Criar manualmente GRC problemas
Como usuário GRC, você pode criar problemas manualmente para documentar políticas, riscos ou observações de auditoria ou para aceitar problemas de GRC. Você também pode identificar a origem do problema para ajudar a analisar e classificar os problemas.
Antes de Iniciar
Função necessária: (por produto)
- Em Policy and Compliance Management: sn_grc.business_user, sn_grc.business_user_lite
- Em Gestão de riscos: sn_grc.business_user, sn_grc.business_user_lite
- Em Audit Management: sn_grc.business_usersn_grc.business_user_lite
Para obter mais informações sobre as limitações de controle de acesso a problemas, consulte Função do usuário comercial de GRC para controlar o acesso e rastrear o uso de tabelas de conformidade.
Procedimento
-
Navegue até um dos seguintes locais:
- Todos > Policy and Compliance > Problemas > Criar novo.
- Risco > Problemas > Criar novo.
- Auditoria > Problemas > Criar novo.
Nota:A partir da versão 12.0.1 dos produtos mencionados acima, a função mínima do usuário Atribuído a no formulário Problemas é Usuário comercial de GRC [sn_grc.business_user]. A função mínima do gerenciador de problemas é Usuário do GRC [sn_grc._user]. -
No formulário, preencha os campos.
Tabela 1. Formulário de problema Campo Descrição Número Número de identificação exclusivo. Grupo de atribuição Grupo ao qual este problema foi atribuído. Cada membro recebe uma notificação quando uma atividade acontece neste problema. Atribuído a Membro do grupo atribuído para resolver o problema. A partir da versão 12.0.1, o usuário deve ter pelo menos a função sn_grc.business_user.
Nota:Use o ícone de lâmpada para obter sugestões sobre a quem o problema deve ser atribuído. O ícone de lâmpada só aparecerá se você tiver a aplicação GRC: Predictive Intelligence ativada, o formulário estiver salvo, o campo Atribuído a não estiver inativo e a propriedade GRC estiver selecionada como Análise de semelhança. Para obter mais informações, consulte propriedades de GRC.Você pode configurar uma hierarquia de usuários para acessar o registro do problema. Para obter mais informações, consulte Controle de acesso de hierarquia de usuários para registros de tarefa de problema e correção.
A partir da versão 12.0.1, o usuário atribuído recebe uma notificação por e-mail quando o gerenciador de problemas solicita mais informações.
A partir da versão 12.0.1, quando um problema muda para o estado Responder, uma entrada no campo Atribuído a é obrigatória.
Origem do problema Origem de onde o problema foi criado. Este campo é preenchido automaticamente com uma das seguintes opções com base em como o problema é criado: - Falha do indicador: o problema é criado por uma falha do indicador
- Avaliação de risco: o problema é criado em um risco
- Evento de risco: o problema é criado em um evento de risco
- Falha na certificação de controle: o problema foi criado devido a um controle fora de conformidade
- Falha no teste de controle: o problema é criado quando um controle é ineficaz e o teste de controle é marcado como encerrado e concluído
- Ad-hoc: o problema é criado manualmente
Tipo de problema Tipo de problema. As opções são: - Falha na eficácia do design de controle
- Falha na eficácia operativa de controle
- O controle não atende ao requisito
- O controle não existe
- Não conformidade com um regulamento
- Não conformidade com uma política
- Melhoria ou sugestão para uma política existente
- Recomendação para uma nova política
- Otimização ou melhoria de processos
- Observação
- Violação de dados
- Fraude
- Erro de estado
- Treinamento
- Documentação
- Problema de risco
- Outro
Classificação A classificação do problema como risco, conformidade ou auditoria, com base no tipo de problema. Grupo gerenciador de problemas O grupo responsável por gerenciar e revisar o problema. A partir da versão 12.0.1, foram introduzidos os seguintes aprimoramentos e requisitos:- Os membros do grupo de gerenciadores de problemas devem ter uma das seguintes funções:
- sn_audit.manager
- sn_audit.usuário
- sn_compliance.manager
- sn_compliance.usuário
- sn_grc.gerente
- sn_grc.usuário
- sn_risk.manager
- sn_risk.usuário
- Quando um problema faz a transição para o estado Analisar, uma entrada no grupo do gerenciador de problemas ou no campo Gerenciador de problemas é obrigatória.
- Quando um problema é atribuído ao grupo, os membros recebem uma notificação por e-mail. Além disso, o gerente de problemas recebe uma notificação por e-mail quando o problema faz a transição para o estado Revisão.
Gerenciador de problemas O usuário responsável por gerenciar e revisar o problema. A partir da versão 12.0.1, foram introduzidos os seguintes aprimoramentos e requisitos:- O gerenciador de problemas deve ter pelo menos a função sn_grc.user.
- O gerente de problemas recebe uma notificação por e-mail quando o usuário atribuído fornece as informações solicitadas.
- Quando um problema faz a transição para o estado Analisar, uma entrada neste campo ou no gerenciador de problemas é obrigatória.
- Quando um problema muda para o estado Responder, uma entrada neste campo é obrigatória.
Estado - Novo
- Analisar
- Responder
- Revisar
- Encerrado concluído
- Encerrado incompleto
Subestado O subestado e os detalhes aplicáveis ao subestado. Prioridade A sequência na qual um problema deve ser resolvido, com base em seu impacto e urgência: - 1 — Crítico
- 2 — Alto
- 3 — Moderado
- 4 — Baixo
- 5 — Planejamento
Classificação do problema A partir da versão 12.0.1, o gerenciador de problemas pode atribuir a classificação do problema ao problema. Com base na classificação do problema, o prazo na guia Datas é calculado da seguinte forma e exibido: - Muito alto (2 dias)
- Alto (4 dias)
- Moderado (8 dias)
- Baixo (10 dias)
- Muito baixo (15 dias)
Nota:Usuários com a função sn_grc.manager e sn_grc_advanced.issue_triage_manager podem navegar até Policy and Compliance > Administração > Classificação do problema e defina classificações adicionais do problema.pQuando o problema muda para o estado Responder, o campo Classificação do problema é somente leitura.
