Fatores na Avaliação avançada de riscos

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 6 min. de leitura

    • Fatores são perguntas que você pode usar para analisar riscos. Os fatores aparecem em uma instância de avaliação de risco.

    Fatores são perguntas que aparecem durante a avaliação de risco. Para usar a Avaliação avançada de riscos, você deve primeiro definir esses fatores e configurar uma metodologia de avaliação de risco (RAM). Para obter mais informações sobre RAMs, consulte Configure uma metodologia de avaliação de risco. Cada fator ou pergunta tem uma resposta. Existem diferentes tipos de fatores:
    • Fator manual: Um fator que requer entrada humana. A resposta é manual. Um exemplo é o seu nome.
    • Fator automatizado: Um fator cuja resposta é calculada automaticamente. Um exemplo é a temperatura na sua cidade hoje. As informações são obtidas de fontes externas.
    • Fatores automatizados com script: Um fator usado para escrever scripts.
    • Fator de grupo: Um conjunto de fatores agrupados logicamente.

    Esses tipos de fator são explicados mais nas seções a seguir. Depois de definir os fatores e publicá-los, você pode configurar uma RAM e associar os fatores aos tipos de avaliação na RAM. A RAM forma a base da avaliação de risco. Publique cada um dos tipos de avaliação selecionados e publique a RAM. Usuários com a função sn_risk.user podem selecionar os tipos de avaliação para os quais a avaliação deve ser realizada.

    Sua instância de avaliação de risco é criada. Suas propriedades dependem dos tipos de avaliação e das opções que você selecionou para sua RAM. A instância de avaliação de risco é onde o avaliador de risco avalia os riscos. Como uma pergunta, um fator pode ser usado em vários tipos de avaliação. Por exemplo, uma pergunta como "Qual é a probabilidade de um edifício ficar inundado?" pode fazer parte de uma avaliação inerente ou residual após a avaliação de eficácia do controle.

    Nota:
    Um fator pode ser usado em vários tipos de avaliação, mas pode ser usado em apenas uma RAM. Um fator criado e usado em uma RAM não pode ser reutilizado em outros RAMs.

    Tipos de contribuições de fator

    Um avaliador fornece respostas aos fatores. Os avaliadores de risco podem contribuir para os fatores das seguintes maneiras:
    • Qualitativo: As perdas estão na forma de termos subjetivos, como alto, médio e baixo. As perdas também podem ser na forma de uma pontuação numérica que é convertida em uma classificação.
    • Quantitativo: As perdas estão em forma numérica. Eles podem ser incorridos a partir de um risco em termos monetários. Contribuem para a Expectativa de Perda Anual (ALE) inerente.
    • Ambos: As perdas têm uma classificação de risco qualitativa e um valor quantitativo em dólares. Essas classificações também são chamadas de semiquantitativas.
    Para obter mais informações sobre como entender classificações qualitativas, quantitativas e semiquantitativas, consulte Tipos de metodologias de classificação de risco

    Fatores manuais

    Em uma avaliação de risco, as perguntas que precisam de respostas humanas dos entrevistados são chamadas de fatores manuais. Em fatores manuais, a resposta é subjetiva e difícil de classificar. Algumas questões exigem inteligência humana e avaliação. Portanto, um fator manual é uma avaliação subjetiva da visão de uma pessoa. Exemplos de fatores manuais são impacto na reputação, velocidade esperada de início e assim por diante. Em fatores manuais, os usuários podem fornecer os seguintes tipos de respostas:
    • Texto: Uma resposta descritiva. Por exemplo, feedback. Esta opção não contribui para o cálculo da pontuação de risco​.
    • Opção: Opções definidas pelo usuário para as perguntas na avaliação. Por exemplo, os usuários podem selecionar classificações de risco entre baixa, média ou alta.
    • Número: Um valor numérico. Por exemplo, o número de problemas em aberto.
    • Moeda: Um valor na moeda local do usuário. Por exemplo, o impacto financeiro de um determinado risco.
    • Percentual: Um valor percentual para as perguntas na avaliação. Por exemplo, a porcentagem de funcionários satisfeitos com as estratégias da organização.

