ビジネスアプリケーションのリスク管理
アプリケーションポートフォリオ管理 (APM) と ガバナンス、リスク、コンプライアンス (GRC) を統合して、ビジネスアプリケーションに関連付けられたリスクを特定し、リスクを軽減するために必要なコントロールを追加することで、アプリケーションオーナーとリスクマネージャーの作業を簡素化します。
ServiceNow® Application Portfolio Management の Risk Management との統合 により、ビジネスアプリケーションに内在する包括的なリスクを判別し、リスクを軽減するタスクを特定できます。
ServiceNow® Application Portfolio Management の Policy and Compliance との統合により、ビジネスアプリケーションで決定されたコントロールを表示して、それらのコントロールが準拠しているかどうかを検証し、ビジネスアプリケーションをコントロールに準拠させるために必要なタスクを決定できます。
この統合の主なメリットは次のとおりです。
- リスクマネージャーとアプリケーションオーナーがデジタルリスクに費やす時間を削減します。
- アプリケーションオーナーとリスクマネージャーとの間に、より迅速で効率的なコミュニケーションを提供します。
- ビジネスアプリケーションのデジタルリスク体制の概要を示します。
GRC と APM の統合ソリューションにおける要約的なワークフロー
GRC と APM の統合ソリューションの要約的なワークフローは次のとおりです。
- ビジネスアプリケーションが作成されます。
- バックグラウンドで実行される GRC プロファイル生成スケジュール済みジョブに基づいて、GRC は新しいビジネスアプリケーションを検出し、GRC にエンティティを作成します。
- 新しいアプリケーションが GRC エンティティとして作成されると、新しいリスク識別レコードが作成されます。
- リスクマネージャーは、設定レコードを変更し、アセスメントのワークフローを決定できます。リスク識別構成が公開された後、リスクマネージャーは設定レコードの一部のフィールドのみを変更できます。
- アプリケーションマネージャーからアプリケーションの詳細を収集するために、アンケートが開始されます。
- アプリケーションオーナーがアンケートに回答します。
- リスクマネージャーは回答をレビューし、さらに情報や説明が必要な場合はアンケートを送り返します。 注:アプリケーションオーナーの回答は、アンケートが返送されても保持されます。
- リスクマネージャーが回答に満足すると、GRC のリスクアセスメント方法の構成に基づいて固有のアセスメントが開始されます。詳細については、「固有アセスメントを構成」を参照してください。
- GRC は、エンティティタイプに基づいてリスクとコンプライアンスオブジェクトをマッピングします。
- リスクマネージャーは、情報オブジェクトマッピングをレビューします。
- システムは、構成で選択されているアルゴリズムに基づいて、推奨エンジンを実行します。
- リスクマネージャーは、関連付けられた情報オブジェクトに基づいて、推奨されるリスク、ポリシー、および引用をレビューしてマッピングします。
- 関連付けられた引用ポリシーとリスクに基づいて、推奨されるコントロールが関連付けられます。
- アプリケーションオーナーは、関連するステークホルダーと協力してコントロールを実装することで、コントロールのライフサイクルを管理します。