Utilisation des risques

Un risque peut correspondre à une incertitude ou à une opportunité susceptible de découler d'une prise de décision de l'entreprise. Il existe des risques qui peuvent avoir un impact sur le fonctionnement quotidien de votre organisation. Ces risques doivent être identifiés et atténués pour assurer le bon déroulement des opérations au sein de votre organisation.

L'application Gestionnaire des risques nécessite un abonnement à Gestion des risques informatiques (anciennement ITRMBond) ou à Gestion des risques tiers (anciennement ThirdPartyBond).

Quels sont les différents types de risques ?

Il existe de nombreuses catégories de risques, y compris les suivantes, sans toutefois s'y limiter :

  • Les risques de conformité et réglementaires, comme l'introduction de nouvelles règles ou d'une nouvelle législation
  • Le risque financier, comme la hausse des taux d'intérêt sur un emprunt commercial ou un client en défaut de paiement
  • Le risque opérationnel, comme l'endommagement d'un équipement clé ou son vol

Chaque risque doit être identifié, associé aux entités liées et évaluées. Ensuite, votre organisation peut choisir les méthodes les plus appropriées pour prioriser et atténuer ces risques.

Ajouter un risque

Pour ajouter un risque dans le Gestionnaire des risques, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur + Ajouter un risque.
  3. Dans le panneau Ajouter un risque, saisissez un nom pour votre risque.
  4. Ajoutez les autres détails nécessaires et cliquez sur l'un des boutons suivants :
    • Ajouter un risque pour enregistrer le risque et fermer le panneau.
    • Enregistrer et ajouter nouveau pour enregistrer le risque et en ajouter un autre.

    Résultat Vos risques sont créés.

  5. Facultatif. Cliquez sur le nom du risque pour afficher la page détaillée du risque et ajoutez plus de détails, puis enregistrez les modifications.

Ajouter un propriétaire de risque ou le modifier

Pour ajouter un propriétaire de risque ou le modifier, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. À partir de la liste Risque, cliquez sur le nom du risque auquel vous voulez ajouter un propriétaire ou dont vous voulez modifier le propriétaire.

    L'onglet Détails s'ouvre.

  3. Dans le champ Propriétaire du risque, sélectionnez un utilisateur et cliquez sur Enregistrer les modifications.

    Résultat Le risque est attribué à l'utilisateur sélectionné et une notification par e-mail lui est envoyée.

Faire passer un risque d'un flux de travail à un autre

Une fois que vous avez créé un risque, vous pouvez le faire passer par différents états du flux de travail en fonction de vos besoins et exigences.

Pour faire passer un risque de l'état Brouillon à l'état Identification, puis à l'état Analyse, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur le nom du risque avec lequel vous souhaitez travailler.

    La page détaillée du risque s'ouvre avec l'onglet Détails.

  3. Saisissez les informations relatives au risque, dont l'ID, la description et le propriétaire, puis cliquez sur Enregistrer les modifications.
  4. En haut à droite, cliquez sur Identifier.

    Résultat Le statut du flux de travail devient Identification.

  5. Après avoir vérifié que votre risque dispose de tous les détails requis, cliquez sur Valider.

    RésultatLe statut du flux de travail passe à Analyse.

Remarque

Vous pouvez effectuer les étapes mentionnées ci-dessus pour faire passer le risque dans les différents états du flux de travail en fonction de vos besoins. Certains états du flux de travail peuvent exiger la saisie de données dans certains champs. Veillez à satisfaire aux critères pour faire progresser le risque.

Lier un risque à différentes entités

Un risque est lié à différentes entités de votre organisation, comme les actifs, les processus opérationnels, etc. Il convient de prendre en compte cette relation et de lier le risque à ces entités, afin de pouvoir calculer avec précision l'impact d'un risque sur ces entités.

Pour lier un risque à différentes entités, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur le nom du risque avec lequel vous souhaitez travailler.

    La page détaillée du risque s'ouvre avec l'onglet Détails.

  3. Accédez à l'onglet Relations et procédez comme suit :
    • Pour lier un actif, cliquez sur Lier les actifs.

      La boîte de dialogue Lier les actifs s'ouvre.

