リスクワークスペースで高度なリスクアセスメントを実行

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:8分

    • リスクアセスメントを実施して、リスクワークスペース アプリケーションの固有リスク、コントロールの有効性、残存リスク、およびターゲットリスクを評価します。リスクアセスメントプロセス中に特定されたリスクを管理および軽減できるようにするリスク応答を定義できます。

    始める前に

    必要なロール:sn_grc.business_user
    注:
    高度なリスクアセスメントロールを sn_grc.business_user ロールに手動でアサインする必要があります。ロールとグループの付与を調整する方法については、Now Support ナレッジベースの「How to adjust granting of roles and groups to use background jobs (バックグラウンドジョブを使用するためのロールとグループの付与を調整する方法) [KB0963693]」を参照してください。記事を表示するには Now Support にログインする必要があります。

    このタスクについて

    リスクアセスメントは以下に対して実行されます。
    • 固有リスク
    • コントロールの有効性。
    • 残存リスク
    • ターゲットリスク

    リスクアセスメントは、リスクアセスメント方法論 (RAM) の構成に基づいて自動的に計算されるリスクスコアを生成します。自動的に計算されたスコアを変更する場合は、計算されたスコアを上書きして理由を入力できます。評価するコントロールがない場合、残存リスクスコアは固有のリスクスコアと同じになります。

    アセスメントを実行した後、リスク応答を定義できます。リスク応答とは、特定されたリスクを管理するプロセスのことです。これは、リスクマネージャーが各リスクの処理方法を決定する計画および意思決定プロセスです。アセスメントの実行中は、コンテキストサイドパネルで詳細な参照情報を確認できます。このパネルには、リスクイベント、未解決の問題、主要なインジケーター違反、コントロールテスト結果、およびコントロールインジケーターの失敗に関する情報が表示されます。

    査定人の委任によってリスクアセスメントが実行されている場合、[査定人の代理人] フィールドには代理人の名前が表示されます。

    リスクアセスメントレコードは、次のステータスで進行します。
    • 新規:リスクアセスメントは作成されていますが、まだ開始されていないか、評価の準備が整っています。
    • 進行中:リスクアセスメントは現在評価中です。このステータスは、アセスメントが [固有のアセスメント]、[コントロールアセスメント]、[残存アセスメント]、[ターゲットアセスメント]、または [応答] のいずれかのステータスである場合に適用されます。
    • 承認待ち:リスクアセスメントが完了し、指定された承認者からのレビューまたは承認を待っています。
    • 完了:リスクアセスメントは完全に承認され、確定しているため、これ以上のアクションは必要ありません。
    • アーカイブ化済み:リスクアセスメントはアクティブではなくなりました。アセスメントが [完了] ステータスで、同じリスクの再アセスメントが開始されると、古いアセスメントは [アーカイブ済み] ステータスに移行します。
    • キャンセル:リスクアセスメントが終了または取り消されました。
    ステータスの詳細については、Now Supportナレッジベースの記事「Risk Assessment workflow changes from 19.1.x version (19.1.x バージョンからのリスクアセスメントワークフローの変更点)」を参照してください。記事を表示するには Now Support にログインする必要があります。

