Effectuer une évaluation avancée des risques dans Espace de travail Risk

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Effectuez des évaluations des risques pour évaluer les risques inhérents, l’efficacité des contrôles, les risques résiduels et les risques cibles dans l’application Espace de travail Risk . Vous pouvez définir des réponses aux risques qui vous permettent de gérer et d’atténuer les risques identifiés au cours du processus d’évaluation des risques.

    Avant de commencer

    Rôle requis : sn_grc.business_user
    Remarque :
    Vous devez affecter manuellement les rôles d’évaluation Advanced Risk au rôle sn_grc.business_user. Pour comprendre comment ajuster l’octroi de rôles et de groupes, consultez l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] de la Now Support base de connaissances. Vous devez vous connecter Now Support pour consulter l’article.

    Pourquoi et quand exécuter cette tâche

    Une évaluation des risques est effectuée pour les éléments suivants :
    • Risques inhérents
    • Efficacité des contrôles
    • Risques résiduels
    • Risques cibles

    Les évaluations des risques génèrent des scores de risque qui sont automatiquement calculés en fonction des configurations effectuées dans la méthodologie d’évaluation des risques (RAM). Si vous souhaitez modifier les scores calculés automatiquement, vous pouvez remplacer les scores calculés et fournir une justification. Si vous n’avez aucun contrôle à évaluer, le score de risque résiduel est le même que le score de risque inhérent.

    Après avoir effectué l’évaluation, vous pouvez définir la réponse au risque. La réponse au risque fait référence au processus de gestion des risques identifiés. Il s’agit d’un processus de planification et de prise de décision où les gestionnaires des risques décident comment gérer chaque risque. Pendant l’évaluation, vous pouvez afficher des informations de référence détaillées dans le panneau latéral contextuel. Ce panneau fournit des informations sur les événements à risque, les problèmes ouverts, les violations d’indicateurs clés, les résultats des tests de contrôle et les défaillances des indicateurs de contrôle.

    Si l’évaluation des risques est effectuée par un délégué de l’évaluateur, le champ Délégués de l’évaluateur affiche le nom du délégué.

    Un enregistrement d’évaluation des risques progresse à travers les états suivants :
    • Nouveau : l’évaluation des risques est créée, mais n’a pas encore été initiée ou est à l’état « prêt à être évalué ».
    • En cours : L’évaluation des risques est en cours d’évaluation. Cet état s’applique lorsque l’évaluation se trouve dans l’un des états suivants : évaluation inhérente, évaluation de contrôle, évaluation résiduelle, évaluation cible ou réponse.
    • En attente d’approbation : l’évaluation des risques est terminée et en attente d’examen ou d’approbation des approbateurs désignés.
    • Terminé : l’évaluation des risques a été entièrement approuvée, finalisée et ne nécessite aucune autre action.
    • Archivé : L’évaluation des risques n’est plus active. Lorsqu’une évaluation est à l’état Terminé et qu’une nouvelle évaluation commence pour le même risque, l’ancienne évaluation passe à l’état Archivé.
    • Annulé : l’évaluation des risques a été terminée ou retirée.
    Pour plus d’informations sur les états, consultez l’article sur les changements apportés à la version 19.1.x du workflow d’évaluation des risques dans la base de Now Support connaissances. Vous devez vous connecter Now Support pour consulter l’article.