      1. Sélectionnez le type d'actif et l'actif.
      2. Cliquez sur Lier les actifs.

        Résultat L'actif est lié au risque.

    • Pour lier un contrôle, cliquez sur Lier les contrôles.

      La boîte de dialogue Lier les contrôles s'ouvre.

      1. Sélectionnez le type de contrôle et le contrôle.
      2. Cliquez sur Lier les contrôles.

        Résultat Le contrôle est lié au risque.

    • Pour lier une évaluation du risque, cliquez sur Lier les évaluations du risque.

      La boîte de dialogue Lier les évaluations s'ouvre.

      1. Sélectionnez le type d'évaluation du risque et l'évaluation.
      2. Cliquez sur Lier les évaluations du risque.

        Résultat L'évaluation du risque est liée au risque.

  4. Facultatif. Vous pouvez également suivre les mêmes étapes que ci-dessus pour lier le risque à d'autres risques.

Remarque

  • Vous pouvez également lier rapidement des entités à partir de la page d'accueil en développant la ligne de risque et en cliquant sur Ajouter une relation. Cette opération n'est applicable que si vous n'avez toujours pas lié le risque à une entité, quelle qu'elle soit.
  • Lorsque vous liez des entités, un lien bidirectionnel est généré. Par exemple, lorsque vous liez un risque à un contrôle, le risque lié est affiché dans l'onglet Relations du contrôle et le contrôle est affiché dans l'onglet Relations du risque. Si les liens ne fonctionnent pas dans les deux sens, contactez l'Assistance pour obtenir de l'aide.

Annuler le lien entre le risque et les autres entités

Vous pouvez annuler les relations d'un risque avec différentes entités comme des actifs, des contrôles et des évaluations.

Pour annuler la relation d'un risque, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur le risque avec lequel vous souhaitez travailler.

    La page détaillée du risque s'ouvre avec l'onglet Détails.

  3. Accédez à l'onglet Relation et cliquez sur l'icône d'annulation de la relation sur l'objet dont vous voulez supprimer le lien.

    La boîte de dialogue Annuler la relation s'ouvre.

  4. Cliquez sur Annuler la relation de l'objet.

    Résultat Le lien est supprimé du risque.

Évaluer un risque

Une fois que votre risque est identifié, validé et associé à différentes entités, vous pouvez l'évaluer et calculer les scores de risque. Vous devez évaluer le risque pour en estimer le niveau de menace potentiel pour l'organisation. Pour ce faire, vous pouvez déclencher des évaluations.

Pour évaluer un risque, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur le risque que vous souhaitez évaluer.

    La page détaillée du risque s'ouvre.

  3. En haut à droite, cliquez sur Évaluer.

    Résultat Les évaluations sont générées en fonction des entités liées au risque. Pour en savoir plus, consultez la section Comment les évaluations sont-elles générées ?

Remarque

Vous pouvez également ajouter des évaluations de risque manuellement à partir de l'onglet Évaluation de l'événement de risque.

Comment les évaluations sont-elles générées ?

Les évaluations sont générées en fonction de l'association de votre risque à d'autres entités telles que les actifs et les contrôles.

  • Si le risque est uniquement associé à un actif, alors seule une évaluation de l'événement de risque est générée.
  • Si le risque est associé à la fois à un actif et à un contrôle, des évaluations de l'événement de risque et du contrôle sont toutes deux générées.
  • Si le risque est uniquement associé à un contrôle, des évaluations du risque et du contrôle sont alors générées, mais avec quelques différences (en matière de convention d'attribution de nom, par exemple).

Par exemple, vous avez ajouté un risque nommé Menace virus et celui-ci est associé à la fois à un actif et à un contrôle comme suit :

  • Actif - Ordinateur portable
  • Contrôle - Logiciel antivirus

À présent, en cliquant sur Évaluer, vous déclenchez la génération d'évaluations et les mécanismes suivants ont lieu :

