고급 위험 평가를 자세히 이해하기 전에 위험 관리의 주요 단계를 이해하는 것이 중요합니다.

1. 위험 식별: 조직의 목표 달성을 방해할 수 있는 불확실성 또는 위험을 찾습니다.
2. 위험 분석: 위험의 원인과 결과를 이해합니다.
3. 위험 평가: 추가 조치가 필요한지 확인하려면 위험 분석 결과를 설정된 위험 기준과 비교합니다.
4. 위험 처리: 위험을 해결하기 위한 작업 계획을 정의합니다.
5. 위험 모니터링: 조직의 위험 태세를 추적하고 관련 이해 관계자에게 전달합니다.

위험 평가는 위험 식별, 위험 분석 및 위험 평가로 구성됩니다. 고급 위험 평가는 요인 또는 질문과 그 응답을 기반으로 수행됩니다. 조직과 같은 엔터티에 대해 수행할 수 있습니다. 고급 위험 평가를 사용하려면 관리 모듈 아래에 있는 고급 위험 평가로 마이그레이션 속성을 사용하도록 설정해야 합니다. 위험 평가의 평가자와 승인자에게는 sn_grc.business_user 역할이 있어야 합니다. 고급 위험 평가를 사용하면 고유 위험, 완화 통제 및 잔여 위험이 평가되는 위험을 자세히 평가할 수 있습니다. 엔터티, 위험 설명, 통제 등에 대한 완전한 GRC 설정이 없는 경우에도 모든 기록 또는 객체의 ServiceNow 위험을 평가할 수 있습니다. 개체 평가의 예로 변경 관리를 평가할 수 있습니다. 위험 평가 중에 다음 위험이 평가됩니다.

• 고유 위험: 고유 위험은 통제가 없는 위험입니다. 예를 들어, 고속도로에서 고속으로 운전하는 것은 본질적으로 적당한 속도로 운전하는 것보다 더 위험합니다. 이 고유 위험의 점수는 위험의 영향과 위험의 가능성을 곱하여 도출됩니다.
• 통제 효과성: 통제는 위험의 영향 또는 가능성을 완화할 수 있습니다. 예를 들어, 고속도로에는 속도 제한 모니터가 있습니다. 위험이 구체화되면 통제를 통해 영향을 완화합니다. 통제는 예방, 탐지 또는 시정일 수 있습니다.
  • 예방적 통제는 이러한 문제가 발생하기 전에 오류, 부정확성 또는 사기를 방지하도록 설계되었습니다.
  • 탐지 통제는 오류, 부정확성 또는 사기의 존재를 발견하기 위한 것입니다.
  • 시정 통제는 감지된 오류나 불규칙성을 수정하도록 설계되었습니다.
• 잔여 위험: 잔여 위험은 통제가 구현된 후에도 남아 있는 남은 위험입니다. 예를 들어, 안전 조치가 마련되어 있음에도 불구하고 여전히 사고가 발생하면 사고로 인한 피해는 잔여 위험입니다. 잔여 위험 점수는 다음 방법 중 하나를 사용하여 계산할 수 있습니다.
  • 고유 효과와 잔여 효과 사이의 매트릭스입니다.
  • 고유 점수에서 통제 점수를 뺀 값과 같은 수식입니다.
  • 요인에 대한 답변입니다.
• 대상 위험: 대상 위험은 조직이 미래에 달성하고자 하는 바람직한 위험입니다. 조직은 식별된 위험의 원하는 가능성 수준과 영향을 평가하여 각 위험에 대한 대상 위험 수준을 설정할 수 있습니다. 예를 들어 위험을 평가할 때 고유 위험, 통제 효과성 및 잔여 위험과 같은 다양한 측면을 고려합니다. 그러나 위험 응답이 구현된 후 달성할 수 있는 원하는 위험 수준을 파악하는 것도 마찬가지로 중요합니다. 대상 위험은 작업 계획이 성공적으로 실행된 후 달성하려는 최적의 위험 수준을 나타냅니다. 이를 통해 이러한 작업을 구현하는 데 드는 비용과 관련하여 조직에서 얻는 이점을 측정할 수 있습니다.