Fatores na avaliação avançada de riscos

  • Versão de lançamento: Australia
  • Atualizado 12 de mar. de 2026
  • 6 min. de leitura

    • Fatores são perguntas que você pode usar para analisar riscos. Os fatores aparecem em uma instância de avaliação de risco.

    Fatores são perguntas que aparecem durante a avaliação de risco. Para usar a Avaliação avançada de riscos, você deve primeiro definir esses fatores e configurar uma metodologia de avaliação de risco (RAM). Para obter mais informações sobre RAMs, consulte Configure uma metodologia de avaliação de risco. Cada fator ou pergunta tem uma resposta. Existem diferentes tipos de fatores:
    • Fator manual: Um fator que requer entrada humana. A resposta é manual. Um exemplo é o seu nome.
    • Fator automatizado: Um fator cuja resposta é calculada automaticamente. Um exemplo é a temperatura na sua cidade hoje. As informações são obtidas de fontes externas.
    • Fatores automatizados com script: Um fator usado para escrever scripts.
    • Fator de grupo: Um conjunto de fatores agrupados logicamente.

    Esses tipos de fator são explicados mais nas seções a seguir. Depois de definir os fatores e publicá-los, você pode configurar uma RAM e associar os fatores aos tipos de avaliação na RAM. A RAM forma a base da avaliação de risco. Publique cada um dos tipos de avaliação selecionados e publique a RAM. Os usuários com a função sn_risk.user podem selecionar os tipos de avaliação para os quais a avaliação deve ser realizada.

    Sua instância de avaliação de risco é criada. Suas propriedades dependem dos tipos de avaliação e das opções que você selecionou para sua RAM. A instância de avaliação de risco é onde o avaliador de risco avalia os riscos. Como uma pergunta, um fator pode ser usado em vários tipos de avaliação. Por exemplo, uma pergunta como "Qual é a probabilidade de um prédio ficar inundado?" pode fazer parte de uma avaliação inerente ou residual após a avaliação de eficácia do controle.

    Nota:
    Um fator pode ser usado em vários tipos de avaliação, mas pode ser usado em apenas uma RAM. Um fator que é criado e usado em uma RAM não pode ser reutilizado em outros RAMs.

    Tipos de contribuições de fator

    Um avaliador fornece respostas a fatores. Os avaliadores de risco podem contribuir para os fatores das seguintes maneiras:
    • Qualitativo: As perdas estão na forma de termos subjetivos, como alto, médio e baixo. As perdas também podem ser na forma de uma pontuação numérica que é convertida em uma classificação.
    • Quantitativo: As perdas estão em uma forma numérica. Eles podem ser incorridos a partir de um risco em termos monetários. Eles contribuem para a Expectativa de Perda Anual Inerente (ALE).
    • Ambos: As perdas têm uma classificação de risco qualitativa e um valor quantitativo em dólar. Essas classificações também são chamadas de semiquantitativas.
    Para obter mais informações sobre como entender classificações qualitativas, quantitativas e semiquantitativas, consulte Tipos de metodologias de classificação de risco

    Fatores manuais

    Em uma avaliação de risco, as perguntas que precisam de respostas humanas dos entrevistados são chamadas de fatores manuais. Em fatores manuais, a resposta é subjetiva e difícil de classificar. Algumas perguntas exigem inteligência humana e avaliação. Portanto, um fator manual é uma avaliação subjetiva da visão de uma pessoa. Exemplos de fatores manuais são impacto na reputação, velocidade esperada de início e assim por diante. Em fatores manuais, os usuários podem fornecer os seguintes tipos de respostas:
    • Texto: Uma resposta descritiva. Por exemplo, feedback. Esta opção não contribui para o cálculo da pontuação de risco​.
    • Opção: Escolhas definidas pelo usuário para as perguntas na avaliação. Por exemplo, os usuários podem selecionar classificações de risco entre baixo, médio ou alto.
    • Número: Um valor numérico. Por exemplo, o número de ocorrências em aberto.
    • Moeda: Um valor na moeda local do usuário. Por exemplo, o impacto financeiro de um determinado risco.
    • Porcentagem: Um valor percentual para as perguntas na avaliação. Por exemplo, a porcentagem de funcionários satisfeitos com as estratégias da organização.