    Fatores de grupo

    Quando os fatores são agrupados logicamente, eles são chamados de fatores de grupo. A pontuação de um fator de grupo depende das respostas dos fatores manuais correspondentes​. Por exemplo, as organizações são afetadas por riscos financeiros e riscos não financeiros. Você pode criar alguns fatores para riscos financeiros e outros fatores para riscos não financeiros. Você pode combinar esses dois conjuntos de fatores em um único fator de grupo chamado Impacto geral. Como os fatores manuais, os fatores de grupo podem contribuir para uma pontuação de risco numérica que é convertida em uma contribuição qualitativa ou para os valores da ALE como uma contribuição quantitativa.

    Fatores automatizados

    Os fatores automatizados buscam automaticamente os dados mais recentes, durante uma avaliação, de qualquer uma das fontes de dados, como tabelas ou exibições de banco de dados. Fatores automatizados ajudam a automatizar o processo de avaliação de risco. Eles não dependem de entradas manuais e, portanto, reduzem a subjetividade. Por exemplo, um avaliador de risco deseja executar uma avaliação para locais diferentes. Um dos fatores automatizados é a condição política de um país, e essas informações estão publicamente disponíveis em um site. Porque esses dados não residem em ServiceNow, o avaliador pode usar fatores automatizados para buscar os dados. Alguns outros exemplos de fatores automatizados são os seguintes:
    • O número de funcionários em um projeto.
    • A receita de uma unidade de negócios.
    • A criticidade comercial de um processo.

    Fatores automatizados com script

    Fatores de script automatizados são usados para gravar scripts. Os scripts obtêm os dados de qualquer um deles ServiceNow ou de fontes externas. Os fatores automatizados com script fornecem automaticamente as respostas para os fatores durante a avaliação de risco.

    Os casos de uso a seguir demonstram um exemplo de como você pode modelar fatores com script. Por exemplo, se você quiser usar os resultados da função de conformidade para avaliar a eficácia de mitigação dos controles, há duas maneiras de avaliar os controles:
    • Avaliação individual de controles
    • Avaliação do ambiente de controle.
    Na avaliação individual dos controles, cada controle é avaliado separadamente. Para entender a avaliação de controle no contexto de fatores com script, considere o exemplo de lavagem de dinheiro como um risco. Neste exemplo, a eficácia do controle é avaliada com base na porcentagem dos controles com falha. Os valores dos controles com falha são transformados em uma classificação para calcular a eficácia do controle desse controle. Por exemplo, o risco de lavagem de dinheiro tem três controles atenuantes:
    • Treinamento do funcionário
    • Auditoria interna em funcionários
    • Due diligence do cliente
    Suponha que você tenha definido os critérios de eficácia do controle da seguinte maneira:
    Falha na eficácia do projeto de controle Eficácia do controle
    0%-30% Eficaz
    30%-60% Precisa de melhoria
    > 60% Ineficaz

    Agora, suponha que, dos três controles, um controle foi aprovado e dois controles falharam. A falha de dois controles se traduz em uma taxa de falha de 66,67%. Com base na transformação e na tabela anterior, a classificação de eficácia do controle é ineficaz. Você pode usar este script definido para automatizar a resposta ao fator para avaliar o risco de lavagem de dinheiro.

    Quanto à avaliação do ambiente de controle, você pode avaliar o ambiente de controle completo em vez de avaliar cada controle individualmente. Para entender a avaliação do ambiente de controle, considere o exemplo a seguir. Suponha que você deseja avaliar o ambiente de controle com base em dois aspectos: Eficácia do design e eficácia operacional. Para calcular a eficácia do design, você pode buscar os controles relacionados relacionados ao risco de lavagem de dinheiro. Em seguida, você pode analisar os resultados do teste para entender quantos dos controles falharam. Suponha que você tenha definido os critérios de eficácia do controle da seguinte maneira:
    Falha na eficácia do projeto de controle Eficácia do controle
    0%-30% Eficaz
    30%-60% Precisa de melhoria
    > 60% Ineficaz

    Agora, suponha que dois controles falharam e um controle foi aprovado. Assim, a taxa de falha da eficácia do projeto de controle é de 33,33%. Com base na tabela anterior, este valor baixo de 33,33% significa que o design de controle precisa de melhorias. Esta resposta pode ser automaticamente com script no fator de script automatizado porque não precisa de nenhum cálculo ou intervenção humana.