ビジネスアプリケーションのリスク管理
エンタープライズアーキテクチャガバナンス、リスク、コンプライアンス (GRC) と統合し、ビジネスアプリケーションに関連するリスクを特定し、リスクを軽減するために必要なコントロールを追加することで、アプリケーションオーナーとリスクマネージャーの作業を簡素化します。
ServiceNow® エンタープライズアーキテクチャ リスク管理との統合により ビジネスアプリケーションに固有の包括的なリスクを判断し、リスクを軽減するタスクを特定できます。
ServiceNow® エンタープライズアーキテクチャ と Policy and Compliance の統合により、ビジネスアプリケーションで決定されたコントロールを表示し、それらのコントロールが準拠しているかどうかを検証して、ビジネスアプリケーションをコントロールに準拠させるために必要なタスクを決定できます。
この統合の主なメリットは次のとおりです。
- リスクマネージャーとアプリケーションオーナーがデジタルリスクに費やす時間を削減します。
- アプリケーションオーナーとリスクマネージャーとの間に、より迅速で効率的なコミュニケーションを提供します。
- ビジネスアプリケーションのデジタルリスク体制の概要を示します。
GRC および エンタープライズアーキテクチャ 統合ソリューションのワークフローの概要
GRC と エンタープライズアーキテクチャ の統合ソリューションのワークフローの概要は次のとおりです。
- ビジネスアプリケーションが作成されます。
- バックグラウンドで実行される GRC プロファイル生成スケジュール済みジョブに基づいて、GRC は新しいビジネスアプリケーションを検出し、GRC にエンティティを作成します。
- 新しいアプリケーションが GRC エンティティとして作成されると、新しいリスク識別レコードが作成されます。
- リスクマネージャーは、設定レコードを変更し、アセスメントのワークフローを決定できます。リスク識別構成が公開された後、リスクマネージャーは設定レコードの一部のフィールドのみを変更できます。
- アプリケーションマネージャーからアプリケーションの詳細を収集するために、アンケートが開始されます。
- アプリケーションオーナーがアンケートに回答します。
- リスクマネージャーは回答をレビューし、さらに情報や説明が必要な場合はアンケートを送り返します。 注:アプリケーションオーナーの回答は、アンケートが返送されても保持されます。
- リスクマネージャーが回答に満足すると、GRC のリスクアセスメント方法の構成に基づいて固有のアセスメントが開始されます。詳細については、「固有アセスメントを構成」を参照してください。
- GRC は、エンティティタイプに基づいてリスクとコンプライアンスオブジェクトをマッピングします。
- リスクマネージャーは、情報オブジェクトマッピングをレビューします。
- システムは、構成で選択されているアルゴリズムに基づいて、推奨エンジンを実行します。
- リスクマネージャーは、関連付けられた情報オブジェクトに基づいて、推奨されるリスク、ポリシー、および引用をレビューしてマッピングします。
- 関連付けられた引用ポリシーとリスクに基づいて、推奨されるコントロールが関連付けられます。
- アプリケーションオーナーは、関連するステークホルダーと協力してコントロールを実装することで、コントロールのライフサイクルを管理します。