Erstellen Sie GRC Probleme manuell

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Als GRC -Benutzer können Sie Probleme manuell erstellen, um Richtlinien-, Risiko- oder Audit-Beobachtungen zu dokumentieren oder GRC-Probleme zu akzeptieren. Sie können auch die Quelle des Problems identifizieren, um die Probleme zu analysieren und zu klassifizieren.

    Vorbereitungen

    Erforderliche Rolle: (pro Produkt)

    • In Policy and Compliance Management: sn_grc.business_user, sn_grc.business_user_lite
    • In Risikomanagement: sn_grc.business_user, sn_grc.business_user_lite
    • In Audit Management: sn_grc.business_usersn_grc.business_user_lite
    Hinweis:
    Ab Version 12.0.1 der oben genannten Produkte lautet die Mindestrolle für den Benutzer im Feld „ Zugewiesen an “ im Formular „Probleme“ GRC-Geschäftsanwender [sn_grc.business_user]. Die Mindestrolle für den Problemmanager ist GRC-Benutzer [ sn_grc._user ].

    Weitere Informationen zu den Zugriffskontrollbeschränkungen für Probleme finden Sie unter GRC-Geschäftsbenutzerrolle zur Steuerung des Zugriffs und zur Nachverfolgung der Verwendung von Compliance-Tabellen.

    Prozedur

    1. Navigieren Sie zu einer der folgenden Positionen:
      • Alle > Richtlinien und Compliance > Probleme > Neu erstellen.
      • Risiko > Probleme > Neu erstellen.
      • Audit > Probleme > Neu erstellen.
      Hinweis:
      Ab Version 12.0.1 der oben genannten Produkte lautet die Mindestrolle für den Benutzer im Feld „ Zugewiesen an “ im Formular „Probleme“ GRC-Geschäftsanwender [sn_grc.business_user]. Die Mindestrolle für den Problemmanager ist GRC-Benutzer [ sn_grc._user ].
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Problem“
      Feld Beschreibung
      Nummer Eindeutige Identifikationsnummer.
      Zuweisungsgruppe Gruppe, der dieses Problem zugewiesen wurde. Jedes Mitglied erhält eine Benachrichtigung, wenn eine Aktivität zu diesem Problem ausgeführt wird.
      Zugewiesen an Mitglied der Gruppe, der die Lösung des Problems zugewiesen ist.

      Ab Version 12.0.1 muss der Benutzer mindestens über die Rolle sn_grc.business_user verfügen.

      Hinweis:
      Verwenden Sie das Glühbirnensymbol, um Vorschläge dazu zu erhalten, wem das Problem zugewiesen werden muss. Das Glühbirnensymbol wird nur angezeigt, wenn Sie die Anwendung GRC: Predictive Intelligence aktiviert haben, das Formular gespeichert ist, das Feld Zugewiesen an nicht inaktiv ist und die GRC-Eigenschaft als Ähnlichkeitsanalyse ausgewählt ist. Weitere Informationen finden Sie unter GRC -Eigenschaften.

      Sie können eine Hierarchie von Benutzern konfigurieren, um auf den Problemdatensatz zuzugreifen. Weitere Informationen finden Sie unter Benutzerhierarchie-Zugriffssteuerung für Problem- und Korrekturaufgabendatensätze.

      Ab Version 12.0.1 erhält der „Zugewiesen an“-Benutzer eine E-Mail-Benachrichtigung, wenn der Problemmanager weitere Informationen anfordert.

