Avaliar riscos e objetos em uma instância de avaliação

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Avalie os riscos que você configurou e reatribua os riscos aos aprovadores relevantes.

    Antes de Iniciar

    Função necessária: sn_grc.business_user

    Nota:
    Você deve atribuir manualmente as funções de avaliação de risco avançado à função sn_grc.business_user. Para entender como você pode ajustar a concessão de funções e grupos, consulte o artigo Como ajustar a concessão de funções e grupos para usar trabalhos em segundo plano [KB0963693] na Base de conhecimento Now Support.

    Procedimento

    1. Navegar até Todos > Avaliação de Advanced Risk > Tarefas de avaliações de riscos > Minhas Tarefas.
      A avaliação está no estado Pronto para avaliar.
    2. Para iniciar a avaliação, clique em Avaliar.
      O fluxo de trabalho passa para o primeiro tipo de avaliação de risco. Se um tipo de avaliação específico não estiver configurado, essa seção não aparecerá no formulário.
    3. Opcional: Para reatribuir uma avaliação, clique em Reatribuir e insira o nome da pessoa a quem você deseja reatribuir a avaliação.
    4. Clique na seção Avaliação inerente e responda às perguntas no formulário.
      1. Clique com o botão direito do mouse e salve o formulário.
      2. Para passar para a próxima avaliação, clique em Avaliação inerente e preencha os campos.
        Tabela 1. Seção de avaliação inerente
        Campo Descrição
        Resultados
        Risco inerente calculado Pontuação de risco inerente.
        Substituir pontuação calculada Opção para substituir a pontuação inerente calculada.
        ALE inerente calculada ALE inerente calculada do risco. A ALE é calculada com base nos fatores de avaliação inerentes.
        Risco inerente substituído Valor que foi configurado no formulário de RAM para substituir a pontuação de risco inerente calculada. Este campo está disponível somente quando a opção Substituir pontuação calculada está selecionada.
        ALE inerente substituído Valor que substitui a pontuação de risco inerente calculada. O valor é usado para acúmulo.
        Comentários Informações adicionais que fornecem mais detalhes para o aprovador de avaliação de risco. Os usuários devem inserir um motivo para substituir a pontuação calculada. Este campo é obrigatório quando a opção Substituir pontuação calculada é selecionada.
      3. Se necessário, adicione comentários na coluna Comentários.
      4. Clique em Salvar e calcular.
    5. Para executar a avaliação de controle, clique em Executar avaliação de controle e faça o seguinte.
      1. No formulário, preencha os campos.
        Tabela 2. Seção Avaliação de controle
        Campo Descrição
        Resultados
        Eficácia do controle calculado Pontuação de eficácia do controle.
        Substituir pontuação calculada Opção para substituir a pontuação de eficácia do controle calculado.
        Comentários Informações adicionais que fornecem mais detalhes para o aprovador de avaliação de risco. Este campo é obrigatório quando a opção Substituir pontuação calculada é selecionada.
        Nota:
        Se você selecionou Avaliação individual de controles no campo Calcular com base no formulário Avaliação de controle, poderá criar controles a partir da biblioteca, adicionar controles existentes, adicionar novos controles ou remover controles existentes. Use o texto de orientação para obter assistência na resposta aos fatores. Para determinar se o controle está em conformidade, consulte a coluna Status.
      2. Para criar, adicionar ou remover controles, execute uma das seguintes ações:
        Opção Ação
        Para criar controles a partir da biblioteca
        1. Clique em Criar a partir da biblioteca na janela Escolher controles.
        2. Selecione os objetivos de controle necessários.
        3. Clique em Adicionar controles.
        Para adicionar um controle existente
        1. Clique em Adicionar.
        2. Selecione os controles.
        3. Clique em Adicionar controles.
        Para criar um novo controle
        1. Preencha os campos na janela Novo controle.
        2. Clique em Enviar.
        Para remover qualquer controle
        1. Clique em Remover na janela Escolher controles.
        2. Selecione os controles que você deseja remover.
        3. Clique em Remover controles.
        Se o risco tiver controles padrão, esses controles serão adicionados automaticamente à avaliação de controle.
      3. Se você não tiver nenhum controle associado ao risco ou objeto que deve ser avaliado, selecione a opção Nenhum controle de mitigação para avaliar.
        Se você optar por não avaliar os controles atenuantes, os riscos residuais serão marcados por padrão como não aplicáveis na fase de avaliação residual. No entanto, se um risco tiver controles de mitigação associados, os usuários não verão a opção Nenhum controle de mitigação para avaliar.
      4. Se você recusar a avaliação de controles, insira uma justificativa no campo Comentários.
      5. Clique em Salvar e calcular.
    6. Para passar para a próxima avaliação, clique em Realizar avaliação residual e faça o seguinte.
      1. No formulário, preencha os campos.
        Tabela 3. Seção Avaliação residual
        Campo Descrição
        Resultados
        Risco residual calculado Pontuação de risco residual.
        Comentários Informações adicionais que fornecem mais detalhes para o aprovador de avaliação de risco. Este campo é obrigatório quando a opção Substituir pontuação calculada é selecionada.
        Nota:
        Você pode adicionar controles existentes e novos controles durante esta fase. Você também pode remover controles que podem ter sido adicionados incorretamente. Os fatores que aparecem para avaliação residual são os fatores que você configurou no formulário de fator. As respostas que você fornece para esses fatores determinam a pontuação da avaliação de controle. A pontuação é baseada no peso qualitativo, na pontuação qualitativa e na pontuação quantitativa.
      2. Se você quiser avaliar um risco residual, mas optou por não avaliar os controles de atenuação, desmarque o campo Risco residual não aplicável.
        Se você não quiser avaliar um risco residual, não altere o campo.
      3. Clique com o botão direito do mouse e salve o formulário.
    7. Para passar para o próximo estado e responder aos riscos que você avaliou, clique em Responder.
      1. Na guia Resposta a riscos, clique em Resposta a riscos e selecione uma ou mais respostas a riscos nas seguintes opções:
        • Nenhum: não selecione nenhuma resposta para o risco.
        • Aceitar: aceitar e confirmar o risco.
        • Evitar: elimine o risco ou seu impacto.
        • Reduzir: diminua o impacto ou a probabilidade do risco.
        • Transferir: transfira a responsabilidade para um terceiro.
      2. Clique com o botão direito do mouse e salve o formulário.
      Se várias respostas de risco forem selecionadas, as tarefas de resposta de risco serão criadas.
    8. Clique na lista relacionada da tarefa de resposta de risco, atribua a tarefa a um usuário apropriado e clique com o botão direito do mouse para salvar o formulário.
      Esta lista relacionada aparece somente quando a opção Habilitar resposta de risco é selecionada pelo administrador de risco durante a configuração da RAM.
    9. No campo Comentários, insira comentários.
    10. Para exibir as atividades desta avaliação, clique em Registro de atividades.
    11. Para concluir sua avaliação e enviá-la para aprovação, clique em Salvar e em Solicitar aprovação.
      O aprovador que você selecionou no escopo de avaliação de risco recebe uma notificação por e-mail para aprovar ou rejeitar a instância de avaliação de risco. Se não houver aprovadores, a instância de avaliação de risco será movida para o estado Monitorar.

    O que Fazer Depois

    Para exibir o resumo da avaliação, clique em Resumo da avaliação.