ビジネスアプリケーションのリスク管理
エンタープライズアーキテクチャ と ガバナンス、リスク、コンプライアンス (GRC) を統合して、ビジネスアプリケーションに関連するリスクを特定し、リスクを軽減するために必要なコントロールを追加することで、アプリケーションオーナーとリスクマネージャーの作業を簡素化します。
ServiceNow® エンタープライズアーキテクチャ リスク管理との統合により ビジネスアプリケーションに固有の包括的なリスクを判断し、リスクを軽減するタスクを特定できます。
ServiceNow® エンタープライズアーキテクチャ Policy and Compliance との統合により、ビジネスアプリケーションで決定されたコントロールを表示し、それらのコントロールが準拠しているかどうかを確認し、ビジネスアプリケーションをコントロールに準拠させるために必要なタスクを決定できます。
この統合の主なメリットは次のとおりです。
- リスクマネージャーとアプリケーションオーナーがデジタルリスクに費やす時間を短縮します。
- アプリケーションオーナーとリスクマネージャーの間に迅速かつ効率的なコミュニケーションを提供します。
- ビジネスアプリケーションのデジタルリスク体制の概要を示します。
GRC と エンタープライズアーキテクチャ 統合ソリューションのワークフローの概要
GRC と エンタープライズアーキテクチャ 統合ソリューションのワークフローの概要は次のとおりです。
- ビジネスアプリケーションが作成されます。
- バックグラウンドで実行される GRC プロファイル生成スケジュール済みジョブに基づいて、GRC は新しいビジネスアプリケーションを検出し、GRC でエンティティを作成します。
- 新しいアプリケーションが GRC エンティティとして作成されると、新しいリスク識別レコードが作成されます。
- リスクマネージャーは、設定レコードを変更し、アセスメントのワークフローを決定できます。リスク識別構成が公開された後、リスクマネージャーは設定レコードの一部のフィールドのみを変更できます。
- アプリケーションマネージャーからアプリケーションに関する詳細を収集するためのアンケートが開始されます。
- アプリケーションオーナーがアンケートに回答します。
- リスクマネージャーは回答をレビューし、さらに情報や説明が必要な場合はアンケートを返送します。 注:アプリケーションオーナーの回答は、アンケートが返送されても保持されます。
- リスクマネージャーが応答に満足すると、GRC のリスクアセスメント方法論の構成に基づいて固有のアセスメントが開始されます。詳細については、「 固有のアセスメントを構成する」を参照してください。
- GRC は、エンティティタイプに基づいてリスクおよびコンプライアンスオブジェクトをマッピングします。
- リスクマネージャーは、情報オブジェクトマッピングをレビューします。
- システムは、構成で選択されているアルゴリズムに基づいて、推奨エンジンを実行します。
- リスクマネージャーは、関連付けられた情報オブジェクトに基づいて、推奨されるリスク、ポリシー、および引用をレビューしてマッピングします。
- 関連する引用ポリシーとリスクに基づく推奨コントロールが関連付けられます。
- アプリケーションオーナーは、関連するステークホルダーと協力してコントロールを実装することで、コントロールのライフサイクルを管理します。