IBM OpenPages GRC Platform Versão 7.0public.dhe.ibm.com/software/data/cognos/... · A maioria dos eventos em Algo FIRST captura informações quantitativas, bem como análise qualitativa

IBM OpenPages GRC PlatformVersão 7.0.0

Visão geral do módulo degerenciamento de risco operacional

��

NotaAntes de usar estas informações e o produto suportado por elas, leia as informações em “Avisos” na página 71.

Informações do produto

Este documento se aplica ao IBM OpenPages GRC Platform Versão 7.0.0 e pode também se aplicar às liberaçõessubsequentes.

Licensed Materials - Property of IBM Corporation.

© Copyright IBM Corporation, 2003, 2013.

Direitos Restritos aos Usuários do Governo dos EUA - Uso, duplicação ou divulgação restritos pelo documento GSAADP Schedule Contract com a IBM Corp.

Índice

Informações sobre liberação e atualização de documento . . . . . . . . . . . . . . v

Capítulo 1. Introdução. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1O que há de novo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Licenciamento de tipo de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Sobre o IBM Algo FIRST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

Capítulo 2. Módulo IBM OpenPages Operational Risk Management . . . . . . . . . . 3Eventos de perda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Autoavaliações de risco e controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Principais indicadores de risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Principais indicadores de desempenho . . . . . . . . . . . . . . . . . . . . . . . . . . 11Análise de cenário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Análise de dados de perda externa . . . . . . . . . . . . . . . . . . . . . . . . . . . 14Gerenciamento de problemas e correção . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Capítulo 3. Tipos de objeto . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Tipos de objeto ativados por padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . 17Tipos de objeto desativados por padrão . . . . . . . . . . . . . . . . . . . . . . . . . . 21Subcomponentes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Capítulo 4. Campos computados . . . . . . . . . . . . . . . . . . . . . . . . 25

Capítulo 5. Auxiliares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Auxiliar de conclusão de cenário . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Utilitário de criação de valor de KRI . . . . . . . . . . . . . . . . . . . . . . . . . . . 27Utilitário de criação de valor de KPI . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Auxiliar de conclusão de RCSA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Auxiliar de alinhamento de processo de RCSA . . . . . . . . . . . . . . . . . . . . . . . 29Auxiliar de Utilitário de ativação do RCSA . . . . . . . . . . . . . . . . . . . . . . . . . 29Auxiliar de sincronização de site de RCSA . . . . . . . . . . . . . . . . . . . . . . . . . 30Configuração dos auxiliares de RCSA . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Capítulo 6. Notificações . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33Notificação de Boletim de problema e ação . . . . . . . . . . . . . . . . . . . . . . . . . 33Notificação de lembrete de KRI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Notificação de violação de KRI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34Notificação de lembrete de KPI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Notificação de violação de KPI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Capítulo 7. Relatórios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Relatórios específicos do ORM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Relatórios de Eventos de perda . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Relatórios de gerenciamento de problemas e correção . . . . . . . . . . . . . . . . . . . . 38Relatórios de análise de cenário . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Relatórios compartilhados com outros módulos . . . . . . . . . . . . . . . . . . . . . . . 38Relatórios de avaliação de risco. . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Relatórios de risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Relatórios de controle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Relatórios de teste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Relatórios de indicador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40Relatórios de visualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

iii

Capítulo 8. Acionadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43Acionadores específicos do ORM . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

Acionadores de ciclo de vida de dvento de perda . . . . . . . . . . . . . . . . . . . . . 43Acionadores compartilhados com outros módulos . . . . . . . . . . . . . . . . . . . . . . 46

Acionador de Gerenciamento de problemas e correção . . . . . . . . . . . . . . . . . . . . 46Acionador de ciclo de vida de KRI . . . . . . . . . . . . . . . . . . . . . . . . . . 47Acionador de ciclo de vida de KPI . . . . . . . . . . . . . . . . . . . . . . . . . . 47Acionadores de autoavaliações de risco e controle . . . . . . . . . . . . . . . . . . . . . 48Acionadores de visualização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Capítulo 9. Perfis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53Perfil do OpenPages ORM 7.0.0 Master . . . . . . . . . . . . . . . . . . . . . . . . . . 53Perfil da equipe de risco operacional do ORM . . . . . . . . . . . . . . . . . . . . . . . . 53Perfil de usuário corporativo do ORM . . . . . . . . . . . . . . . . . . . . . . . . . . 54Perfil de usuário simplificado do ORM . . . . . . . . . . . . . . . . . . . . . . . . . . 54Listas filtradas da página inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Visualizações de atividade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58Visualizações em grade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Perfil do OpenPages FIRST Loss 7.0.0 . . . . . . . . . . . . . . . . . . . . . . . . . . 62

Capítulo 10. Modelos da função . . . . . . . . . . . . . . . . . . . . . . . . . 65

Avisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

Índice Remissivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

iv IBM OpenPages GRC Platform Versão 7.0.0: Visão geral do módulo de gerenciamento de risco operacional

Informações sobre liberação e atualização de documento

Este tópico lista informações sobre este documento e onde as atualizações destedocumento podem ser localizadas.

Informações sobre a liberação de documento

Versão de software: 7.0.0

Documento publicado: dezembro de 2013

Atualizações de documento

Documentação suplementar está disponível na web. Acesse o Centro deInformações do IBM® OpenPages GRC Platform (http://pic.dhe.ibm.com/infocenter/op/v7r0m0/index.jsp).

v

http://pic.dhe.ibm.com/infocenter/op/v7r0m0/index.jsp

vi IBM OpenPages GRC Platform Versão 7.0.0: Visão geral do módulo de gerenciamento de risco operacional

Capítulo 1. Introdução

Utilize este guia com módulo IBM OpenPages Operational Risk Management.

Localizando informações

Para localizar documentação do produto IBM OpenPages GRC Platform na web,incluindo toda a documentação traduzida, acesse o Centro de Informações do IBMOpenPages GRC Platform (http://pic.dhe.ibm.com/infocenter/op/v7r0m0/index.jsp). Notas sobre a Liberação são publicadas diretamente no Centro deInformações e incluem links para as mais recentes notas técnicas e APARs.

Recursos de acessibilidade

Os recursos de acessibilidade ajudam usuários com alguma deficiência, comomobilidade reduzida ou visão limitada, a utilizar produtos de tecnologia dainformações.

A documentação em HTML da IBM possui recursos de acessibilidade. Osdocumentos em PDF são complementares e, como tais, não incluem recursos deacessibilidade.

O que há de novoAs informações a seguir destacam os principais novos recursos e aprimoramentosque foram feitos para o módulo IBM OpenPages Operational Risk Management.

Funcionalidade de ORM enriquecida

Novo fluxo de trabalho, automação e relatórios são incluídos no módulo deGerenciamento de Risco Operacional para proporcionar abordagens padrão para aspráticas de ORM a seguir:v Eventos de perdav Autoavaliação de controle e riscov Principais indicadores de riscov Principais indicadores de desempenhov Análise de cenáriov Análise de dados de perda externav Gerenciamento de problemas e correção

Licenciamento de tipo de objeto

Para o módulo IBM OpenPages Operational Risk Management, você estálicenciado a usar os tipos de objeto listados em Capítulo 3, “Tipos de objeto”, napágina 17. O uso de quaisquer outros tipos de objeto é proibido sem a aprovaçãoprévia por escrito da IBM.

1



Sobre o IBM Algo FIRSTO banco de dados do IBM Algo FIRST é uma coleção de Eventos de perda de riscooperacional públicos no formato de casos de referência de risco.

Os eventos do Algo FIRST são destinados ao setor financeiro e contêm mais de 20anos de eventos que foram indexados para 13 hierarquias de palavra-chave,incluindo a categoria Basileia e linha de negócios. Outras hierarquias incluem fatorde controle, acionador de evento, tipo de unidade de negócios e tipo de entidade.Os casos do FIRST Alg incluem descrições minuciosas que detalham o evento paraanalisar a causa-raiz, identificar falhas de controle, lições aprendidas, resposta degerenciamento e consequência do evento. Eventos também podem incluir seçõescom detalhes de apoio que fornecem uma linha de tempo para o evento,informações relevantes sobre a instituição na qual o evento ocorreu ou outrosdetalhes sobre impactos de perda.

A maioria dos eventos em Algo FIRST captura informações quantitativas, bemcomo análise qualitativa detalhada. Estas informações quantitativas assumem aforma de quantias de perda que são capturadas no momento do evento.

O IBM Algo FIRST oferece uma assinatura para um complemento de dadosatualizado diariamente com o banco de dados do IBM Algo FIRST em um formatoque seja compatível com o recurso FastMap do IBM OpenPages . Os clientes doIBM OpenPages GRC Platform podem usar o complemento de dados FastMap doIBM Algo FIRST para fornecer aos usuários finais acesso aos casos de referência doAlgo FIRST no aplicativo IBM OpenPages. Após os dados serem carregados emIBM OpenPages, os usuários finais são capazes de procurar e associar referênciasde caso do Algo FIRST a objetos do GRC como Análises de cenário, Riscos eEventos de perda. Consulte seu representante de conta IBM conta para obterdetalhes sobre como obter o complemento de dados do IBM Algo FIRST para IBMOpenPages.

Se você assinar o serviço de banco de dados do IBM Algo FIRST, o Algo FIRSTfornecerá um arquivo FastMap compatível para um carregamento integral dedados do Algo FIRST para o módulo de Gerenciamento de risco operacional doIBM OpenPages .

Por padrão, o módulo de Gerenciamento de risco operacional do IBM OpenPagesinclui o perfil OpenPages FIRST Loss 7.0.0. Os usuários com esse perfil podecarregar dados do FIRST Loss por meio do recurso FastMap do IBM OpenPages .Para obter informações adicionais sobre esse perfil, consulte “Perfil do OpenPagesFIRST Loss 7.0.0” na página 62.

2 IBM OpenPages GRC Platform Versão 7.0.0: Visão geral do módulo de gerenciamento de risco operacional

Capítulo 2. Módulo IBM OpenPages Operational RiskManagement

O IBM OpenPages Operational Risk Management combina gerenciamento deprocesso e de documento com um sistema de monitoramento e suporte à decisãoque permite que as organizações analisem, gerenciem e atenuem riscos de maneirasimples e eficiente.

O IBM OpenPages Operational Risk Management automatiza o processo deidentificação, medição e monitoramento de risco operacional. Ele combina todos osdados de risco, incluindo autoavaliações de risco e controle, Eventos de perda,análise de cenário, perdas externas e principais indicadores de risco (KRI), em umúnico módulo integrado.

O OpenPages Operational Risk Management inclui os recursos-chave a seguir:v Eventos de perda, que incluem as atividades a seguir:

– Rastreamento, avaliação e gerenciamento de ambos os eventos, internos eexternos, que podem resultar em perda operacional.