      Ab Version 12.0.1 ist beim Übergang eines Problems in den Status Beantwortet ein Eintrag im Feld Zugewiesen an obligatorisch.
      Problemquelle Quelle, aus der das Problem erstellt wurde. Dieses Feld wird automatisch mit einer der folgenden Optionen ausgefüllt, je nachdem, wie das Problem erstellt wird:
      • Indikatorfehler: Das Problem wird durch einen Fehler des Indikators erstellt
      • Risikobewertung: Problem wird in einem Risiko erstellt
      • Risikoereignis: Problem wird in einem Risikoereignis erstellt
      • Steuerungsnachweisfehler: Das Problem wird aufgrund einer nicht konformen Steuerung erstellt
      • Kontrolltestfehler: Ein Problem wird erstellt, wenn eine Kontrolle ineffektiv ist und der Kontrolltest als geschlossen und abgeschlossen markiert wird
      • Ad-hoc: Problem wird manuell erstellt
      Problemtyp Die Art des Problems. Die Auswahlmöglichkeiten lauten wie folgt:
      • Fehler bei Entwurfseffektivität der Steuerung
      • Fehler bei betrieblicher Effektivität der Steuerung
      • Steuerung erfüllt die Anforderungen nicht
      • Steuerung ist nicht vorhanden
      • Nichteinhaltung einer Verordnung
      • Nichteinhaltung einer Richtlinie
      • Verbesserung oder Vorschlag zu einer vorhandenen Richtlinie
      • Empfehlung für eine neue Richtlinie
      • Prozessoptimierung oder -verbesserung
      • Beobachtung
      • Datenschutzverletzung
      • Betrug
      • Falsche Angabe
      • Training
      • Dokumentation
      • Risikoproblem
      • Sonstige
      Klassifizierung Die Klassifizierung des Problems als Risiko, Compliance oder Audit, basierend auf dem Problemtyp.
      Problem-Manager-Gruppe Die Gruppe, die für die Verwaltung und Überprüfung des Problems verantwortlich ist.
      Ab Version 12.0.1 wurden die folgenden Erweiterungen und Anforderungen eingeführt:
      • Mitglieder der Problemmanagergruppe müssen eine der folgenden Rollen innehaben:
        • sn_audit.manager
        • sn_audit.user
        • sn_compliance.manager
        • sn_compliance.user
        • sn_grc.manager
        • sn_grc.user
        • sn_risk.manager
        • sn_risk.user
      • Wenn ein Problem in den Status „ Analysieren “ übergeht, ist ein Eintrag im Feld „Problemmanagergruppe“ oder „ Problemmanager “ erforderlich.
      • Wenn der Gruppe ein Problem zugewiesen wird, erhalten die Mitglieder eine E-Mail-Benachrichtigung. Darüber hinaus erhält der Problemmanager eine E-Mail-Benachrichtigung, wenn das Problem in den Überprüfungsstatus übergeht.
      Problem-Manager Benutzer, der für die Verwaltung und Überprüfung des Problems verantwortlich ist.
      Ab Version 12.0.1 wurden die folgenden Erweiterungen und Anforderungen eingeführt:
      • Der Problemmanager muss mindestens die Rolle sn_grc.user haben.
      • Der Problemmanager erhält eine E-Mail-Benachrichtigung, wenn der „Zugewiesen an“-Benutzer angeforderte Informationen bereitstellt.
      • Wenn ein Problem in den Status „ Analysieren “ übergeht, ist ein Eintrag in diesem Feld oder im Problem- Manager erforderlich.
      • Wenn ein Problem in den Status Beantwortet übergeht, ist ein Eintrag in diesem Feld obligatorisch.
      Status
      • Neu
      • Analysieren
      • Beantworten
      • Prüfung
      • Abgeschlossen
      • Unvollständig geschlossen
      Substatus Der Substatus und die entsprechenden Details für den Substatus.
      Priorität Die Reihenfolge, in der ein Problem gelöst werden muss, basierend auf seiner Auswirkung und Dringlichkeit:
      • 1: Kritisch
      • 2 – Hoch
      • 3 – Mittel
      • 4: Niedrig
      • 5: Planung
      Problembewertung Ab Version 12.0.1 kann der Problemmanager dem Problem die Problembewertung zuweisen. Basierend auf der Problembewertung wird das Fälligkeitsdatum auf der Registerkarte Daten wie folgt berechnet und angezeigt:
      • Sehr hoch (2 Tage)
      • Hoch (4 Tage)
      • Moderat (8 Tage)
      • Niedrig (10 Tage)
      • Sehr niedrig (15 Tage)
      Sie können das Fälligkeitsdatummanuell überschreiben.
      Hinweis:
      Benutzer mit den Rollen sn_grc.manager und sn_grc_advanced.issue_triage_manager können zu navigieren Richtlinien und Compliance > Administration > Problembewertung und zusätzliche Problembewertungen definieren

