquels une application d’entreprise est exposée. Gouvernance, risque et conformité (GRC) audite l’entité d’application d’entreprise et les risques et engagements audités sont capturés sous forme de listes connexes scriptées dans le formulaire d’application d’entreprise.

    Avant de commencer

    Rôle requis : sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Procédure

    1. Accédez à Tous > Architecture d'entreprise > Portefeuille des applications > Toutes les applications de gestion.
    2. Cliquez sur l’élément connexe Risques GRC .
    3. Consultez le nom de la définition du risque, sa description, la catégorie de risque (juridique, financier, opérationnel, entre autres), l’impact inhérent qui indique les niveaux de risque et la probabilité inhérente qui indique la probabilité que le risque se produise.
      Voir : Gérer les risques, les déclarations de risque et les cadres du risque
    4. Cliquez sur l’élément connexe Engagements .
    5. Affichez le nom de l’engagement, l’utilisateur à qui il est affecté, l’état de l’engagement, la date de début prévue à laquelle l’activité doit commencer, sa date de fin, le pourcentage d’engagement achevé et le coût réel de l’engagement.
      Voir : Gérer les engagements
    6. Cliquez sur l’élément connexe Contrôles .
    7. Affichez le nom du contrôle, son propriétaire, l’état du contrôle, s’il est conforme ou non, la classification du contrôle, qu’il soit préventif, correctif ou détectif, et la fréquence d’attestation à laquelle la tâche planifiée s’exécute.

      Voir : Gérer les contrôles

    8. Cliquez sur la flèche afficher/masquer les listes hiérarchiques à côté d’un enregistrement de risque dans la liste connexe des risques GRC pour afficher tous les contrôles que vous avez associés au risque de l’application d’entreprise.

      Lorsque vous associez un contrôle à un risque, le contrôle et le risque associé sont créés dans la table Risque à contrôle [sn_risk_m2m_risk_control].

      Figure 1. Contrôles associés à un risque
      Contrôles associés au risque