Utilisation des risques
Un risque peut correspondre à une incertitude ou à une opportunité susceptible de découler d'une prise de décision de l'entreprise. Il existe des risques qui peuvent avoir un impact sur le fonctionnement quotidien de votre organisation. Ces risques doivent être identifiés et atténués pour assurer le bon déroulement des opérations au sein de votre organisation.
Quels sont les différents types de risques ?
Il existe de nombreuses catégories de risques, y compris les suivantes, sans toutefois s'y limiter :
- Les risques de conformité et réglementaires, comme l'introduction de nouvelles règles ou d'une nouvelle législation
- Le risque financier, comme la hausse des taux d'intérêt sur un emprunt commercial ou un client en défaut de paiement
- Le risque opérationnel, comme l'endommagement d'un équipement clé ou son vol
Chaque risque doit être identifié, associé aux objets de bibliothèque pertinents et évalué. Ensuite, votre organisation peut choisir les méthodes les plus appropriées pour prioriser et atténuer ces risques.
Ajouter un risque
Pour ajouter un risque dans le Gestionnaire des risques, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur + Ajouter un risque.
- Dans le panneau Ajouter un risque, saisissez un nom pour votre risque.
- Ajoutez les autres détails nécessaires et cliquez sur l'un des boutons suivants :
- Ajouter un risque pour enregistrer le risque et fermer le panneau.
- Enregistrer et ajouter nouveau pour enregistrer le risque et en ajouter un autre.
Résultat Après l'ajout, vos risques sont créés.
- Facultatif. Cliquez sur le nom du risque pour afficher la page détaillée du risque et ajoutez plus de détails.
Ajouter un propriétaire de risque ou le modifier
Pour ajouter un propriétaire de risque ou le modifier, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- À partir de la liste Risque, cliquez sur le nom du risque auquel vous voulez ajouter un propriétaire ou dont vous voulez modifier le propriétaire.
L'onglet Détails s'ouvre.
- Dans le champ Propriétaire du risque, sélectionnez un utilisateur et cliquez sur Enregistrer les modifications.
Résultat Le risque est attribué à l'utilisateur sélectionné et une notification par e-mail lui est envoyée.
Faire passer un risque d'un flux de travail à un autre
Une fois que vous avez créé un risque, vous pouvez le faire passer par différents états du flux de travail en fonction de vos besoins et exigences. Certains états du flux de travail peuvent exiger la saisie de données dans certains champs. Veillez à satisfaire aux critères pour faire progresser le risque.
Pour faire passer un risque de l'état Brouillon à l'état Identification, puis à l'état Analyse, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur le nom du risque avec lequel vous souhaitez travailler.
La page détaillée du risque s'ouvre avec l'onglet Détails.
- Saisissez les informations relatives au risque, dont l'ID, la description et le propriétaire, puis cliquez sur Enregistrer les modifications.
- En haut à droite, cliquez sur Identifier.
Résultat Le statut du flux de travail devient Identification.
- Après avoir vérifié que votre risque dispose de tous les détails requis, cliquez sur Valider.
RésultatLe statut du flux de travail passe à Analyse.
Remarque
Vous pouvez effectuer les étapes mentionnées ci-dessus pour faire passer le risque dans les différents états du flux de travail en fonction de vos besoins.
Lier un risque à différents objets
Un risque est associé à différents actifs et d’autres objets de bibliothèque à travers votre organisation. Il convient de prendre en compte cette relation et de lier le risque à ces objets, afin de pouvoir calculer avec précision l’impact d’un risque sur ces objets.
Pour lier un risque à différents objets, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur le nom du risque avec lequel vous souhaitez travailler.
La page détaillée du risque s'ouvre avec l'onglet Détails.
- Accédez à l'onglet Relations et procédez comme suit :
- Pour lier un actif, cliquez sur Lier les actifs.
La boîte de dialogue Lier les actifs s'ouvre.
- Sélectionnez le type d'actif et l'actif.
- Cliquez sur Lier les actifs.
Résultat L'actif est lié au risque.
- Pour lier un contrôle, cliquez sur Lier les contrôles.
La boîte de dialogue Lier les contrôles s'ouvre.
- Sélectionnez le type de contrôle et le contrôle.
- Cliquez sur Lier les contrôles.
Résultat Le contrôle est lié au risque.
- Pour lier une évaluation du risque, cliquez sur Lier les évaluations du risque.
La boîte de dialogue Lier les évaluations s'ouvre.
- Sélectionnez le type d'évaluation du risque et l'évaluation.
- Cliquez sur Lier les évaluations du risque.
Résultat L'évaluation du risque est liée au risque.
