Gerenciar problemas
Você pode medir a eficácia do programa de gestão de riscos da sua empresa pela rapidez e completude com que ele identifica e reage a problemas de risco e conformidade.
Os problemas podem ser enviados usando dois métodos, dependendo do tipo de usuário envolvido:
- Funcionários e usuários comerciais de sua empresa podem identificar um problema automaticamente e enviá-lo por meio do ServiceNow® Portal de serviços. Após o envio, um problema de triagem é criado automaticamente e o processo de triagem de problemas começa.
- GRC usuários podem criar manualmente um problema de dentro de sua instância para documentar observações e correções de auditoria e problemas de conformidade e risco.
Nota:
Vários tipos de problemas também podem ser gerados automaticamente nas seguintes condições (esses tipos de problemas não são triados):
- Problema de controle: criado quando uma certificação de controle é concluída, indicando que o controle não foi implementado, ou quando um indicador falha.
- Problema de teste de controle: criado quando um teste de controle é encerrado completo com a eficácia do controle definida como Ineficaz.
Os objetivos da gestão de problemas
Os objetivos do gerenciamento de problemas incluem:Eliminar ruído.
Consolidando problemas duplicados.
Foco em problemas que expõem a organização ao maior risco.
Identificar e priorizar ações de correção.
Identificar novos problemas nas operações de negócios.
Analisar a fraqueza operacional em políticas, processos e controles.
Fluxo de trabalho de gerenciamento de problemas e ciclo de vida
Ao corrigir problemas, os controles podem ser mantidos em conformidade e o risco pode ser reduzido. O fluxo de trabalho e o ciclo de vida do Issue Management são ilustrados e descritos aqui.| Fase | Descrição |
|---|---|
| Ingestão de problemas | Conforme descrito anteriormente, os problemas podem ser enviados usando dois métodos, dependendo do tipo de usuário envolvido:
|
| Investigar o problema | Durante a fase de investigação, é determinado se o problema requer estudo adicional. Se uma triagem estiver sendo realizada, o problema de triagem será atribuído a uma equipe de triagem para análise. A equipe de triagem pode solicitar mais informações do criador do problema. Opcionalmente, a equipe também pode enviar o problema para o gerente de conformidade, gerente de risco ou gerente de triagem com um resultado de triagem. |
| Corrigir o problema | Depois que a equipe confirma o problema, as etapas necessárias para corrigi-lo são executadas. Se uma triagem foi realizada, o problema de triagem será convertido em um problema real ou evento de risco. A equipe também pode decidir rastrear o problema como uma recomendação ou fechá-lo como um não problema. |
| Revisar e monitorar o problema | Antes de encerrar o problema, o proprietário da política o revisa e aprova. A revisão também permite que a organização:
|