    Procédure

    1. Accédez à la Tout > Risque > Espace de travail Risque > Mes tâches.
    2. Ouvrez l’évaluation des risques que vous souhaitez évaluer, puis effectuez l’une des actions suivantes.
      • Si vous souhaitez commencer l’évaluation, sélectionnez Commençons.
      • Si vous pensez que l’évaluation des risques doit être affectée à quelqu’un d’autre, sélectionnez Réaffecter et renseignez les détails nécessaires.
      • Si ce risque a déjà été évalué, sélectionnez Examiner la dernière évaluation pour afficher l’évaluation précédente.
      • Si l’évaluation des risques est en cours et que vous souhaitez poursuivre l’évaluation, sélectionnez Reprendre.
    3. Pour effectuer l’évaluation inhérente, répondez à toutes les questions de l’évaluation inhérente.
      1. Facultatif : Pour afficher les conseils pour un facteur, sélectionnez l’icône du point d’interrogation ( Afficher les conseils pour un facteur..
      2. Facultatif : Pour afficher la pondération qualitative et quantitative, sélectionnez l’icône d’évaluation suivante.
      L’application enregistre automatiquement vos réponses et calcule le score de risque global.
    4. Facultatif : Pour modifier les résultats du risque inhérent calculé, procédez comme suit :
      1. Sélectionnez l’option Je souhaite modifier le score calculé .
      2. Dans le champ Remplacer le risque inhérent , sélectionnez la valeur appropriée.
      3. Saisissez des commentaires qui expliquent les raisons de la modification du score calculé.
    5. Sélectionnez Suivant.
    6. Pour l’évaluation de contrôle, effectuez l’une des opérations suivantes :
      • Pour évaluer l’efficacité des contrôles, répondez à tous les facteurs d’évaluation de contrôle.
      • Pour continuer sans évaluer les contrôles d’atténuation, sélectionnez l’option Évaluation de contrôle non applicable .
      • Pour évaluer l’environnement de contrôle sans ajouter de contrôles, sélectionnez Je souhaite modifier l’option de score calculé et reportez-vous à l’étape 8.
      Vous pouvez également modifier les résultats calculés de l’efficacité du contrôle en fournissant une justification pour modifier le score.
    7. Pour ajouter ou créer des contrôles pour l’évaluation de contrôle, effectuez l’une des opérations suivantes :
      • Pour ajouter des contrôles existants, sélectionnez Ajouter.
      • Pour hériter des contrôles communs, sélectionnez Hériter des contrôles communs.
      • Pour créer un contrôle, sélectionnez la flèche vers le bas en regard du bouton Hériter des contrôles communs , puis sélectionnez Créer un contrôle.
      • Pour ajouter des contrôles à partir de la taxonomie de contrôle, sélectionnez la flèche vers le bas en regard du bouton Hériter des contrôles communs , puis sélectionnez Créer à partir des objectifs de contrôle.
    8. Facultatif : Pour évaluer l’environnement de contrôle sans ajouter de contrôles, procédez comme suit :
      1. Sélectionnez l’option Je souhaite modifier le score calculé .
      2. Dans le champ Remplacer l’efficacité du contrôle , sélectionnez la valeur appropriée.
      3. Saisissez des commentaires qui expliquent les raisons de la modification du score calculé.
    9. Pour évaluer les risques restants après l’implémentation des contrôles d’atténuation, sélectionnez Suivant et répondez aux facteurs dans l’évaluation résiduelle.
      Vous pouvez également modifier le score résiduel calculé en fournissant une justification pour le changement du score.
    10. Remarque :
      La disponibilité de l’évaluation des risques cibles sur le formulaire d’évaluation dépend des conditions décrites dans la RAM.
      Pour évaluer le niveau de risque souhaité que vous souhaitez atteindre à l’avenir, sélectionnez Suivant et répondez aux facteurs dans l’évaluation cible.
      Vous pouvez également modifier le score cible calculé en fournissant une justification pour modifier le score.
    11. Pour sélectionner une stratégie appropriée et définir le plan d’action pour les risques évalués, sélectionnez Suivant et procédez comme suit.
      1. Sélectionnez les réponses au risque appropriées.
      2. Facultatif : Pour créer une tâche de réponse aux risques, sélectionnez le bouton Créer une tâche , puis sélectionnez les valeurs appropriées.
        Pour plus d'informations, consultez Créer une tâche de réponse au risque dans Espace de travail Risk.
      3. Facultatif : Pour lier les tâches de réponse aux risques existantes ou copier les tâches avec les stratégies de réponse aux risques de l’évaluation précédente lors de la réévaluation d’un risque, sélectionnez Oui, continuer avec les tâches existantes.
        Le bouton Oui, continuer avec l’existant s’affiche uniquement lorsque vous réévaluez un risque. Pour continuer avec une autre réponse, sélectionnez Modifier la réponse.
      4. Sélectionnez Enregistrer la tâche et examinez vos réponses.
        Les tâches de réponse aux risques sont créées et affectées au délégataire. Vous pouvez modifier la tâche et la modifier pour changer le propriétaire.
    12. Pour lier les problèmes existants à l’évaluation des risques, procédez comme suit :
      Vous devez activer l’option Autoriser la liaison du problème à l’évaluation des risques sur le formulaire Méthodologie d’évaluation des risques (RAM) pour utiliser cette fonctionnalité.
      1. Sélectionnez Ajouter les problèmes existants.
      2. Sélectionnez les problèmes dans la liste, puis sélectionnez Ajouter.
    13. Pour créer des problèmes pour l’évaluation des risques, procédez comme suit :
      Vous devez activer l’option Autoriser la liaison du problème à l’évaluation des risques sur le formulaire Méthodologie d’évaluation des risques (RAM) pour utiliser cette fonctionnalité.
      1. Sélectionnez Créer un problème.
      2. Dans le formulaire Créer un problème, renseignez les détails requis.
      3. Sélectionnez Enregistrer.
    14. Sélectionnez Soumettre.
      S’il n’y a pas d’erreur de validation, la page d’accueil de l’évaluation s’affiche.
    15. Facultatif : Si vous souhaitez modifier l’évaluation, sélectionnez Modifier.
    16. Facultatif : Pour afficher les activités se déroulant pour l’évaluation, sélectionnez l’icône Journal d’activité icône Journal d’activité..
    17. Si vous avez défini des approbateurs, sélectionnez Soumettre.
      La page d’accueil de l’évaluation s’affiche. Vous pouvez consulter le résumé de votre évaluation.
    18. Pour demander l’approbation, modifier une affectation ou une réaffecter, sélectionnez l’une des options suivantes.
      ChoixDescription
      Demander l'approbation Si un approbateur est spécifié, sélectionnez cette option pour envoyer l’évaluation pour approbation. Vous pouvez également fournir des commentaires supplémentaires à l’approbateur.
      Modifier l'évaluation Si vous souhaitez modifier vos réponses dans l’évaluation, sélectionnez cette option.
      Réaffecter Si l’évaluation doit être affectée à quelqu’un d’autre, sélectionnez cette option.

    Résultats

    L’évaluation est envoyée à l’approbateur et le workflow d’approbation commence.

    Exemple

    Figure 1. Évaluation des risques en cours prête pour approbation
    Envoyer l’évaluation des risques pour approbation.