Comprendre l’instance d’évaluation des risques

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Une instance d’évaluation des risques est l’instance où un évaluateur de risques peut évaluer les risques et les objets en répondant à des questions ou à des facteurs.

    Une fois la méthodologie d’évaluation des risques (RAM) créée et le périmètre d’évaluation des risques défini, les évaluations sont initiées par l’administrateur des risques. L’évaluateur reçoit une notification pour évaluer les risques. Pour effectuer l’évaluation des risques, un évaluateur doit avoir le rôle sn_grc.business_user. L’évaluation est utilisée pour arriver à un score de risque pour une entité.
    Remarque :
    Vous devez affecter manuellement les rôles d’évaluation Advanced Risk au rôle sn_grc.business_user. Pour comprendre comment ajuster l’octroi de rôles et de groupes, consultez l’article Comment ajuster l’octroi de rôles et de groupes pour utiliser des tâches en arrière-plan [KB0963693] de la Now Support base de connaissances.

    Les questions auxquelles répond un évaluateur de risques sont configurées dans la RAM. Une évaluation peut contenir des facteurs manuels et des facteurs automatisés. Les facteurs manuels nécessitent une intervention humaine en tant que réponses. Pour les facteurs automatisés, les réponses sont calculées automatiquement. Les facteurs automatisés sont automatiquement exécutés en fonction du calendrier défini dans leur configuration.

    Une fois qu’une évaluation est terminée, une nouvelle évaluation est automatiquement déclenchée en fonction de la fréquence de réévaluation définie. Une nouvelle évaluation n’est déclenchée que si l’instance d’évaluation des risques existante est dans l’état Surveillance. Si une évaluation est dans l’état Surveillance, chaque fois que les facteurs automatisés s’exécutent en fonction de leur calendrier, les scores d’évaluation changent et les facteurs contribuent à de nouveaux scores au déploiement.

    Si l’évaluateur des risques détermine qu’une évaluation doit être réaffectée à un autre évaluateur pertinent, il peut réaffecter l’évaluation. L’évaluateur peut également modifier les réponses après avoir répondu aux facteurs.

    Si une évaluation est effectuée plusieurs fois et si l’option permettant de copier les réponses à l’évaluation précédente est activée dans la RAM, les réponses des évaluations précédentes sont automatiquement copiées dans l’évaluation actuelle.
    Remarque :
    Les réponses de facteur automatisées et les scores remplacés ne sont pas copiés à partir des évaluations précédentes.

    Composants d’une instance d’évaluation des risques

    En fonction des configurations dans la RAM, le formulaire d’instance d’évaluation des risques affiche également les listes connexes suivantes :
    • Évaluations précédentes : les cinq évaluations précédentes du risque en cours d’évaluation.
    • Événements à risque : nombre d’événements à risque associés au risque.
    • Indicateurs de risque : nombre d’indicateurs de risque qui ont réussi et échoué pour ce risque.
    • Problèmes ouverts : nombre de problèmes ouverts pour le risque, leur état et leurs propriétaires.
    • Tâches de réponse aux risques : nombre de tâches de réponse aux risques créées pour l’évaluation.
    • Contrôles associés : contrôles associés au risque. Cette liste connexe s’affiche uniquement lors de l’évaluation de l’environnement de contrôle.
      Remarque :
      Les clients des versions précédentes peuvent ne pas être en mesure de voir le nombre de mises à jour des indicateurs réussis et échoués. Pour résoudre ce problème, exécutez le script correctif Mettre à jour l’indicateur et le nombre de contrôles.

    Un évaluateur a la possibilité de ne pas évaluer les contrôles d’atténuation. L’option permettant de refuser les contrôles est utile dans les cas où il existe un risque mais qu’il n’existe aucun contrôle pour l’atténuer. Par exemple, considérez un scénario où une pandémie est un risque mais qu’il n’y a pas de vaccins pour la contrôler. Dans ce cas, le risque est évalué, mais les contrôles peuvent être exclus de l’évaluation. Lorsqu’un évaluateur décide de refuser l’évaluation des contrôles d’atténuation et des risques résiduels, le score est défini sur Non applicable.

    Si l’évaluation de contrôle est configurée pour évaluer des contrôles individuels et que les contrôles sont associés au risque évalué, l’option de désactivation des contrôles n’apparaît pas. Cela se produit parce que les contrôles sont définis par défaut.

    Si l’évaluation résiduelle concerne les risques et les contrôles inhérents, et si l’évaluateur des risques se désengage de l’évaluation de contrôle, les risques résiduels ne sont pas applicables. Cette condition est créée car s’il n’y a pas de contrôles, cela signifie automatiquement qu’il n’y a que des risques inhérents et aucun risque résiduel.

    Étapes de l’évaluation des risques

    Le cycle de vie de l’évaluation des risques passe par les états suivants :
    1. Prêt à évaluer : une nouvelle instance d’évaluation est créée.
    2. Évaluation inhérente : L’évaluation inhérente des risques est effectuée.
    3. Évaluation de contrôle : L’évaluation de contrôle est effectuée.
    4. Évaluation résiduelle : L’évaluation des risques résiduels est effectuée.
    5. Évaluation cible : L’évaluation des risques cibles est effectuée.
    6. Répondre : Vous réagissez aux risques.
    7. En attente d’approbation : l’évaluation des risques est en attente d’approbation des approbateurs s’ils ont été identifiés.
    8. Surveiller : l’évaluation des risques est terminée et est en cours de surveillance.