Integre com Governança, risco e conformidade para identificar riscos e controles da aplicação

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • Gestão do portfólio de aplicações (APM) se integra com Governança, risco e conformidade (GRC) para ajudar a identificar e avaliar riscos em aplicações de negócios.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Usando a aplicação GRC, você pode analisar os riscos associados a ativos como hardware, software e aplicativo de negócios. Você também pode identificar e testar controles associados a esses riscos, bem como observar as auditorias que foram realizadas nesses ativos. Esta análise ajuda os responsáveis pela aplicação a entender o risco da aplicação de negócios de forma eficaz.

    O proprietário da aplicação pode identificar riscos significativos e problemas de conformidade aos quais as aplicações de negócios estão expostas, sem precisar envolver um sistema de auditoria externo e executar as aplicações por meio do processo de auditoria.

    Ative os plug-ins a seguir para integrar o APM ao GRC.

    Procedimento

    1. Navegar até Todos > Definição do Sistema > Plug-ins.
    2. Instale o plug-in GRC: GRC Profile Dependencies (com.snc.grc_profile_dep).
    3. Instale o plug-in GRC: Vendor Risk Management Dependencies (com.snc.grc_vrm_dep).
    4. Instale o plug-in GRC: Policy and Compliance Management Dependencies (com.snc.grc_policy_dep).

      Isso também requer a instalação do app-compliance da loja de aplicativos ServiceNow.

      Nota:
      A integração também requer determinados aplicativos que devem ser instalados da loja de aplicativos ServiceNow. Consulte Solicitar aplicativos na Store para obter instruções para baixá-los e ativá-los.

    O que Fazer Depois

    Crie uma entidade que faça referência à aplicação de negócios. Anexe a entidade a uma auditoria.

    Criar uma entidade para aplicação de negócios de referência de auditoria

    Crie uma entidade com referência à tabela de aplicação de negócios e seu registro de aplicação específico. Use a entidade para definir o escopo da exposição ao risco e executar avaliações de risco em aplicações de negócios.

    Antes de Iniciar

    Função necessária: sn_audit.admin ou sn_audit.manager

    Por Que e Quando Desempenhar Esta Tarefa

    O GRC usa o termo entidadeem vez de perfil. Uma entidade pode ser qualquer coisa, como um banco de dados, um servidor ou uma aplicação de negócios que possa ser auditada.

    Procedimento

    1. Navegar até Todos > Auditoria > Escopo > Todas as entidades.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Para obter informações de campo, consulte Formulário de Entidade.
    4. Clique em Enviar.
      Para obter mais informações, consulte:

    Associar um risco à entidade

    Anexe a entidade a um risco e crie um registro de risco. Avalie e identifique os riscos que podem afetar negativamente suas aplicações de negócios.

    Antes de Iniciar

    Função necessária: sn_risk.admin e sn_risk.manager

    Procedimento

    1. Navegar até Todos > Risco > Registro de risco > Todos os Riscos.
    2. Crie um risco no formulário Risco.

      Consulte: Criar um risco manualmente.

      Nota:

      Relacione o risco à entidade no campo Entidade.

    Adicionar entidade de aplicação de negócios a um compromisso

    As entidades são avaliadas e avaliadas para o compromisso de auditoria. Depois disso, as entidades com escopo para compromisso de auditoria e validadas são associadas a uma auditoria.

    Antes de Iniciar

    Função necessária: sn_audit.manager ou sn_audit.admin

    Para adicionar uma entidade de aplicação de negócios a um compromisso, você deve ter criado uma entidade que faz referência à aplicação de negócios no campo Entidade do formulário de Entidade. Consulte: Criar uma entidade para aplicação de negócios de referência de auditoria.

    Procedimento

    1. Navegar até Todos > Auditoria > Compromissos > Todos os compromissos.
    2. Para adicionar a entidade da aplicação de negócios ao compromisso, clique no botão Adicionar na lista relacionada Entidades.
      Nota:
      O compromisso deve estar no estado Escopo ou Validar.

      Consulte: Adicionar perfis a um escopo de compromisso.

      Quando um perfil de aplicação é anexado a um compromisso, um registro de compromisso com o perfil associado é criado na tabela Perfil para compromissos [sn_audit_m2m_profile_engagement].

    Adicionar um controle à entidade da aplicação de negócios

    Associe um controle a uma entidade de aplicação de negócios que pode estar em risco. É obrigatório que você defina um controle eficaz nos aplicativos de negócios para reduzir riscos e proteger seus negócios. Ao atualizar suas aplicações de negócios, você pode substituir seus controles desatualizados.

    Antes de Iniciar

    Função necessária: administrador

    Você deve ter criado uma entidade antes de associar um controle a ela. Os controles são criados no GRC.

    Procedimento

    Para criar um controle e adicionar uma entidade ao controle, consulte Criar um controle.
    • A entidade selecionada na tabela Controles [sn_compliance_control] deve ser uma aplicação de negócios e a Classe de entidade do registro deve ser aplicação.
    • O registro de controle pode estar no estado Rascunho ou Desativado. No entanto, os controles nesses estados não são visíveis em Gestão do portfólio de aplicações para serem associados a um aplicativo de negócios.

    Exibir Governança, risco e conformidade riscos e compromissos para a aplicação de negócios

    Como proprietário da aplicação, você pode exibir os riscos aos quais uma aplicação de negócios está exposta. Governança, risco e conformidade O (GRC) audita a entidade da aplicação de negócios e os riscos e compromissos auditados são capturados como listas relacionadas com script no formulário da aplicação de negócios.

    Antes de Iniciar

    Função necessária: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Procedimento

    1. Navegar até Todos > Application Portfolio Management > Portfólio de aplicações > Todas as aplicações de negócios.
    2. Clique no item relacionado Riscos de GRC.
    3. Exiba o nome da declaração de risco, sua descrição, a categoria de risco (jurídica, financeira, operacional e assim por diante), o impacto inerente que indica os níveis de risco e a probabilidade inerente que indica a probabilidade de ocorrência do risco.
      Consulte: Gerenciar riscos, declarações de risco e estruturas de risco
    4. Clique no item relacionado a compromissos.
    5. Exibir o nome do compromisso, o usuário a quem ele foi atribuído, o estado em que o compromisso está, a data de início planejada em que a atividade deve começar, sua data de término, a porcentagem do compromisso concluído e o custo real do compromisso .
      Consulte: Gerenciar compromissos
    6. Clique em Item relacionado a controles.
    7. Exiba o nome do controle, seu proprietário, o status do controle se ele é compatível ou não, a classificação do controle se ele é preventivo, corretivo ou de detecção e a frequência de certificação com que o trabalho programado é executado.

      Consulte: Gerenciar controles

    8. Clique na seta exibir/ocultar listas hierárquicas ao lado de um registro de risco na lista relacionada Riscos de GRC para exibir todos os controles associados ao risco da aplicação de negócios.

      Quando você associa um controle a um risco, o controle com seu risco associado é criado na tabela Risco para controle [sn_risk_m2m_risk_control].

      Figura 1. Controles associados a um risco
      Controles associados ao risco