– Gerenciando de diversos eventos e recuperações de impacto que estãoassociados a perdas operacionais.

v Autoavaliações de risco e controle (RCSA), o que incluem as atividades a seguir:– Identificação, medição e mitigação dos riscos.– Teste e documentação de controles internos.

v Principais indicadores de risco (KRIs) e Principais indicadores de desempenho(KPIs), que podem rastrear as métricas de desempenho para potencialmentemostrar a presença ou estado de uma condição ou tendência de risco.

v Análise de cenário, que é uma técnica de avaliação utilizada para identificar emedir tipos específicos de riscos, em particular, eventos de baixa frequência e dealta severidade.

v Eventos de perda Externos fornecem a capacidade de importar dados de perdade bancos de dados IBM Algo FIRST, ORX e ORIC em OpenPages OperationalRisk Management para análise de cenário, referência e geração de relatórios.Você também pode exportar dados de perda de ferramentas ou aplicativosanalíticos alocação de capital.

v Gerenciamento de Problemas e Remediação (IMR), que inclui as seguintesatividades:– Criação e designação de problema– Criação e designação de ação– Desempenho de correção– Encerramento do problema– Relatório

v Relatório, monitoramento e análise.

Eventos de perdaO recurso IBM OpenPages Loss Event permite a coleta, classificação e manutençãode Eventos de perda de risco operacional dentro da hierarquia de negócios.

3

Ele assegura que as informações sobre Eventos de perda sejam coletadas de formaconsistente em toda a organização, os dados mais importantes sobre cada eventosejam digitados e a aprovação e as ações apropriadas sejam realizadas. Funçõesincluem captura de dados, fluxo de trabalho e notificação de aprovação, interfacecom RCSA e gerenciamento de problema e ação e relatórios padronizados.

O processo para gerenciamento de Eventos de perda inclui os três estágios aseguir:1. Captura

Após a identificação de um Evento de perda, qualquer usuário licenciado doOpenPages pode incluir um Evento de perda executando as ações a seguir:a. No menu da Entidade de negócios apropriada, selecione Eventos de perda.b. Clique em Ações > Incluir um novo Evento de perda.c. Preencha o formulário com quantos dados forem conhecidos.

v Campos obrigatórios incluem Descrição, Proprietário do evento, Data dadescoberta, Perda estimada.

v O campo Status do evento de perda é configurado para Aberto.d. Se conhecidos pelo proprietário do evento, Impactos e recuperações podem

ser incluídos no Evento de perda clicando em Incluir uma novarecuperação ou Incluir um novo impacto a partir do botão Ações na telaEvento de perda.

2. Gerenciamento e enriquecimentoQuando um Evento de perda tiver sido criado, ele aparecerá na página inicialdos proprietários do Evento de perda sob o filtro Minhas perdas Abertas.Nesta lista filtrada, o proprietário do evento pode atualizar o Evento conformeele se mover seu ciclo de vida. As seguintes atividades de enriquecimento sãopossíveis:a. Criar mais impactos e recuperações.b. Atualizar os detalhes do evento.c. Atualizar as categorizações de evento (Categoria de risco da Basileia,

categoria e subcategoria causais, linha de negócios).d. Associar o evento a riscos apropriados em OpenPages.

v O gerenciamento de Eventos de perda é auxiliado por uma visualizaçãode atividade que permite que o usuário veja e atualize campos-chave. Avisualização da atividade inclui o Evento de perda, seus impactos,recuperações e quaisquer problemas associados.

v O gerenciamento e o enriquecimento de Evento de perda não estãorestritos ao proprietário do Evento de perda e podem ser feitos porqualquer usuário com os direitos de acesso apropriados.

3. AprovaçãoQuando um evento atinge o fim do seu ciclo de vida, ele entra no estágio deaprovação.Para aprovar um evento, o proprietário do evento, ou outro usuário com aspermissões apropriadas, salva o Evento de perda com o campo Enviar paraaprovação configurado para Sim. Isso ativa o acionador de envio de Evento deperda, o que instrui o programa a concluir as ações a seguir:a. Validar se os dados no evento estão completos e precisos. Por exemplo, a

data de início do evento é antes da data de encerramento do evento.b. Retornar uma mensagem de erro se houver dados inválidos.


c. Verificar se perda bruta é menor que um limite de aprovação automáticaconfigurado para a Entidade de negócios. O limite é definido naspreferências do objeto.

d. Se perda bruta for menor do que Limite 1, então, o status do evento seráconfigurado como Aprovado e o evento, impactos e Recuperações serãobloqueados.

e. Se perda bruta for maior do que Limite 1, então, o status do evento seráconfigurado para Aguardando aprovação e o processo de aprovaçãocontinuará.

À medida que um Evento de perda se mover por seu ciclo de vida, um campo destatus monitorará seu progresso. Os status a seguir estão disponíveis:1. Aberto

As informações a seguir se aplicam a este status:v Um evento está aberto no ponto da primeira captura no OpenPages.v Impactos são incluídos neste estágio do ciclo do Evento de perda.v O Evento de perda pode ser revisado ou emendado pela equipe de risco

antes de ser enviado para aprovação.v As emendas incluem descrição, mais impactos e categorização de evento.v O evento é incluído no relatório de Evento de perda.

2. Aguardando aprovação ou Aguardando aprovação – Nível 2

As informações a seguir se aplicam a este status:v O evento é exibido na página inicial do aprovador apropriado.v Os detalhes principais do evento são legíveis somente neste estado.v Se perda bruta for menor do que o limite, entãoo, a aprovação será

automática.v Se perda bruta for maior do que o limite 1 e o limite 1 for menor do que o

limite 2, então, a aprovação 1 é necessária.v Se bruto for maior do que o limite 2, então, as aprovações 1 e 2 serão

necessários.v O evento é incluído no relatório de Evento de perda.

3. Aprovado

As informações a seguir se aplicam a este status:v O evento é finalizado.v O evento e seu impacto e recuperação associados são bloqueados, a menos

que o evento precise ser reaberto.v O evento pode ser reaberto por um usuário com as permissões apropriadas.v O evento é incluído no relatório de Evento de perda.

Autoavaliações de risco e controleAvaliações de risco são muitas vezes os principais processos que uma organizaçãoutiliza ao determinar risco operacional.

Os objetivos a seguir estão disponíveis:v Identificar, avaliar e quantificar um perfil de risco para um negócio.v Estabelecer consistência para permitir uma visão ampla do risco na organização.v Aplicar a estrutura, definição e quantificação de tolerância de uma organização

para o risco.

Capítulo 2. Módulo IBM OpenPages Operational Risk Management 5

v Fornecer gerenciamento com informações que resultarão em melhores decisões.

Objetos de avaliação de risco são utilizados para organizar o conteúdo deautoavaliações de risco e controle e para gerenciar o trabalho que está associado àsautoavaliações de risco e controle. Objetos de risco incluem as dimensões a seguir:v Medidas inerentes e residuaisv Avaliação qualitativa e quantitativav Categorização de risco

Por padrão, a categorização de risco é configurada para utilizar Basileia Nível 1 e 2categorias.

No OpenPages Operational Risk Management, o seguinte ciclo de autoavaliaçõesde risco e controle é mantido:v O IBM OpenPages estrutura autoavaliações de risco e controle ao longo de uma

base de entidade, processo, subprocesso com os riscos sendo avaliados para cadaprocesso.

v Cada risco é avaliado em uma base quantitativa ou qualitativa. Os clientestomam uma decisão quanto à sua abordagem. A opção de abordagem deavaliação é uma configuração de todo o sistema que é definida na instalação,mas pode ser ajustada posteriormente, se necessário.

v Os controles são avaliados ao mesmo tempo que os riscos. Controles sãoavaliados numa base qualitativa e marcados como eficazes ou ineficazes em umabase de eficácia operacional e de design.

v Subprocessos podem ser utilizados para auxiliar na atividade de identificação derisco, mas não há sign off ou aprovação num nível de subprocesso.

v A aprovação ou revisão é realizada com base no seguinte:– O proprietário de risco avalia o risco e controles para seus riscos

determinados.– O proprietário de processo irá aprovar ou rejeitar cada risco e controle dentro

de seus processos.– O coordenador de autoavaliações de risco e controle pode aprovar ou rejeitar

o sign off que é feito pelo proprietário do processo e finalizar a aprovação daavaliação de risco em uma entidade como um todo.

v O objeto de avaliação de risco é utilizado para definir o escopo e intercalar osprocessos apropriados para autoavaliações de risco e controle. Uma novaavaliação de risco é criada para cada avaliação de um processo ou um grupo deprocessos.

Os objetos de avaliação de risco, processo, risco e controle são todos gerenciadospor meio do ciclo de vida das autoavaliações de risco e controle por uma série decampos de status.

Gerenciamentos de biblioteca (opcional)

Se os dados estiverem disponíveis, é possível estabelecer uma série de bibliotecasdo processo, risco e controle para uso no ciclo de risco operacional. Os dadospodem ser inseridos em uma planilha adequada e transferidos por upload pormeio de Fastmap ou atualizados manualmente pela equipe de risco operacional eadministradores com privilégios apropriados. É possível sincronizar as alteraçõesfeitas para campos dentro da biblioteca para a instância dos processos, riscos econtroles na estrutura de dados de negócios. Você trabalha com uma equipe deserviços do IBM OpenPages para configurar o utilitário de sincronização. É


possível decidir se e quando utilizar o recurso de Gerenciamento de biblioteca(Fase I, Fase II, futuro próximo ou não todos).

Avaliação de escopo ou configuração

A equipe de risco operacional aplica seus métodos internos para determinar quaisentidades são consideradas como no escopo para autoavaliações de risco econtrole. Entidades dentro do escopo são atualizadas por meio de umavisualização de Atividade onde o usuário marca uma entidade como dentro doescopo ou fora do escopo para autoavaliações de risco e controle. Outrasatualizações podem incluir o nome do coordenador das autoavaliações de risco econtrole e do proprietário das autoavaliações de risco e controle. Após os dadosserem atualizados, o administrador executa o utilitário de ativação dasautoavaliações de risco e controle. O utilitário executa as ações a seguir:v Permite que o administrador insira dados comum em todas as autoavaliações de

risco e controle para esse ciclo, como período ou ano de avaliação, data de inícioe data de encerramento esperada e quaisquer instruções que a equipe de riscooperacional queira comunicar a todos os coordenadores de risco, como diretrizesou instruções.

v Identifica todas as entidades que são marcados como dentro do escopo.v Cria um objeto de avaliação de risco como um filho das entidades dentro do

escopo (status = não iniciado) e preenche mais dados (datas e assim por diante)para o objeto de avaliação de risco.

v Envia emails ao coordenador das autoavaliações de risco e controle para solicitarque ele comece as autoavaliações de risco e controle.

