Criar manualmente GRC problemas

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

9 min. de leitura

Como um usuário GRC, você pode criar problemas manualmente para documentar observações de política, risco ou auditoria ou para aceitar quaisquer problemas de GRC. Você também pode identificar a origem do problema para ajudar a analisar e classificar os problemas.

Antes de Iniciar

Função necessária: (por produto)

Em Gestão de políticas e conformidade: sn_grc.business_user, sn_grc.business_user_lite
Em Gestão de riscos: sn_grc.business_user, sn_grc.business_user_lite
Em Gestão de auditorias: sn_grc.business_usersn_grc.business_user_lite

Nota:

A partir da versão 12.0.1 dos produtos mencionados acima, a função mínima do usuário Atribuído a no formulário Problemas é Usuário de negócios do GRC [sn_grc.business_user]. A função mínima para o gerenciador de problemas é Usuário do GRC [sn_grc._user].

Para obter mais informações sobre as limitações de controle de acesso a problemas, consulte Função do usuário comercial do GRC para controlar o acesso e rastrear o uso de tabelas de conformidade.

Procedimento

Navegue até um dos seguintes locais:
- Todos > Políticas e conformidade > Problemas > Criar novo(a).
- Risco > Problemas > Criar novo(a).
- Auditoria > Problemas > Criar novo(a).
Nota:
A partir da versão 12.0.1 dos produtos mencionados acima, a função mínima do usuário Atribuído a no formulário Problemas é Usuário de negócios do GRC [sn_grc.business_user]. A função mínima para o gerenciador de problemas é Usuário do GRC [sn_grc._user].

No formulário, preencha os campos.

