リスクワークスペースで高度なリスクアセスメントを実行

  • リリースバージョン: Australia
  • 更新日 2026年04月28日
  • 所要時間:8分

    • リスクアセスメントを実施して、リスクワークスペース アプリケーションの固有リスク、コントロールの有効性、残存リスク、およびターゲットリスクを評価します。リスクアセスメントプロセス中に特定されたリスクを管理および軽減できるようにするリスク応答を定義できます。

    始める前に

    必要なロール:sn_grc.business_user
    注:
    高度なリスクアセスメントロールを sn_grc.business_user ロールに手動でアサインする必要があります。ロールとグループの付与を調整する方法については、Now Support ナレッジベースの「How to adjust granting of roles and groups to use background jobs (バックグラウンドジョブを使用するためのロールとグループの付与を調整する方法) [KB0963693]」を参照してください。記事を表示するには Now Support にログインする必要があります。

    このタスクについて

    リスクアセスメントは以下に対して実行されます。
    • 固有リスク
    • コントロールの有効性。
    • 残存リスク
    • ターゲットリスク

    リスクアセスメントは、リスクアセスメント方法論 (RAM) の構成に基づいて自動的に計算されるリスクスコアを生成します。自動的に計算されたスコアを変更する場合は、計算されたスコアを上書きして理由を入力できます。評価するコントロールがない場合、残存リスクスコアは固有のリスクスコアと同じになります。

    アセスメントを実行した後、リスク応答を定義できます。リスク応答とは、特定されたリスクを管理するプロセスのことです。これは、リスクマネージャーが各リスクの処理方法を決定する計画および意思決定プロセスです。アセスメントの実行中は、コンテキストサイドパネルで詳細な参照情報を確認できます。このパネルには、リスクイベント、未解決の問題、主要なインジケーター違反、コントロールテスト結果、およびコントロールインジケーターの失敗に関する情報が表示されます。

    査定人の委任によってリスクアセスメントが実行されている場合、[査定人の代理人] フィールドには代理人の名前が表示されます。

    リスクアセスメントレコードは、次の各ステータスを進行します。
    • 新規:リスクアセスメントが作成されたがまだ開始されていない状態です。いつでもアセスメントを開始できます。
    • 処理中:リスクアセスメントが現在評価されています。このステータスは、アセスメントのステータスが [固有のアセスメント (Inherent Assessment)]、[コントロールアセスメント]、[残存アセスメント (Residual Assessment)]、[ターゲットアセスメント (Target Assessment)]、[応答 (Respond)] のいずれかである場合に適用されます。
    • 承認待ち:リスクアセスメントが完了し、指定承認者によるレビューまたは承認を待機しています。
    • 完了:リスクアセスメントの承認と確定が完了し、それ以上のアクションは必要ありません。
    • アーカイブ済み:リスクアセスメントはもはやアクティブではありません。アセスメントが [完了] ステータスのときに、同じリスクに対して再アセスメントが開始すると、古いアセスメントは [アーカイブ済み] ステータスに移行します。
    • キャンセル (Cencelled):リスクアセスメントが終了または取り消されました。
    ステータスの詳細については、Now Support ナレッジベースの「19.1.x バージョンからのリスクアセスメントワークフローの変更」の記事を参照してください。記事を表示するには Now Support にログインする必要があります。

