Antes de entender a Avaliação de risco avançada em detalhes, é importante entender as principais etapas da gestão de riscos:

1. Identificação de risco: encontre uma incerteza ou risco que possa impedir sua organização de alcançar seus objetivos​.
2. Análise de risco: entenda a causa e a consequência do risco.
3. Avaliação de risco: para determinar se uma ação adicional é necessária, compare os resultados da análise de risco com os critérios de risco estabelecidos.
4. Tratamento de risco: defina um plano de ação​ para lidar com o risco.
5. Monitoramento de riscos: rastreie a postura de risco da organização e comunique-a às partes interessadas relevantes.

A avaliação de risco consiste em identificação de risco, análise de risco e avaliação de risco. A avaliação de risco avançada é realizada com base em fatores ou perguntas e suas respostas. Pode ser realizado para uma entidade como uma organização. Para usar a avaliação de risco avançada, você deve habilitar a propriedade Migrar para avaliações de risco avançadas localizada no módulo Administração. O avaliador e o aprovador da avaliação de risco devem ter a função sn_grc.business_user. A avaliação de risco avançada permite que você faça uma avaliação detalhada dos riscos em que os riscos inerentes, os controles de atenuação e os riscos residuais são avaliados. Se você não tiver a configuração GRC completa para entidades, declarações de risco, controles e assim por diante, ainda poderá avaliar os riscos em qualquer registro ou objeto ServiceNow. Um exemplo de avaliação de objeto é avaliar o gerenciamento de mudanças. Durante a avaliação de risco, os riscos a seguir são avaliados.

• Riscos inerentes: os riscos inerentes são riscos que não têm controles. Por exemplo, dirigir em alta velocidade em uma via expressa é inerentemente mais arriscado do que dirigir em velocidade moderada. A pontuação deste risco inerente é derivada multiplicando o impacto do risco e a probabilidade do risco.
• Eficácia do controle: os controles podem atenuar o impacto ou a probabilidade de um risco. Por exemplo, as estradas têm monitores de limite de velocidade. Se um risco se materializar, os controles atenuarão o impacto. Os controles podem ser preventivos, de detecção ou corretivos.
  • Os controles preventivos são projetados para evitar erros, imprecisões ou fraudes antes que esses problemas ocorram.
  • Os controles de detecção têm como objetivo descobrir a existência de erros, imprecisões ou fraudes.
  • Os controles corretivos são projetados para corrigir erros ou anomalias que foram detectados.
• Riscos residuais: os riscos residuais são os riscos restantes que permanecem após a implementação dos controles. Por exemplo, apesar das medidas de segurança em vigor, se ainda houver um acidente, o dano causado pelo acidente será um risco residual. Uma pontuação de risco residual pode ser calculada usando qualquer um dos seguintes métodos:
  • Uma matriz entre eficácia inerente e residual.
  • Uma fórmula matemática, como a pontuação inerente menos a pontuação de controle.
  • Respostas para fatores.
• Riscos desejados: os riscos desejados são os riscos desejados que uma organização deseja alcançar no futuro. Ao avaliar o nível desejado de probabilidade e impacto dos riscos identificados, as organizações podem estabelecer níveis de risco desejados para cada risco. Por exemplo, ao avaliar um risco, você considera vários aspectos, como o risco inerente, a eficácia dos controles e os riscos residuais. No entanto, é igualmente importante capturar o nível de risco desejado que será atingido depois que sua resposta a riscos for implementada. O risco desejado representa o nível ideal de risco que você pretende alcançar depois que o plano de ação for executado com sucesso. Ele permite que você meça os benefícios que sua organização obtém em relação ao custo de implementação dessas ações.