Tabela 1. Formulário de problema
Campo	Descrição
Número	Número de identificação exclusivo.
Grupo de atribuição	Grupo ao qual este problema foi atribuído. Cada membro recebe uma notificação quando acontece uma atividade neste problema.
Atribuído a	Membro do grupo atribuído para resolver o problema. A partir da versão 12.0.1, o usuário deve ter pelo menos a função sn_grc.business_user. Nota: Use o ícone de ampola para obter sugestões sobre a quem o problema deve ser atribuído. O ícone de ampola só aparecerá se você tiver a aplicação GRC: Inteligência preditiva ativada, o formulário estiver salvo, o campo Atribuído a não estiver inativo e a propriedade GRC estiver selecionada como Análise de semelhança. Para obter mais informações, consulte Propriedades GRC. Você pode configurar uma hierarquia de usuários para acessar o registro do problema. Para obter mais informações, consulte Controle de acesso à hierarquia de usuários para registros de problemas e tarefas de correção. A partir da versão 12.0.1, o usuário atribuído recebe uma notificação por e-mail quando o gerenciador de problemas solicita mais informações. A partir da versão 12.0.1, quando um problema faz a transição para o estado Responder, uma entrada no campo Atribuído a é obrigatória.
Origem do problema	Origem de onde o problema foi criado. Este campo é preenchido automaticamente com uma das seguintes opções com base em como o problema foi criado: Falha do indicador: o problema foi criado por uma falha do indicador Avaliação de risco: o problema foi criado em um risco Evento de risco: o problema é criado em um evento de risco Falha na certificação de controle: o problema foi criado devido a um controle fora de conformidade Falha no teste de controle: o problema é criado quando um controle é ineficaz e o teste de controle é marcado como encerrado e concluído Ad-hoc: o problema é criado manualmente
Tipo de problema	Tipo de problema. As opções são: Falha na eficácia do design de controle Falha na eficácia operativa de controle O controle não atende ao requisito O controle não existe Não conformidade com um regulamento Não conformidade com uma política Melhoria ou sugestão para uma política existente Recomendação para uma nova política Otimização ou melhoria de processos Observação Violação de dados Fraude Erro de estado Treinamento Documentação Problema de risco Outro
Classificação	A classificação do problema como risco, conformidade ou auditoria, com base no tipo de problema.
Grupo gerenciador de problemas	O grupo responsável por gerenciar e revisar o problema. A partir da versão 12.0.1, as seguintes melhorias e requisitos foram introduzidos: Os membros do grupo do gerenciador de problemas devem ter uma das seguintes funções: sn_audit.manager sn_audit.user sn_compliance.manager sn_compliance.user sn_grc.manager sn_grc.usuário sn_risk.manager sn_risk.usuário Quando um problema faz a transição para o estado Analisar, uma entrada no grupo do Gerenciador de problemas ou no campo Gerenciador de problemas é obrigatória. Quando um problema é atribuído ao grupo, os membros recebem uma notificação por e-mail. Além disso, o gerente de problemas recebe uma notificação por e-mail quando o problema faz a transição para o estado Revisão.
Gerenciador de problemas	O usuário responsável por gerenciar e revisar o problema. A partir da versão 12.0.1, as seguintes melhorias e requisitos foram introduzidos: O gerenciador de problemas deve ter pelo menos a função sn_grc.user. O gerente de problemas recebe uma notificação por e-mail quando o usuário atribuído fornece as informações solicitadas. Quando um problema faz a transição para o estado Analisar, uma entrada neste campo ou no Gerenciador de problemas é obrigatória. Quando um problema faz a transição para o estado Responder, uma entrada neste campo é obrigatória.
Estado	Novo Analisar Responder Revisão Encerrado concluído Encerrado incompleto
Subestado	O subestado e os detalhes aplicáveis ao subestado.
Prioridade	A sequência na qual um problema deve ser resolvido, com base em seu impacto e urgência: 1 — Crítico 2 — Alto 3 — Moderado 4 — Baixo 5 — Planejamento
Classificação do problema	A partir da versão 12.0.1, o gerenciador de problemas pode atribuir a classificação do problema ao problema. Com base na classificação do problema, a data de vencimento na guia Datas é calculada da seguinte forma e exibida: Muito alto (2 dias) Alto (4 dias) Moderado (8 dias) Baixo (10 dias) Muito baixo (15 dias) Você pode substituir manualmente a data de vencimento. Nota: Usuários com as funções sn_grc.manager e sn_grc_advanced.issue_triage_manager podem navegar até Políticas e conformidade > Administração > Classificação do problema e defina classificações de problemas adicionais.p Quando o problema faz a transição para o estado Responder, o campo Classificação do problema é somente leitura.
Regra do grupo de problemas	Regra de grupo atribuída a este problema. A regra do grupo de problemas é usada para agrupar problemas semelhantes em um problema primário com base nas condições definidas na regra. Esta regra permite que você trabalhe em problemas semelhantes simultaneamente e encerre o problema primário depois que todos os problemas forem resolvidos. Isso encerra todos os problemas secundários.
Problema primário	Problema primário ao qual este problema pertence.