Regra do grupo de problemas Regra de grupo atribuída a este problema. A regra de grupo de problemas é usada para agrupar problemas semelhantes em um problema primário com base nas condições definidas na regra. Esta regra permite que você trabalhe em problemas semelhantes simultaneamente e feche o problema primário depois que todos os problemas forem resolvidos. Isso encerra todos os problemas secundários. Problema primário Problema primário ao qual este problema pertence. Item de configuração Item associado a este problema. Se todos os problemas secundários tiverem o mesmo item de configuração, ele será copiado para o problema primário Local Local onde ocorreu o problema. Descrição resumida A partir da versão 12.0.1, este rótulo foi alterado para Nome.
Um nome para o problema. Descrição Uma descrição mais abrangente do problema. Detalhes Controle/risco Controle ou risco associado ao problema. Quando o controle é associado, a entidade correspondente do controle é adicionada ao campo Entidade e o objetivo do controle é adicionado ao campo Objetivo do controle/Declaração de risco. Esses objetivo de controle e entidade são os que estão vinculados a este controle.
Quando o controle é associado ao formulário de problema, um registro m2m é criado na tabela de origem [sn_grc_m2m_issue_item]. Sempre que um registro é adicionado à tabela de origem, um registro correspondente, Problema para Entidade, é adicionado à tabela de destino [sn_grc_m2m_issue_to_entity] e outro registro Problema para Conteúdo é adicionado à tabela de destino [sn_grc_m2m_issue_content] para a entidade associada e o objetivo de controle de o controle.
Entidade Entidade relacionada. Política A política associada ao problema. Documento de autoridade O documento de autoridade associado ao problema. Objetivo de controle/Declaração de risco O objetivo de controle ou a declaração de risco relacionada a este problema. Recomendação Ações de resolução recomendadas pelas equipes de risco, conformidade ou auditoria. Plano de ação O plano para corrigir o problema. Datas Data de início planejada Data e hora em que o trabalho no problema deve começar. Data de término planejada Data e hora em que o trabalho no problema deve terminar. Duração planejada Quantidade estimada de tempo de trabalho para o problema. Data de confirmação (A partir da versão 12.0.1) A data em que o problema é confirmado. Este campo é somente leitura e exibe a data de hoje quando o problema é movido de Novo para qualquer um dos seguintes estados: - Analisar
- Revisar
- Responder
Nota:Se um problema de triagem for convertido em um problema real, este campo exibirá a data em que foi convertido.Prazo (A partir da versão 12.0.1) Esta data é preenchida automaticamente com base em uma propriedade do GRC. Navegar até Policy and Compliance > Administração > Propriedades GRC. Se a propriedade Preencher automaticamente a data de vencimento com base na classificação do problema estiver definida como Sim, este campo será preenchido automaticamente com base no intervalo de tempo de correção predefinido para a classificação de risco do problema. Caso contrário, você poderá inserir manualmente uma data de vencimento. Quando um problema muda para o estado Responder, uma entrada neste campo é obrigatória.
Data de início real Hora em que o trabalho começou neste problema. Data de término real Um valor somente leitura que é determinado pelo campo de entrada Duração real. Duração real Quantidade de tempo de trabalho. Criado A data e a hora em que o problema foi criado. Encerrado A data e a hora em que o problema foi encerrado. Compromisso Compromisso O compromisso relacionado. Atividade Comentários adicionais (Visível para o cliente) Informações públicas sobre o problema. Clique em Publicar para adicionar seus comentários ao problema. Anotações de trabalho Clique na caixa de seleção Anotações de trabalho para exibir o campo Anotações de trabalho. Informações sobre como resolver o problema ou as etapas já realizadas para resolvê-lo, se aplicável. As anotações de trabalho ficam visíveis para os usuários atribuídos ao problema. Clique em Publicar para adicionar suas anotações de trabalho ao problema. Confidencialidade Confidencial Opção para habilitar a confidencialidade do registro. Somente os usuários confidenciais atribuídos ou grupos confidenciais de usuários podem acessar o registro. Para obter mais informações sobre a opção confidencial, consulte Sinalizador de confidencialidade para registros de auditoria e conformidade.
Evento de risco Evento de risco O evento de risco relacionado. -
Salve o registro do problema.
As guias na parte inferior da tela permitem que você execute várias tarefas para corrigir o problema. Você pode adicionar exceções de política e criar tarefas de correção. Além disso, você pode exibir outros problemas, resultados do indicador e SLAs de tarefa relacionados ao problema.Nota:A partir da versão 12.0.1, a guia SLA de tarefa cria e exibe SLAs com base na data de vencimento. As notificações são enviadas ao proprietário e ao gerente de problemas quando o prazo do problema atinge 50%, depois 75% e, em seguida, quando ele é violado. Se os campos Atribuído a e Data de vencimento não estiverem vazios e o problema não estiver no estado Novo, um SLA será criado para o problema.
Se o prazo do SLA mudar, um novo SLA será criado. O ANS é concluído quando o problema muda para Encerrado concluído ou Encerrado incompleto. Além disso, o SLA será cancelado se os campos Data de vencimento ou Atribuído a estiverem vazios ou se o estado for Novo.
Também a partir da versão 12.0.1, as tarefas de correção podem ser criadas com as funções de usuário Atribuído ao usuário e gerenciador de problemas, bem como qualquer usuário com a função de Usuário comercial do GRC.