      Wenn das Problem in den Status Beantwortet übergeht, ist das Feld Problembewertung schreibgeschützt.
      Problem Gruppenregel Gruppenregel, die diesem Problem zugewiesen ist. Die Problemgruppenregel wird verwendet, um ähnliche Probleme basierend auf den in der Regel definierten Bedingungen zu einem übergeordneten Problem zusammenzufassen. Mit dieser Regel können Sie gleichzeitig an ähnlichen Problemen arbeiten und das übergeordnete Problem schließen, nachdem alle Probleme gelöst wurden. Dadurch werden alle untergeordneten Probleme geschlossen.
      Übergeordnetes Problem Übergeordnetes Problem, zu dem dieses Problem gehört.
      Konfigurationselement Element, das diesem Problem zugeordnet ist. Wenn alle untergeordneten Probleme dasselbe Konfigurationselement haben, wird es in das übergeordnete Problem kopiert
      Standort Speicherort, an dem das Problem aufgetreten ist.
      Kurzbeschreibung

      Ab Version 12.0.1 wurde diese Bezeichnung in Namegeändert.

      		 Ein Name für das Problem.
      Beschreibung Eine umfassendere Beschreibung des Problems.
      Details
      Kontrolle/Risiko Kontrolle oder Risiko, die dem Problem zugeordnet ist.

      Wenn die Kontrolle zugeordnet ist, wird die entsprechende Entität der Kontrolle dem Feld Entität hinzugefügt, und das Kontrollziel wird dem Feld Kontrollziel/Risikobeschreibung hinzugefügt. Diese Kontrollziele und Entitäten sind diejenigen, die mit dieser Kontrolle verknüpft sind.

      Wenn die Steuerung dem Problemformular zugeordnet ist, wird in der Quelltabelle [sn_grc_m2m_issue_item] ein m2m-Datensatz erstellt. Immer wenn ein Datensatz in der Quelltabelle hinzugefügt wird, wird ein entsprechender Datensatz, Problem zu Entität, in der Zieltabelle [sn_grc_m2m_issue_to_entity] hinzugefügt, und ein weiterer Datensatz „Problem zu Inhalt“ wird in der Zieltabelle [sn_grc_m2m_issue_content] für die zugeordnete Entität und das Kontrollziel von hinzugefügt die Steuerung.
      Entität Zugehörige Entität.
      Richtlinie Die dem Problem zugeordnete Richtlinie.
      Regulatorisches Dokument Berechtigungsdokument, das dem Problem zugeordnet ist.
      Kontrollziel/Risikoerklärung Das Kontrollziel oder die Risikobeschreibung in Bezug auf dieses Problem.
      Empfehlung Von den Risiko-, Compliance- oder Audit-Teams empfohlene Lösungsaktionen.
      Aktionsplan Der Plan zur Behebung des Problems.
      Daten
      Geplantes Startdatum Datum und Uhrzeit, zu der die Arbeit an dem Problem voraussichtlich beginnt.
      Geplantes Enddatum Datum und Uhrzeit, zu der die Arbeit an dem Problem voraussichtlich enden wird.
      Geplante Dauer Geschätzte Arbeitszeit für das Problem.
      Bestätigungsdatum (Ab Version 12.0.1) Das Datum, an dem das Problem bestätigt wurde. Dieses Feld ist schreibgeschützt und zeigt das heutige Datum an, an dem das Problem von Neu in einen der folgenden Status verschoben wurde:
      • Analysieren
      • Überprüfen
      • Beantworten
      Hinweis:
      Wenn ein Selektierungsproblem in ein tatsächliches Problem konvertiert wird, wird in diesem Feld das Datum der Konvertierung angezeigt.
      Fälligkeitsdatum (Ab Version 12.0.1) Dieses Datum wird basierend auf einer GRC-Eigenschaft automatisch ausgefüllt. Navigieren zu Richtlinien und Compliance > Administration > GRC-Eigenschaften. Wenn die Eigenschaft Fälligkeitsdatum basierend auf Problembewertung automatisch ausfüllen auf Jafestgelegt ist, wird dieses Feld basierend auf dem vordefinierten Korrekturzeitrahmen für die Risikobewertung des Problems automatisch ausgefüllt. Andernfalls können Sie ein Fälligkeitsdatum manuell eingeben.