    Fatores de grupo

    Quando os fatores são agrupados logicamente, eles são chamados de fatores de grupo. A pontuação de um fator de grupo depende das respostas dos fatores manuais correspondentes​. Por exemplo, as organizações são afetadas por riscos financeiros e riscos não financeiros. Você pode criar alguns fatores para riscos financeiros e outros fatores para riscos não financeiros. Você pode combinar esses dois conjuntos de fatores em um único fator de grupo chamado Impacto geral. Como os fatores manuais, os fatores de grupo podem contribuir para uma pontuação de risco numérica que é convertida em uma contribuição qualitativa ou para os valores de ALE como uma contribuição quantitativa.

    Fatores automatizados

    Os fatores automatizados buscam automaticamente os dados mais recentes, durante uma avaliação, de qualquer uma das fontes de dados, como tabelas ou exibições de banco de dados. Os fatores automatizados ajudam a automatizar o processo de avaliação de riscos. Eles não dependem de entradas manuais e, portanto, reduzem a subjetividade. Por exemplo, um avaliador de risco deseja realizar uma avaliação para locais diferentes. Um dos fatores automatizados é a condição política de um país, e esta informação está publicamente disponível em um site. Porque esses dados não residem em ServiceNow, o avaliador pode usar fatores automatizados para buscar os dados. Alguns outros exemplos de fatores automatizados são os seguintes:
    • O número de funcionários em um projeto.
    • A receita de uma unidade de negócios.
    • A criticidade de negócio de um processo.

    Fatores automatizados com script

    Fatores automatizados de script são usados para escrever scripts. Os scripts buscam os dados de qualquer um deles ServiceNow ou de fontes externas. Os fatores automatizados com script fornecem automaticamente as respostas para os fatores durante a avaliação de risco.

    Os casos de uso a seguir demonstram um exemplo de como você pode modelar fatores com script. Por exemplo, se você quiser usar os resultados da função de conformidade para avaliar a eficácia da mitigação dos controles, há duas maneiras de avaliar os controles:
    • Avaliação individual de controles
    • Avaliação do ambiente de controle.
    Na avaliação individual dos controles, cada controle é avaliado separadamente. Para entender a avaliação de controle no contexto de fatores com script, considere o exemplo de lavagem de dinheiro como um risco. Neste exemplo, a eficácia do controle é avaliada com base na porcentagem de controles com falha. Os valores dos controles com falha são transformados em uma classificação para calcular a eficácia do controle desse controle. Por exemplo, o risco de lavagem de dinheiro tem três controles atenuantes:
    • Treinamento do funcionário
    • Auditoria interna em funcionários
    • Due diligence do cliente
    Suponha que você tenha definido os critérios de eficácia do controle da seguinte maneira:
    Falha na eficácia do projeto de controle Eficácia do controle
    0%-30% Eficaz
    30%-60% Precisa de melhoria
    > 60% Ineficaz

    Agora, suponha que, dos três controles, um controle foi aprovado e dois controles falharam. A falha de dois controles se traduz em uma taxa de falha de 66,67%. Com base na transformação e na tabela anterior, a classificação de eficácia do controle é ineficaz. Você pode usar este script definido para automatizar a resposta ao fator para avaliar o risco de lavagem de dinheiro.

    Quanto à avaliação do ambiente de controle, você pode avaliar o ambiente de controle completo em vez de avaliar cada controle individualmente. Para entender a avaliação do ambiente de controle, considere o exemplo a seguir. Suponha que você queira avaliar o ambiente de controle com base em dois aspectos: Eficácia do design e eficácia operacional. Para calcular a eficácia do design, você pode buscar os controles relacionados relacionados relacionados ao risco de lavagem de dinheiro. Em seguida, você pode analisar os resultados do teste para entender quantos dos controles falharam. Suponha que você tenha definido os critérios de eficácia do controle da seguinte maneira:
    Falha na eficácia do projeto de controle Eficácia do controle
    0%-30% Eficaz
    30%-60% Precisa de melhoria
    > 60% Ineficaz

    Agora, suponha que dois controles falharam e um controle foi aprovado. Assim, a taxa de falha da eficácia do design de controle é de 33,33%. Com base na tabela anterior, este valor baixo de 33,33% significa que o design de controle precisa de melhorias. Essa resposta pode ser automaticamente roteada no fator de script automatizado porque não precisa de nenhum cálculo ou intervenção humana.