Criar um risco usando o GRC: Workbench

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Os gerentes de risco podem criar riscos diretamente do GRC: Workbench.

    Antes de Iniciar

    Função necessária: sn._risk.admin ou sn.risk.manager

    Procedimento

    1. Navegue até https://myCompany.service-now.com/$grc_workbench.do.
    2. Selecione a guia Dependências de risco na parte superior e selecione a guia Relacionamentos abaixo dela.
    3. À esquerda, na seção Riscos, clique em Criar risco.
    4. No formulário, preencha os campos.
      Tabela 1. Formulário de risco
      Campo Descrição
      Nome Nome do risco. O campo será preenchido automaticamente se o risco for gerado a partir de uma declaração de risco, mas poderá ser alterado sem afetar o relacionamento entre o risco e a declaração de risco.
      Número Número de identificação exclusivo. Este campo é preenchido automaticamente.
      Estado Estado de risco. As opções possíveis são:
      • Rascunho Nesse estado, todos os usuários de risco podem modificar o risco. Disponível somente ao criar um controle único. Controles pontuais são possíveis, mas não recomendados.
      • Atestar Quando o risco é criado a partir de uma declaração de risco, os controles estão neste estado.
        Nota:
        Quando um risco é definido novamente como rascunho, a avaliação é cancelada.
      • Revisar Os riscos são movidos automaticamente para revisão da fase de avaliação.
      • Monitorar Nesse estado, todos os gerentes de risco podem mover o risco de revisão para monitoramento.
      • Osgerentes ou administradores de risco desativados podem mover um risco de Monitorar para Desativado. Os indicadores não são executados quando o risco está neste estado.
        Nota:
        Quando um risco é desativado, qualquer avaliação associada a ele é cancelada.
      Grupo responsável Grupo responsável pelo risco.
      Categoria Categoria de risco que se aplica ao perfil.
      • Jurídico
      • Financeiro
      • Operacional
      • Reputacional
      • Jurídico/Regulatório
      • Crédito
      • Mercado
      • TI
      O campo será preenchido automaticamente se o risco for gerado a partir de uma declaração de risco.
      Proprietário Proprietário do risco.
      Nota:
      O proprietário é sempre adicionado como respondente.
      Declaração Declaração à qual este risco está associado.
      Entidade Entidade relacionada ao risco.
      Nota:
      Somente entidades ativas são mostradas.
      Descrição Descrição do risco e como ele é uma ameaça para a organização.
      Informações adicionais Mais detalhes que ajudam outras pessoas a entender o registro de risco.
    5. Clique na guia Avaliação.
    6. No formulário, preencha os campos.
      Tabela 2. Formulário de pontuação de risco
      Campo Descrição
      Avaliação Avaliação a ser anexada a este risco.
      Entrevistados da avaliação Usuários atribuídos à avaliação deste risco.
      Nota:
      Somente um usuário com a função sn_grc.user pode ser adicionado como respondente.
      Quando os campos Avaliação e Entrevistados da avaliação estão definidos, as avaliações são criadas quando você clica em Avaliar.
    7. Clique na guia Pontuação.
    8. No formulário, preencha os campos.
      Tabela 3. Formulário de pontuação de risco
      Campo Descrição
      SLE inerente Valor monetário de um risco se ocorrer antes que qualquer estratégia de mitigação esteja em vigor.
      SLE residual Valor monetário de um risco se ele ocorrer depois que todas as estratégias de mitigação estiverem em vigor.
      ARO inerente Probabilidade de que um risco ocorra em um determinado ano antes que qualquer estratégia de mitigação esteja em vigor.
      ARO residual Probabilidade de um risco ocorrer em qualquer ano depois que todas as estratégias de mitigação estiverem em vigor.
      ALE inerente Expectativa de perda anualizada ALE = SLE x ARO antes que qualquer estratégia de mitigação esteja em vigor.
      ALE residual Expectativa de perda anualizada ALE = SLE x ARO depois que todas as estratégias de mitigação estiverem em vigor.
      Pontuação inerente A pontuação do risco antes que qualquer estratégia de mitigação esteja em vigor.
      Pontuação residual A pontuação do risco depois que todas as estratégias de mitigação estiverem em vigor.
      ALE calculada Expectativa de perda anualizada com base em todos os cálculos.
      Pontuação calculada A pontuação correspondente para a ALE calculada.
    9. Clique na guia Resposta.
    10. No formulário, preencha os campos.
      Tabela 4. Formulário de resposta de risco
      Campo Descrição
      Resposta
      • Aceitar
      • Evitar
      • Mitigar
      • Transferir
      Justificativa Insira uma justificativa razoável para a resposta selecionada
    11. Clique na guia Monitoramento.
      Tabela 5. Formulário de monitoramento de risco
      Campo Descrição
      Conformidade de controle Percentual de controles em conformidade
      Não conformidade de controle Percentual de controles fora de conformidade
      Fator de falha do controle Soma da ponderação de controles com falha dividida pela ponderação total de controles
      Fator de falha do indicador Usa o último resultado de cada indicador associado. Número dos últimos resultados com falha dividido pelo número total de indicadores associados.
      Fator de risco calculado Este valor é calculado a partir de (Fator de falha do indicador + Fator de falha do controle) / 2.
    12. Clique na guia Registro de atividades.
    13. Insira comentários adicionais, conforme necessário.
    14. Clique em Enviar.
      O risco é criado e centralizado no meio da página. Além disso, o risco é selecionado à direita.