Identificar ou revisar

Neste estágio, o objetivo do coordenador das autoavaliações de risco e controle éassegurar que as ações a seguir ocorram:1. A avaliação de risco seja associada aos processos corretos.2. O processo inclua os riscos e controles apropriados.3. Os riscos e controles em OpenPages estejam documentados corretamente.

Para atingir este objetivo, o coordenador de autoavaliações de risco e controle ativao auxiliar de alinhamento de autoavaliações de risco e controle. O auxiliar apareceem uma janela. Além da tela do auxiliar, o coordenador de risco terá o suporte derelatórios, incluindo um relatório de matriz de risco e controle.

Na última etapa do auxiliar, o coordenador de autoavaliações de risco e controlepode optar por iniciar o estágio de avaliação selecionando Sim. O auxiliar, então,atualiza o status da avaliação de risco e cada processo, risco e controle paraAguardando avaliação. Um email em lote é, então, enviado para os proprietáriosde risco para solicitar que eles concluam a avaliação de cada risco.

Avaliação

Os métodos a seguir são utilizados para notificar os proprietários de risco sobreseus riscos:1. Email (com um link diretamente para cada risco).2. Filtro da página inicial (Meus riscos para avaliar).

No filtro da página inicial, o proprietário do risco pode usar uma visualização deatividade para concluir a avaliação de risco.


A visualização da atividade mostra o risco e os itens a seguir:1. Quaisquer controles associados2. Quaisquer principais indicadores de risco3. Quaisquer Eventos de perda associados4. Quaisquer problemas Abertos associados

Cada controle deve ser marcado como eficaz ou ineficaz a partir de um ponto devista de eficácia operacional e de design. Os riscos são avaliados em uma basequantitativa ou qualitativa. Inicialmente, utilize uma abordagem qualitativa comum proprietário de risco selecionando o impacto e a probabilidade do risco emuma escala de 1-4.

A seleção do número de intervalos para a escala é configurada na instalação e épara o sistema todo. A faixa dos intervalos é armazenada em um objeto de registrode preferência e é flexível para que possa ser configurada por Entidade denegócios. Por exemplo, um risco pode receber uma classificação de 3 para impacto,o que poderia significar US$2.000.000.000. Entretanto, isto poderia ser mapeadopara um impacto do risco de apenas 1 em uma escala global.

Quando o risco e seus controles tiverem sido avaliados, o proprietário do riscopoderá enviar o risco para aprovação. O risco é enviado ao salvá-lo com uma caixade opções de envio para aprovação definida como Sim. Uma validação inicialconfirma que todos os dados apropriados campos foram concluídos no risco e quetodos os controles foram avaliados. Se a validação for bem-sucedida, o status deambos, do risco e de seus controles, muda para Aguardando aprovação.

O acionador de aprovação de risco e controle verifica se todos os riscos para umprocesso estão definidos para Aguardando aprovação. Se estiverem, então oacionador define o status do processo para Aguardando aprovação e o proprietáriodo processo é notificado por email e na página inicial.

Aprovação

A aprovação da avaliação é feita por um proprietário de processo, que confirma aavaliação de cada risco e controle, e um coordenador de autoavaliações de risco econtrole, que confirma a aprovação do proprietário do processo.

Na página inicial, o proprietário de processo pode acessar os processos que estãoaguardando aprovação ou usar a visualização de Atividade de aprovação deprocesso.

A partir desta visualização, o proprietário de processo pode revisar a avaliação decada risco e controle. Cada risco deve ser aprovado ou rejeitado. Se o proprietáriode processo optar por rejeitar a avaliação do risco, então, o proprietário deprocesso deve completar um campo de comentários de rejeição. O status do riscoretorna para Aguardando avaliação.

Se o proprietário de processo aprovar o risco, então, quando a avaliação for salva,o status de risco e controle será atualizado para Aprovado.

Um acionador configura o status do processo para Aprovado, o que confirma quetodos os processos para a avaliação estão aprovadas. Se todos os processos parauma avaliação forem aprovados, então o status de avaliação será atualizado paraAguardando aprovação.


Na página inicial, o coordenador de autoavaliações de risco e controle podenavegar para as autoavaliações de risco e controle que estão aguardandoaprovação e usar a visualização de atividade de aprovação de avaliação de risco.

A partir desta visualização, o coordenador pode revisar a avaliação dos processos(e seus riscos) e, então, finalizar a avaliação. Um acionador fará as seguintes coisas:1. Atualizará o status de avaliação de risco para Avaliado.2. Criará uma árvore de registro de avaliação (registros vinculados de avaliação

de análise de risco, avaliação de processo, avaliação de risco e avaliação decontrole).

3. Preencherá a data de avaliação nos registros de avaliação.

Ação

Em todo o ciclo de autoavaliação de risco e controle, todos os usuários podemcriar problemas novos ou associar problemas e ações existentes ao processo, riscoou controle. Não há criação automatizada de problemas ou ações; eles devem sercriados manualmente.

Principais indicadores de riscoOs principais estágios dentro do ciclo de vida do IBM OpenPages Key RiskIndicator (KRI) são: definição, criação de valor, captura de valor e relatório.

Definição de KRI

No estágio de definição, o proprietário do risco cria um KRI como um filho doobjeto de Entidade de negócios apropriada. O objeto de KRI deve ter os seguintesatributos de dados capturados:v Nome do proprietário de KRI (pessoa responsável pela definição do valor dos

dados de KRI e valores de aprovação, se necessário).v Nome do capturador de KRI (pessoa responsável por coletar valores).v Informações de limite (limite âmbar e vermelho).v Frequência da coleta.v Diferença de frequência (um valor numérico para determinar o prazo final para

a coleta). Por exemplo, se a frequência é mensal e a diferença de frequência fordefinida como 5, então, o proprietário do KRI será solicitado a digitar um valordo KRI no quinto dia de cada mês.

v Status ativo do KRI (configurado para Ativo se os valores devem ser gerados).v A aprovação do valor de KRI necessária (configurada como Sim se a entrada do

valor deve ser revisada pelo proprietário do KRI).

Criação de valor de KRI

Após o KRI ser definido, o sistema determinará se um valor de KRI precisa sergerado com um objeto de valor de KRI como um filho do KRI. Se o KRI formarcado como Ativo, o auxiliar gerará valores de KRI. Se o KRI for marcado comoInativo, o utilitário não gerará um valor em branco. O objeto de valor éconfigurado inicialmente como um item temporário com um status de Aguardandocoleta.


Os valores de KRI são criados por uma tarefa em lote do sistema. A tarefa em lotecria um valor de KRI com detalhes limitados, como ID, descrição, data de capturaesperada, capturador de KRI, proprietário de KRI.

O utilitário de criação de valor de KRI pode ser executado por um administrador,se necessário, como quando a tarefa planejada automática falha ao ser executada

Captura de valor de KRI (e aprovação opcional)

Os métodos de notificação a seguir são utilizados para solicitar que um valor deKRI seja inserido pelo capturador de KRI:1. Notificações por email semanais (para solicitar ao usuário para efetuar login no

OpenPages).2. Filtro da tela da página inicial que é baseado no status do valor de KPI

(Aguardando coleta) e o coletor de KPI (usuário com login efetuado).

No filtro da página inicial, o usuário pode selecionar um KRI, que utiliza ocapturador de KRI para a tela de entrada de KRI. A tela de entrada é umavisualização de atividade de objeto única.

Quando o usuário clica em Salvar, o sistema procura para saber se as condições deativação do acionador foram atendidas. O acionador será ativado se o valor de KPImudar de 'em branco' para 'qualquer valor' e a data de valor é concluída. Se ascondições de ativação do acionador forem atendidas, o acionador de ciclo de vidade KRI será acionado. O acionador executa as ações a seguir:1. Verifica se o KRI está configurado para aprovação.

a. Se Sim, atualiza o status para Aguardando aprovação e conclui as etapas 2,3, 4 e 6.

b. Se Não, atualiza o status de Aguardando coleta para Coletado e conclui asetapas 2, 3, 4 e 5.

2. Copia as informações de limite atual do KRI para o valor do KRI filho.3. Calcula o status de violação.4. Copia o valor do KRI, data do valor, status da coleta e status da violação para

o KRI pai.5. Envia email ao proprietário do risco se o status de violação de KRI mudar de

vermelho para verde ou âmbar para informá-los da violação.6. Se o status for configurado para Aguardando aprovação, o valor do KRI

aparece na página inicial dos proprietários do KRI. O proprietário do KRI podeaprovar ou rejeitar o valor.a. Se o proprietário do KRI rejeitar e salvar o registro, então o valor do KRI e

data do valor ficarão em branco e o status do valor do KRI será definidocomo Aguardando coleta.

b. Se o proprietário do KRI aprovar e salvar o registro, então, o status decoleta muda no valor e no KRI para Coletado.

Nota: A aprovação de KRIs é uma configuração opcional determinada peloproprietário de KRI no momento da definição do KRI.

Relatório de KRI

Uma seleção de KRI relatórios está disponível.


Principais indicadores de desempenhoHá quatro principais estágios dentro do ciclo de vida do OpenPages KeyPerformance Indicator (KPI): definição, criação de valor, captura de valor erelatório.

Definição de KPI

No estágio de definição, o proprietário do risco cria um KPI como um filho doobjeto da Entidade de negócios apropriada. O objeto de KPI deve ter os seguintesatributos de dados capturados:v Nome do proprietário de KPI (pessoa responsável pela definição dos dados do

valor de KPI e valores de aprovação, se necessário).v Nome do capturador de KPI (pessoa responsável por coletar valores).v Informações de limite (limite âmbar e vermelho).v Frequência da coleta.v Diferença de frequência (um valor numérico para determinar o prazo final para

a coleta). Por exemplo, se a frequência é mensal e a diferença de frequência fordefinida como 5, então, o proprietário de KPI será solicitado a digitar um valorde KPI no quinto dia de cada mês.

v Status ativo de KPI (definido para Ativo se os valores devem ser gerados).v Aprovação do valor de KPI requerido (configurado para Sim se a entrada do

valor deve ser revisada pelo proprietário de KPI).

Criação de valor de KPI

Depois que o KPI for definido, o sistema determinará se um valor de KPI énecessário para ser gerado um objeto de valor de KPI como um filho de KPI. Se oKPI for marcado como Ativo, o auxiliar de KPI gerará valores. Se o KPI formarcado como Inativo, o utilitário não gerará um valor em branco. O objeto devalor é configurado inicialmente como um item temporário com um status deAguardando coleta.

Os valores de KPI são criados por uma tarefa em lote do sistema. A tarefa em lotecria um valor de KPI com detalhes limitados, como ID, descrição, data de capturaesperada, capturador de KPI, proprietário de KPI.

