Integre com Governança, risco e conformidade para identificar riscos e controles de aplicação

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Arquitetura empresarial (anteriormente Application Portfolio Management) se integra ao Governança, risco e conformidade (GRC) para ajudar a identificar e avaliar riscos em aplicações de negócios.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Usando a aplicação GRC, você pode analisar os riscos associados a ativos como hardware, software e aplicação de negócios. Você também pode identificar e testar controles associados a esses riscos, bem como observar as auditorias que foram realizadas nesses ativos. Essa análise ajuda os proprietários da aplicação a entender o risco da aplicação de negócios com eficácia.

    O proprietário da aplicação pode identificar riscos significativos e problemas de conformidade aos quais as aplicações de negócios estão expostas, sem precisar envolver um sistema de auditoria externa e executar as aplicações por meio do processo de auditoria.

    Ative os plug-ins a seguir para integrar Arquitetura empresarial ao GRC.

    Procedimento

    1. Navegar até Tudo > Definição do Sistema > Plug-ins.
    2. Instale o plug-in GRC: GRC Profile Dependencies (com.snc.grc_profile_dep).
    3. Instale o plug-in GRC: Vendor Risk Management Dependencies (com.snc.grc_vrm_dep).
    4. Instale o plug-in GRC: Policy and Compliance Management Dependencies (com.snc.grc_policy_dep).

      Isso também requer a instalação da conformidade de aplicações da loja de aplicações ServiceNow.

      Nota:
      A integração também requer determinadas aplicações que devem ser instaladas da loja de aplicações ServiceNow. Consulte Solicitação de apps na Store para obter instruções sobre como baixá-los e ativá-los.

    O que Fazer Depois

    Crie uma entidade fazendo referência à aplicação de negócios. Anexe a entidade a uma auditoria.

    Criar uma entidade para auditoria que faz referência à aplicação de negócios

    Crie uma entidade com referência à tabela de aplicações de negócios e seu registro de aplicação específico. Use a entidade para definir o escopo da exposição ao risco e executar avaliações de risco em aplicações de negócios.

    Antes de Iniciar

    Função necessária: sn_audit.admin ou sn_audit.manager

    Por Que e Quando Desempenhar Esta Tarefa

    O GRC usa o termo entidadeem vez de perfil. Uma entidade pode ser qualquer coisa, como um banco de dados, servidor ou uma aplicação de negócios que pode ser auditada.

    Procedimento

    1. Navegar até Tudo > Auditoria > Escopo > Todas as entidades.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Para obter informações sobre o campo, consulte Formulário de Entidade.
    4. Clique em Enviar.
      Para obter mais informações, consulte:

    Associar um risco à entidade

    Anexe a entidade a um risco e crie um registro de risco. Avalie e identifique os riscos que podem afetar negativamente suas aplicações de negócios.

    Antes de Iniciar

    Função necessária: sn_risk.admin e sn_risk.manager

    Procedimento

    1. Navegar até Tudo > Risco > Registro de riscos > Todos os Riscos.
    2. Crie um risco no formulário Risco.

      Consulte: Criar um risco manualmente.

      Nota:

      Relacione o risco à entidade no campo Entidade.

    Adicionar entidade de aplicação de negócios a um compromisso

    As entidades são avaliadas e avaliadas para compromisso de auditoria. Depois disso, as entidades com escopo para compromisso de auditoria e validadas são associadas a uma auditoria.

    Antes de Iniciar

    Função necessária: sn_audit.manager ou sn_audit.admin

    Para adicionar uma entidade de aplicação de negócios a um compromisso, você deve ter criado uma entidade que faça referência à aplicação de negócios no campo Entidade do formulário Entidade. Consulte: Criar uma entidade para auditoria que faz referência à aplicação de negócios.

    Procedimento

    1. Navegar até Tudo > Auditoria > Acordos > Todos os acordos.
    2. Para adicionar a entidade de aplicação de negócios ao compromisso, clique no botão Adicionar na lista relacionada Entidades.
      Nota:
      O compromisso deve estar no estado Escopo ou Validar.

      Consulte: Como adicionar perfis a um escopo de compromisso.

      Quando um perfil de aplicação é anexado a um compromisso, um registro de compromisso com o perfil associado é criado na tabela Perfil para compromissos [sn_audit_m2m_profile_engagement].

    Adicionar um controle à entidade de aplicação de negócios

    Associe um controle a uma entidade de aplicação de negócios que pode estar em risco. É obrigatório que você defina um controle eficaz nas aplicações de negócios para reduzir riscos e proteger seus negócios. Ao atualizar suas aplicações de negócios, você pode substituir seus controles desatualizados.

    Antes de Iniciar

    Função necessária: administrador

    Você deve ter criado uma entidade antes de associar um controle a ela. Os controles são criados no GRC.

    Procedimento

    Para criar um controle e adicionar uma entidade a ele, consulte Criação de um controle.
    • A entidade selecionada na tabela Controles [sn_compliance_control] deve ser uma aplicação de negócios e a Classe da entidade do registro deve ser uma aplicação.
    • O registro de controle pode estar no estado Rascunho ou Descontinuado. No entanto, os controles nesses estados não estão visíveis em Arquitetura empresarial (anteriormente Application Portfolio Management) para serem associados a uma aplicação de negócios.

    Exibir Governança, risco e conformidade riscos e compromissos da aplicação de negócios

    Como proprietário da aplicação, você pode exibir os riscos aos quais uma aplicação de negócios está exposta. Governança, risco e conformidade (GRC) audita a entidade de aplicação de negócios e os riscos e compromissos auditados são capturados como listas relacionadas com script no formulário de aplicação de negócios.

    Antes de Iniciar

    Função necessária: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Procedimento

    1. Navegar até Tudo > Arquitetura empresarial > Portfólio de aplicações > Todas as aplicações de negócios.
    2. Clique no item relacionado a Riscos de GRC.
    3. Exiba o nome da declaração de risco, sua descrição, a categoria de risco (jurídica, financeira, operacional e assim por diante), o impacto inerente que indica os níveis de risco e a probabilidade inerente que indica a probabilidade de ocorrência do risco.
      Consulte: Gerenciar riscos, declarações de risco e estruturas de risco
    4. Clique no item relacionado a Compromissos.
    5. Exibir o nome do compromisso, o usuário a quem ele está atribuído, o estado em que o compromisso está, a data de início planejada em que a atividade deve começar, sua data de término, a porcentagem de compromisso concluída e o custo real do compromisso .
      Consulte: Gerenciar compromissos
    6. Clique no item relacionado a Controles.
    7. Exiba o nome do controle, seu proprietário, o status do controle, esteja ele em conformidade ou não, a classificação do controle, seja ele preventivo, corretivo ou de detecção, e a frequência de certificação na qual o trabalho agendado é executado.

      Consulte: Gerenciar controles

    8. Clique na seta para exibir/ocultar listas hierárquicas ao lado de um registro de risco na lista relacionada Riscos do GRC para exibir todos os controles associados ao risco da aplicação de negócios.

      Quando você associa um controle a um risco, o controle com o risco associado é criado na tabela Risco para controle [sn_risk_m2m_risk_control].

      Figura 1. Controles associados a um risco
      Controles associados ao risco