  • Le statut du flux de travail passe à Évaluation.
  • Une évaluation des risques est générée, avec la convention de dénomination suivante : <Nom du risque> - <Nom de l'actif>. Exemple : Menace virus - Ordinateur portable.
    • L'évaluation du risque est associée à la fois au risque et à l'actif. Vous pouvez voir l'évaluation du risque sous l'onglet Évaluation de l'événement de risque de la page du risque et sous l'onglet Évaluations de l'actif dans l'application Gestionnaire des actifs.
    • Les champs suivants propres au risque sont copiés vers l'évaluation du risque : ID du risque, Description du risque et Propriétaire du risque.
  • Une évaluation de contrôle est générée, avec la convention de dénomination suivante : <Nom du contrôle> - <Nom du risque> - <Nom de l'actif>. Exemple : Logiciel antivirus - Menace virus - Ordinateur portable.
    • L'évaluation de contrôle est associée au contrôle, au risque et à l'actif. Vous pouvez voir l'évaluation du contrôle sous l'onglet Évaluations de contrôle de la page Contrôle.
    • Les champs de contrôle suivants sont copiés vers l'évaluation de contrôle : ID du contrôle, description du contrôle et propriétaire du contrôle.

Calculer les scores de risque

Il existe deux modes de calcul des scores de risque :

  • Utilisation de la configuration par défaut La configuration par défaut est utilisée pour calculer le score de risque. Par exemple, les champs de Probabilité et Impact sont définis sur une matrice 3 x 3 (faible, moyenne, élevée). Cette méthode vous permet de calculer le score de risque d'un seul risque (ou une évaluation des risques) à la fois. Pour plus d'informations, consultez la section Utilisation de la configuration par défaut.
  • Utilisation de la configuration personnalisée Vous pouvez personnaliser la formule de calcul des scores de risque et d'évaluation. Cette méthode vous permet de calculer les scores de plusieurs risques (ou plusieurs évaluations de risque) à la fois. Pour plus d'informations, consultez la section Configuration des scores de risque et d'évaluation dans l'application Gestionnaire des risques.

Utilisation de la configuration par défaut

Une fois les évaluations déclenchées, vous pouvez calculer les scores de risque. Pour ce faire, vous pouvez calculer le score du risque inhérent dans les enregistrements du risque et de l'évaluation du risque.

Pour calculer le score de risque inhérent, vous devrez connaître l'impact et la probabilité du risque. Reportez-vous au tableau ci-dessous.

Probabilité Élevé

Moyen(ne)

 Élevé Élevé(e)
Moyenne

Faible

 Moyenne Élevé
Faible

Faible

 Faible Moyen(ne)
  Faible Moyenne Élevé
Impact

Pour calculer les scores de risque d'une évaluation des risques avec la configuration par défaut, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur le risque avec lequel vous souhaitez travailler.

    La page détaillée du risque s'ouvre.

  3. Accédez à l'onglet Évaluation de l'événement de risque et cliquez sur le nom de l'évaluation de risque pour l'ouvrir.
  4. Assurez-vous d'avoir rempli les informations nécessaires, puis cliquez sur Évaluer en haut à droite.

    RésultatLe statut du flux de travail passe à Évaluation.

  5. À présent, cliquez sur Score en haut à droite.

    Résultat Le score de risque est calculé et affiché dans le champ Score de risque inhérent.

    Remarque

    Assurez-vous que les champs Impact et Probabilité sont remplis et enregistrés avant de cliquer sur Score.

  6. Cliquez sur Approuver pour finaliser le score de risque.

    Résultat Le score de risque est finalisé et le statut du flux de travail passe à Surveillance.

  7. Facultatif. Vous pouvez recommencer l'évaluation en cliquant sur Réévaluer.

Supprimer un risque

Pour supprimer un risque, procédez comme suit :

  1. Ouvrez l'application Gestionnaire des risques.

    La page d'accueil du Gestionnaire des risques s'ouvre.

  2. Cliquez sur le risque que vous souhaitez supprimer.

    La page détaillée du risque s'ouvre.

  3. En haut à droite, cliquez sur Plus d'options, puis sur Supprimer.
  4. Dans la boîte de dialogue de confirmation, cliquez de nouveau sur Supprimer.

    Résultat Le risque est supprimé.

Quelles sont les prochaines étapes ?

Vous pouvez commencer à travailler avec des contrôles pour atténuer les risques. Pour plus d'informations, consultez la section Utilisation des contrôles.