O utilitário de criação de valor de KPI pode ser executado por um administrador,se necessário, como quando a tarefa planejada automática falha ao ser executada.

Captura de valor de KPI (e aprovação opcional)

Os métodos de notificação a seguir são utilizados para solicitar um valor de KPI aser inserido pelo capturador de KPI:1. Notificações por email semanais (para solicitar ao usuário para efetuar login no

OpenPages).2. Filtro da tela da página inicial que é baseado no status do valor de KPI

(Aguardando coleta) e o coletor de KPI (usuário com login efetuado) o valor deKPI aparece na página inicial dos usuários.

No filtro da página inicial, o usuário pode selecionar um KPI, que utiliza ocapturador de KPI para a tela de entrada de KPI. A tela de entrada é umavisualização de atividade de objeto única.


Quando o usuário clica em Salvar, o sistema procura para saber se as condições deativação do acionador foram atendidas. O acionador será ativado se o valor de KPImudar de 'em branco' para 'qualquer valor' e a data de valor é concluída. Se ascondições de ativação do acionador forem atendidas, o acionador de ciclo de vidade KRI será acionado. O acionador executa as ações a seguir:1. Verifica se o KPI está configurado para aprovação.

a. Se Sim, atualiza o status para Aguardando aprovação e conclui as etapas 2,3, 4 e 6.

b. Se Não, atualiza o status de Aguardando coleta para Coletado e conclui asetapas 2, 3, 4 e 5.

2. Copia as informações de limite atual de KPI para o valor de KPI filho.3. Calcula o status de violação.4. Copia o valor de KPI, data de valor, status da coleta e status de violação para o

KPI pai.5. Envia um email ao proprietário do risco se o status de violação de KPI mudar

de vermelho para verde ou âmbar para informá-los da violação.6. Se o status for configurado para Aguardando aprovação, o valor de KPI

aparecerá na página inicial dos proprietários de KPI. O proprietário de KPIpode aprovar ou rejeitar o valor.a. Se o proprietário de KPI rejeitar e salvar o registro, então o valor de KPI e a

data de valor ficarão em branco e o status do valor de KPI será configuradopara Aguardando coleta.

b. Se o proprietário de KPI aprovar e salvar o registro, então, o status de coletamudará no valor e no KPI para Coletado.

Nota: A aprovação de KPIs é uma configuração opcional que é determinadapelo proprietário de KPI no momento da definição de KPI.

Relatório de KPI

Uma seleção de relatórios de KPI estão disponíveis.

Análise de cenárioCenários envolvem a quantificação de eventos importantes que podem ocorrer emuma organização (impactos e frequências de eventos potenciais).

A análise de cenário fornece cenários hipotéticos relacionados às perdas de umaorganização. É possível avaliar a potencial frequência de um evento e os potenciaiscustos. A intenção é prever as perdas que não estão incluídas nos dados históricosinternos, por exemplo, eventos que são baixos em frequência, mas altos emseveridade. A análise de cenário é útil para entender os perfis de risco e amodelagem de capital. Ela pode ser aplicada a dados externos, opinião dosespecialistas de dentro da organização, dados internos, avaliações de risco,avaliações de controle e assim por diante.

A abordagem se presta a uma abordagem baseada em workshop; no entanto,também pode ser aplicada por um especialista no assunto individual ou em grupoque esteja executando a análise. As atividades que suportam análise de cenário sãoexecutadas pela equipe de risco operacional.

A análise de cenário pode ser dividida nos estágios a seguir:1. Preenchimento da biblioteca do cenário (opcional)


2. Revisão da aplicabilidade do cenário3. Preparação e distribuição do cenário4. Desempenho do workshop5. Relatório

Preenchimento da biblioteca do cenário (opcional)

Para encorajar uma abordagem padronizada à análise de cenário, pode ser benéficocriar uma biblioteca de modelos preparados. A biblioteca é um conjunto decenários que são pré-preenchidos com dados básicos. Os dados que são geralmenteconfigurado no nível da biblioteca incluem descrição do cenário, escopo,categorização de risco e o ID da biblioteca. Quando copiadas da biblioteca, asunidades de negócios locais atualizam o cenário para refletir sua especificação decenário. A manutenção da biblioteca é restrita à equipe e aos administradores derisco operacional, com outros usuários tendo acesso somente leitura à biblioteca docenário.

Revisão da aplicabilidade do cenário

Nesta fase, a equipe de risco operacional concluirá as tarefas a seguir:v Revisar os cenários existentes em vigor para cada unidade de negócios

(suportadas pelo relatório de resumo de cenário).v Se diferenças de cobertura existirem, copiar da biblioteca ou criar um novo

cenário para corrigir a diferença.v Marcar cada cenário como aplicável ou não aplicável por meio de uma

visualização da atividade.v Configurar o status do cenário para rascunho.

Preparação e distribuição do cenário

Em preparação para o workshop, a equipe de risco operacional pode atualizardetalhes sobre o objeto do cenário, como datas de workshop. Além de atualizar oobjeto de cenário, a equipe de risco operacional ou cenário deve fazer o seguinte:v Associar quaisquer riscos ou problemas pertinentes ao cenário.v Executar os eventos por relatório de categoria e relatórios de resumo de cenário

(de preferência como arquivos PDF para distribuir para os participantes doworkshop através de email).

v Configurar o status do cenário para Aguardando análise.

Desempenho do workshop

Na conclusão ou durante o workshop do cenário, a equipe de risco operacional ouo proprietário do cenário atualiza as descobertas ou resultados do cenário noobjeto do cenário. Para finalizar o cenário, o proprietário executa o Auxiliar deconclusão de cenário. O auxiliar executa validação de dados básica, cria um objetode resultados do cenário, preenche um campo-chave do cenário para o objeto deresultados de cenário e executa e anexa uma cópia dos eventos por categoria eobjeto de detalhes do cenário para o resultado do cenário.

Relatório

Os principais relatórios a seguir estão disponíveis para análise de cenário:1. Resumo de cenário


2. Detalhes do cenário3. Evento por categoria

Análise de dados de perda externaDados de perda externa estão disponíveis para as organizações a partir de origensde dados público, como IBM Algo FIRST ou juntando-se a um consórcio de outrasinstituições, onde cada instituição compartilha seus próprios dados de perda.

As funções do OpenPages que suportam Eventos de perda incluem o seguinte:v Capacidade para importar e armazenar dados de perda externa de diversas

origens (Algo FIRST, ORX, ORIC)v Capacidade para vincular eventos pertinentes a cenáriosv Relatórios de Eventos de perda

Importação de perda externa

Um administrador recebe dados de perda externa de um fornecedor de dados econverte o arquivo recebido em um arquivo de importação Fastmap que é, então,transferido por upload por meio do Fastmap.

Nota: Dependendo do fornecedor, o arquivo precisa de alguma transformação paraser importado para o OpenPages.

Gerenciamento de problemas e correçãoO processo de Gerenciamento de problemas e correção (IMR) é um componenteessencial para qualquer programa de gerenciamento de risco. Uma estrutura IMRadequada fornece reconhecimento, validação e transparência ao programa degerenciamento de riscos que ela suporta.

Quando aplicada com êxito, ela fornece alto valor com sobrecarga mínima e servecomo estímulo subjacente para a melhoria contínua de um programa degerenciamento de risco. Uma estrutura IMR efetiva documenta, monitora, corrige eexecuta auditoria de problemas identificados efetivamente.

Problemas são itens que afetam negativamente a capacidade de gerenciar e relatarrisco com precisão. Eles são itens identificados em relação à estruturadocumentada. Os problemas podem ser associados a vários objetos na estrutura enormalmente possuem atributos para identificar a área de foco, a propriedade, oplanejamento e o status da correção. Um problema pode ser associado a diversospais. Por exemplo, se um problema for descoberto por meio da ocorrência de umEvento de perda, ele poderá ser associado ao Evento de perda, ao risco queocorreu e a quaisquer controles com falha, se documentados.

No IBM OpenPages Operational Risk Management, o processo IMR opera nasprincipais atividades a seguir:1. Criação e designação de problema2. Criação e designação de ação3. Desempenho de correção4. Encerramento do problema5. Relatório


Criação e designação de problema

Problemas ocorrem como resultado de diversas atividades de gerenciamento derisco, como um Evento de perda, violação de limite de KRI ou identificação dedeficiência de controle. Ao longo destas atividades, os usuários podem criar umproblema dentro da IBM OpenPages.

Problemas são incluídos por meio da interface com o usuário padrão; eles não sãocriados automaticamente como resultado de um fator causal.

Na criação, o problema tem um status de aberto. O criador deve inserir um valorpara o campo de prazo final atual. Na primeira vez que um problema é salvo, oprazo final atual é copiada para um campo somente leitura que contém o prazofinal original. Quando um problema é criado, seu proprietário (que não pode ser ocriador) é notificado por email.

Criação e designação de ação

É de responsabilidade do proprietário do problema estabelecer e registrar as açõesapropriadas para resolver o problema identificado. Ações são criadas manualmentepor meio da interface com o usuário padrão. Os dados a seguir são capturados emum item de ação: descrição, designado, data de início, prazo final, data deencerramento real, status (somente leitura) e comentários.

Os designados da ação são notificados de que devem concluir uma ação por meiode Meus itens de ação abertos ou por email.

Desempenho de correção

Depois de ter sido notificado, o designado conclui a ação designada. Algumasações podem levar algum tempo para concluir, portanto, o designado utiliza ocampo de Comentários para acompanhar o progresso.

Quando a ação é concluída, o designado define o campo Enviar para fechamentopara Sim, o que copia o campo do proprietário do problema do problema pai paraa ação e o status da ação para Aguardando aprovação.

A alteração de status leva a ação para a página inicial do proprietário do problemapara revisão e aprovação.

Encerramento do problema

O proprietário do problema acessa uma lista de ações a serem aprovadas paraencerramento a partir da página inicial ou por email.

Se a ação for rejeitada e salva, o status será revertido para aberto e a ação retornarápara o designado da ação. Se a ação for aceita para encerramento e salva, o statusda ação será alterado para fechado e o campo Data de encerramento serápreenchido com a data atual.

Quando as ações forem concluídas, o proprietário do problema revisará o problemae atualizará o status para Fechado.


Relatório

Uma seleção de relatórios de problema e ação está disponível para todos osusuários. Além disso, todas as notificações por email serão incluídas em umboletim de problema e ação consolidados para os usuários, incluindo asinformações a seguir:v Problemas designados ao destinatário nos últimos X dias.v Ações designadas ao destinatário nos últimos X dias.v Problemas que devem ser encerrados nos próximos X dias.v Ações que devem ser encerradas nos próximos X dias.v Problemas vencidos.v Ações vencidas.v Ações que aguardam aprovação de encerramento.


