Noções básicas sobre a instância de avaliação de risco

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Uma instância de avaliação de risco é onde um avaliador de risco pode avaliar riscos e objetos respondendo a perguntas ou fatores.

    Depois que a metodologia de avaliação de risco (RAM) é criada e o escopo da avaliação de risco é definido, as avaliações são iniciadas pelo administrador de risco. O avaliador recebe uma notificação para avaliar os riscos. Para executar a avaliação de risco, um avaliador deve ter a função sn_grc.business_user. A avaliação é usada para chegar a uma pontuação de risco para uma entidade.
    Nota:
    Você deve atribuir manualmente as funções de avaliação de risco avançado à função sn_grc.business_user. Para entender como você pode ajustar a concessão de funções e grupos, consulte o artigo Como ajustar a concessão de funções e grupos para usar trabalhos em segundo plano [KB0963693] na Base de conhecimento Now Support.

    As perguntas que um avaliador de risco responde são configuradas na RAM. Uma avaliação pode conter fatores manuais e fatores automatizados. Os fatores manuais precisam de entrada humana como respostas. Para fatores automatizados, as respostas são calculadas automaticamente. Os fatores automatizados são executados automaticamente com base na programação definida em sua configuração.

    Depois que uma avaliação é concluída, com base na frequência de reavaliação definida, uma reavaliação é acionada automaticamente. Uma reavaliação será acionada somente se a instância de avaliação de risco existente estiver no estado Monitorar. Se uma avaliação estiver no estado Monitorar, sempre que os fatores automatizados forem executados de acordo com sua programação, as pontuações da avaliação serão alteradas e os fatores contribuirão com novas pontuações para o acúmulo.

    Se o avaliador de risco determinar que uma avaliação deve ser reatribuída a outro avaliador relevante, o avaliador poderá reatribuir a avaliação. O avaliador também pode modificar as respostas depois de responder aos fatores.

    Se uma avaliação for feita mais de uma vez e se a opção para copiar as respostas da avaliação anterior estiver habilitada na RAM, as respostas das avaliações anteriores serão copiadas automaticamente para a avaliação atual.
    Nota:
    As respostas do fator automatizado e as pontuações substituídas não são copiadas de avaliações anteriores.

    Componentes de uma instância de avaliação de risco

    Com base nas configurações na RAM, o formulário de instância de avaliação de risco também exibe as seguintes listas relacionadas:
    • Avaliações anteriores: as cinco avaliações anteriores do risco que está sendo avaliado no momento.
    • Eventos de risco: o número de eventos de risco associados ao risco.
    • Indicadores de risco: o número de indicadores de risco aprovados e reprovados para este risco.
    • Problemas em aberto: o número de problemas em aberto para o risco e seu estado e proprietários.
    • Tarefas de resposta a riscos: o número de tarefas de resposta a riscos criadas para a avaliação.
    • Controles relacionados: os controles relacionados ao risco. Esta lista relacionada aparece somente quando o ambiente de controle está sendo avaliado.
      Nota:
      Os clientes em versões anteriores podem não conseguir ver a contagem atualizada de indicadores aprovados e com falha. Para resolver esse problema, execute o indicador de atualização e o script de correção de contagem de controles.

    Um avaliador tem a opção de não avaliar os controles de mitigação. A opção de recusar controles é útil nos casos em que há um risco, mas não há controles para mitigá-lo. Por exemplo, considere um cenário em que uma pandemia é um risco, mas não há vacinas para controlá-la. Nesse caso, o risco é avaliado, mas os controles podem ser deixados de fora da avaliação. Quando um avaliador decide recusar a avaliação de controles de mitigação e riscos residuais, a pontuação é definida como Não aplicável.

    Se a avaliação de controle estiver configurada para avaliar controles individuais e os controles estiverem associados ao risco que está sendo avaliado, a opção de recusar os controles não será exibida. Isso acontece porque os controles são padronizados.

    Se a avaliação residual for para riscos e controles inerentes e se o avaliador de risco optar por não fazer a avaliação de controle, os riscos residuais não serão aplicáveis. Esta condição é criada porque, se não houver controles, isso significa automaticamente que há apenas riscos inerentes e nenhum risco residual.

    Fases da avaliação de risco

    O ciclo de vida da avaliação de risco passa pelos seguintes estados:
    1. Pronto para avaliar: uma nova instância de avaliação foi criada.
    2. Avaliação inerente: a avaliação de risco inerente é realizada.
    3. Avaliação de controle: a avaliação de controle é realizada.
    4. Avaliação residual: a avaliação de risco residual é realizada.
    5. Avaliação desejada: a avaliação de risco desejada é realizada.
    6. Responder: você responde aos riscos.
    7. Aguardando aprovação: a avaliação de risco está aguardando a aprovação dos aprovadores, caso tenham sido identificados.
    8. Monitorar: a avaliação de risco foi concluída e está sendo monitorada.