      Wenn ein Problem in den Status Beantwortet übergeht, ist ein Eintrag in diesem Feld obligatorisch.
      Tatsächliches Startdatum Zeit, zu der die Arbeit an diesem Problem begann.
      Tatsächliches Enddatum Ein schreibgeschützter Wert, der durch das Eingabefeld Tatsächliche Dauer bestimmt wird.
      Tatsächliche Dauer Arbeitszeit.
      Erstellt Datum und Uhrzeit der Erstellung des Problems.
      Geschlossen Datum und Uhrzeit, zu der das Problem geschlossen wurde.
      Interaktion
      Interaktion Die zugehörige Interaktion.
      Aktivität
      Zusätzliche Kommentare (sichtbar für Kunden) Öffentliche Informationen zum Problem. Klicken Sie auf Veröffentlichen, um dem Problem Ihre Kommentare hinzuzufügen.
      Arbeitsnotizen Klicken Sie auf das Kontrollkästchen Arbeitsnotizen, um das Feld Arbeitsnotizen anzuzeigen. Informationen darüber, wie das Problem gelöst werden kann, oder Schritte, die bereits unternommen wurden, um es zu beheben, falls zutreffend. Arbeitsnotizen sind für Benutzer sichtbar, die dem Problem zugewiesen sind. Klicken Sie auf Veröffentlichen, um dem Problem Arbeitsnotizen hinzuzufügen.
      Vertraulichkeit
      Vertraulich Option zum Aktivieren der Vertraulichkeit des Datensatzes. Nur die zugewiesenen vertraulichen Benutzer oder vertraulichen Benutzergruppen können auf den Datensatz zugreifen.

      Weitere Informationen zur Option „Vertraulich“ finden Sie unter Vertraulichkeitskennzeichnung für Audit- und Compliance-Datensätze.
      Risikoereignis
      Risikoereignis Das zugehörige Risikoereignis.
    3. Speichern Sie den Problemdatensatz.
      Auf den Registerkarten am unteren Rand des Bildschirms können Sie verschiedene Aufgaben zur Behebung des Problems ausführen. Sie können Richtlinienausnahmen hinzufügen und Korrekturaufgaben erstellen. Darüber hinaus können Sie andere Probleme, Indikatorergebnisse und Aufgaben-SLAs anzeigen, die sich auf das Problem beziehen.
      Hinweis:
      Ab Version 12.0.1 werden auf der Registerkarte Aufgaben-SLA SLAs basierend auf dem Fälligkeitsdatumerstellt und angezeigt. Benachrichtigungen werden an den Problembesitzer und den Problemmanager gesendet, wenn das Fälligkeitsdatum des Problems 50 % und dann 75 % erreicht. Wenn die Felder Zugewiesen an und Fälligkeitsdatum nicht leer sind und sich das Problem nicht im Status Neu befindet, wird eine SLA für das Problem erstellt.

      Wenn sich das Fälligkeitsdatum für das SLA ändert, wird ein neues SLA erstellt. Die SLA ist abgeschlossen, wenn das Problem in „ Abgeschlossen “ oder „ Geschlossen – unvollständig“ übergeht. Außerdem wird die SLA abgebrochen, wenn die Felder Fälligkeitsdatum oder Zugewiesen an leer sind oder der Status Neu lautet.

      Außerdem können ab Version 12.0.1 Korrekturaufgaben mit den Benutzerrollen „Zugewiesen an“-Benutzer und „Problemmanager“ sowie mit jedem Benutzer mit der Rolle „GRC-Geschäftsbenutzer“ erstellt werden.