Capítulo 3. Tipos de objeto

O módulo IBM OpenPages Operational Risk Management inclui vários tipos deobjeto que estão ativados ou desativados por padrão e subcomponentes.

Tipos de objeto ativados por padrãoOs tipos de objeto a seguir estão disponíveis na configuração padrão do IBMOpenPages Operational Risk Management e são ativados por padrão.

Tabela 1. Tipos de objeto ativados por padrão

Etiqueta de Tipo deobjeto Descrição

Entidade de negócios Entidades de negócios são representações abstratas de suaestrutura de negócios. Um tipo de objeto de Entidade de negóciospode conter objetos de Subentidade (como departamentos,unidades de negócios, locais geográficos). A estrutura de entidadeque você cria depende de suas necessidades de negócios. Porexemplo, você poderia criar uma entidade pai para suas sedes denegócios e, depois, uma subentidade para cada local oudepartamento. Você também pode representar tanto a estrutura deuma entidade jurídica quanto a estrutura de uma Entidade denegócios.

Entidades de Negócios também são utilizadas para organizar osdados de biblioteca, como bibliotecas de risco e controle ouconteúdo regulador (por exemplo, leis, regulamentos e padrões).

Ao configurar a hierarquia de Entidade de negócios, deve-setrabalhar com seu consultor IBM, pois a estrutura de suasentidades de negócios será significativamente afetada pelo tipo equalidade das informações que podem ser extraídas do aplicativo.

Processo Processos representam as atividades de negócios de ponta a pontaprincipais dentro de uma Entidade de negócios que estão sujeitasa risco. Os processos normalmente residirão em áreas comorelatórios financeiros, conformidade e segurança de informações.

Subprocesso Um subprocesso é um componente de um Processo. Ele éutilizado para dividir os processos em unidades menores parafins de avaliação.

Risco Os riscos são potenciais dívidas. Riscos podem ser associados a,por exemplo, processos de negócios, entidades de negócios, ouconformidade com um mandato específico. Cada risco tem um oumais controles que estão associados a ele. Controles fornecemgarantias contra o risco e ajudam a minimizar quaisquerconsequências que possam resultar do risco. É possível utilizar oobjeto Risco para categorizar os riscos; capturar a frequência,classificação, e severidade de dados de risco inerentes e residuais;e visualizar relatórios que ajudam a identificar os principais itensde risco.

17

Tabela 1. Tipos de objeto ativados por padrão (continuação)


Controle Controles geralmente são políticas e procedimentos(procedimentos são ações que implementam as políticas) paraajudar a assegurar que as respostas mitigação de risco sãoexecutadas.

Depois de identificar os riscos em suas práticas, é necessárioestabelecer controles (como aprovações, autorizações, verificações)que remover, limite ou transferir esses riscos.

Controla deve ser projetado para fornecer prevenção, ou detecçãode riscos. Controles são geralmente associados a testes queassegurem uma de controle é efetiva.

Plano de teste É possível determinar a eficácia operacional de um controlerealizando um ou mais testes detalhados de um controle e, emseguida, documentam os resultados. Planos de teste sãodescrições dos mecanismos que são utilizados para determinar seum controle é eficaz.

Resultado de teste Um Resultado de teste são as informações obtidas da execução deum Plano de teste.

Avaliação de risco Avaliações de risco fornecem a capacidade para avaliar e relatarsobre as responsabilidades potenciais para um conjunto deentidades de negócios ou processos. É possível utilizar o objeto deAvaliação de risco para gerenciar o processo de auto-avaliação derisco. O objeto de Avaliação de risco contém os nomes dosassessores e revisor, os intervalos de tempo para a avaliação e ostatus da avaliação.

Análise de cenário Análise de cenário é uma técnica de avaliação que é utilizadopara identificar e medir tipos específicos de riscos, em particular,baixa frequência, os eventos promovidos como terramotos,recessões, ou falhas na grade de energia.

ORX Loss Objetos de ORX Loss podem ser importados do banco de dadosde perda externa ORX, para uso com análise de cenário,comparativo e geração de relatórios e exportar dados de perda deferramentas analíticas ou aplicativos de alocação de capital.

ORIC Loss Objetos de ORIC Loss podem ser importados do banco de dadosde perda externo ORIC para uso com análise de cenário,comparativo e geração de relatórios e exportar dados de perda deferramentas analíticas ou aplicativos de alocação de capital.

FIRST Loss Objetos do FIRST Loss podem ser importados do banco de dadosde perda externa do IBM Algo FIRST para uso com análise decenário, comparativo e geração de relatórios e para exportardados de perda para ferramentas analíticas ou aplicativos dealocação de capital.

Evento de perda Eventos de perda são utilizados para monitorar perdasoperacionais que podem ocorrer em qualquer parte de umaorganização. Eventos de perda são geralmente armazenados sob aEntidade de negócios onde a perda ocorreu. O Evento de perdaobjetos são utilizados para controlar, avaliar e gerenciar os dadosrelacionados à perda interno. É possível incluir vários impactos erecuperações para cada Evento de perda utilizando o ImpactoPerda e objetos de Recuperação de perda.




Impacto de perda Um impacto de perda é uma consequência financeiras ou nãofinanceiras que resulta de um Evento de perda. Impactos dePerda de diferentes tipos de impactos que são acionadas por umEvento de perda, como responsabilidade legal, perda de ativos edanos, ou interrupção de negócios. Pode haver vários Impactos dePerda associado a cada Evento de perda.

Recuperação de perda Recuperação de perda objetos são utilizados para rastrear osprocessos que estão associados a danos, que resultam de Eventosde perda.

KPI, Valor de KPI KPIs são componentes do processo de monitoramento de risco eusados para fornecer indicadores líderes ou atrasados paracondições de risco em potencial. Cada instância de um KPI dentroda organização podem ter exclusivo de destino e limites.

KRI, Valor de KRI KRIs são componentes do processo de monitoramento de riscos esão utilizados para fornecer indicadores principais ou atraso paraas condições de risco potencial. Cada instância de um KRI dentroda organização podem ter exclusivo de destino e limites.

Assinatura Uma assinatura geralmente indica um acordo que o objeto atendesua aprovação. Não possui poder de cumprimento e não impedeo item de ser modificado após a aprovação ser dada. Um objetocom uma assinatura tem um ícone de assinatura ao lado do nomedo signatário na guia Assinaturas.

Dependendo da configuração do seu sistema, assinaturas (com ousem bloqueios associados) pode ser aplicada a um objeto dasseguintes maneiras:

v Manualmente a partir da página de detalhes de um objeto.

v Automaticamente por meio de uma tarefa de fluxo de trabalho.

v Uma combinação de ambos automáticas e manuais.

Se os bloqueios de assinatura estão configurados em seu sistema,quando você efetuar sigh off em um objeto, o objeto e todos osseus objetos filhos associados serão bloqueados e não poderão sermodificados até que você revogue sua assinatura ou umadministrador desbloqueie o objeto.

Problema, item de ação Embora os problemas geralmente resultem de áreas onde oscontroles internos não estão adequadamente implementados oudesignados, é possível utilizar o objeto Problema para documentaruma preocupação que esteja associada a qualquer tipo de objeto.

Um problema é resolvido por meio de um ou mais Itens de ação.É possível utilizar um objeto de Item de ação ou uma série deobjetos de Item de ação relacionados para formar um plano deação. Cada Item de ação pode ser designado a um usuário pararesolução e o progresso pode ser monitorado a partir da páginade detalhes do Problema pai. Depois que todos os Itens de açãopara um Problema são concluídos (um designado definirá o valorpara 100%), é possível fechar o Problema.

Arquivo O tipo de objeto Arquivo é utilizado para integrar uma referênciaa um arquivo (como um documento, gráfico de fluxo ou planilha)no sistema OpenPages e associá-lo a um ou mais objetosrelevantes.

Capítulo 3. Tipos de objeto 19



Link O tipo de objeto Link é utilizado para integrar uma referência auma URL no sistema OpenPages e associá-lo a um ou maisobjetos relevantes.

Grupo de Preferência,Preferência

O objeto de Grupo de preferência é utilizado para agruparinstâncias do objeto de preferência. Sem esse objeto deagrupamento, cada instância do objeto de preferência precisariaser associada separadamente a cada uma das entidades denegócios relevantes. O objeto de grupo ajuda a reduzir amanutenção associada.

O tipo de objeto de preferência é um filho de Entidade denegócios, e é utilizado para manter os valores de variável quepodem conduzir relatórios, fluxos de trabalho e camposcomputados. O objeto de preferência tem valores de variávelespecífica da entidade que permitem um comportamentodiferente para os fluxos mesmo como para determinar ocomportamento para fluxos de revisão e aprovação. Ou seja, queos usuários apropriados são para cada nível de revisão eaprovação, e que os limites são para determinar quantos níveis derevisão e aprovação são necessários.

Diagrama do Processo Um Diagrama de Processo é um objeto filho do Processo e podeter muitos diagramas por processo. É usado para armazenar asequência de subprocessos ou atividades em um processo comRiscos e Controles associados com quaisquer anotações, como nósde decisão. Todos os atributos da visualização do Processo deNegócios são armazenados no objeto Diagrama do processo.

Aval. de risco Tipos de objetos de Aval. de risco (Avaliação) são filhos de objetosde Risco e são utilizados para capturar valores de medição derisco para fins de tendência. Quando os períodos de relatório nãoalinhados com os ciclos de avaliação do risco, é possível utilizarobjetos de Avaliação de risco para capturar vários ciclos deavaliação dentro de um período de relatório único.

Aval. de Controle Objetos de Aval. de Controle (Avaliação) são semelhantes aosobjetos de Avaliação de risco, exceto que eles são instanciadoscomo filhos de Controles. Elas armazenam dados de avaliação decontrole.

Aval. de análise derisco

Objetos de Aval. de análise de risco (Avaliação) são semelhantesaos objetos de Avaliação de risco, exceto que eles são instanciadoscomo filhos de Avaliações de Risco. Elas armazenam dados deavaliação de risco.

Aval. do Processo Objetos de Aval.de Processo (Avaliação) são filhos de objetos deProcesso e são utilizados para capturar valores de medição deprocesso para fins de tendência.

Quando os períodos de relatório não alinhados com os ciclos deavaliação, é possível utilizar objetos de Avaliação do Processopara capturar vários ciclos de avaliação dentro de um período derelatório único.

Resultado de cenário Objetos de Resultado de cenário são filhos de objetos de Análisede cenário e são utilizados para capturar os resultados dosworkshops de Análise de cenário para fins de comparação etendência.




Entrada de dados,Saída de dados

O Objeto de Entrada de dados e o Objeto de Saída de dados sãoobjetos-filhos do Processo e podem ter somente associações ariscos existentes. Eles representam elementos de um fluxo paradescrever uma entrada para o Fluxo de negócios ou uma saída apartir de várias atividades em um processo, como a execução deum relatório ou atualização de um sistema CRM ou obtenção deum feed de origem de dados externa.

