Fluxo de trabalho de identificação de risco para aplicações de negócios

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Ao avaliar uma aplicação quanto a riscos, a aplicação passa por vários estágios de identificação e avaliação de riscos. Você pode definir o fluxo de trabalho de identificação e avaliação com base em seus requisitos.

    Antes que os riscos de uma aplicação sejam avaliados, a aplicação deve ser criada na tabela Aplicação de negócios e trazida para GRC. Depois que a aplicação chega a GRC, um registro de identificação de risco é criado. O proprietário da aplicação fornece informações sobre a aplicação ao gerente de riscos de TI. O Gerenciador de riscos de TI mapeia os riscos, as citações e as políticas recomendadas.

    Considere o exemplo a seguir para entender o fluxo de trabalho de identificação e avaliação de riscos para uma aplicação de negócios. Uma nova aplicação de negócios é introduzida em sua organização. Esta nova aplicação faz parte da tabela Aplicação de negócios. A nova aplicação tem dois proprietários:
    • Responsável pela aplicação de TI
    • Responsável pelo negócio: este usuário deve ter a função sn_grc.business_user.
    Nota:
    Sua organização pode usar funções diferentes.
    Neste ponto, a aplicação não faz parte de GRC. Ela deve ser trazida para GRC como uma entidade antes que seus riscos possam ser avaliados. A nova aplicação também deve ter objetos de informação associados a ela.

    O fluxo de trabalho e os aprovadores da avaliação de risco da aplicação são determinados pelas configurações no formulário Configuração de identificação de risco. Consulte Configurar integração de identificação de risco para entender o processo de definição do fluxo de trabalho. Para reiniciar a identificação de risco, uma ação do Flow Designer é fornecida.

    Ao avaliar uma nova aplicação de negócios, o fluxo de trabalho da identificação de risco é o seguinte:
    1. Uma aplicação de negócios é criada automaticamente ou por um responsável pela aplicação na tabela de aplicações de negócios.
    2. GRC detecta a nova aplicação de negócios. Uma entidade GRC foi criada para a nova aplicação. A detecção é tratada pelo trabalho agendado GRC de geração de perfil que é executado em segundo plano.
    3. Um novo registro de identificação de risco é criado para a aplicação.
      Nota:
      O Gerenciador de riscos pode modificar o registro de configuração e determinar o fluxo de trabalho da avaliação. Depois que uma configuração de identificação de risco é publicada, o gerenciador de risco pode modificar somente alguns campos no registro de configuração.
    4. Um questionário é iniciado e enviado ao responsável pela aplicação para coletar detalhes sobre a aplicação.
    5. O responsável pela aplicação responde ao questionário.
    6. O gerente de riscos de TI revisa as respostas. Se as respostas forem insatisfatórias, o gerente enviará o questionário de volta para o responsável pela aplicação.
      Nota:
      Se o questionário for enviado de volta, as novas respostas serão revertidas para a forma original.
    7. Com base na configuração, depois que o Gerenciador de riscos de TI está satisfeito com as respostas, o sistema inicia a avaliação inerente.
    8. GRC mapeia os riscos e os objetos de conformidade com base nos tipos de entidade.
    9. O gerente de riscos de TI revisa o mapeamento de objetos de informações.
    10. O sistema executa o mecanismo de recomendação com base no algoritmo selecionado na configuração.
    11. O Gerenciador de riscos de TI revisa e mapeia os riscos, políticas e citações recomendados com base nos objetos de informações associados.
    12. O Gerenciador de riscos de TI mapeia os controles recomendados com base em citações, políticas e riscos associados.
    13. O proprietário da aplicação gerencia o ciclo de vida do controle e certifica os controles.
    A figura a seguir representa o fluxo de trabalho da solução.
    Figura 1. Fluxo de trabalho da solução da integração de GRC e APM
    Integração de APM e Advanced Risk Assessment

    Estados do registro de identificação de risco

    Depois que a configuração de identificação de risco é movida para o estado Publicado, um registro de identificação de risco é criado para a entidade relacionada.

    O registro de identificação de risco passa pelos seguintes estados:
    • Novo: um novo registro foi criado
    • Coleta de informações: as informações sobre a aplicação são coletadas.
    • Revisão: o gerente de risco revisa as informações.
    • Avaliação inerente: o gerenciador de risco executa a avaliação de risco inerente.
    • Mapeamento de riscos: o Gerenciador de riscos mapeia os riscos, citações e políticas necessários.
    • Monitorar: os riscos são monitorados.
    • Descontinuado: os riscos são desativados conforme necessário.

    Depois que a configuração de identificação de risco é movida para o estado Descontinuado, a configuração se torna inválida e os registros de identificação de risco não são criados para entidades relacionadas.

    Em termos de ciclo de vida, um registro de identificação de risco passa pelos seguintes estados:
    1. Novo(a)
    2. Coleta de informações
    3. Revisar
    4. Avaliação inerente
    5. Mapeamento de risco
    6. Monitorar
    7. Retirado