Définir des exceptions et des extensions de politique avec le configurateur d’approbation GRC
Si vous êtes un gestionnaire de conformité, vous pouvez définir les exceptions de politique et les extensions pour les workflows d’approbation granulaires à plusieurs niveaux à l’aide du configurateur d’approbation GRC. Le configurateur d’approbation GRC est un outil de l’application Gouvernance, risque et conformité.
Vue d’ensemble du configurateur d’approbation GRC
Une exception de politique est une autorisation formelle et temporaire de s’écarter d’une politique ou d’une procédure standard, généralement pour une raison commerciale définie ou en réponse à un problème. Une extension de police est une demande visant à prolonger la durée d’une exception de politique existante, nécessitant une réévaluation de la situation et éventuellement une autre approbation. Les deux processus peuvent être gérés à l’aide du configurateur d’approbation GRC.
Le configurateur d’approbation GRC vous permet de définir les règles d’approbation pour les exceptions et les extensions, d’affecter des approbations à des utilisateurs ou groupes désignés et d’implémenter des flux d’approbation à plusieurs niveaux. Les demandes d’exception et d’extension sont automatiquement acheminées en fonction des règles et des données configurées dans l’enregistrement, et les approbateurs peuvent directement approuver ou rejeter les extensions dans leur espace de travail.
Avantages de l’utilisation du configurateur d’approbation GRC pour les exceptions et extensions de politique
- Processus d’approbation personnalisés : créez des règles d’approbation personnalisées basées sur des conditions spécifiques telles que le type d’exception, le rôle du demandeur ou le domaine de la politique. Ce processus permet de contrôler le workflow d’approbation et de vérifier que chaque demande est évaluée de manière appropriée.
- Approbations multiniveaux : configurez un workflow qui contient des niveaux d’approbation séquentiels pour permettre un examen approfondi et une responsabilisation. Le workflow peut inclure diverses personnes concernées, telles que des gestionnaires de conformité, des experts techniques (SME) et des approbateurs désignés.
- Approbations dynamiques basées sur des règles : configurez des règles d’approbation à plusieurs niveaux basées sur des conditions dynamiques. Par exemple, un workflow d’approbation peut être envoyé à des utilisateurs ou à des groupes sélectionnés dans les champs de l’enregistrement source, ou peut être affecté à des utilisateurs ou à des groupes que vous sélectionnez manuellement. Vous pouvez également spécifier si une seule approbation ou toutes les approbations sont requises à chaque niveau.
- Acheminement automatisé : automatisez les demandes directes d’exception et d’extension aux approbateurs pertinents en fonction des règles configurées. L’acheminement automatisé réduit les efforts manuels et minimise les retards.
- Intégration de l’espace de travail : permettez à vos approbateurs d’examiner les demandes et d’y donner suite directement dans leur espace de travail afin de contribuer à maintenir une piste d’audit claire et à améliorer l’efficacité opérationnelle.
Workflow pour les approbations d’exception de politique
-
Nouveau : lorsqu’une exception de politique est créée, elle passe dans l’état Nouveau.
À cette étape, les approbations de vérification sont déclenchées pour valider la légitimité de la demande d’exception. Ces approbations sont créées à l’aide du modèle de configuration de vérification.
-
Analyse : une fois la vérification terminée et approuvée (sur la base de la règle de vérification), la demande passe à l’état Analyser.
Dans cet état, un gestionnaire de conformité évalue la demande. Si des informations supplémentaires spécifiques à un domaine sont nécessaires, ils peuvent soit les passer à l’état Examen pour une analyse plus approfondie, soit demander l’entrée d’un expert.
- Examen : dans cet état, la demande est examinée en détail par le SME pour validation technique.
-
En attente d’approbation : une fois l’entrée SME collectée, la demande passe dans l’état En attente d’approbation pour rassembler les approbations finales des approbateurs désignés (en fonction des règles de configuration de l’approbation finale).
-
Approuvé : après l’approbation finale, l’exception de politique est marquée comme approuvée et devient active.
- Fermé : lorsque l’exception n’est plus nécessaire, elle passe à l’état Fermé.
Workflow pour les approbations d’extension de la politique
Vous pouvez étendre les extensions approuvées par le biais d’un processus d’approbation similaire. Les demandes d’extension sont acheminées à l’aide du même configurateur d’approbation GRC. Vous pouvez configurer plusieurs approbateurs ou groupes pour approuver ou rejeter les demandes d’extension.
Rôles requis pour configurer les exceptions et les extensions de politique
- sn_compliance.gestionnaire pour créer des règles d’approbation.
- sn_grc.business_user ou sn_grc.business_user_lite pour afficher les enregistrements d’exceptions et d’extensions.
Configuration des exceptions et des extensions de politique
Une fois que vous disposez des rôles requis, vous pouvez configurer les exceptions et les extensions de politique à l’aide du configurateur d’approbation.
Activer le configurateur d’approbation GRC
Activez le configurateur d’approbation GRC pour gérer les exceptions et les extensions de politique avec des flux d’approbation granulaires à plusieurs niveaux.
Définir les règles de vérification de la politique
Configurez des règles d’approbation granulaires pour les règles de vérification des exceptions de politique à l’aide du configurateur d’approbation GRC.
Définir les règles d’approbation d’exception de politique
Configurez des règles d’approbation granulaires pour les règles d’approbation d’exception de politique à l’aide du configurateur d’approbation GRC.
Définir des règles d’extension pour les exceptions de politique
Activez le configurateur d’approbation GRC à partir de la page Propriétés de la politique et de la conformité pour autoriser plusieurs approbateurs pour les approbations d’extension de la politique, en remplaçant l’approbateur unique par défaut (gestionnaire de conformité).