Tipos de objeto desativados por padrãoOs tipos de objeto a seguir estão disponíveis na configuração padrão do IBMOpenPages Operational Risk Management e são desativados por padrão.

Tabela 2. Tipos de objeto desativado por padrão

Etiqueta de tipo deobjeto Descrição

Questionário, Seção,Questão

Questionário, Seção e Questão são três objetos que são utilizadosjuntos para implementar questionários.

Marco, item de ação demarco

Um Marco representa um ponto significante no desenvolvimentode seu projeto. É possível ligar Marcos a datas específicas, ouutilizá-los para indicar a conclusão de uma parte do projetointeiro. Marcos podem conter outros marcos ou Itens de ação demarco. Não é possível associar um Marco com outros objetos nahierarquia de objeto.

Um tipo de objeto Item de ação de marco é um objetivo específicoque deve ser concluído para alcançar um marco. Em geral, todosos objetos de item de ação de marco que estão associados a umobjeto de Marco devem ser concluídos para atingir um marco.Quando um objeto de item de ação de marco estiver designado avocê, ele será exibido (se configurado) na seção Meus Itens deAção de Marco da sua guia Meu Trabalho.

Objetivo de Controle Um Controle Objetivo é um tipo de objeto de avaliação que ajudaa definir as categorias de risco para um objeto Processo ouSubprocesso. Para cada Processo ou Subprocesso, umaorganização define os objetivos de controle.

Objetivos de controle definem as categorias de conformidade doCOSO que os controles associados com os riscos são destinados aminimizar. Por exemplo, objetos de Controle de Objetivo podemser classificados em uma ou mais categorias, tais comoConformidade, Relatório financeiro, Estratégica, Operações, ouDesconhecido.

Quando um objetivo de controle é identificado, os objetos deRisco associados a um objeto de Objetivo de Controle podementão ser identificados e definidos. Na maioria dos casos, cadaobjeto de Objetivo de Controle tem um objeto de Risco que estáassociado a ele. No entanto, os Objetivos de Controle podem termais de um Risco que esteja associado a eles, portanto, eles sãoseparados em seu próprio tipo de objeto.


Tabela 2. Tipos de objeto desativado por padrão (continuação)

Etiqueta de tipo deobjeto Descrição

Centro de custo Os tipos de objeto de centro de custo são utilizados para agruparEventos de perda sob uma Entidade de negócios. Em muitoscasos, as empresas querem controlar onde os Eventos de perdaocorrem em uma granularidade fina (ou seja, níveel do centro decusto), mas não desejam representar todas as camadasorganizacionais como entidades de negócios.

SubcomponentesMódulos IBM OpenPages GRC Platform consistem em diversos subcomponentes,que são grupos de tipos de objeto que suportam uma função lógica dentro de ummódulo. As tabelas a seguir listam os subcomponentes para o módulo IBMOpenPages Operational Risk Management.

Tabela 3. Subcomponentes compartilhados com outros módulos

Subcomponente Tipos de objeto

Organização Entidade de negócios

Preferência Grupo de Preferência, Preferência

Avaliação de risco Avaliação de risco, Avaliação de análise de risco

Processo Processo, Aval. Processo, Subprocesso, Objetivo deControle

Risco Risco, Aval. de risco

Controle Controle, Aval. de Controle

Teste Plano de teste, Resultado de Teste

Problema Problema, item de ação

Questionário Questionário, seção, questão

Marco Marco, item de ação de marco

KRI KRI, valor de KRI

KPI KPI, valor de KPI

Visualização Diagrama do processo, entrada de dados, saída dedados

Tabela 4. Subcomponentes específicos do ORM

Subcomponente Tipos de objeto

Análise de cenário Análise de cenário, Resultado de Cenário

Perda Externa ORX Loss, ORIC Loss, FIRST Loss

Evento de perda Evento de perda, Impacto de perda, Recuperação deperda, Centro de Custo

Além dos subcomponentes listados nas tabelas, os Tipos de objeto a seguir estãoincluídos em cada módulo e podem ser acessados por qualquer usuárioautorizado:v Assinaturav Arquivo


v Link



Capítulo 4. Campos computados

Por padrão, o módulo de gerenciamento de risco operacional do IBM OpenPagesinclui campos computados. Os campos computados podem conter tipos de dadoscomo booleano, data, decimal, número inteiro e sequências simples.

Os seguintes são campos computados associados a auxiliares:v Auxiliar de alinhamento de processo de RCSA

O campo computado, que está disponível na página Detalhes de avaliação derisco, contém a URL que inicia o auxiliar.

v Auxiliar de conclusão de RCSAO campo computado, que está disponível na página Detalhes de avaliação derisco, contém a URL que inicia o auxiliar.

v Auxiliar de conclusão de cenárioO campo computado, que está disponível a partir da página Detalhes do cenário, contém a URL que inicia o auxiliar. O proprietário do cenário ou a equipe derisco do IBM OpenPages pode iniciar manualmente o auxiliar quando a análisede cenário estiver concluída.

25


Capítulo 5. Auxiliares

O módulo IBM OpenPages Operational Risk Management fornece Auxiliares paraajudar proprietários ou coordenadores em vários estágios de processos principais,como Risk and Control Assessments e Key Risk Indicators (KRI).

Os auxiliares podem ajudar coordenadores a identificar e revisar um perfil de riscoou assegurar que um processo inclua os riscos e controles apropriados. Osauxiliares também pode ajudar a identificar quaisquer KRIs que devem sercoletados em um prazo especificado.

Auxiliar de conclusão de cenárioQuando o Workshop de cenário é concluído, a equipe de risco operacional ou oproprietário do cenário atualiza os resultados do cenário no objeto Cenário. Parafinalizar o Cenário, o proprietário executa o Auxiliar de conclusão de cenário.

Tal como facilitadores do processo de Análise de cenário, a equipe de riscooperacional conclui a maioria das atividades no IBM OpenPages. O auxiliar concluias seguintes etapas no processo:1. Valida os dados.2. Cria um objeto de Resultado de cenário.3. Preenche os campos de Resultado de cenário a partir da Análise de cenário.4. Executa o relatório Detalhes do resultado de cenário e o anexa ao resultado de

cenário.

Utilitário de criação de valor de KRIApós o principal indicador de risco (KRI) ser definido, o utilitário de criação devalor de KRI determina se ele deve gerar um objeto de valor de KRI como umfilho do KRI.

O utilitário de criação de valor de KRI gera objetos de valor de KPI em branco quedevem ser capturados na semana seguinte. O utilitário é iniciado como uma tarefasemanal que está planejada para ser executada durante a noite. No entanto, umadministrador pode iniciá-la manualmente se a tarefa planejada não for iniciadaautomaticamente.

O utilitário revisa os KRIs e identifica quaisquer KRIs que devem ser coletados nospróximos sete dias. Os KRIs são identificados com base nos valores de dadosFrequência e Diferença de frequência de KPI. Se o KRI for marcado como Ativo,o utilitário de Criação do Valor de KRI gerará um valor do KRI filho e preencheráo valor com os seguintes dados:v IDv Descrição, que se baseia no KRI paiv Proprietário do KRI, que se baseia no KRI pai.

O proprietário é o usuário que registra o valor de KRI no sistema IBMOpenPages.

v Data de captura esperada

27

Esta data é um campo somente leitura e se baseia nos valores Frequência eDiferença de frequência.

v Status do valor de KRI, que é configurado para Aguardando coleta.Se o KRI for marcado como Inativo, o utilitário não gerará um valor em branco.O objeto de valor é configurado inicialmente como um item temporário com umstatus de Aguardando coleta.

Utilitário de criação de valor de KPIDepois que o KPI é definido, a função Auxiliar do IBM OpenPages determina seele deve gerar um objeto de valor de KPI como um filho de KPI.

O utilitário de criação de valor de KPI gera objetos de valor de KPI em branco quedevem ser capturados na semana seguinte. O utilitário é iniciado como uma tarefasemanal que está planejada para ser executada durante a noite. No entanto, umadministrador pode iniciá-la manualmente se a tarefa planejada não for iniciadaautomaticamente.

O utilitário revisa os KPIs e identifica quaisquer KPIs que devem ser coletados nospróximos sete dias. Os KPIs são identificados com base nos valores de dadosFrequência e Diferença de frequência dos KPIs. Se o KPI for marcado comoAtivo, o utilitário de criação de valor de KPI gerará um valor de KPI filho epreencherá o valor com os seguintes dados:v IDv Descrição, que se baseia no KPI paiv Proprietário de KPI, que se baseia no KPI pai.

O proprietário é o usuário que registra o valor de KPI no sistema IBMOpenPages.

v Data de captura esperadaEsta data é um campo somente leitura que se baseia nos valores Frequência eDiferença de frequência.

v Status do Valor de KPI, que é configurado para Aguardando coleta.Se o KPI for marcadp como Inativo, o utilitário não gerará um valor em branco.O objeto de valor é configurado inicialmente como um item temporário com umstatus de Aguardando coleta.

Auxiliar de conclusão de RCSAO auxiliar de conclusão de RCSA permite que o Coordenador de RCSA conclua aAvaliação de risco e crie uma árvore de avaliação para referência de histórico.

Os coordenadores de RCSA recebem uma mensagem perguntando se desejamcontinuar. Quando o coordenador confirma a mensagem, o auxiliar conclui asações a seguir:1. Configura o campo de status Avaliação de risco para Aprovado.2. Cria a seguinte estrutura vinculada para o registro de Avaliação filho:

v Avaliação de análise de riscov Avaliação de processov Avaliação de riscov Avaliação de controle

3. Copia dados-chave nos novos registros de Avaliação e faz associaçõessecundárias


Deve-se especificar quais campos copiar (menu Configurações).

Auxiliar de alinhamento de processo de RCSAO auxiliar de alinhamento de processo de RCSA permite que o Coordenador deRCSA reveja os Processos, Riscos e Controles associados e crie associaçõesadicionais. O auxiliar também define os Processos, Riscos e Controles para umstatus de Aguardando avaliação.

Quando o coordenador de RCSA deseja iniciar o ciclo de RCSA, o coordenadorpode iniciar o auxiliar a partir de um link de URL na página de Detalhes deavaliação de risco.

O auxiliar orientado para tarefa conclui as ações a seguir quando é iniciado:1. Adiciona ou remove Processos, Riscos e Controles2. Revisa a Propriedade de Processo, Risco e Controle3. Pergunda se o coordenador de RCSA deseja iniciar a Avaliação

v Se Sim, o auxiliar continua com os seguintes processos– Configura todos os Risco e Controles para Aguardando avaliação.– Configura o campo Enviar para aprovação no objeto de Risco como Não.– Configura o campo Aprovar/rejeitar no objeto de Risco como um valor em

branco.– Configura o campo Comentários sobre rejeição no objeto de Risco como

um valor em branco.v Se Não, salve e feche a Avaliação.

