Advanced Risk アセスメントを理解する前に、リスク管理の主要なステップを理解することが重要です。

1. リスクの特定：組織の目標達成を妨げる可能性のある不確実性やリスクを見つけます。
2. リスク分析：リスクの原因と結果を理解します。
3. リスク評価：追加のアクションが必要かどうかを判断するために、リスク分析の結果を確立されたリスク基準と比較します。
4. リスクの処理：リスクに対処するためのアクションプランを定義します。
5. リスク監視：組織のリスク体制を追跡し、関連するステークホルダーに伝達します。

リスクアセスメントは、リスクの特定、リスク分析、およびリスク評価で構成されます。高度なリスクアセスメントは、要素または質問とその回答に基づいて実行されます。組織などのエンティティに対して実行できます。高度なリスクアセスメントを使用するには、[管理] モジュールの下にある [Advanced Risk アセスメントに移行] プロパティを有効にする必要があります。リスクアセスメントの査定人と承認者には、sn_grc.business_user ロールが必要です。高度なリスクアセスメントを使用すると、固有のリスク、軽減コントロール、および残存リスクを評価するリスクの詳細なアセスメントを行うことができます。エンティティ、リスクステートメント、コントロールなどの完全な GRC セットアップがない場合でも、任意の ServiceNow レコードまたはオブジェクトのリスクを評価できます。オブジェクトアセスメントの例は、変更管理の評価です。リスクアセスメントでは、以下のリスクが評価されます。

• 固有リスク：固有リスクは、コントロールを持たないリスクです。たとえば、ハイウェイでの高速走行は、中程度の速度での走行よりも本質的にリスクが高くなります。この固有リスクのスコアは、リスクの影響度とリスクの可能性を乗算することによって導出されます。
• コントロールの有効性：コントロールにより、リスクの影響または可能性を軽減できます。たとえば、ハイウェイには制限速度モニターがあります。リスクが具体化した場合、コントロールによって影響が緩和されます。コントロールには、予防コントロール、発見的コントロール、または是正コントロールがあります。
  • 予防コントロールは、これらの問題が発生する前にエラー、不正確、または詐欺を防ぐように設計されています。
  • 発見的コントロールは、エラー、不正確、または詐欺の存在を発見することを目的としています。
  • 是正コントロールは、検出されたエラーや不規則性を修正するように設計されています。
• 残存リスク：残存リスクは、コントロールの実装後に残るリスクです。たとえば、安全対策が講じられていても、事故が発生している場合、事故による損害が残存リスクです。残存リスクスコアは、次のいずれかの方法を使用して計算できます。
  • 固有有効性と残存有効性の間のマトリクス。
  • 固有スコアからコントロールスコアを引く、などの数式。
  • 要素に対する回答。
• ターゲットリスク：ターゲットリスクは、組織が今後の達成を望んでいるリスクです。特定されたリスクの可能性のレベルと影響を評価することで、各リスクに対するターゲットリスクのレベルを確立できます。たとえば、リスクを評価するときは、固有リスク、コントロールの有効性、残存リスクなどのさまざまな側面を考慮します。ただし、リスク対応が実装された後に達成される望ましいリスクレベルをキャプチャすることも同様に重要です。ターゲットリスクは、アクションプランが正常に実行された後に達成を目指す最適なリスクレベルを表します。これらのアクションを実装するコストとの関連で、組織が得る利益を測定できます。