Fluxo de trabalho de identificação de risco para aplicações de negócios

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Ao avaliar uma aplicação quanto a riscos, a aplicação passa por várias fases de identificação e avaliação de riscos. Você pode definir o fluxo de trabalho de identificação e avaliação com base em seus requisitos.

    Antes que os riscos de uma aplicação sejam avaliados, a aplicação deve ser criada na tabela Aplicação de negócios e trazida para GRC. Depois que a aplicação chega a GRC, um registro de identificação de risco é criado. O responsável pela aplicação fornece informações sobre a aplicação para o gerenciador de riscos de TI. O gerenciador de riscos de TI mapeia os riscos, as citações e as políticas recomendadas.

    Considere o exemplo a seguir para entender o fluxo de trabalho de identificação e avaliação de riscos para um aplicativo de negócios. Um novo aplicativo de negócios é introduzido em sua organização. Esta nova aplicação faz parte da tabela Aplicação de negócios. A nova aplicação tem dois proprietários:
    • Responsável pela aplicação de TI
    • Proprietário da empresa: este usuário deve ter a função sn_grc.business_user.
    Nota:
    Sua organização pode usar funções diferentes.
    Neste ponto, a aplicação não faz parte de GRC. Ela deve ser trazida para GRC como uma entidade antes que seus riscos possam ser avaliados. A nova aplicação também deve ter objetos de informação associados a ela.

    O fluxo de trabalho e os aprovadores da avaliação de risco da aplicação são determinados pelas configurações no formulário de Configuração de identificação de risco. Consulte Configurar integração de identificação de risco para entender o processo de definição do fluxo de trabalho. Para reiniciar a identificação de risco, uma ação do Flow Designer é fornecida.

    Ao avaliar uma nova aplicação de negócios, o fluxo de trabalho da identificação de risco é o seguinte:
    1. Uma aplicação de negócios é criada automaticamente ou por um responsável pela aplicação na tabela de aplicações de negócios.
    2. GRC O detecta a nova aplicação de negócios. Uma entidade GRC é criada para a nova aplicação. A detecção é tratada pelo trabalho programado de geração de perfil GRC que é executado em segundo plano.
    3. Um novo registro de identificação de risco é criado para a aplicação.
      Nota:
      O gerenciador de risco pode modificar o registro de configuração e determinar o fluxo de trabalho da avaliação. Depois que uma configuração de identificação de risco é publicada, o gerenciador de risco pode modificar somente alguns campos no registro de configuração.
    4. Um questionário é iniciado e enviado ao responsável pela aplicação para coletar detalhes sobre a aplicação.
    5. O responsável pela aplicação responde ao questionário.
    6. O gerenciador de riscos de TI revisa as respostas. Se as respostas forem insatisfatórias, o gerente enviará o questionário de volta para o responsável pela aplicação.
      Nota:
      Se o questionário for enviado de volta, as novas respostas serão revertidas para o formulário original.
    7. Com base na configuração, depois que o gerenciador de riscos de TI estiver satisfeito com as respostas, o sistema iniciará a avaliação inerente.
    8. GRC mapeia os riscos e os objetos de conformidade com base nos tipos de entidade.
    9. O gerenciador de riscos de TI revisa o mapeamento do objeto de informação.
    10. O sistema executa o mecanismo de recomendação com base no algoritmo selecionado na configuração.
    11. O gerenciador de riscos de TI revisa e mapeia os riscos, as políticas e as citações recomendadas com base nos objetos de informação associados.
    12. O gerenciador de riscos de TI mapeia os controles recomendados com base em citações, políticas e riscos associados.
    13. O proprietário da aplicação gerencia o ciclo de vida do controle e certifica os controles.
    A figura a seguir representa o fluxo de trabalho da solução.
    Figura 1. Fluxo de trabalho da solução da integração de GRC e APM
    Integração de APM e Advanced Risk Assessment

    Estados do registro de identificação de risco

    Depois que a configuração de identificação de risco é movida para o estado Publicado, um registro de identificação de risco é criado para a entidade relacionada.

    O registro de identificação de risco passa pelos seguintes estados:
    • Novo: um novo registro é criado
    • Coleta de informações: as informações sobre a aplicação são coletadas.
    • Revisar: o gerente de risco revisa as informações.
    • Avaliação inerente: o gerenciador de risco executa a avaliação de risco inerente.
    • Mapeamento de riscos: o gerenciador de riscos mapeia os riscos, as citações e as políticas necessárias.
    • Monitorar: os riscos são monitorados.
    • Descontinuado: os riscos são desativados conforme necessário.

    Depois que a configuração de identificação de risco é movida para o estado Descontinuado, a configuração se torna inválida e os registros de identificação de risco não são criados para entidades relacionadas.

    Em termos de ciclo de vida, um registro de identificação de risco passa pelos seguintes estados:
    1. Novo
    2. Coleta de informações
    3. Revisar
    4. Avaliação inerente
    5. Mapeamento de risco
    6. Monitorar
    7. Desativado