Fatores na avaliação de risco avançada

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 6 min. de leitura

    • Fatores são perguntas que você pode usar para analisar riscos. Os fatores aparecem em uma instância de avaliação de risco.

    Fatores são perguntas que aparecem durante a avaliação de risco. Para usar a Avaliação de risco avançada, você deve primeiro definir esses fatores e configurar uma metodologia de avaliação de risco (RAM). Para obter mais informações sobre RAMs, consulte Configurar uma metodologia de avaliação de risco. Cada fator ou pergunta tem uma resposta. Existem diferentes tipos de fatores:
    • Fator manual: um fator que requer entrada humana. A resposta é uma resposta manual. Um exemplo é o seu nome.
    • Fator automatizado: um fator cuja resposta é calculada automaticamente. Um exemplo é a temperatura na sua cidade hoje. As informações são obtidas de fontes externas.
    • Fatores automatizados com script: um fator usado para gravar scripts.
    • Fator de grupo: um conjunto de fatores agrupados logicamente.

    Esses tipos de fator são explicados com mais detalhes nas seções a seguir. Depois de definir os fatores e publicá-los, você pode configurar uma RAM e associar os fatores aos tipos de avaliação na RAM. A RAM forma a base da avaliação de risco. Publique cada um dos tipos de avaliação selecionados e, em seguida, publique a RAM. Usuários com a função sn_risk.user podem selecionar os tipos de avaliação para os quais a avaliação deve ser realizada.

    Sua instância de avaliação de risco será criada. Suas propriedades dependem dos tipos e opções de avaliação que você selecionou para a RAM. A instância de avaliação de risco é onde o avaliador de risco avalia os riscos. Como uma pergunta, um fator pode ser usado em vários tipos de avaliação. Por exemplo, uma pergunta como "Qual é a probabilidade de um edifício ser inundado?" pode fazer parte de uma avaliação inerente ou de uma avaliação residual após a avaliação da eficácia de controle.

    Nota:
    Um fator pode ser usado em vários tipos de avaliação, mas pode ser usado em apenas uma RAM. Um fator criado e usado em uma RAM não pode ser reutilizado em outras RAMs.

    Tipos de contribuições de fator

    Um avaliador fornece respostas para os fatores. Os avaliadores de risco podem contribuir para os fatores das seguintes maneiras:
    • Qualitativo: as perdas estão na forma de termos subjetivos, como alto, médio e baixo. As perdas também podem estar na forma de uma pontuação numérica que é convertida em uma classificação.
    • Quantitativo: as perdas estão em uma forma numérica. Eles podem ser incorridos a partir de um risco em termos monetários. Eles contribuem para a Expectativa de Perda Anual (ALE) inerente.
    • Ambos: as perdas têm uma classificação de risco qualitativa e um valor quantitativo em dólares. Essas classificações também são chamadas de semiquantitativas.
    Para obter mais informações sobre como entender as classificações qualitativas, quantitativas e semiquantitativas, consulte Tipos de metodologias de classificação de risco

    Fatores manuais

    Em uma avaliação de risco, as perguntas que precisam de respostas humanas dos entrevistados são chamadas de fatores manuais. Em fatores manuais, a resposta é subjetiva e difícil de classificar. Algumas perguntas exigem inteligência humana e avaliação. Portanto, um fator manual é uma avaliação subjetiva da visão de uma pessoa. Exemplos de fatores manuais são impacto na reputação, velocidade de início esperada e assim por diante. Em fatores manuais, os usuários podem fornecer os seguintes tipos de respostas:
    • Texto: uma resposta descritiva. Por exemplo, feedback. Esta opção não contribui para o cálculo da pontuação de risco​.
    • Escolha: opções definidas pelo usuário para as perguntas na avaliação. Por exemplo, os usuários podem selecionar classificações de risco baixa, média ou alta.
    • Número: um valor numérico. Por exemplo, o número de problemas em aberto.
    • Moeda: um valor na moeda local do usuário. Por exemplo, o impacto financeiro de um determinado risco.
    • Percentual: um valor percentual para as perguntas na avaliação. Por exemplo, a porcentagem de funcionários satisfeitos com as estratégias da organização.

