Les politiques garantissent la conformité et réduisent l’exposition aux risques. Il peut s’agir d’une politique, d’une procédure, d’une norme, d’un plan, d’une liste de contrôle, d’un cadre ou d’un modèle. La publication d’une politique s’inscrit dans son processus d’approbation.

Lorsque vous créez une politique, elle se trouve à l’état Brouillon et toutes les informations requises à son sujet sont définies et capturées dans l’enregistrement. Les informations requises que vous capturez sont les attributs qui régissent le flux de processus de la politique.

Le cycle de vie d’un enregistrement de politique passe par différents états. L’objectif est de comprendre où se trouve actuellement l’enregistrement et d’afficher sa progression. Chaque état a un ensemble spécifique d’activités connexes avant de passer à l’état suivant. Une politique peut également passer à l’état précédent, si nécessaire, qui est configuré et identifié en fonction de l’état actuel.

Brouillon

Un administrateur de conformité, un gestionnaire de conformité ou un utilisateur de conformité peut créer une politique, définir et capturer ses informations connexes. Dans cet état brouillon, les réviseurs sont identifiés, qui ont la capacité de modifier la politique dans son état de révision, et les approbateurs qui peuvent approuver la politique. Les objectifs de contrôle qui existent déjà peuvent être ajoutés à la politique ou de nouveaux peuvent être créés. Chaque politique a une période de fin de validité, au cours de laquelle elle est mise à jour, révisée, republiée ou retirée. Dans cet état, les actions que vous pouvez effectuer sur la politique sont Mettre à jour, Prêt pour la révision et Supprimer.

Revue

Seuls les réviseurs de politiques peuvent mettre à jour une politique dans cet état pour s’assurer qu’elle répond à toutes les exigences réglementaires. Ils examinent les objectifs de contrôle, ses entités, contrôles et contenus des documents de référence associés, ajoutent des informations supplémentaires, suppriment les mappages inutiles ou créent de nouveaux objectifs de contrôle. Le réviseur peut repasser la politique à l’état de brouillon si la politique ne répond pas aux exigences ou si des détails supplémentaires sont nécessaires. Le réviseur peut également demander l’approbation de la politique ou la supprimer si cela n’est plus nécessaire.

En attente d'approbation

Si un approbateur de politique est affecté à la politique, celle-ci passe à l’état En attente d’approbation. Sinon, il passe à l’état Publié. Dans cet état, l’approbateur peut également supprimer la stratégie. Dans l’état En attente d’approbation, une tâche d’approbation de politique est créée et affectée à l’approbateur. La tâche est à l’état Demandé, et l’approbateur peut le modifier en prenant l’un des états suivants :

• Demandé
• Approuvé
• Rejeté
• Annulé
• N’est plus nécessaire

Publié

Lorsque la politique passe à l’état Publié, le système génère automatiquement un article de la base de connaissances. La politique devient une obligation pour tous les utilisateurs de suivre ses directives et ses exigences, par le biais des contrôles qui sont mappés à la politique. Dans cet état, la politique peut également être renvoyée à l’état Révision, Retirée ou Supprimée.

Mis hors service

Une police peut être retirée si elle n’est plus nécessaire ou si elle n’est plus utilisée pour l’entreprise. L’article de la base de connaissances qui a été créé est supprimé, mais la politique reste à l’état Mis hors service à des fins d’audit. Si la politique est à nouveau nécessaire, elle peut être renvoyée à l’étape de brouillon, et le cycle de vie de la politique recommence.