Auxiliar de Utilitário de ativação do RCSAO auxiliar de Utilitário de ativação do RCSA gera objetos de Avaliação de riscopara entidades dentro do escopo.

O auxiliar de Utilitário de ativação ajuda o administrador a iniciar o processo deRCSA das seguintes maneiras:1. Cria uma Avaliação de risco sob a Entidade de negócios e associa todos os

processos que estão sob essa Entidade de negócios à Avaliação de risco.2. Pede para obter detalhes da Avaliação de risco.

O administrador deve fornecer valores para campos em todas as avaliações derisco geradas, como Data de início, Data de encerramentoeInstruções/Orientação.

3. Identifica todas as entidades dentro do escopo.4. Gera um objeto de Avaliação de risco para todas as entidades dentro do

escopo.5. Preenche o objeto de Avaliação de risco com os valores fornecidos na etapa 1.6. Configura o status de Avaliação de risco para Não Iniciado e o campo

Administrador do RCSA é preenchido com o nome do usuário apropriado.7. Envia ao coordenador de RCSA um email informando que o ciclo de RCSA

pode começar.O administrador pode especificar o conteúdo do email através da páginaConfigurações. O email do Coordenador de risco utiliza informações do maispróximo registro de Preferência que tenha o Coordenador de RCSAespecificado.

Capítulo 5. Auxiliares 29

Auxiliar de sincronização de site de RCSAO Auxiliar de sincronização de site de RCSA sincroniza as instâncias de negóciosdos dados do objeto com valores de dados em uma estrutura de dados daBiblioteca.

Quando o auxiliar é iniciado, ele identifica todas as alterações do objetoPrincipal/Biblioteca. O auxiliar utiliza um campo de Referência de bibliotecacomo uma chave comum e sincroniza todas as instâncias locais do objeto com oPrincipal.

As etapas a seguir são necessárias para executar o Auxiliar de sincronização de sitede RCSA:1. Especifique a biblioteca da entidade de origem na qual os objetos principais

estão disponíveis, por exemplo /Biblioteca RCSA.2. Especifique a entidade de destino para sincronização, por exemplo, /Serviços

Financeiros Globais//América do Norte/Varejo Financeiro.3. Selecione os objetos para sincronização a partir da lista.4. Configure o campo Sincronização Em para Nome.5. No campo ID da biblioteca, liste os campos nos quais sincronizar, utilizando a

sintaxe a seguir: field group.field name. Por exemplo, use a definição:OPSS-Process.Additional Description.

6. No campo Propriedades, liste os campos a serem sincronizados a partir daorigem na sintaxe a seguir: field group.field name. Por exemplo, utilize adefinição OPSS-Process.Additional Description.

Configuração dos auxiliares de RCSASe você estiver utilizando o processo de negócios, o administrador deve configurarRCSA depois de instalar os módulos IBM OpenPages GRC.

Dados

O auxiliar de Alinhamento de processo de RCSA e o auxiliar de Sincronização deSite de RCSA requerem o uso de hierarquias de biblioteca e de preparação.

Biblioteca de hierarquiaPara ter a funcionalidade completa do auxiliar de RCSA, deve-se criar umahierarquia da biblioteca.

O objeto raiz Biblioteca é uma Entidade de negócios e a estrutura contémos Processos de negócios, Riscos e Controles comuns que devem serutilizados no processo de RCSA.

Por exemplo: Entidade de biblioteca: /Biblioteca de RCSA

Hierarquia de preparaçãoPara ter a funcionalidade completa dos Auxiliares de RCSA, deve-se criaruma hierarquia de preparação.

O objeto raiz de Preparação é uma Entidade de negócios e a estruturacontém um processo de preparação e o risco. A hierarquia é utilizada paraarmazenar os processos, riscos e controles que são removidos do negóciocomo parte do processo de RCSA.

Um exemplo de uma Entidade de preparação: /Hierarquia de preparaçãode RCSA


Um exemplo de um Processo de preparação: /Hierarquia de preparação deRCSA/Processo de Preparação

Um exemplo de um risco de preparação: /Hierarquia de preparação deRCSA/Risco de preparação

Para criar essas hierarquias, carregue-as utilizando o modelo de FastMap que éfornecido com a instalação.

Conclua o procedimento a seguir para criar essas hierarquias:1. Clique em Relatórios > FastMap > Importação de FastMap.2. Na Mídia de módulos, navegue até optional\RCSA_Staging_Data

3. Selecione RCSA-PAHelper-Staging-Data.xls.4. Clique em Importar dados.

Configurações

As áreas de Biblioteca e Preparação têm configurações correspondentes que devemser configuradas para os Auxiliares de RCSA para registrar as estruturas.

Para definir essas configurações:1. Efetue login como administrador.2. Clique em Administração > Configurações.3. Expanda as opções para as seguintes entradas e configure os valores para a

hierarquia de preparação que você criou.v COMUMv AUXILIAR DE ALINHAMENTO DE PROCESSO DE RCSAv SINCRON. SITE RCSAv ACIONADORES DE RCSA

Comum

/OpenPages/Solutions/ORM/Common/Library PathEsse valor deve ser configurado para o objeto de entidade Biblioteca raiz,por exemplo, /Biblioteca de RCSA.

Utilizado para o auxiliar de Sincronização de site de RCSA e o Auxiliar deAlinhamento de processo de RCSA.

Auxiliar de alinhamento de processo de RCSA

Caminho Descrição

/OpenPages/Solutions/ORM/Helpers/RCSA/Alignment/Removed Control Path

Utilizado pelo Auxiliar de alinhamento deprocesso para armazenar Controlesremovidos. Esse valor deve ser um caminhopara um Risco no sistema, por exemplo,/Hierarquia de preparação de RCSA/Riscode preparação.

/OpenPages/Solutions/ORM/Helpers/RCSA/Removed Process Path

Usado pelo Auxiliar de alinhamento deprocesso para armazenar Processosremovidos. Esse valor deve ser um caminhopara uma Entidade no sistema, por exemplo,/Hierarquia de preparação de RCSA.

Capítulo 5. Auxiliares 31

Caminho Descrição

/OpenPages/Solutions/ORM/Helpers/RCSA/Removed Risk Path

Utilizado pelo Auxiliar de alinhamento deprocesso para armazenar Riscos removidos.Esse valor deve ser um caminho para umProcesso no sistema, por exemplo,/Hierarquia de preparação deRCSA/Processo de preparação.

Auxiliar de Sincronização de Site de RCSA

Caminho Descrição

/OpenPages/Solutions/ORM/Helpers/RCSA/SiteSync/Exclude object

Usado pelo auxiliar de Sincronização de sitede RCSA para excluir os objetos que não sãoprecisam ser sincronizados.

/OpenPages/Solutions/ORM/Helpers/RCSA/SiteSync/Standalone offset

Utilizado pelo auxiliar de Sincronização desite de RCSA para procurar retroativamenteum número de dias. Por exemplo, 1 éontem.

/OpenPages/Solutions/ORM/Helpers/RCSA/SiteSync/Standalone target entity

Utilizado pelo auxiliar de Sincronização desite de RCSA como a Hierarquiaorganizacional raiz, por exemplo, /ORG.BANC.


Capítulo 6. Notificações

Notificações são notificações por email enviadas a proprietários de um processocomo um lembrete para ação. Estas notificações podem ocorrer em diferentesestágios de um processo ou como uma etapa final em um acionador.

Todas as notificações que são enviadas do IBM OpenPages ORM utilizam oendereço de remetente a seguir. Configure o endereço de email e as configuraçõesdo servidor:v /OpenPages/Solutions/ORM/Email/From Email - o endereço do remetente

utilizado para enviar notificaçõesv /OpenPages/Solutions/ORM/Email/From Name - configure este item para

identificar o nome do remetente de email que é utilizado pelas notificaçõesv /OpenPages/Common/Email/Mail Server - configure este item para identificar o

servidor de email que é utilizado para enviar notificações

As notificações são parte do ciclo de vida do KRI, do ciclo de vida de KPI e doprocesso de Gerenciamento de problema e correção.

Notificação de Boletim de problema e açãoDurante a fase de fechamento do processo de Gerenciamento de problemas ecorreção (IMR), um Boletim de problema e ação é enviado como uma notificaçãopor email aos usuários. O boletim destaca áreas importantes como problemas deatrasado e ações que devem ser tomadas para fechamento.O administrador podeconfigurar a frequência dessa notificação utilizando o boletim de Gerenciamento deproblemas e correção (IMR).

Quando o Problema é definido, seu status é Aberto e o usuário deve digitar umvalor no campo Prazo final atual. O prazo final atual é copiado para um camposomente leitura que contém o prazo final original. Quando o usuário cria umproblema, o proprietário do problema (que pode não ser a mesma pessoa que criouo problema) recebe uma notificação por email.

O proprietário do problema deve registrar as ações apropriadas para resolver umproblema identificado. Os seguintes dados são capturados em um item de ação:v Descriçãov Designadov Data de iníciov Prazo finalv Data de encerramento realv Status (somente leitura)v Um campo de comentários para registrar as atualizações mais recentes

O proprietário do problema recebe um email que resume as ações que devem seraprovadas para fechamento. O proprietário pode Aceitar o fechamento ou Rejeitaro fechamento. Quando as ações são concluídas, o proprietário do problema deverevisar o problema e atualizar o status para Fechado. Se alguma ação filha forAberta ou Aguardando aprovação, o proprietário de problema não poderá fechar oproblema.

33

Os usuários recebem notificações por email através dos boletions consolidados deproblema e ação. O boletim consolida as informações a seguir em um email:v Problemas designados ao destinatário nos número dias anterioresv Ações designadas ao destinatário nos número dias passadosv Problemas que devem ser encerrados nos próximos número diasv Ações que devem ser encerradas nos próximos número diasv Problemas vencidosv Ações vencidasv Ações que aguardam aprovação de fechamento

Notificação de lembrete de KRIA Notificação de lembrete de KRI é um email enviado ao proprietário de KRI quecontém uma lista de todos os valores de KRI que o proprietário ou destinatárioprecisa capturar nos próximos sete dias.

Depois que o proprietário do risco define o principal indicador de risco (KRI), osistema IBM OpenPages determina se ele deve gerar um objeto de Valor de KRIcomo um filho do KRI. Se o KRI for definido como Ativo, o auxiliar de KRI geraráos valores. Se o KRI for definido como Inativo, um utilitário em lote configurará oobjeto de Valor de KRI como um item temporário com um status de Aguardandocoleta.

