Workflow zur Risiko-Identifizierung für Geschäftsanwendungen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Bei der Risikobewertung einer Anwendung durchläuft die Anwendung verschiedene Phasen der Risikoidentifizierung und -bewertung. Sie können den Identifizierungs- und Bewertungs-Workflow basierend auf Ihren Anforderungen definieren.

    Bevor die Risiken einer Anwendung bewertet werden, muss die Anwendung in der Tabelle für Geschäftsanwendungen erstellt und zu GRCimportiert werden. Nachdem die Anwendung GRCerreicht hat, wird ein Risiko-Identifizierungsdatensatz erstellt. Der Besitzer der Anwendung stellt dem IT-Risikomanager Informationen über die Anwendung zur Verfügung. Der IT-Risikomanager ordnet dann die empfohlenen Risiken, Zitate und Richtlinien zu.

    Betrachten Sie das folgende Beispiel, um den Workflow zur Risikoidentifizierung und -bewertung für eine Geschäftsanwendung zu verstehen. In Ihrer Organisation wird eine neue Geschäftsanwendung eingeführt. Diese neue Anwendung ist Teil der Tabelle „Geschäftsanwendung“. Die neue Anwendung hat zwei Besitzer:
    • IT-Anwendungsbesitzer
    • Geschäftsinhaber: Dieser Anwender muss über die Rolle sn_grc.business_user verfügen.
    Hinweis:
    Ihre Organisation kann verschiedene Rollen verwenden.
    Zu diesem Zeitpunkt ist die Anwendung kein Teil von GRC. Sie muss als Entität zu GRC gebracht werden, bevor ihre Risiken bewertet werden können. Der neuen Anwendung müssen auch Informationsobjekte zugeordnet sein.

    Der Workflow und die Genehmiger der Anwendungsrisikobewertung werden durch die Einstellungen im Formular „Konfiguration der Risiko-Identifizierung“ bestimmt. Unter Risiko-Identifizierungsintegration einrichten können Sie erfahren, wie der Workflow definiert wird. Um die Risiko-Identifizierung erneut zu initiieren, wird eine Flow Designer-Aktion bereitgestellt.

    Bei der Bewertung einer neuen Geschäftsanwendung sieht der Workflow zur Risiko-Identifizierung wie folgt aus:
    1. Eine Geschäftsanwendung wird entweder automatisch oder von einem Anwendungsbesitzer in der Tabelle für Geschäftsanwendungen erstellt.
    2. GRC erkennt die neue Geschäftsanwendung. Für die neue Anwendung wird eine Entität GRC erstellt. Die Erkennung wird von der geplanten Aufgabe „Profilgenerierung GRC “ verarbeitet, die im Hintergrund ausgeführt wird.
    3. Für die Anwendung wird ein neuer Risiko-Identifizierungsdatensatz erstellt.
      Hinweis:
      Der Risiko-Manager kann den Konfigurationsdatensatz ändern und den Workflow der Bewertung bestimmen. Nachdem eine Risikoidentifizierungskonfiguration veröffentlicht wurde, kann der Risikomanager nur einige Felder im Konfigurationsdatensatz ändern.
    4. Ein Fragebogen wird initiiert und an den Besitzer der Anwendung gesendet, um Details zur Anwendung zu sammeln.
    5. Der Anwendungsbesitzer beantwortet den Fragebogen.
    6. Der IT-Risikomanager überprüft die Antworten. Wenn die Antworten nicht zufriedenstellend sind, sendet der Manager den Fragebogen an den Besitzer der Anwendung zurück.
      Hinweis:
      Wenn der Fragebogen zurückgesendet wird, werden die neuen Antworten auf ihre ursprüngliche Form zurückgesetzt.
    7. Je nach Konfiguration initiiert das System die inhärente Bewertung, nachdem der IT-Risikomanager mit den Antworten zufrieden ist.
    8. GRC ordnet die Risiken und Compliance-Objekte basierend auf den Entitätstypen zu.
    9. Der IT-Risikomanager überprüft die Zuordnung der Informationsobjekte.
    10. Das System führt die Empfehlungs-Engine basierend auf dem in der Konfiguration ausgewählten Algorithmus aus.
    11. Der IT-Risikomanager überprüft und ordnet die empfohlenen Risiken, Richtlinien und Zitate basierend auf den zugehörigen Informationsobjekten zu.
    12. Der IT-Risikomanager ordnet die empfohlenen Steuerungen basierend auf den zugehörigen Zitaten, Richtlinien und Risiken zu.
    13. Der Besitzer der Anwendung verwaltet den Lebenszyklus der Steuerung und bestätigt die Steuerungen.
    Die folgende Abbildung stellt den Workflow der Lösung dar.
    Abbildung : 1. Lösungs-Workflow der GRC- und APM-Integration
    Integration von APM und erweiterter Risikobewertung

    Status des Risiko-Identifizierungsdatensatzes

    Nachdem die Konfiguration der Risiko-Identifizierung in den Status Veröffentlicht verschoben wurde, wird ein Risiko-Identifizierungsdatensatz für die zugehörige Entität erstellt.

    Der Risiko-Identifizierungsdatensatz durchläuft die folgenden Status:
    • Neu: Ein neuer Datensatz wird erstellt
    • Informationssammlung: Die Informationen zur Anwendung werden gesammelt.
    • Prüfung: Der Risiko-Manager überprüft die Informationen.
    • Inhärente Risikobewertung: Der Risk Manager führt eine Bewertung des inhärenten Risikos durch.
    • Risikozuordnung: Der Risk Manager ordnet die erforderlichen Risiken, Zitate und Richtlinien zu.
    • Überwachen: Die Risiken werden überwacht.
    • Deaktiviert: Die Risiken werden nach Bedarf außer Kraft gesetzt.

    Nachdem die Konfiguration der Risiko-Identifizierung in den Status „Deaktiviert“ versetzt wurde, wird die Konfiguration ungültig, und für zugehörige Entitäten werden keine Risiko-Identifizierungsdatensätze erstellt.

    In Bezug auf seinen Lebenszyklus durchläuft ein Risiko-Identifizierungsdatensatz die folgenden Status:
    1. Neu
    2. Informationssammlung
    3. Prüfen
    4. Inhärente Bewertung
    5. Risikozuordnung
    6. Monitor
    7. Stillgelegt