Integrar com Governança, risco e conformidade identificar riscos e controles da aplicação

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • Arquitetura empresarial(anteriormente Application Portfolio Management) integra-se ao Governança, risco e conformidade(GRC) para ajudar a identificar e avaliar riscos em aplicações de negócios.

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Usando a aplicação GRC, você pode analisar os riscos associados a ativos como hardware, software e aplicação de negócios. Você também pode identificar e testar controles associados a esses riscos, bem como observar as auditorias que foram realizadas nesses ativos. Esta análise ajuda os proprietários da aplicação a entender o risco da aplicação de negócios de forma eficaz.

    O proprietário da aplicação pode identificar riscos significativos e problemas de conformidade aos quais as aplicações de negócios estão expostas, sem precisar envolver um sistema de auditoria externo e executar as aplicações por meio do processo de auditoria.

    Ative os plug-ins a seguir para integrar Arquitetura empresarialCom GRC.

    Procedimento

    1. Navegar até Tudo > Definição do Sistema > Plug-ins.
    2. Instale o plug-in GRC: Dependências de perfil GRC (com.snc.grc_profile_dep).
    3. Instale o plug-in GRC: Dependências de gestão de riscos do fornecedor (com.snc.grc_vrm_dep).
    4. Instale o plug-in GRC: Dependências da Gestão de políticas e conformidade (com.snc.grc_policy_dep).

      Isso também requer a instalação da conformidade da aplicação do ServiceNow app store.

      Nota:
      A integração também requer determinados aplicativos que devem ser instalados a partir do ServiceNow app store. Consulte Solicitar apps na Store para obter instruções sobre como baixá-los e ativá-los.

    O que Fazer Depois

    Crie uma entidade que faça referência à aplicação de negócios . Anexe a entidade a uma auditoria.

    Crie uma entidade para auditoria que faz referência à aplicação de negócios

    Crie uma entidade com referência à tabela da aplicação de negócios e seu registro de aplicação específico. Use a entidade para definir o escopo da exposição a riscos e executar avaliações de risco em aplicações de negócios.

    Antes de Iniciar

    Função necessária: sn_audit.admin ou sn_audit.manager

    Por Que e Quando Desempenhar Esta Tarefa

    GRC usa o termo, entidade , em vez de perfil. Uma entidade pode ser qualquer coisa, como um banco de dados, servidor ou uma aplicação de negócios, que pode ser auditada.

    Procedimento

    1. Navegar até Tudo > Auditoria > Escopo > Todas as entidades.
    2. Clique em Nova.
    3. No formulário, preencha os campos.
      Para obter informações de campo, consulte Formulário Entidade.
    4. Clique em Enviar.
      Para obter mais informações, consulte:

    Associe um risco à entidade

    Anexe a entidade a um risco e crie um registro de risco. Avalie e identifique riscos que podem afetar negativamente suas aplicações de negócios.

    Antes de Iniciar

    Função necessária: sn_risk.admin e sn_risk.manager

    Procedimento

    1. Navegar até Tudo > Risco > Registro de riscos > Todos os Riscos.
    2. Crie um risco no formulário Risco.

      Consulte: Criar um risco manualmente .

      Nota:

      Relacione o risco à entidade em Entidade campo.

    Adicione entidade de aplicação de negócios a um compromisso

    As entidades são avaliadas e avaliadas quanto ao compromisso de auditoria. Após o qual as entidades com escopo para compromisso de auditoria e validadas são associadas a uma auditoria.

    Antes de Iniciar

    Função necessária: sn_audit.manager ou sn_audit.admin

    Para adicionar uma entidade de aplicação de negócios a um compromisso, você deve ter criado uma entidade que faça referência à aplicação de negócios no Entidade Campo do formulário Entidade. Consulte: Crie uma entidade para auditoria que faz referência à aplicação de negócios .

    Procedimento

    1. Navegar até Tudo > Auditoria > Compromissos > Todos os acordos.
    2. Para adicionar a entidade da aplicação de negócios ao compromisso, clique em Adicionar botão em Entidades lista relacionada.
      Nota:
      O compromisso deve estar em Escopo ou Validar estado.

      Consulte: Adicione perfis a um escopo de compromisso .

      Quando um perfil de aplicação é anexado a um compromisso, um registro de compromisso com o perfil associado é criado na tabela Perfil para compromissos [sn_audit_m2m_profile_engagement].

    Adicione um controle à entidade da aplicação de negócios

    Associe um controle a uma entidade de aplicação de negócios que possa estar em risco. É obrigatório que você defina um controle eficaz nas aplicações de negócios para mitigar riscos e proteger seus negócios. Ao atualizar suas aplicações de negócios, você pode substituir seus controles desatualizados.

    Antes de Iniciar

    Função necessária: administrador

    Você deve ter criado uma entidade antes de associar um controle a ela. Os controles são criados no GRC.

    Procedimento

    Para criar um controle e adicionar uma entidade ao controle, consulte Crie um controle .
    • A entidade selecionada na tabela Controles [sn_compliance_control] deve ser uma aplicação de negócios e a entidade Classe do registro deve ser a aplicação.
    • O registro de controle pode estar em Rascunho ou Descontinuado estado. No entanto, os controles nesses estados não estão visíveis em Arquitetura empresarial(anteriormente Application Portfolio Management) associado a uma aplicação de negócios.

    Exibir Governança, risco e conformidade riscos e compromissos para aplicação de negócios

    Como proprietário da aplicação, você pode exibir os riscos aos quais uma aplicação de negócios está exposta. Governança, risco e conformidade (GRC) Audita a entidade da aplicação de negócios e os riscos e compromissos auditados são capturados como listas relacionadas com script no formulário da aplicação de negócios.

    Antes de Iniciar

    Função necessária: sn_apm.apm_user, sn_apm.business_stakeholder_apm_user

    Procedimento

    1. Navegar até Tudo > Arquitetura empresarial > Portfólio de aplicações > Todas as aplicações de negócios.
    2. Clique em Riscos de GRC item relacionado.
    3. Exiba o nome da declaração de risco, sua descrição, a categoria de risco (jurídico, financeiro, operacional e assim por diante), o impacto inerente que indica os níveis de risco e a probabilidade inerente que indica a probabilidade de ocorrência do risco.
      Consulte: Gerencie riscos, declarações de risco e estruturas de risco
    4. Clique em Compromissos item relacionado.
    5. Exiba o nome do compromisso, o usuário a quem ele está atribuído, o estado em que o compromisso está, a data de início planejada na qual a atividade deve começar, sua data de término, a porcentagem de compromisso concluído e o custo real do compromisso.
      Consulte: Gerenciar compromissos
    6. Clique em Controles item relacionado.
    7. Exiba o nome do controle, seu responsável, o status do controle, se ele está em conformidade ou não, a classificação do controle, se é preventivo, corretivo ou detective, e a frequência de certificação na qual o trabalho agendado é executado.

      Consulte: Gerenciar controles

    8. Clique na seta exibir/ocultar listas hierárquicas ao lado de um registro de risco na lista relacionada Riscos do GRC para exibir todos os controles associados ao risco da aplicação de negócios.

      Quando você associa um controle a um risco, o controle com seu risco associado é criado na tabela Risco para controle [sn_risk_m2m_risk_control].

      Figura 1. Controles associados a um risco
      Controles associados ao risco