Intégrer à Gouvernance, risque et conformité pour identifier les risques et les contrôles des applications

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Gestion des portefeuilles d'applications (APM) s'intègre à Gouvernance, risque et conformité (GRC) afin d'identifier et d'évaluer les risques liés aux applications d'entreprise.

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    À l'aide de l'application GRC, vous pouvez analyser les risques associés aux actifs tels que le matériel, le logiciel et l'application d'entreprise. Vous pouvez également identifier et tester les contrôles associés à ces risques, ainsi que consulter les audits qui ont été effectués sur ces actifs. Cette analyse aide les propriétaires d'applications à comprendre efficacement le risque de l'application d'entreprise.

    Le propriétaire de l'application peut identifier les risques et les problèmes de conformité importants auxquels les applications d'entreprise sont exposées, sans avoir à communiquer avec un système d'audit externe et à exécuter les applications par le biais du processus d'audit.

    Activez les modules d'extension suivants pour intégrer APM à GRC.

    Procédure

    1. Accédez à la Tous > Définition du système > Modules d'extension.
    2. Installez le module d'extension GRC: GRC Profile Dependencies (com.snc.grc_profile_dep).
    3. Installez le module d'extension GRC: Vendor Risk Management Dependencies (com.snc.grc_vrm_dep).
    4. Installez le module d'extension GRC: Policy and Compliance Management Dependencies (com.snc.grc_policy_dep).

      Vous devez également installer la conformité des applications à partir de l'App Store ServiceNow.

      Remarque :
      l'intégration nécessite aussi l'installation de certaines applications à partir de l'App Store ServiceNow. Consultez la section Demander des applications dans le Windows Store pour obtenir des instructions sur leur téléchargement et leur activation.

    Que faire ensuite

    Créez une entité faisant référence à l'application d'entreprise. Joignez l'entité à un audit.

    Créer une entité d'audit faisant référence à l'application d'entreprise

    Créez une entité en référence à la table d'applications d'entreprise et à son enregistrement d'application spécifique. Utilisez l'entité pour définir le champ d'application de l'exposition au risque et effectuer des évaluations des risques sur les applications d'entreprise.

    Avant de commencer

    Rôle requis : sn_audit.admin ou sn_audit.manager

    Pourquoi et quand exécuter cette tâche

    GRC utilise le terme, l'entité et non le profil. Une entité peut être, par exemple, une base de données, un serveur ou une application d'entreprise qui peut être auditée.

    Procédure

    1. Accédez à la Tous > Audit > Définition du champ d'application > Toutes les entités.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Pour plus d'informations sur le champ, voir Formulaire d’entité.
    4. Cliquez sur Envoyer.
      Pour en savoir plus, consultez :

    Associer un risque à l'entité

    Joignez l'entité à un risque et créez un enregistrement de risque. Évaluez et identifiez les risques qui peuvent impacter négativement vos applications d'entreprise.

    Avant de commencer

    Rôle requis : sn_risk.admin et sn_risk.manager

    Procédure

    1. Accédez à la Tous > Risque > Registre des risques > Tous les risques.
    2. Créez un risque dans le formulaire Risque.

      Consultez la rubrique : Création manuelle d’un risque.

      Remarque :

      Associez le risque à l'entité dans le champ Entité.

    Ajouter une entité d'application d'entreprise à un engagement

    Les entités sont analysées et évaluées pour l'engagement d'audit. Ensuite, les entités incluses dans le champ d'application de l'engagement d'audit et validées sont associées à un audit.

    Avant de commencer

    Rôle requis : sn_audit.manager ou sn_audit.admin

    Pour ajouter une entité d'application d'entreprise à un engagement, vous devez avoir créé une entité faisant référence à l'application d'entreprise dans le champ Entité du formulaire Entité. Consultez la rubrique suivante : Créer une entité d'audit faisant référence à l'application d'entreprise.

    Procédure

    1. Accédez à la Tous > Audit > Engagements > Tous les engagements.
    2. Pour ajouter l'entité d'application d'entreprise à l'engagement, cliquez sur le bouton Ajouter dans la liste connexe Entités.
      Remarque :
      l'engagement doit être à l'état Champ d'application ou Valider.

      Consultez : Ajouter des profils au champ d’application d’un engagement.

      Lorsqu'un profil d'application est joint à un engagement, un enregistrement d'engagement avec le profil associé est créé dans la table Profil aux engagements [sn_audit_m2m_profile_engagement].

    Ajouter un contrôle à l'entité d'application d'entreprise

    Associez un contrôle à une entité d'application d'entreprise qui peut être à risque. Il est obligatoire de définir un contrôle efficace sur les applications d'entreprise pour atténuer les risques et protéger votre entreprise. Lorsque vous mettez à niveau vos applications d'entreprise, vous pouvez remplacer vos contrôles obsolètes.

    Avant de commencer

    Rôle requis : admin

    Vous devez avoir créé une entité avant de lui associer un contrôle. Les contrôles sont créés dans GRC.

    Procédure

    Pour créer un contrôle et ajouter une entité au contrôle, reportez-vous à la rubrique Créer un contrôle.
    • L'entité que vous sélectionnez dans la table Contrôles [sn_compliance_control] doit être une application d'entreprise et la classe d'entité de l'enregistrement doit être une application.
    • L'enregistrement de contrôle peut être à l'état Brouillon ou Mis hors service. Toutefois, les contrôles dans de tels états ne sont pas visibles dans Gestion des portefeuilles d'applications pour être associés à une application d'entreprise.

    Afficher les risques Gouvernance, risque et conformité et les engagements pour l'application d'entreprise

    En tant que propriétaire d'application, vous pouvez afficher les risques auxquels une application d'entreprise est exposée. Gouvernance, risque et conformité (GRC) contrôle l'entité d'application d'entreprise et les risques et engagements audités sont capturés sous forme de listes connexes scriptées dans le formulaire d'application d'entreprise.

    Avant de commencer

    Rôle requis : sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Procédure

    1. Accédez à la Tous > Gestion des portefeuilles d'applications > Portefeuille des applications > Toutes les applications de gestion.
    2. Cliquez sur l'élément connexe Risques GRC.
    3. Affichez le nom de la définition du risque, sa description, la catégorie de risque (juridique, financier, opérationnel, etc.), l'impact inhérent qui indique les niveaux de risque et la probabilité inhérente qui indique la probabilité que le risque se produise.
      Voir : Gestion des risques, déclarations de risque et cadres du risque
    4. Cliquez sur l'élément connexe Engagements.
    5. Affichez le nom de l'engagement, l'utilisateur auquel il est affecté, l'état dans lequel se trouve l'engagement, la date de début planifiée à laquelle l'activité doit commencer, sa date de fin, le pourcentage d'engagements terminés et le coût réel de l'engagement.
      Consultez : Gérer les engagements
    6. Cliquez sur l'élément connexe Contrôles.
    7. Affichez le nom du contrôle, son propriétaire, l'état du contrôle (s'il est conforme ou non), la classification du contrôle (préventif, correctif ou de détection), et la fréquence d'attestation à laquelle la tâche planifiée s'exécute.

      Voir : Gérer les contrôles

    8. Cliquez sur la flèche permettant d'afficher et de masquer les listes hiérarchiques située en regard d'un enregistrement de risque dans la liste connexe Risques GRC pour afficher tous les contrôles que vous avez associés au risque de l'application d'entreprise.

      Lorsque vous associez un contrôle à un risque, le contrôle avec son risque associé est créé dans la table Risque à Contrôle [sn_risk_m2m_risk_control].

      Figure 1. Contrôles associés à un risque
      Contrôles associés au risque