Une fois les risques évalués, l’évaluateur détermine comment les aborder. Pour faire face aux risques, l’évaluateur peut choisir parmi les types de réponses aux risques ou de stratégies suivants :

• Accepter : acceptez le risque tel qu’il est.
• Atténuer : identifiez et mettez en œuvre des contrôles supplémentaires pour atténuer le risque.
• Éviter : Modifiez le plan pour éviter complètement le risque.
• Transfert : Transférez ou partagez le risque avec un tiers.

Une fois qu’un évaluateur a identifié la stratégie de réponse aux risques appropriée, il peut créer des tâches de réponse aux risques et les affecter à des utilisateurs dotés de l’un des rôles suivants :

• sn_grc.utilisateur_business
• sn_grc.business_user_lite
• sn_risk.implementation_business_user (rôle de fonctionnalité)

Chaque stratégie est expliquée comme suit :

Acceptation du risque

Lorsque les utilisateurs de risque acceptent un risque, ils fournissent un plan sur la façon dont ils veulent accepter le risque, fournissent une justification de l’acceptation du risque et demandent une approbation supplémentaire au propriétaire du risque. La fermeture de la tâche d’acceptation implique que vous acceptez ce risque pour cette période. Le risque passe ensuite à l’état Surveillance. Une fois la période spécifiée écoulée, vous pouvez relancer le workflow pour évaluer le risque, puis vous pouvez à nouveau y répondre. Le propriétaire du risque peut ensuite répondre en émettant l’une des options suivantes :

• Approuver
• Rejeter
• Annuler
• Demander plus d'informations
• Décider qu’elle n’est plus nécessaire

Atténuation du risque

Lorsque les utilisateurs de risque choisissent d’atténuer un risque, une tâche d’atténuation du risque est créée. L’utilisateur du risque doit fournir un plan sur la manière d’atténuer le risque et demander un examen au gestionnaire des risques. Lorsque la tâche d’atténuation des risques est à l’état Brouillon ou Travail en cours, vous pouvez soit créer plus de contrôles d’atténuation des risques pour le risque, soit ajouter des contrôles existants à partir de la bibliothèque. Le réviseur ayant le rôle sn_risk.manager examine ensuite le plan et sélectionne l’une des options suivantes :

• Fermer
• Revenir à l’état de brouillon et fournir des commentaires supplémentaires
• Annuler
• Supprimer

Évitement du risque

Lorsque les utilisateurs de risques choisissent d’éviter un risque, ils fournissent un plan sur la manière dont ils veulent éviter le risque et demandent un examen au gestionnaire des risques. Le réviseur examine ensuite le plan et peut sélectionner l’une des options suivantes :

• Fermer
• Revenir à l’état Brouillon et fournir des commentaires supplémentaires
• Annuler
• Supprimer

Transfert de risque

Lorsque les utilisateurs de risques choisissent de transférer un risque, ils fournissent un plan sur la manière dont ils souhaitent transférer le risque et demandent un examen au gestionnaire des risques. Le réviseur examine ensuite le plan et peut sélectionner l’une des options suivantes :

• Fermer
• Revenir à l’état Brouillon et fournir des commentaires supplémentaires
• Annuler
• Supprimer