Aperçu de l’IRM d’Utah
Avec la version d’Utah, de nouvelles fonctionnalités et améliorations ont été apportées dans les domaines suivants :
Gestion des contrôles communs
Gestion des problèmes
Cadre d’appétence au risque
Espace de travail de la résilience opérationnelle
1. Gestion des contrôles communs
Politique et conformité et gestion des risques
Ajoutez ou supprimez l’association de l’entité dépendante des contrôles communs à une entité principale avec la nouvelle liste « Contrôles hérités aval » (Downstream inherited controls). Cette liste est ajoutée au formulaire d’entité. Vous pouvez également voir les contrôles hérités directement liés dans cette liste associée. La vue à 360 degrés de l’entité montre à la fois les contrôles et les contrôles hérités.
- Fournir aux clients la capacité de tester et de certifier un contrôle une fois et de l’hériter par plusieurs entités.
- Les utilisateurs peuvent désormais créer un contrôle commun qui peut être lié à plusieurs entités pour réduire le nombre de contrôles à maintenir.
- Amélioration de l’efficacité, réduction du temps et des efforts nécessaires pour la gestion de ces contrôles.
- Les contrôles communs peuvent hériter des résultats des tests de contrôle, pour l’entité principale, vers toutes les entités liées à des fins d’identification des risques, d’audit et de conformité, réduisant ainsi le temps et le coût des tests de contrôle.
L’objectif commercial est de gagner du temps et des efforts en réduisant les tests de contrôle inutiles. Le recrutement de talents qualifiés est un défi, les équipes GRC sont donc surchargées de travail. De plus, les organisations cherchent à nouveau à optimiser leurs opérations pour réduire les coûts. La réduction du travail inutile ou redondant réduit la charge de travail des équipes GRC, améliore la satisfaction au travail et réduit les coûts à mesure que la productivité et l’efficacité augmentent.
Avantages pour les clients
Actuellement, le processus exige que tous les propriétaires d’applications attestent ces contrôles individuellement, ce qui crée une inefficacité et une redondance dans le système.
Le nouveau processus de contrôle commun est attribué à une entité principale. L’état de contrôle et les résultats des tests sont hérités par d’autres entités qui dépendent de l’entité principale.
- Nombre réduit de contrôles : Créez un contrôle commun qui peut être lié à plusieurs entités pour réduire le nombre de contrôles à maintenir.
- Hériter des résultats des tests de contrôle du contrôle commun, pour les entités principales, vers toutes les entités liées pour l’identification des risques, l’audit et la conformité
- Temps et efforts réduits : Tester une fois et appliquer à plusieurs aide à réduire le temps et les efforts associés à la manière dont les contrôles sont mis en œuvre au sein d’une organisation/environnement, à mesure que de nouveaux systèmes sont déployés et que des audits de pré-validation ont lieu.
- Partage du travail : Offre la possibilité de partager un travail déjà effectué pour économiser aux autres le temps et les efforts nécessaires pour documenter correctement les contrôles de leurs systèmes ou entités.
Cas d’utilisation
Une seule connexion pour les applications professionnelles repose essentiellement sur des solutions IAM et n’a pas besoin que les propriétaires d’applications en soient responsables, car de tels contrôles sont gérés par un service partagé. Actuellement, le processus exige que tous les propriétaires d’applications attestent ces contrôles individuellement, ce qui crée une inefficacité et une redondance dans le système.
Contraintes de création de contrôles communs
Lorsque l’existence de contrôles communs ou d’associations d’entités dépendantes à des contrôles communs ou des contrôles standard est vérifiée, le nom du contrôle, l’entité et l’objectif du contrôle doivent correspondre exactement.
L’ordre de priorité entre les contrôles standard et les contrôles communs est le suivant :
- En fonction du type d’action, un contrôle standard serait créé si une association dépendante ou un contrôle standard n’existe pas (par exemple : Ajouter un objectif de contrôle à un type d’entité, Ajouter une politique à un type d’entité, Activer un objectif de contrôle, Activer une politique).
