Noções básicas sobre a instância de avaliação de risco

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Uma instância de avaliação de risco é onde um avaliador de risco pode avaliar riscos e objetos respondendo a perguntas ou fatores.

    Depois que a metodologia de avaliação de risco (RAM) é criada e o escopo de avaliação de risco é definido, as avaliações são iniciadas pelo administrador de risco. O avaliador recebe uma notificação para avaliar os riscos. Para executar a avaliação de risco, um avaliador deve ter a função sn_grc.business_user. A avaliação é usada para chegar a uma pontuação de risco para uma entidade.
    Nota:
    Você deve atribuir manualmente as funções de avaliação de risco avançado à função sn_grc.business_user. Para entender como você pode ajustar a concessão de funções e grupos, consulte o artigo Como ajustar a concessão de funções e grupos para usar trabalhos em segundo plano [KB0963693] na Base de conhecimento Now Support.

    As perguntas que um avaliador de risco responde são configuradas na RAM. Uma avaliação pode conter fatores manuais e automatizados. Os fatores manuais precisam de entrada humana como respostas. Para fatores automatizados, as respostas são calculadas automaticamente. Os fatores automatizados são executados automaticamente com base na programação definida em sua configuração.

    Depois que uma avaliação é concluída, com base na frequência de reavaliação definida, uma reavaliação é acionada automaticamente. Uma reavaliação será acionada somente se a instância de avaliação de risco existente estiver no estado Monitorar. Se uma avaliação estiver no estado Monitorar, sempre que os fatores automatizados forem executados de acordo com sua programação, as pontuações da avaliação serão alteradas e os fatores contribuirão com novas pontuações para o acúmulo.

    Se o avaliador de risco determinar que uma avaliação deve ser reatribuída a outro avaliador relevante, o avaliador poderá reatribuir a avaliação. O avaliador também pode modificar as respostas depois de responder aos fatores.

    Se uma avaliação for feita mais de uma vez e se a opção para copiar as respostas da avaliação anterior estiver habilitada na RAM, as respostas das avaliações anteriores serão copiadas automaticamente para a avaliação atual.
    Nota:
    As respostas do fator automatizado e as pontuações substituídas não são copiadas de avaliações anteriores.

    Componentes de uma instância de avaliação de risco

    Com base nas configurações na RAM, o formulário de instância de avaliação de risco também exibe as seguintes listas relacionadas:
    • Avaliações anteriores: as cinco avaliações anteriores para o risco que está sendo avaliado no momento.
    • Eventos de risco: o número de eventos de risco associados ao risco.
    • Indicadores de risco: o número de indicadores de risco aprovados e reprovados para este risco.
    • Problemas em aberto: o número de problemas em aberto para o risco e seu estado e proprietários.
    • Tarefas de resposta de risco: o número de tarefas de resposta de risco criadas para a avaliação.
    • Controles relacionados: os controles relacionados ao risco. Esta lista relacionada aparece somente quando o ambiente de controle está sendo avaliado.
      Nota:
      Os clientes das versões anteriores podem não conseguir ver a contagem atualizada dos indicadores aprovados e reprovados. Para resolver esse problema, execute o indicador de atualização e o script de correção de contagem de controles.

    Um avaliador tem a opção de não avaliar os controles de atenuação. A opção de recusar controles é útil nos casos em que há um risco, mas não há controles para atenuá-lo. Por exemplo, considere um cenário em que uma pandemia é um risco, mas não há vacinas para controlá-la. Nesse caso, o risco é avaliado, mas os controles podem ser deixados de fora da avaliação. Quando um avaliador decide recusar a avaliação de controles de atenuação e riscos residuais, a pontuação é definida como Não aplicável.

    Se a avaliação de controle estiver configurada para avaliar controles individuais e os controles estiverem associados ao risco que está sendo avaliado, a opção de recusar os controles não será exibida. Isso acontece porque os controles são padronizados.

    Se a avaliação residual for para riscos e controles inerentes e se o avaliador de risco recusar a avaliação de controle, os riscos residuais não serão aplicáveis. Esta condição é criada porque, se não houver controles, isso significa automaticamente que há apenas riscos inerentes e nenhum risco residual.

    Fases de avaliação de risco

    O ciclo de vida da avaliação de risco passa pelos seguintes estados:
    1. Pronto para avaliar: uma nova instância de avaliação é criada.
    2. Avaliação inerente: a avaliação de risco inerente é realizada.
    3. Avaliação de controle: a avaliação de controle é realizada.
    4. Avaliação residual: a avaliação de risco residual é realizada.
    5. Avaliação desejada: a avaliação de risco desejada é realizada.
    6. Responder: você responde aos riscos.
    7. Aguardando aprovação: a avaliação de risco está aguardando a aprovação dos aprovadores, se eles tiverem sido identificados.
    8. Monitorar: a avaliação de risco está concluída e está sendo monitorada.