Fluxo de trabalho de identificação de risco para aplicações de negócios

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Ao avaliar uma aplicação para riscos, a aplicação passa por várias fases de identificação e avaliação de riscos. Você pode definir o fluxo de trabalho de identificação e avaliação com base em seus requisitos.

    Antes que os riscos de uma aplicação sejam avaliados, a aplicação deve ser criada na tabela Aplicação de negócios e levada para GRC. Depois que a aplicação chega GRC um registro de identificação de risco é criado. O proprietário da aplicação fornece informações sobre a aplicação para o gerente de risco de TI. Em seguida, o IT Risk Manager mapeia os riscos, citações e políticas recomendados.

    Considere o exemplo a seguir para entender o fluxo de trabalho de identificação e avaliação de risco para uma aplicação de negócios. Uma nova aplicação de negócios é introduzida em sua organização. Esta nova aplicação faz parte da tabela Aplicação de negócios. A nova aplicação tem dois responsáveis:
    • Responsável pela aplicação de TI
    • Proprietário da empresa: Este usuário deve ter a função sn_grc.business_user.
    Nota:
    Sua organização pode usar funções diferentes.
    Neste ponto, a aplicação não faz parte de GRC. Ele deve ser levado para GRC como uma entidade antes que seus riscos possam ser avaliados. A nova aplicação também deve ter objetos de informação associados a ela.

    O fluxo de trabalho e os aprovadores da avaliação de risco da aplicação são determinados pelas configurações no formulário Configuração de identificação de risco. Consulte Configure a integração de identificação de risco para entender o processo de definição do fluxo de trabalho. Para reiniciar a identificação de risco, uma ação do Flow Designer é fornecida.

    Ao avaliar uma nova aplicação de negócios, o fluxo de trabalho da identificação de risco é o seguinte:
    1. Uma aplicação de negócios é criada automaticamente ou por um proprietário da aplicação na tabela da aplicação de negócios.
    2. GRC detecta a nova aplicação de negócios. . GRC a entidade é criada para a nova aplicação. A detecção é tratada pelo GRC Trabalho programado de geração de perfil que é executado em segundo plano.
    3. Um novo registro de identificação de risco é criado para a aplicação.
      Nota:
      O Gerenciador de riscos pode modificar o registro de configuração e determinar o fluxo de trabalho da avaliação. Depois que uma configuração de identificação de risco é publicada, o gerente de risco pode modificar somente alguns campos no registro de configuração.
    4. Um questionário é iniciado e enviado ao proprietário da aplicação para coletar detalhes sobre a aplicação.
    5. O responsável pela aplicação responde ao questionário.
    6. O gerente de risco de TI revisa as respostas. Se as respostas forem insatisfatórias, o gerente enviará o questionário de volta ao responsável pela aplicação.
      Nota:
      Se o questionário for enviado de volta, as novas respostas serão revertidas para o formulário original.
    7. Com base na configuração, depois que o gerente de risco de TI estiver satisfeito com as respostas, o sistema iniciará a avaliação inerente.
    8. GRC mapeia os riscos e os objetos de conformidade com base nos tipos de entidade.
    9. O IT Risk Manager revisa o mapeamento do objeto de informações.
    10. O sistema executa o mecanismo de recomendação com base no algoritmo selecionado na configuração.
    11. O IT Risk Manager revisa e mapeia os riscos, políticas e citações recomendados com base nos objetos de informação associados.
    12. O IT Risk Manager mapeia os controles recomendados com base em citações, políticas e riscos associados.
    13. O proprietário da aplicação gerencia o ciclo de vida do controle e atesta os controles.
    A figura a seguir representa o fluxo de trabalho da solução.
    Figura 1. Fluxo de trabalho da solução da integração GRC e APM
    Integração de APM e Advanced Risk Assessment

    Estados do registro de identificação de risco

    Depois que a configuração de identificação de risco passa para o estado Publicado, um registro de identificação de risco é criado para a entidade relacionada.

    O registro de identificação de risco passa pelos seguintes estados:
    • Novo: Um novo registro é criado
    • Coleta de informações: As informações sobre a aplicação são coletadas.
    • Revisão: O gerente de risco revisa as informações.
    • Avaliação inerente: O gerente de risco executa a avaliação de risco inerente.
    • Mapeamento de risco: O gerente de risco mapeia os riscos, citações e políticas necessários.
    • Monitorar: Os riscos são monitorados.
    • Descontinuado: Os riscos são descontinuados conforme necessário.

    Depois que a configuração de identificação de risco passa para o estado Descontinuado, a configuração se torna inválida e os registros de identificação de risco não são criados para entidades relacionadas.

    Em termos de ciclo de vida, um registro de identificação de risco passa pelos seguintes estados:
    1. Novo(a)
    2. Coleta de informações
    3. Revisão
    4. Avaliação inerente
    5. Mapeamento de risco
    6. Monitoramento
    7. Descontinuado