- En fonction du type d’action, une association dépendante à un contrôle commun serait créée si une association dépendante ou un contrôle standard n’existe pas (par exemple : Ajouter un type d’entité à un contrôle commun).
- En cas de conflit de type d’entité, où un contrôle standard n’existe pas déjà, mais un contrôle commun existe, la préférence serait toujours donnée à l’association d’une entité dépendante au contrôle commun plutôt qu’à la création d’un contrôle standard (par exemple : Ajouter l’entité au type d’entité).
Nouveautés dans les rapports dans l’espace de travail
Entité
Aperçu de l’entité : de nouveaux widgets « Contrôles hérités » et « Détails mis en évidence » ont été ajoutés pour les contrôles communs.
Contrôle commun
Les entités dépendantes ont été ajoutées au volet latéral du contrôle.
Contrôle commun – Entités dépendantes sur une vue à 360 degrés
L’ensemble des relations pour un contrôle sélectionné, telles que les objectifs de contrôle en amont, les contrôles, les problèmes ouverts et les entités associées au contrôle.
Politique
Le widget « Entités non conformes » inclut maintenant les « Entités dépendantes ».
2. Gestion des problèmes
Core commun
Réutilisez le même problème en l’associant à différents objets. Lorsqu’un problème est lié à un contrôle ou à un risque, il est automatiquement lié à l’objectif de contrôle ou à l’énoncé de risque avec son entité associée.
Modèle de données du problème
- Permet aux clients de relier les problèmes à plusieurs risques/contrôles, etc., ce qui permet une meilleure analyse de l’impact et la réutilisation des problèmes.
- Permet de réduire considérablement les efforts et le temps nécessaires pour la gestion des problèmes à grande échelle au sein de l’organisation, ainsi que de permettre une évaluation plus efficace de l’impact du problème.
- Un même problème peut maintenant être lié à plusieurs risques, contrôles, entités et autres objets pour éliminer les doublons de problèmes.
- Moins de problèmes présentant une vue plus globale des contrôles impactés, des engagements, des événements de risque et d’autres sources simplifient l’audit.
- Vous pouvez maintenant marquer un problème sur plusieurs sources d’échec (par exemple, plusieurs contrôles) pour améliorer le suivi et l’analyse des risques.
L’objectif commercial est d’augmenter l’efficacité grâce à une gestion simplifiée des problèmes. Les organisations doivent pouvoir faire plus avec moins : non seulement en raison d’un manque de talents qualifiés, mais aussi en raison de la pression pour optimiser les opérations et réduire les coûts. La réduction du nombre de problèmes que les équipes de gestion des risques ou de conformité ou les propriétaires de contrôle doivent créer, suivre, analyser, traiter et clôturer pourrait permettre de gagner un temps et de l’argent considérables.
Augmenter l’efficacité grâce à une gestion simplifiée des problèmes
- Réduire le nombre de problèmes : Créer un seul problème qui peut être lié à plusieurs risques, contrôles, entités et autres objets (voir la liste associée sur le formulaire du problème et le volet latéral) pour éliminer les doublons de problèmes.
- Réduire le temps et les efforts : Relier le même problème à plusieurs Risques et contrôles en réduisant le temps et les efforts associés à la création de problèmes individuels en double par contrôle et par risque lorsque la cause première identifiée est la même.
- Partager le travail : Permet de partager un travail qui a déjà été effectué pour faire gagner du temps et des efforts à d’autres personnes nécessaires pour documenter correctement le problème par contrôles pour leur système et leurs entités.
- Vue globale des contrôles impactés : Moins de problèmes avec une vue plus globale des contrôles impactés, des engagements, des événements de risque et d’autres sources simplifient l’audit.
- Amélioration du suivi et de l’analyse des risques : Vous pouvez maintenant marquer un problème sur plusieurs sources d’échec (par exemple, plusieurs contrôles) pour améliorer le suivi et l’analyse des risques.
3. Cadre d’appétence au risque
Qu’est-ce que l’appétence au risque ?