Item de configuração	Item associado a este problema. Se todos os problemas secundários tiverem o mesmo item de configuração, ele será copiado para o problema primário
Local	Local onde ocorreu o problema.
Descrição resumida A partir da versão 12.0.1, este rótulo foi alterado para Nome.	Um nome para o problema.
Descrição	Uma descrição mais abrangente do problema.
Detalhes
Controle/risco	Controle ou risco associado ao problema. Quando o controle é associado, a entidade correspondente do controle é adicionada ao campo Entidade e o objetivo do controle é adicionado ao campo Objetivo de controle/Declaração de risco. Esses objetivo de controle e entidade são os que estão vinculados a este controle. Quando o controle está associado ao formulário de problema, um registro m2m é criado na tabela de origem [sn_grc_m2m_issue_item]. Sempre que um registro é adicionado à tabela de origem, um registro correspondente, Problema para entidade, é adicionado à tabela de destino [sn_grc_m2m_issue_to_entity], e outro registro Problema para conteúdo é adicionado à tabela de destino [sn_grc_m2m_issue_content] para a entidade associada e o objetivo de controle de o controle.
Entidade	Entidade relacionada.
Política	A política associada ao problema.
Documento de autoridade	O documento de autoridade associado ao problema.
Objetivo de controle/Declaração de risco	O objetivo de controle ou a declaração de risco relacionada a este problema.
Recomendação	Ações de resolução recomendadas pelas equipes de risco, conformidade ou auditoria.
Plano de ação	O plano para corrigir o problema.
Datas
Data de início planejada	Data e hora em que o trabalho no problema deve começar.
Data de término planejada	Data e hora em que o trabalho no problema deve terminar.
Duração planejada	Quantidade estimada de tempo de trabalho para o problema.
Data de confirmação	(A partir da versão 12.0.1) A data em que o problema foi confirmado. Este campo é somente leitura e exibe a data de hoje quando o problema é movido de Novo para qualquer um dos seguintes estados: Analisar Revisar Responder Nota: Se um problema de triagem for convertido em um problema real, este campo exibirá a data em que foi convertido.
Prazo	(A partir da versão 12.0.1) Esta data é preenchida automaticamente com base em uma propriedade do GRC. Navegar até Políticas e conformidade > Administração > Propriedades GRC. Se a propriedade Preencher automaticamente a data de vencimento com base na classificação do problema estiver definida como Sim, este campo será preenchido automaticamente com base no intervalo de tempo de correção predefinido para a classificação de risco do problema. Caso contrário, você pode inserir manualmente uma data de vencimento. Quando um problema faz a transição para o estado Responder, uma entrada neste campo é obrigatória.
Data de início real	Hora em que o trabalho começou neste problema.
Data de término real	Um valor somente leitura que é determinado pelo campo de entrada Duração real.
Duração real	Quantidade de tempo de trabalho.
Criação	A data e a hora em que o problema foi criado.
Encerrado	A data e a hora em que o problema foi encerrado.
Compromisso
Compromisso	O compromisso relacionado.
Atividade
Comentários adicionais (visível para o cliente)	Informações públicas sobre o problema. Clique em Publicar para adicionar seus comentários ao problema.
Anotações de trabalho	Clique na caixa de seleção Anotações de trabalho para exibir o campo Anotações de trabalho. Informações sobre como resolver o problema ou etapas já realizadas para resolvê-lo, se aplicável. As anotações de trabalho ficam visíveis para os usuários atribuídos ao problema. Clique em Publicar para adicionar suas anotações de trabalho ao problema.
Confidencialidade
Confidencial	Opção para habilitar a confidencialidade do registro. Somente os usuários confidenciais atribuídos ou grupos confidenciais de usuários podem acessar o registro. Para obter mais informações sobre a opção confidencial, consulte Sinalizador de confidencialidade para registros de auditoria e conformidade.
Evento de risco
Evento de risco	O evento de risco relacionado.

Salve o registro do problema.
As guias na parte inferior da tela permitem que você execute várias tarefas para corrigir o problema. Você pode adicionar exceções às políticas e criar tarefas de correção. Além disso, você pode exibir outros problemas, resultados do indicador e SLAs de tarefa relacionados ao problema.

Nota:
A partir da versão 12.0.1, a guia ANS de tarefa cria e exibe SLAs com base na data de vencimento. As notificações são enviadas ao proprietário e ao gerente de problemas quando o prazo do problema atinge 50%, depois 75% e, em seguida, quando ele é violado. Se os campos Atribuído a e Data de vencimento não estiverem vazios e o problema não estiver no estado Novo, um ANS será criado para o problema.
Se a data de vencimento do ANS mudar, um novo ANS será criado. O ANS é concluído quando o problema faz a transição para Encerrado concluído ou Encerrado incompleto. Além disso, o ANS será cancelado se os campos Data de vencimento ou Atribuído a estiverem vazios ou se o estado for Novo.

Também a partir da versão 12.0.1, as tarefas de correção podem ser criadas com as funções de usuário Atribuído ao usuário e gerente de problemas, bem como qualquer usuário com a função de usuário de negócios do GRC.