    手順

    1. 次のように移動する。 All (すべて) > Risk > リスクワークスペース > 自分のタスク.
    2. 評価するリスクアセスメントを開き、次のいずれかを実行します。
      • アセスメントを開始する場合は、[始めましょう] を選択します。
      • リスクアセスメントを他のユーザーにアサインする必要があると思われる場合は、[再アサイン] を選択して必要な詳細を入力してください。
      • このリスクが以前に評価された場合、以前のアセスメントを表示するには、 [前回のアセスメントのレビュー] を選択します。
      • リスクアセスメントが進行中で、アセスメントを続行する場合は、[ 再開] を選択します。
    3. 固有のアセスメントを実行するには、すべての固有のアセスメントの質問に回答します。
      1. オプション: 要素のガイダンスを表示するには、疑問符アイコン (要素のガイダンスを表示。) を選択します。
      2. オプション: 定性的および定量的重み付けを表示するには、[総合評価] アイコンを選択します。
      アプリケーションは回答を自動的に保存し、全体的なリスクスコアを計算します。
    4. オプション: 計算された固有リスクの結果を変更するには、次の操作を行います。
      1. [計算されたスコアを変更したい] オプションを選択します。
      2. [固有リスクを上書き] リストから、適切な値を選択します。
      3. 計算されたスコアの変更の理由を説明するコメントを入力します。
    5. [Next (次へ)] を選択します。
    6. コントロールアセスメントで、次のいずれかを実行します。
      • コントロールの有効性を評価するには、すべてのコントロールアセスメント要素に応答します。
      • 軽減コントロールを評価せずに続行するには、[コントロールアセスメントが適用されない] オプションを選択します。
      • コントロールを追加せずにコントロール環境を評価するには、[計算されたスコアを変更したい] オプションを選択し、ステップ 8 を参照してください。
      スコアを変更する理由を入力することで、計算されたコントロール有効性の結果を変更することもできます。
    7. コントロールアセスメントにコントロールを追加または作成するには、次のいずれかを実行します。
      • 既存のコントロールを追加するには、[追加] を選択します。
      • 共通コントロールを継承するには、[共通コントロールを継承] を選択します。
      • コントロールを作成するには、[共通コントロールを継承] ボタンの横にある下向き矢印を選択し、[コントロールを作成 (Create control)] を選択します。
      • コントロール分類のコントロールを追加するには、[共通コントロールを継承] ボタンの横にある下向き矢印を選択し、[コントロール目標から作成] を選択します。
    8. オプション: コントロールを追加せずにコントロール環境を評価するには、次の手順を実行します。
      1. [計算されたスコアを変更したい] オプションを選択します。
      2. [コントロール有効性を上書き] リストから、適切な値を選択します。
      3. 計算されたスコアの変更の理由を説明するコメントを入力します。
    9. 軽減コントロールの実装後に残ったリスクを評価するには、[ 次へ ] を選択し、残存アセスメントの要素に対応します。
      スコアを変更する理由を入力することで、計算された残存スコアを変更することもできます。
    10. 注:
      アセスメントフォームでターゲットリスクアセスメントを使用できるかどうかは、RAM で概説されている条件によって異なります。
      将来達成したい望ましいリスクレベルを評価するには、 次へ を選択し、ターゲットアセスメントの要素に対応します。
      スコアを変更する理由を入力することで、計算されたターゲットスコアを変更することもできます。
    11. 適切な戦略を選択し、評価されたリスクのアクション計画を定義するには、 [次へ] を選択し、次の操作を行います。
      1. 適切なリスク対応を選択します。
      2. オプション: リスク対応タスクを作成するには、[タスクの作成 (Create task)] ボタンを選択し、適切な値を選択します。
        詳細については、「リスクワークスペースでリスク対応タスクを作成する」を参照してください。
      3. オプション: リスクの再評価中に、既存のリスク対応タスクをリンクしたり、タスクをリスク対応戦略とともに以前のアセスメントからコピーするには、[はい、既存のものを使用して続行します (Yes, continue with existing)]を選択します。
        [はい、既存のものを使用して続行します (Yes, continue with existing)] ボタンは、リスクを再評価する場合にのみ表示されます。別の応答を使用して続行するには、[対応を変更 (Change response)] を選択します。
      4. [ タスクを保存 ] を選択し、応答を確認します。
        リスク応答タスクが作成され、アサイニーにアサインされます。タスクを編集し、所有者を変更することができます。
    12. 既存の問題をリスクアセスメントにリンクするには、次の手順を実行します。
      この機能を使用するには、リスクアセスメント方法論 (RAM) フォームで [問題とリスクアセスメントとのリンクを許可 (Allow issue linking with risk assessment)] オプションを有効にする必要があります。
      1. [既存の問題を追加 (Add existing issues)] を選択します。
      2. リストから問題を選択し、[追加] を選択します。
    13. リスクアセスメントの問題を作成するには、次の手順を実行します。
      この機能を使用するには、リスクアセスメント方法論 (RAM) フォームで [問題とリスクアセスメントとのリンクを許可 (Allow issue linking with risk assessment)] オプションを有効にする必要があります。
      1. [問題を作成 (Create issue)] を選択します。
      2. 問題を作成フォームで、必要な詳細を入力します。
      3. [Save (保存)] をクリックする。
    14. [Submit (送信)] を選択します。
      検証エラーがない場合は、アセスメントホームページが表示されます。
    15. オプション: アセスメントを変更する場合は、[編集] を選択します。
    16. オプション: アセスメントのための実行されているアクティビティを表示するには、[アクティビティログ] アイコン アクティビティログアイコン。 を選択します。
    17. 承認者を定義した場合は、[送信] を選択します。
      アセスメントホームページが表示されます。アセスメントの概要を確認できます。
    18. 承認を要求、アサインを編集、または再アサインするには、次のいずれかを選択します。
      選択肢説明
      承認を要求 承認者が指定されている場合は、このオプションを選択して承認のためにアセスメントを送信します。承認者に追加のコメントを提供することもできます。
      アセスメントを編集 アセスメントの回答を変更する場合は、このオプションを選択します。
      再アサイン アセスメントを他のユーザーに割り当てる必要がある場合は、このオプションを選択します。

    タスクの結果

    アセスメントが承認者に送信され、承認ワークフローが開始されます。

    図 : 1. 承認を得る準備が整った進行中のリスクアセスメント
    承認のためにリスクアセスメントを送信。