L’appétence au risque est la quantité de risque que votre organisation est prête à accepter pour atteindre ses objectifs commerciaux. Elle peut varier d’une organisation à l’autre en fonction de facteurs tels que la tolérance au risque, la stratégie commerciale et les exigences réglementaires.
4. Espace de travail de la résilience opérationnelle
Qu’est-ce que la résilience opérationnelle ?
La résilience opérationnelle fait référence à la capacité d’une organisation à continuer à fonctionner efficacement face à des perturbations majeures ou mineures. Cela implique de mettre en place des plans, des processus et des mécanismes de réponse pour faire face aux incidents, aux catastrophes naturelles, aux pannes de système, aux cyberattaques et à d’autres événements perturbateurs.
L’espace de travail de la résilience opérationnelle dans ServiceNow permet aux organisations de gérer et de coordonner les activités liées à la résilience opérationnelle, notamment la planification et la préparation des réponses aux incidents, la communication avec les parties prenantes, la gestion des plans de continuité des activités et la collecte d’informations sur les incidents et les événements perturbateurs.
Conclusion
Avec la version d’Utah d’IRM de ServiceNow, les organisations peuvent bénéficier de nouvelles fonctionnalités et améliorations dans les domaines de la gestion des contrôles communs, de la gestion des problèmes, du cadre d’appétence au risque et de l’espace de travail de la résilience opérationnelle. Ces améliorations visent à accroître l’efficacité, à réduire les efforts et les coûts, à partager le travail déjà effectué et à fournir une vue globale des risques et des contrôles impactés.
L’automatisation est effectuée par le module de configuration des problèmes où vous pouvez configurer de nouvelles relations m2m.
Nouveau formulaire de problème – Sélectionnez maintenant plusieurs enregistrements
Nouveau formulaire de problème – Panneau latéral mis à jour
Un problème peut être lié à plusieurs risques
3. Cadres de l’appétit pour le risque
Gestion des risques
L’appétit pour le risque correspond à la quantité de risque qu’une organisation est prête à prendre pour atteindre ses objectifs stratégiques. Il définit une direction stratégique claire et une tolérance dans la recherche de bénéfices, de capitaux adéquats et de valeur pour les actionnaires.
En termes simples, ils sont des « limites pour la prise de décisions ». Le conseil d’administration est responsable de s’assurer que le suivi et les contrôles internes de l’entreprise sont tels que l’entreprise fonctionne dans le cadre de son appétit pour le risque.
Définir un appétit pour le risque signifie évaluer tous les risques possibles et établir des limites pour les risques acceptables et inacceptables.
Une fois l’appétit pour le risque défini, la fonction de gestion des risques est responsable du suivi de l’exposition aux risques et de s’assurer qu’elle est cohérente avec l’appétit pour le risque, et de soulever des défis contre les risques inacceptables.
L’objectif est de fournir un outil de prise de décision permettant de prioriser et de déployer des ressources et de favoriser une prise de décision fondée sur les risques :
- Fournir aux clients la capacité de définir leurs cadres d’appétit pour le risque, notamment :
- Appétit pour le risque
- Tolérance au risque
- Améliorer la capacité du client à comprendre son niveau de risque et comment il est aligné sur l’appétit de l’entreprise pour le risque.
Cela permettra une prise de décision fondée sur les risques dans toute l’organisation :
- Possibilité d’adapter le cadre d’appétit pour le risque et de le configurer en fonction des besoins organisationnels uniques et de la maturité en matière de gestion des risques.
- Possibilité de définir l’appétit pour le risque, y compris la documentation des déclarations d’appétit pour le risque qualitatives, les seuils Amber et Red pour l’évaluation qualitative et l’espérance de perte, et de le relier à la taxonomie des risques.
- Possibilité de numériser le flux de travail de violation de l’appétit pour le risque afin de garantir que des mesures ultérieures sont prises et que le risque est géré dans les limites de l’appétit pour le risque.
- Suivi et suivi efficaces de l’appétit pour le risque avec des alertes automatisées en cas de non-conformité.