- Pour lier un actif, cliquez sur Lier les actifs.
Remarque
- Vous pouvez effectuer les mêmes étapes que ci-dessus pour lier un risque à des objets de bibliothèque supplémentaires tels que d’autres risques, processus et objectifs si ces objets sont configurés dans Gestionnaire des risques.
- Vous pouvez également lier rapidement des objets à partir de la page d’accueil en développant la ligne de risque et en cliquant sur Ajouter une relation. Cette opération n'est applicable que si vous n'avez toujours pas lié le risque à une entité, quelle qu'elle soit.
- Lorsque vous liez des objets, un lien bidirectionnel est généré. Par exemple, lorsque vous liez un risque à un contrôle, le risque lié est affiché dans l'onglet Relations du contrôle et le contrôle est affiché dans l'onglet Relations du risque. Si les liens ne fonctionnent pas dans les deux sens, contactez l'Assistance pour obtenir de l'aide.
Annuler le lien entre le risque et d’autres objets
Vous pouvez supprimer la relation entre un risque et différents actifs ainsi que d’autres objets de bibliothèque.
Pour annuler la relation d’un risque, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur le risque avec lequel vous souhaitez travailler.
La page détaillée du risque s'ouvre avec l'onglet Détails.
- Accédez à l'onglet Relation et cliquez sur l'icône d'annulation
de la relation sur l'objet dont vous voulez supprimer le lien.La boîte de dialogue Annuler la relation s'ouvre.
- Cliquez sur Annuler la relation de l'objet.
Résultat Le lien est supprimé du risque.
Associer un risque à une unité organisationnelle
Créez une relation entre un risque dans Gestionnaire des risques et une unité organisationnelle. Les unités organisationnelles représentent la base de l’entreprise, reliant diverses entités organisationnelles à travers différents segments. Cette hiérarchie contient également des informations sur les départements et les unités commerciales. Vous pouvez associer un risque à plusieurs unités organisationnelles.
Voici comment associer un risque à une unité organisationnelle :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’affiche.
- Sélectionnez le nom du risque à mettre à jour.
La page Détails du risque s’ouvre.
-
Dans l’onglet Détails, dans le champ Related Org Unit (Unité organisationnelle associée), sélectionnez l’unité organisationnelle à laquelle vous souhaitez associer le risque.
-
Sélectionnez Appliquer la sélection.
-
Sélectionnez Enregistrer les modifications.
RésultatLe risque est mis à jour. Sur la page d’accueil de Gestionnaire des risques, vous pouvez voir l’unité organisationnelle associée au risque spécifique dans la colonne Unité organisationnelle.
Remarque
La hiérarchie des unités organisationnelles est préconfigurée par les admins système de votre organisation. Pour plus d’informations sur les hiérarchies au sein de la structure organisationnelle, contactez votre admin système. Si vous êtes admin système, vous pouvez afficher la liste des unités organisationnelles préconfigurées dans les paramètres de la plateforme (accédez à Paramètres de la plateforme et cliquez sur Structure organisationnelle). Pour en savoir plus sur les unités organisationnelles, consultez la section Aperçu d’Unité organisationnelle.
Évaluer un risque
Une fois que votre risque est identifié, validé et associé à différents objets, vous pouvez l’évaluer et calculer les scores de risque. Vous devez évaluer le risque pour en estimer le niveau de menace potentiel pour l'organisation. Pour ce faire, vous pouvez déclencher des évaluations.
Pour évaluer un risque, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur le risque que vous souhaitez évaluer.
La page détaillée du risque s'ouvre.
- En haut à droite, cliquez sur Évaluer.
Résultat Les évaluations sont générées en fonction des objets liés au risque. Pour en savoir plus, consultez la section Comment les évaluations sont-elles générées ?
Remarque
Vous pouvez également ajouter des évaluations de risque manuellement à partir de l'onglet Évaluation de l'événement de risque.
Comment les évaluations sont-elles générées ?
Les évaluations sont générées en fonction de l'association de votre risque à d'autres entités telles que les actifs et les contrôles.
- Si le risque est uniquement associé à un actif, alors seule une évaluation de l'événement de risque est générée.
- Si le risque est associé à la fois à un actif et à un contrôle, des évaluations de l'événement de risque et du contrôle sont toutes deux générées.
- Si le risque est uniquement associé à un contrôle, des évaluations du risque et du contrôle sont alors générées, mais avec quelques différences (en matière de convention d'attribution de nom, par exemple).
