リスクワークスペースで高度なリスクアセスメントを実行

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:6分

    • 始める前に

    必要なロール:sn_grc.business_user
    注:
    高度なリスクアセスメントロールを sn_grc.business_user ロールに手動でアサインする必要があります。ロールとグループの付与を調整する方法については、Now Support ナレッジベースの「How to adjust granting of roles and groups to use background jobs (バックグラウンドジョブを使用するためのロールとグループの付与を調整する方法) [KB0963693]」を参照してください。記事を表示するには Now Support にログインする必要があります。

    このタスクについて

    リスクアセスメントは以下に対して実行されます。
    • 固有リスク
    • コントロールの有効性。
    • 残存リスク

    リスクアセスメントは、リスクアセスメント方法論 (RAM) の構成に基づいて自動的に計算されるリスクスコアを生成します。自動的に計算されたスコアを変更する場合は、計算されたスコアを上書きして理由を入力できます。評価するコントロールがない場合、残存リスクスコアは固有のリスクスコアと同じになります。

    アセスメントを実行した後、リスク応答を定義できます。リスク応答とは、特定されたリスクを管理するプロセスのことです。これは、リスクマネージャーが各リスクの処理方法を決定する計画および意思決定プロセスです。アセスメントの実行中は、コンテキストサイドパネルで詳細な参照情報を確認できます。このパネルには、リスクイベント、未解決の問題、主要なインジケーター違反、コントロールテスト結果、およびコントロールインジケーターの失敗に関する情報が表示されます。

    査定人の委任によってリスクアセスメントが実行されている場合、[査定人の代理人] フィールドには代理人の名前が表示されます。

    手順

    1. 移動先 すべて > リスク > リスクワークスペース > 自分のタスク.
    2. 評価するリスクアセスメントを開き、次のいずれかを実行します。
      • アセスメントを開始する場合は、[始めましょう] を選択します。
      • リスクアセスメントを他のユーザーにアサインする必要があると思われる場合は、[再アサイン] を選択して必要な詳細を入力してください。
      • このリスクが以前に評価された場合、以前のアセスメントを表示するには、 [前回のアセスメントのレビュー] を選択します。
    3. 固有のアセスメントを実行するには、すべての固有のアセスメントの質問に回答します。
      1. オプション: 要素のガイダンスを表示するには、疑問符アイコン (要素のガイダンスを表示。) を選択します。
      2. オプション: 定性的および定量的重み付けを表示するには、[総合評価] アイコンを選択します。
      アプリケーションは回答を自動的に保存し、全体的なリスクスコアを計算します。
    4. オプション: 計算された固有リスクの結果を変更するには、次の操作を行います。
      1. [計算されたスコアを変更したい] オプションを選択します。
      2. [固有リスクを上書き] リストから、適切な値を選択します。
      3. 計算されたスコアの変更の理由を説明するコメントを入力します。
    5. [コントロールアセスメントに移動 (Move to control assessment)] を選択します。
    6. コントロールアセスメントで、次のいずれかを実行します。
      • コントロールの有効性を評価するには、すべてのコントロールアセスメント要素に応答します。
      • 軽減コントロールを評価せずに続行するには、 オプションを選択します。
      スコアを変更する理由を入力することで、計算されたコントロール有効性の結果を変更することもできます。
    7. コントロールアセスメントにコントロールを追加または作成するには、次のいずれかを実行します。
      • 既存のコントロールを追加するには、[追加] を選択します。
      • 共通コントロールを継承するには、[共通コントロールを継承] を選択します。
      • コントロールを作成するには、[共通コントロールを継承] ボタンの横にある下向き矢印を選択し、[コントロールを作成 (Create control)] を選択します。
      • コントロール分類のコントロールを追加するには、[共通コントロールを継承] ボタンの横にある下向き矢印を選択し、[コントロール目標から作成] を選択します。
    8. 軽減コントロールの実装後に残っているリスクを評価するには、[残存アセスメントに移動 (Move to residual assessment )] をクリックし、要素に対応します。
      スコアを変更する理由を入力することで、計算された残存スコアを変更することもできます。
    9. 適切な戦略を選択し、評価されたリスクに対するアクション計画を定義するには、次の手順を実行します。
      1. [リスク応答を定義] を選択します。
      2. 適切なリスク対応を選択します。
      3. オプション: リスク対応タスクを作成するには、[タスクの作成 (Create task)] ボタンを選択し、適切な値を選択します。
        詳細については、「リスクワークスペースでリスク対応タスクを作成する」を参照してください。
      4. オプション: リスクの再評価中に、既存のリスク対応タスクをリンクしたり、タスクをリスク対応戦略とともに以前のアセスメントからコピーするには、[はい、既存のものを使用して続行します (Yes, continue with existing)]を選択します。
        [はい、既存のものを使用して続行します (Yes, continue with existing)] ボタンは、リスクを再評価する場合にのみ表示されます。別の応答を使用して続行するには、[対応を変更 (Change response)] を選択します。
      5. [レビューと送信] を選択して応答をレビューします。
        リスク応答タスクが作成され、アサイニーにアサインされます。タスクを編集し、所有者を変更することができます。
    10. 既存の問題をリスクアセスメントにリンクするには、次の手順を実行します。
      この機能を使用するには、リスクアセスメント方法論 (RAM) フォームで [問題とリスクアセスメントとのリンクを許可 (Allow issue linking with risk assessment)] オプションを有効にする必要があります。
      1. [既存の問題を追加 (Add existing issues)] を選択します。
      2. リストから問題を選択し、[追加] を選択します。
    11. リスクアセスメントの問題を作成するには、次の手順を実行します。
      この機能を使用するには、リスクアセスメント方法論 (RAM) フォームで [問題とリスクアセスメントとのリンクを許可 (Allow issue linking with risk assessment)] オプションを有効にする必要があります。
      1. [問題を作成 (Create issue)] を選択します。
      2. 問題を作成フォームで、必要な詳細を入力します。
      3. [保存] を選択します。
    12. オプション: アセスメントを変更する場合は、[編集] を選択します。
    13. オプション: アセスメントのための実行されているアクティビティを表示するには、[アクティビティログ] アイコン アクティビティログアイコン。 を選択します。
    14. 承認者を定義した場合は、[送信] を選択します。
      アセスメントホームページが表示されます。アセスメントの概要を確認できます。
    15. 承認を要求、アサインを編集、または再アサインするには、次のいずれかを選択します。
      選択肢説明
      承認を要求 承認者が指定されている場合は、このオプションを選択して承認のためにアセスメントを送信します。承認者に追加のコメントを提供することもできます。
      アセスメントを編集 アセスメントの回答を変更する場合は、このオプションを選択します。
      再アサイン アセスメントを他のユーザーに割り当てる必要がある場合は、このオプションを選択します。

    タスクの結果

    アセスメントが承認者に送信され、承認ワークフローが開始されます。

    図 : 1. 承認を得る準備が整った進行中のリスクアセスメント