Explorar o Gestão de riscos
O produto Gestão de riscos fornece um processo centralizado para identificar, avaliar, responder e monitorar continuamente os riscos da empresa e de TI que podem afetar negativamente as operações de negócios. A aplicação também fornece fluxos de trabalho estruturados para a gestão de avaliações de risco, indicadores de risco e problemas de risco.
Solicitar aplicativos na Store
Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Quem usa Gestão de riscos
O processo de risco completo envolve todas as áreas da organização trabalhando juntas.
- Comitê de auditoria
- comitê gestor de TI
- Agentes de risco (conduzem a avaliação de risco e identificam tudo o que pode dar errado nos negócios)
- Todos os níveis de gestão (auxiliar os agentes de risco na identificação do que pode dar errado em seus processos)
Principais atividades para Gestão de riscos
Depois que as principais funções forem identificadas, trabalhe para identificar os seguintes itens:
- Determinar qual nível de risco a organização está disposta a aceitar? Obtenha dados de risco e determine o que é aceitável.
- Desenvolva uma política de gestão de riscos, por meio de estruturas de risco e declarações de risco.
- Desenvolva procedimentos de avaliação e resposta de risco.
- Implemente controles para reduzir a exposição da sua organização ao risco. Repita em um intervalo regular.
- Meça sua exposição a riscos e melhorias.
Gestão de riscos e o Now Platform
As aplicações Gestão de riscos e Advanced Risk permitem que você faça o seguinte.
- Gerenciar riscos, declarações de risco e estruturas de risco: a biblioteca de risco contém todas as estruturas de risco e declarações de risco. As estruturas de risco são usadas para agrupar declarações de risco em categorias gerenciáveis, enquanto as declarações de risco agrupam os riscos individuais. O registro de riscos é o repositório central de todos os riscos potenciais que podem ocorrer a qualquer momento e em qualquer lugar na organização.
- Gerenciar eventos de risco: eventos de risco são perdas, quase perdas e ganhos financeiros e não financeiros potenciais ou reais que ocorrem em uma organização.
- Hierarquia de risco e pontuação: a partir da Nova York, os gerentes de risco podem criar hierarquias que incluem diferentes tipos de risco (risco operacional, risco de TI ou risco estratégico). Depois que os riscos subjacentes são avaliados, as pontuações de risco são acumuladas automaticamente na hierarquia de declaração de risco, fornecendo uma melhor tomada de decisão tática e estratégica.
- Gerenciar avaliações de risco clássicas: as avaliações de risco são pesquisas que reúnem evidências para determinar o risco. O Designer de avaliação de risco fornece uma interface única que os usuários podem usar para criar e editar certificações, bem como alterar parâmetros de pontuação. O banco de dúvidas oferece uma biblioteca de perguntas para várias categorias, portanto, você não precisa criar cada questionário do zero. Os riscos começam em um estado Rascunho e são movidos para Avaliar, que envia uma notificação aos entrevistados da avaliação.
- Gerenciar avaliações de risco avançadas: com a Avaliação de risco avançada, crie uma plataforma de risco integrada. Esta plataforma integrada oferece suporte a vários tipos de metodologias de avaliação de risco e permite que você integre a avaliação de risco como parte de seu processo geral de tomada de decisão.
- Gerenciar exceções e extensões de política: Extensões e exceções de política fornecem um alivio temporário para um controle fora de conformidade. A exceção de política captura a justificativa, os comentários e as evidências para oferecer suporte à aceitação ou rejeição de uma solicitação de exceção de política. Além disso, a extensão para uma exceção de política aprovada pode ser solicitada antes do período de validade da exceção de política. O proprietário do controle, o gerente de conformidade e o gerente de risco podem estar envolvidos na exceção de política e no fluxo de trabalho de extensão.
- Usar entidade e dependências de risco usando o GRC: Workbench: O GRC: Workbench utiliza informações do CMDB para mostrar os relacionamentos ascendentes e descendentes em todas as aplicações. Esses relacionamentos permitem mapeamento e modelagem de riscos consistentes em toda a empresa.
- Indicadores de risco, indicadores de controle e modelos de indicador: o monitoramento contínuo envolve atividades relacionadas à identificação e criação de indicadores-chave de risco e controle. Informações de suporte podem ser coletadas para esses indicadores por meio de coleta de dados automática ou tarefas manuais. Os resultados do indicador são usados para criar problemas para controles, atualizar pontuações de risco e fornecer informações de suporte para atividades de auditoria e testes de controle.
- Gerenciar problemas de risco e correção: os problemas podem ser criados manualmente para documentar observações de auditoria, correções ou para aceitar quaisquer problemas. Eles são gerados automaticamente a partir de resultados de indicador, resultados de certificação ou eficácia de testes de controle.
- Gerenciar o monitoramento contínuo de riscos entre Gestão de riscos e Vulnerability Response: o monitoramento contínuo de riscos é uma integração de recurso entre o GRC: Risk Management e os produtos Security Operations Vulnerability Response, que usa indicadores para identificar rapidamente vulnerabilidades de alto impacto com base no impacto nos negócios.
- Soluções de análise e relatório para Gestão de riscos: as Soluções do Performance Analytics contêm painéis pré-configurados. Esses painéis contêm visualizações de dados acionáveis que ajudam você a melhorar suas práticas e processos empresariais.