    Fatores de grupo

    Quando os fatores são agrupados logicamente, eles são chamados de fatores de grupo. A pontuação de um fator de grupo depende das respostas dos fatores manuais correspondentes​. Por exemplo, as organizações são afetadas por riscos financeiros e não financeiros. Você pode criar alguns fatores para riscos financeiros e outros fatores para riscos não financeiros. Você pode combinar esses dois conjuntos de fatores em um único fator de grupo chamado Impacto geral. Assim como os fatores manuais, os fatores de grupo podem contribuir para uma pontuação de risco numérica que é convertida em uma contribuição qualitativa ou para os valores da ALE como uma contribuição quantitativa.

    Fatores automatizados

    Os fatores automatizados buscam automaticamente os dados mais recentes, durante uma avaliação, de qualquer uma das fontes de dados, como tabelas ou exibições de banco de dados. Os fatores automatizados ajudam a automatizar o processo de avaliação de risco. Eles não dependem de entradas manuais e, portanto, reduzem a subjetividade. Por exemplo, um avaliador de risco deseja executar uma avaliação para locais diferentes. Um dos fatores automatizados é a condição política de um país e essas informações estão disponíveis publicamente em um site. Como esses dados não residem em ServiceNow, o avaliador pode usar fatores automatizados para buscar os dados. Alguns outros exemplos de fatores automatizados são os seguintes:
    • O número de funcionários em um projeto.
    • A receita de uma unidade de negócios.
    • A criticalidade de um processo para os negócios.

    Fatores automatizados com script

    Fatores de script automatizados são usados para gravar scripts. Os scripts buscam os dados de registros ServiceNow ou de fontes externas. Os fatores automatizados com script fornecem automaticamente as respostas para os fatores durante a avaliação de risco.

    Os casos de uso a seguir demonstram um exemplo de como você pode modelar fatores com script. Por exemplo, se você quiser usar os resultados da função de conformidade para avaliar a eficácia de mitigação dos controles, há duas maneiras de avaliar os controles:
    • Avaliação individual de controles
    • Avaliação do ambiente de controle.
    Na avaliação individual de controles, cada controle é avaliado separadamente. Para entender a avaliação de controle no contexto de fatores com script, considere o exemplo da lavagem de dinheiro como um risco. Neste exemplo, a eficácia do controle é avaliada com base na porcentagem de controles com falha. Os valores dos controles com falha são transformados em uma classificação para calcular a eficácia desse controle. Por exemplo, o risco de lavagem de dinheiro tem três controles de mitigação:
    • Treinamento de funcionários
    • Auditoria interna nos funcionários
    • Diligência prévia do cliente
    Suponha que você tenha definido os critérios de eficácia de controle da seguinte maneira:
    Falha na eficácia do design de controle Eficácia do controle
    0%-30% Eficaz
    30%-60% Precisa de melhoria
    > 60% Ineficaz

    Agora, suponha que dos três controles, um controle foi aprovado e dois falharam. A falha de dois controles se traduz em uma taxa de falha de 66,67%. Com base na transformação e na tabela anterior, a classificação de eficácia de controle é ineficaz. Você pode usar este script definido para automatizar a resposta ao fator para avaliar o risco de lavagem de dinheiro.

    Quanto à avaliação do ambiente de controle, você pode avaliar o ambiente de controle completo em vez de avaliar cada controle individualmente. Para entender a avaliação do ambiente de controle, considere o exemplo a seguir. Suponha que você queira avaliar o ambiente de controle com base em dois aspectos: eficácia do design e eficácia operacional. Para calcular a eficácia do design, você pode buscar os controles relacionados ao risco de lavagem de dinheiro. Você pode observar os resultados de testes para entender quantos dos controles falharam. Suponha que você tenha definido os critérios de eficácia de controle da seguinte maneira:
    Falha na eficácia do design de controle Eficácia do controle
    0%-30% Eficaz
    30%-60% Precisa de melhoria
    > 60% Ineficaz

    Agora, suponha que dois controles falharam e um controle foi aprovado. Portanto, a taxa de falha na eficácia do design de controle é de 33,33%. Com base na tabela anterior, este baixo valor de 33,33% significa que o design de controle precisa de melhorias. Essa resposta pode ser programada automaticamente no fator de script automatizado porque não precisa de nenhum cálculo ou intervenção humana.