問題を管理します。
会社のリスク管理プログラムの有効性は、リスクとコンプライアンスの問題をどのぐらい迅速かつ完全に特定して対処するかによって測定できます。
問題は、関連するユーザーのタイプに応じて 2 つの方法を使用して送信できます。
- 社内の従業員とビジネスユーザーは、次の操作を実行できます。 問題を自己識別し、経由で送信する ServiceNow® サービスポータル. 送信後、トリアージ問題が自動的に作成され、問題のトリアージプロセスが開始されます。
- GRC ユーザーは、インスタンス内から手動で問題を作成し、監査の観察事項と修正、およびコンプライアンスとリスクの問題を文書化できます。
注:
さまざまなタイプの問題も、次の条件下で自動的に生成されます (これらのタイプの問題はトリアージされません)。
- コントロールの問題:コントロールが実装されていないことを示すコントロール証明書が完了したとき、またはインジケーターが失敗したときに作成されます。
- コントロールテストの問題:コントロール有効性が無効に設定された状態でコントロールテストが完了してクローズしたときに作成されます。
問題管理の目標
イシュー管理の目標は、次のとおりです。-
ノイズを排除する。
-
重複する問題を統合する。
-
組織を最大のリスクにさらす問題に焦点を当てる。
-
修正アクションを特定し優先順位付けする。
-
ビジネスオペレーション全体にわたり新しい問題を特定する。
-
ポリシー、プロセス、およびコントロールの運用上の脆弱性を分析する。
イシュー管理ワークフローとライフサイクル
問題を修正することで、コントロールのコンプライアンスを維持し、リスクを軽減できます。ここでは、イシュー管理のワークフローとライフサイクルについて説明します。| ステージ | 説明 |
|---|---|
| 問題の取り込み | 前述のとおり、問題は、関連するユーザーのタイプに応じて 2 つの方法を使用して送信できます。
|
| 問題の調査 | 調査フェーズ中に、問題について追加の調査が必要かどうかが判断されます。トリアージが実行されている場合、トリアージ問題は分析のためにトリアージチームにアサインされます。トリアージチームは、問題の作成者に詳細情報を要求する場合があります。チームは、オプションで、トリアージ結果とともにコンプライアンスマネージャー、リスクマネージャー、またはトリアージマネージャーに問題を送信することもできます。 |
| 問題の修正 | チームが問題を確認した後、それを修正するために必要な手順が実行されます。トリアージが実行された場合、トリアージ問題は実際の問題またはリスクイベントに変換されます。チームは、問題を推奨事項として追跡するか、問題ではないとしてクローズすることもできます。 |
| 問題のレビューと監視 | 問題をクローズする前に、ポリシー所有者が問題をレビューして承認します。このレビューにより、組織は次のこともできます。
|