Les clients identifient et suivent l’appétit pour le risque. Ils peuvent adapter le cadre d’appétit pour le risque et le configurer en fonction de leurs besoins organisationnels uniques et de leur maturité en matière de gestion des risques.
Ils peuvent définir l’appétit pour le risque, y compris la documentation des déclarations d’appétit pour le risque qualitatives, les seuils Amber et Red (sur la carte thermique) pour l’évaluation qualitative et l’espérance de perte, et le relier à la taxonomie des risques.
Le résultat commercial est de permettre une prise de décision fondée sur les risques dans les organisations afin d’atteindre les objectifs stratégiques. Cette amélioration s’adresse aux organisations de gestion des risques matures.
Les industries telles que les services financiers trouveront cela très précieux.
4. Espace de travail pour la résilience opérationnelle
La version Utah améliore l’espace de travail pour la résilience opérationnelle avec un nouveau design moderne, une meilleure expérience utilisateur et un espace de travail basé sur les profils configurables.
Il aide à la gestion des services métier, à l’importance et à la tolérance des impacts, à l’analyse des scénarios et à l’auto-attestation adaptée aux responsables de la résilience opérationnelle. De plus, il comprend un menu de navigation global et une vue à 360 degrés.
Il permet aux clients de profiter de la nouvelle interface utilisateur et de l’espace de travail mis à jour pour une vue holistique de la résilience de leur entreprise, pour visualiser et analyser les « drapeaux rouges » tels que les risques élevés et les contrôles défaillants liés à leurs services métier critiques, et pour gérer toutes les tâches individuelles et d’équipe à partir d’un seul tableau de bord.
Le résultat commercial est d’améliorer la visibilité, de favoriser l’efficacité et de simplifier la navigation pour renforcer la posture globale en matière de risques ou de conformité de l’organisation.
Voici les détails des points forts clés de la version Utah :
Expérience utilisateur améliorée pour la gestion des services métier dans l’espace de travail UIB
Cette fonctionnalité permet de définir les dépendances des services et de collecter des indicateurs de résilience :
- Remplir automatiquement les dépendances à partir de CSDM
- Remplir automatiquement les dépendances à partir de BCM – BIAs
- Définir les dépendances dans la résilience opérationnelle
- Suivre les risques, les contrôles, les problèmes des applications GRC
- Suivre les plans BC, les exercices de la BCM
- Suivre les incidents, les pannes, les vulnérabilités, les demandes de changement et les tâches des applications de workflow IT
- Visualiser les indicateurs de résilience
Obtenez une vue holistique des services métier – une vue à 360 degrés
Pour vous aider à visualiser les dépendances et les indicateurs de résilience :
- Visualiser les services parent et enfant
- Visualiser les dépendances de processus, de technologie, de personnel, de fournisseurs et d’installations
- Visualiser les indicateurs de résilience
Expérience utilisateur améliorée pour la gestion de l’importance et de la tolérance des impacts dans l’espace de travail UIB
Grâce à des évaluations basées sur des enquêtes pour les services métier :
- Analyser l’importance des services métier
- Analyser la tolérance aux impacts des services métier
- Sur la base de modèles d’enquête prédéfinis
Expérience utilisateur améliorée pour la gestion de l’analyse des scénarios dans l’espace de travail UIB
Vous pourrez analyser l’impact des scénarios et des événements sur les services métier, et suivre les actions et les améliorations à partir de l’analyse des scénarios.
Expérience utilisateur améliorée pour la gestion de l’auto-attestation dans l’espace de travail UIB
En générant des rapports PDF pour la déclaration de résilience basés sur des modèles de documents prédéfinis.
Obtenez un aperçu de la résilience opérationnelle à partir des pages d’accueil
La nouvelle page d’accueil vous montrera le tableau de bord de résilience des services et les tableaux de bord des piliers de dépendance pour les rapports de résilience.
Gérez les tâches individuelles et d’équipe à partir d’un tableau de bord unique – Mes tâches
Vous pourrez suivre les tâches individuelles et d’équipe à partir d’un tableau de bord unique.