Explorando Gestão de riscos
O produto Gestão de riscos fornece um processo centralizado para identificar, avaliar, responder e monitorar continuamente os riscos da empresa e de TI que podem afetar negativamente as operações de negócios. A aplicação também fornece fluxos de trabalho estruturados para a gestão de avaliações de risco, indicadores de risco e problemas de risco.
Solicitar aplicativos na Store
Acesse o site ServiceNow Store para ver todos os aplicativos disponíveis e obter informações sobre como enviar solicitações para a loja. Para obter informações sobre notas de versão cumulativa para todos os aplicativos liberados, consulte as ServiceNow Store notas de versão do histórico de versão.
Quem usa Gestão de riscos
O processo de risco completo envolve todas as áreas da sua organização trabalhando juntas.
- Comitê de auditoria
- Comitê diretor de TI
- Agentes de risco (conduzem avaliação de risco e identificam tudo o que pode dar errado nos negócios)
- Todos os níveis de gestão (auxiliar os agentes de risco na identificação do que pode dar errado em seus processos)
Principais atividades para Gestão de riscos
Depois que as funções principais forem identificadas, trabalhe para identificar os seguintes itens:
- Determinar qual nível de risco a organização está disposta a aceitar? Obtenha os dados de risco e determine o que é aceitável.
- Desenvolva uma política de gestão de riscos por meio de estruturas de risco e declarações de risco.
- Desenvolva procedimentos de avaliação e resposta de riscos.
- Implemente controles para reduzir a exposição da sua organização a riscos. Repita em um intervalo regular.
- Meça sua exposição a riscos e melhorias.
Gestão de riscos e o Now Platform
As aplicações Gestão de riscos e Risco avançado permitem que você faça o seguinte.
- Gerenciar riscos, declarações de risco e estruturas de risco: a biblioteca de risco contém todas as estruturas de risco e declarações de risco. As estruturas de risco são usadas para agrupar declarações de risco em categorias gerenciáveis, enquanto as declarações de risco agrupam os riscos individuais. O registro de riscos é o repositório central de todos os riscos potenciais que podem ocorrer a qualquer momento e em qualquer lugar na organização.
- Gerenciar eventos de risco: eventos de risco são perdas financeiras e não financeiras, quase-acidentes e ganhos potenciais ou reais que ocorrem em uma organização.
- Pontuação e hierarquia de risco: a partir do New York, os gerentes de risco podem criar hierarquias que incluem diferentes tipos de risco (risco operacional, risco de TI ou risco estratégico). Depois que os riscos subjacentes são avaliados, as pontuações de risco são acumuladas automaticamente em toda a hierarquia de declaração de risco, proporcionando uma melhor tomada de decisão tática e estratégica.
- Gerenciar avaliações de risco clássicas: avaliações de risco são pesquisas que reúnem evidências para determinar o risco. O Designer de avaliação de risco fornece uma única interface que os usuários podem usar para criar e editar certificações, bem como alterar parâmetros de pontuação. O banco de dúvidas oferece uma biblioteca de perguntas para várias categorias, para que você não precise criar cada questionário do zero. Os riscos começam em um estado de Rascunho e são movidos para Avaliar, que envia uma notificação para os entrevistados da Avaliação.
- Gerenciar avaliações de risco avançadas: com a Avaliação de riscos avançadas, crie uma plataforma de risco integrada. Essa plataforma integrada oferece suporte a vários tipos de metodologias de avaliação de risco e permite que você integre a avaliação de risco como parte do processo geral de tomada de decisão.
- Gerenciar exceções e extensões às políticas: Extensões e exceções às políticas fornecem um alivio temporário para um controle fora de conformidade. A exceção à política captura a justificativa, os comentários e as evidências para dar suporte à aceitação ou rejeição de uma solicitação de exceção à política. Além disso, a extensão de uma exceção à política aprovada pode ser solicitada antes do período de validade da exceção à política. O proprietário do controle, o gerente de conformidade e o gerente de risco podem estar envolvidos no fluxo de trabalho de exceção e extensão à política.
- Usar dependências de entidade e risco usando o GRC: Workbench: o GRC: Workbench utiliza informações do CMDB para mostrar os relacionamentos ascendentes e descendentes em todas as aplicações. Esses relacionamentos permitem mapeamento e modelagem de risco consistentes em toda a empresa.
- Indicadores de risco, indicadores de controle e modelos de indicador: o monitoramento contínuo envolve atividades relacionadas à identificação e criação dos principais indicadores de risco e controle. Informações de suporte podem ser coletadas para esses indicadores por meio de coleta automática de dados ou tarefas manuais. Os resultados do indicador são usados para criar problemas para controles, atualizar pontuações de risco e fornecer informações de suporte para atividades de auditoria e testes de controle.
- Gerenciar problemas de risco e correção: os problemas podem ser criados manualmente para documentar observações de auditoria, correções ou para aceitar quaisquer problemas. Eles são gerados automaticamente a partir de resultados de indicadores, resultados de certificação ou eficácia de testes de controle.
- Gerenciar o monitoramento contínuo de riscos entre Gestão de riscos e Resposta a vulnerabilidades: o monitoramento contínuo de riscos é uma integração de recursos entre os produtos GRC: Risk Management e Security Operations Vulnerability Response, que usa indicadores para identificar rapidamente vulnerabilidades de alto impacto com base no impacto nos negócios.
- Soluções de análise e emissão de relatórios para Gestão de riscos: as soluções de Análise de desempenho contêm painéis pré-configurados. Esses painéis contêm visualizações de dados acionáveis que ajudam você a melhorar suas práticas e processos empresariais.