Antes de entender a Avaliação de risco avançada em detalhes, é importante entender as principais etapas da gestão de riscos:

1. Identificação de risco: encontre uma incerteza ou risco que possa impedir sua organização de alcançar seus objetivos​.
2. Análise de risco: entenda a causa e a consequência do risco.
3. Avaliação de risco: para determinar se uma ação adicional é necessária, compare os resultados da análise de risco com os critérios de risco estabelecidos.
4. Tratamento de riscos: defina um plano de ação​ para lidar com o risco.
5. Monitoramento de riscos: rastreie a postura de risco da organização e comunique-a às partes interessadas relevantes.

A avaliação de risco consiste na identificação de risco, análise de risco e avaliação de risco. A avaliação de risco avançada é realizada com base em fatores ou perguntas e suas respostas. Pode ser realizado para uma entidade, como uma organização. Para usar a avaliação de risco avançada, você deve habilitar a propriedade Migrar para avaliações de risco avançadas localizada no módulo Administração. O avaliador e o aprovador da avaliação de risco devem ter a função sn_grc.business_user. A avaliação de risco avançada permite que você faça uma avaliação detalhada dos riscos em que os riscos inerentes, os controles de atenuação e os riscos residuais são avaliados. Se você não tiver a configuração GRC completa para entidades, declarações de risco, controles e assim por diante, ainda poderá avaliar os riscos em qualquer registro ou objeto ServiceNow. Um exemplo de avaliação de objeto é a avaliação da gestão de mudanças. Durante a avaliação de risco, os seguintes riscos são avaliados.

• Riscos inerentes: os riscos inerentes são riscos que não têm controles. Por exemplo, dirigir em alta velocidade em uma estrada é inerentemente mais arriscado do que dirigir em velocidade moderada. A pontuação deste risco inerente é derivada multiplicando o impacto do risco e a probabilidade do risco.
• Eficácia do controle: os controles podem atenuar o impacto ou a probabilidade de um risco. Por exemplo, as estradas têm monitores de limite de velocidade. Se um risco se materializar, os controles atenuarão o impacto. Os controles podem ser preventivos, de detecção ou corretivos.
  • Os controles preventivos são projetados para evitar erros, imprecisões ou fraudes antes que esses problemas ocorram.
  • Os controles de detecção têm como objetivo descobrir a existência de erros, imprecisões ou fraudes.
  • Os controles corretivos são projetados para corrigir erros ou anomalias que foram detectados.
• Riscos residuais: os riscos residuais são os riscos restantes que permanecem após a implementação de controles. Por exemplo, apesar das medidas de segurança em vigor, se ainda houver um acidente, o dano causado pelo acidente será um risco residual. Uma pontuação de risco residual pode ser calculada usando qualquer um dos seguintes métodos:
  • Uma matriz entre eficácia inerente e residual.
  • Uma fórmula matemática, como a pontuação inerente menos a pontuação de controle.
  • Respostas para fatores.