Par exemple, vous avez ajouté un risque nommé Menace virus et celui-ci est associé à la fois à un actif et à un contrôle comme suit :
- Actif - Ordinateur portable
- Contrôle - Logiciel antivirus
À présent, en cliquant sur Évaluer, vous déclenchez la génération d'évaluations et les mécanismes suivants ont lieu :
- Le statut du flux de travail passe à Évaluation.
- Une évaluation des risques est générée, avec la convention de dénomination suivante : <Nom du risque> - <Nom de l'actif>. Exemple : Menace virus - Ordinateur portable.
- L'évaluation du risque est associée à la fois au risque et à l'actif. Vous pouvez voir l'évaluation du risque sous l'onglet Évaluation de l'événement de risque de la page du risque et sous l'onglet Évaluations de l'actif dans l'application Gestionnaire des actifs.
- Les champs suivants propres au risque sont copiés vers l'évaluation du risque : ID du risque, Description du risque et Propriétaire du risque.
- Une évaluation de contrôle est générée, avec la convention de dénomination suivante : <Nom du contrôle> - <Nom du risque> - <Nom de l'actif>. Exemple : Logiciel antivirus - Menace virus - Ordinateur portable.
- L'évaluation de contrôle est associée au contrôle, au risque et à l'actif. Vous pouvez voir l'évaluation du contrôle sous l'onglet Évaluations de contrôle de la page Contrôle.
- Les champs de contrôle suivants sont copiés vers l'évaluation de contrôle : ID du contrôle, description du contrôle et propriétaire du contrôle.
Calculer les scores de risque
Il existe deux modes de calcul des scores de risque :
- Utilisation de la configuration par défaut La configuration par défaut est utilisée pour calculer le score de risque. Par exemple, les champs de Probabilité et Impact sont définis sur une matrice 3 x 3 (faible, moyenne, élevée). Cette méthode vous permet de calculer le score de risque d'un seul risque (ou une évaluation des risques) à la fois. Pour plus d’informations, consultez la section Utilisation de la configuration par défaut.
- Utilisation de la configuration personnalisée Vous pouvez personnaliser la formule de calcul des scores de risque et d'évaluation. Cette méthode vous permet de calculer les scores de plusieurs risques (ou plusieurs évaluations de risque) à la fois. Pour plus d'informations, consultez la section Configuration des scores de risque et d'évaluation dans l'application Gestionnaire des risques.
Utilisation de la configuration par défaut
Une fois les évaluations déclenchées, vous pouvez calculer les scores de risque. Pour ce faire, vous pouvez calculer le score du risque inhérent dans les enregistrements du risque et de l'évaluation du risque.
Pour calculer le score de risque inhérent, vous devrez connaître l'impact et la probabilité du risque. Reportez-vous au tableau ci-dessous.
| Probabilité | Élevé(e) |
Moyen |
Élevé(e) | Élevé(e) |
|---|---|---|---|---|
| Moyen |
Faible |
Moyen | Élevé(e) | |
| Faible |
Faible |
Faible | Moyen | |
| Faible | Moyen | Élevé(e) | ||
| Impact | ||||
Pour calculer les scores de risque d'une évaluation des risques avec la configuration par défaut, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur le risque avec lequel vous souhaitez travailler.
La page détaillée du risque s'ouvre.
- Accédez à l'onglet Évaluation de l'événement de risque et cliquez sur le nom de l'évaluation de risque pour l'ouvrir.
- Assurez-vous d'avoir rempli les informations nécessaires, puis cliquez sur Évaluer en haut à droite.
RésultatLe statut du flux de travail passe à Évaluation.
- À présent, cliquez sur Score en haut à droite.
Résultat Le score de risque est calculé et affiché dans le champ Score de risque inhérent.
Remarque
Assurez-vous que les champs Impact et Probabilité sont remplis et enregistrés avant de cliquer sur Score.
- Cliquez sur Approuver pour finaliser le score de risque.
Résultat Le score de risque est finalisé et le statut du flux de travail passe à Surveillance.
- Facultatif. Vous pouvez recommencer l'évaluation en cliquant sur Réévaluer.
Supprimer un risque
Pour supprimer un risque, procédez comme suit :
- Ouvrez l’application Gestionnaire des risques.
La page d’accueil du Gestionnaire des risques s’ouvre.
- Cliquez sur le risque que vous souhaitez supprimer.
La page détaillée du risque s'ouvre.
- En haut à droite, cliquez sur Plus d'options
, puis sur Supprimer. - Dans la boîte de dialogue de confirmation, cliquez de nouveau sur Supprimer.
Résultat Le risque est supprimé.
Quelles sont les prochaines étapes ?
Vous pouvez commencer à travailler avec des contrôles pour atténuer les risques. Pour plus d’informations, consultez la section Utilisation des contrôles.