    手順

    1. 移動先 すべて > リスク > リスクワークスペース > 自分のタスク.
    2. 評価するリスクアセスメントを開き、次のいずれかを実行します。
      • アセスメントを開始する場合は、[始めましょう] を選択します。
      • リスクアセスメントを他のユーザーにアサインする必要があると思われる場合は、[再アサイン] を選択して必要な詳細を入力してください。
      • このリスクが以前に評価された場合、以前のアセスメントを表示するには、 [前回のアセスメントのレビュー] を選択します。
      • リスク評価が進行中で、アセスメントを続行する場合は、 [再開] を選択します。
    3. 固有のアセスメントを実行するには、すべての固有のアセスメントの質問に回答します。
      1. オプション: 要素のガイダンスを表示するには、疑問符アイコン (要素のガイダンスを表示。) を選択します。
      2. オプション: 定性的および定量的重み付けを表示するには、[総合評価] アイコンを選択します。
      アプリケーションは回答を自動的に保存し、全体的なリスクスコアを計算します。
    4. オプション: 計算された固有リスクの結果を変更するには、次の操作を行います。
      1. [計算されたスコアを変更したい] オプションを選択します。
      2. [固有リスクを上書き] リストから、適切な値を選択します。
      3. 計算されたスコアの変更の理由を説明するコメントを入力します。
    5. [次へ (Next)] を選択します。
    6. コントロールアセスメントで、次のいずれかを実行します。
      • コントロールの有効性を評価するには、すべてのコントロールアセスメント要素に応答します。
      • 軽減コントロールを評価せずに続行するには、[コントロールアセスメントが適用されない] オプションを選択します。
      • コントロールを追加せずにコントロール環境を評価するには、[計算されたスコアを変更したい] オプションを選択し、ステップ 8 を参照してください。
      スコアを変更する理由を入力することで、計算されたコントロール有効性の結果を変更することもできます。
    7. コントロールアセスメントにコントロールを追加または作成するには、次のいずれかを実行します。
      • 既存のコントロールを追加するには、[追加] を選択します。
      • 共通コントロールを継承するには、[共通コントロールを継承] を選択します。
      • コントロールを作成するには、[共通コントロールを継承] ボタンの横にある下向き矢印を選択し、[コントロールを作成 (Create control)] を選択します。
      • コントロール分類のコントロールを追加するには、[共通コントロールを継承] ボタンの横にある下向き矢印を選択し、[コントロール目標から作成] を選択します。
    8. オプション: コントロールを追加せずにコントロール環境を評価するには、次の手順を実行します。
      1. [計算されたスコアを変更したい] オプションを選択します。
      2. [コントロール有効性を上書き] リストから、適切な値を選択します。
      3. 計算されたスコアの変更の理由を説明するコメントを入力します。
    9. 軽減コントロールの実装後に残っているリスクを評価するには、[次へ] をクリックし、残存アセスメントの要素に応答します。
      スコアを変更する理由を入力することで、計算された残存スコアを変更することもできます。
    10. 注:
      アセスメントフォームでターゲットリスクアセスメントを使用できるかどうかは、RAM で概説されている条件によって異なります。
      将来達成する必要があるリスクレベルを評価するには、[ 次へ] を選択し、ターゲットアセスメントの要素に応答します。
      スコアを変更する理由を入力することで、計算されたターゲットスコアを変更することもできます。
    11. 適切な戦略を選択し、評価されたリスクに対するアクション計画を定義するには、[次へ] を選択し、次の手順を実行します。
      1. 適切なリスク対応を選択します。
      2. オプション: リスク対応タスクを作成するには、[タスクの作成 (Create task)] ボタンを選択し、適切な値を選択します。
        詳細については、「リスクワークスペースでリスク対応タスクを作成する」を参照してください。
      3. オプション: リスクの再評価中に、既存のリスク対応タスクをリンクしたり、タスクをリスク対応戦略とともに以前のアセスメントからコピーするには、[はい、既存のものを使用して続行します (Yes, continue with existing)]を選択します。
        [はい、既存のものを使用して続行します (Yes, continue with existing)] ボタンは、リスクを再評価する場合にのみ表示されます。別の応答を使用して続行するには、[対応を変更 (Change response)] を選択します。
      4. [タスクを保存] を選択し、応答を確認します。
        リスク応答タスクが作成され、アサイニーにアサインされます。タスクを編集し、所有者を変更することができます。
    12. 既存の問題をリスクアセスメントにリンクするには、次の手順を実行します。
      この機能を使用するには、リスクアセスメント方法論 (RAM) フォームで [問題とリスクアセスメントとのリンクを許可 (Allow issue linking with risk assessment)] オプションを有効にする必要があります。
      1. [既存の問題を追加 (Add existing issues)] を選択します。
      2. リストから問題を選択し、[追加] を選択します。
    13. リスクアセスメントの問題を作成するには、次の手順を実行します。
      この機能を使用するには、リスクアセスメント方法論 (RAM) フォームで [問題とリスクアセスメントとのリンクを許可 (Allow issue linking with risk assessment)] オプションを有効にする必要があります。
      1. [問題を作成 (Create issue)] を選択します。
      2. 問題を作成フォームで、必要な詳細を入力します。
      3. [保存] を選択します。
    14. [送信] を選択します。
      検証エラーがない場合は、アセスメントホームページが表示されます。
    15. オプション: アセスメントを変更する場合は、[編集] を選択します。
    16. オプション: アセスメントのために実行されているアクティビティを表示するには、[アクティビティログ] アクティビティログアイコンを選択します。 アイコン。
    17. 承認者を定義した場合は、[送信] を選択します。
      アセスメントホームページが表示されます。アセスメントの概要を確認できます。
    18. 承認を要求、アサインを編集、または再アサインするには、次のいずれかを選択します。
      選択肢説明
      承認を要求 承認者が指定されている場合は、このオプションを選択して承認のためにアセスメントを送信します。承認者に追加のコメントを提供することもできます。
      アセスメントを編集 アセスメントの回答を変更する場合は、このオプションを選択します。
      再アサイン アセスメントを他のユーザーに割り当てる必要がある場合は、このオプションを選択します。

    タスクの結果

    アセスメントが承認者に送信され、承認ワークフローが開始されます。

    図 : 1. 承認を得る準備が整った進行中のリスクアセスメント
    承認のためにリスクアセスメントを送信。