リスクアセスメントインスタンスについて

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:4分

    • リスクアセスメントインスタンスでは、リスク査定人が質問や要素に回答することでリスクとオブジェクトを評価することができます。

    リスクアセスメント方法論 (RAM) が作成され、リスクアセスメントスコープが定義された後、リスクアドミニストレーターによってアセスメントが開始されます。査定人は、リスクを評価するための通知を受け取ります。リスクアセスメントを実行するには、査定人に sn_grc.business_user ロールが必要です。アセスメントは、エンティティのリスクスコアに到達するために使用されます。
    注:
    高度なリスクアセスメントロールを sn_grc.business_user ロールに手動でアサインする必要があります。ロールおよびグループの付与を調整する方法については、Now Support ナレッジベースの「How to adjust granting of roles and groups to use background jobs (バックグラウンドジョブを使用するためのロールとグループの付与を調整する方法) [KB0963693]」を参照してください。

    リスク査定人が回答する質問は、RAM 内で構成されます。アセスメントには、手動要素と自動要素を含めることができます。手動要素には、応答として人間の入力が必要です。自動要素では、応答が自動的に計算されます。自動要素は、構成で定義されたスケジュールに基づいて自動的に実行されます。

    アセスメントが完了すると、定義された再アセスメント頻度に基づいて再アセスメントが自動的にトリガーされます。再アセスメントは、既存のリスクアセスメントインスタンスが監視状況である場合にのみトリガーされます。アセスメントが監視状況にある場合、自動要素がスケジュールに従って実行されるたびに、アセスメントスコアが変更され、要素がロールアップに新しいスコアを提供します。

    リスク査定人がアセスメントを別の関連する査定人に再アサインする必要があると判断した場合、査定人はアセスメントを再アサインできます。査定人は、要素に応答した後に応答を変更することもできます。

    アセスメントが複数回行われ、以前のアセスメントの応答をコピーするオプションが RAM で有効になっている場合、以前のアセスメントからの応答が現在のアセスメントに自動的にコピーされます。
    注:
    自動要素応答と上書きされたスコアは、以前のアセスメントからコピーされません。

    リスクアセスメントインスタンスのコンポーネント

    RAM の構成に基づいて、リスクアセスメントインスタンスフォームには次の関連リストも表示されます。
    • 以前のアセスメント:現在評価中のリスクの過去 5 回のアセスメント。
    • リスクイベント:リスクに関連付けられているリスクイベントの数。
    • リスクインジケーター:このリスクについて合格および不合格になったリスクインジケーターの数。
    • オープンな問題:リスクとそのステータスおよび所有者のオープンな問題の数。
    • リスク応答タスク:アセスメントに対して作成されたリスク応答タスクの数。
    • 関連コントロール:リスクに関連するコントロール。この関連リストは、コントロール環境が評価されている場合にのみ表示されます。
      注:
      以前のリリースを使用している場合、合格および不合格のインジケーターの更新数を表示できないことがあります。この問題を解決するには、Update indicator and Controls Count 修正スクリプトを実行してください。

    査定人には、軽減コントロールを評価しないというオプションがあります。コントロールをオプトアウトするオプションには、リスクがありますが、それを軽減するコントロールがない場合に役立ちます。たとえば、パンデミックがリスクであるが、それを制御するワクチンがないシナリオについて考えてみましょう。このような場合、リスクは評価されますが、コントロールはアセスメントから除外できます。査定人がコントロールと残存リスクの評価をオプトアウトすることを決定した場合、スコアは [適用外] に設定されます。

    コントロールアセスメントが個々のコントロールを評価するように設定されており、コントロールが評価対象のリスクに関連付けられている場合、コントロールをオプトアウトするオプションは表示されません。これは、コントロールがデフォルトに設定されているために発生します。

    残存アセスメントが固有のリスクおよびコントロールに対するものであり、リスク査定人がコントロールアセスメントをオプトアウトする場合、残存リスクは適用されません。この条件が作成されるのは、コントロールがない場合、自動的に固有リスクのみが存在し、残存リスクがないことになるためです。

    リスクアセスメントのステージ

    リスクアセスメントのライフサイクルは、次の状況を辿ります。
    1. 評価の準備完了:新しいアセスメントのインスタンスが作成されます。
    2. 固有のアセスメント:固有のリスクアセスメントが実行されます。
    3. コントロールアセスメント:コントロールアセスメントが実行されます。
    4. 残存アセスメント:残存リスクアセスメントが実行されます。
    5. 対応:リスクに対応します。
    6. 承認待ち:特定されている場合、リスクアセスメントは承認者からの承認を待機します。
    7. 監視:リスクアセスメントが完了し、監視されています。