O administrador pode executar o utilitário Valor de KRI quando necessário, porexemplo, quando a tarefa automaticamente planejada falhar na execução. Outilitário cria os Valores de KRI com detalhes como ID, Descrição, Data de Capturaesperada, Capturador de KRI e Proprietário do KRI.

Uma notificação que solicita ao Capturador de KRI para inserir um valor de KRI éapresentada numa das maneiras a seguir:v Notificações por email semanais, que instruem o usuário a efetuar login no IBM

OpenPages.v Com base no status do valor de KRI (Aguardando coleta) e no Capturador de

KRI (usuário com login efetuado), o valor de KRI é mostrado na página inicialdo usuário.

A notificação por email que é enviada ao proprietário do KRI contém uma lista deKRIs que possuem as seguintes características:v Uma data de coleta esperada inferior a (HOJE + 7)v Um status de KRI que é configurado como Aguardando coleta.

Notificação de violação de KRIA Notificação de violação de KRI envia um email ao proprietário do risco quandoum status de violação de KRI muda de Verde para Vermelho ou de Âmbar paraVermelho.

A notificação de violação de KPI é iniciada pelo acionador de ciclo de vida de KRI.A notificação por email contém um link para o KPI que está em violação eaconselha o proprietário do risco a revisar a violação e tomar as ações apropriadas.


Notificação de lembrete de KPIA Notificação de lembrete de KPI é um email enviado para o proprietário de KPIque contém uma lista de todos os valores de KPI que o proprietário ou destinatárioprecisa capturar nos próximos sete dias.

Depois que o proprietário do risco definir o principal indicador de desempenho(KPI), o sistema IBM OpenPages determinará se ele deve gerar um objeto de valorde KPI como um objeto-filho de KPI. Se o KPI for configurado como Ativo, oauxiliar de KPI gerará os valores. Se o KPI for configurado como Inativo, umutilitário em lote configurará o objeto de valor de KPI como um item temporáriocom um status de Aguardando coleta.

O administrador pode executar o utilitário de valor de KPI quando necessário, porexemplo, quando a tarefa automaticamente planejada falha na execução. Outilitário cria os valores de KPI com detalhes como ID, Descrição, Data de capturaesperada, Capturador de KPI e Proprietário de KPI.

Uma notificação que requer que o Capturador de KPI insira um valor de KPI éapresentada numa das seguintes maneiras:v Notificações por email semanais que instruem o usuário a efetuar login no IBM

OpenPages.v Com base no status do Valor de KPI (Aguardando coleta) e no Capturador de

KPI (usuário com login efetuado), o Valor de KPI é mostrado na página inicialdo usuário.

A notificação por email que é enviada para o proprietário de KPI contém uma listade KRIs que possuem as seguintes características:v Uma data de coleta esperada inferior a (HOJE + 7)v Um status de KPI definido como Aguardando coleta.

Notificação de violação de KPIA Notificação de violação de KPI envia um email ao proprietário do risco quandoum status de violação de KPI é alterado de Verde para Vermelho ou de Âmbarpara Vermelho.

A notificação de violação de KPI é iniciada pelo acionador de ciclo de vida de KPI.A notificação por email contém um link para o KPI que está em violação eaconselha o proprietário do risco a revisar a violação e tomar ações apropriadas.

Capítulo 6. Notificações 35


Capítulo 7. Relatórios

Relatórios padrão estão disponíveis para o módulo the IBM OpenPagesOperational Risk Management.

Para obter uma descrição de mais relatórios que são instalados com o IBMOpenPages GRC Platform e disponíveis para todos os módulos, consulte o Guia doAdministrador do doIBM OpenPages GRC Platform.

Relatórios específicos do ORMOs Relatórios específicos do ORM são relatórios padronizados que pode serexecutados especificamente para rastrear, monitorar e manter os diferentes estágiosdos processos de Gerenciamento de Risco Operacional. Esses processos incluemPrincipais Indicadores de Risco, análise de cenário, Eventos de perda, dadosperdidos e itens de problemas e ação.

Relatórios de Eventos de perdaA função IBM OpenPages LossEvent assegura que as informações sobre Eventos deperda sejam coletadas de forma consistente em toda a organização. A função deEvento de perda requer que os dados mais importantes sobre cada evento sejamdigitados, devidamente aprovados e que ações são tomadas. Um dos estágios paragerenciar Eventos de perda é o relatório.

Os seguintes relatórios de Evento de perda são específicos para o módulo IBMOpenPages Operational Risk Management. Os usuários podem efetuardrill-through a partir de alguns relatórios para informações detalhadas.

Tabela 5. Relatórios de Evento de perda

Nome DescriçãoRelatório dedrill-through

Painel de Eventode perda

Exibe a contagem de Eventos de perdapara a Entidade de negócios selecionada eseus descendentes, que são divididos porstatus e categoria de risco.

Detalhes do painel deEvento de perda

Resumo de Eventode perda

Exibe um gráfico de coluna(representando as entidades) que mostra aperda líquida dividida por categoria derisco. Um relatório de drill-throughmostra detalhes do Evento de perda.

Detalhes do Evento deperda

Tendência deEvento de perda

Exibe a tendência de perda líquida porcategoria de risco para uma Entidade denegócios especificada.

Detalhes da tendência deEvento de perda

Risco vs Perda Exibe a perda líquida anual de umaEntidade de negócios para uma dataespecificada que é comparada com aexposição de risco residual atual.

37

Relatórios de gerenciamento de problemas e correçãoProblemas são itens identificados em relação à estrutura documentada. Eles sãoconsiderados itens que afetam negativamente a capacidade de gerenciar e relatarrisco com precisão. Uma seleção de relatórios de Problema e Ação está disponívelpara todos os usuários.

O gerenciamento de problemas e os relatórios de correção a seguir são específicospara o módulo IBM OpenPages Operational Risk Management.

Tabela 6. Relatórios de gerenciamento de problemas e correção


Painel de problemas Fornece uma representação gráficado número de problemas por status.O relatório está com escopo definidono objeto de entidade e intervalo dedata.

Detalhes do Painel deproblemas

Itens de problemas eação

Variante do relatório de Detalhes doPainel de problemas. Forneceinformações resumidas sobre os itensde ação associados.

Relatórios de análise de cenárioOs Relatórios de análise de cenário suportam a revisão dos cenários existentes paracada unidade de negócios.

Cenários envolvem a quantificação de eventos significantes (impactos e frequênciasde eventos potenciais) que podem ser realizados para uma organização. A análisecaptura os cenários de perda hipotéticos.

Os Relatórios de análise de cenário a seguir são específicos para o módulo IBMOpenPages Operational Risk Management.

Tabela 7. Relatórios de análise de cenário

Relatório Descrição Relatório de drill-through

Resumo de cenário Um relatório de lista que exibetodos os Cenários por Entidade.Detalhes incluem ID, Descrição,Status e Proprietário.

Detalhes do Resultado decenário

Relatórios compartilhados com outros módulosO módulo IBM OpenPages Operational Risk Management contém um número derelatórios que são compartilhados com outros módulos do IBM OpenPages GRCPlatform.

Relatórios de avaliação de riscoOs relatórios de Avaliação de risco fornecem suporte para gerenciamentoconduzindo à melhor tomada de decisão que leva à ação. Esses relatórios são partedo estágio do processo de autoavaliações de risco e controle (RCSA).

Os seguintes relatórios de avaliação de risco são compartilhados com outrosmódulos IBM OpenPages GRC Platform.


Tabela 8. Relatórios de avaliação de risco

NomeRelatório dedrill-through Descrição

Lista de Avaliações deRisco

Mostra detalhes de Avaliação derisco para uma Entidade de negóciosespecificada e todos os seusdescendentes.

Status de Avaliação derisco

Detalhes do Status deAvaliações de Risco

Mostra um gráfico empilhado decoluna que mostra o status deAvaliações de Risco para a Entidadede negócios especificada e seusdescendentes directos.

Resumo da Avaliação derisco

Problemas e Itens deAção da Avaliação derisco

Avaliação de risco, juntamente comtodos os detalhes associados MostraRiscos e Controles. Um relatório depesquisa completa mostra Problemase Itens de Ação que estãorelacionados às Avaliações de Risco,Riscos, ou Controles.

Problemas e Itens deAção da Avaliação derisco

Mostra todos os Problemas e Itensde Ação que estão relacionados àAvaliação de risco selecionada e seusassociados riscos e controles.Objeto-pai mostra apenas aAvaliação de risco, Risco, e os paisde Controle.

O relatório solicita para dois valores:Entidade de negócios e Avaliação derisco. Os dados são filtrados naentidade selecionada. Os usuáriospodem selecionar entre todos osAvaliações de Risco que estãoassociados, directa ouindirectamente, à Entidade denegócios selecionada.

Relatórios de riscoA IBM OpenPages GRC Platform fornece relatórios de risco que sãocompartilhados com outros módulos. Esses relatórios incluem links ou de pesquisadetalhada para sub-throughs esperados diferentes para o mesmo item de dados.

Tabela 9. Relatórios de risco


Análise de risco Mostra Riscos que são agrupados porProcesso para uma Entidade de negóciosespecificada.

Mapa de utilização derisco

Mostra uma tabela que agrega Riscos porImpacto Residual e Probabilidade parauma Entidade de negócios especificada.

Detalhes do risco

Classificação de riscopor entidade

Mostra informações de resumo deClassificação de risco residual para aEntidade de negócios selecionada e seusdescendentes

Classificação de riscopor detalhes daentidade

Capítulo 7. Relatórios 39

Tabela 9. Relatórios de risco (continuação)


Classificação de riscopor categoria

Mostra as informações resumidas deCategoria de risco e Classificação de riscoresidual para a Entidade de negóciosselecionada.

Classificação de riscopor detalhes decategoria

Riscos principais Mostra um resumo das principais Riscosque são classificados por Exposição derisco residual e Exposição de riscoinerente.

Relatórios de controleOs relatórios de controle a seguir são compartilhados com outros módulos do IBMOpenPages GRC Platform.

Tabela 10. Relatórios de controle


Matriz de risco econtrole

Mostra dados de risco e controle paraEntidade de negócios e processosespecificados.

Mapa de eficácia decontrole

Mostra contagens de controles agrupadaspor processos e eficácia operacional.

Detalhes de eficácia decontrole

Relatórios de testeO relatório de teste a seguir é compartilhado com outros módulos do IBMOpenPages GRC Platform.

Tabela 11. Relatórios de teste


Painel de Teste Exibe informações de resumo sobre Resultadode Teste para a Entidade de negóciosselecionada, com capacidade deaprofundamento de detalhes e informaçõessobre tendências.

Detalhes do Painelde Teste

Relatórios de indicadorO relatório é o estágio final do ciclo de Principal indicador de risco (KRI) ouPrincipal indicador de desempenho (KPI) do IBM OpenPages. Depois que oproprietário do KRI define o KRI ou KPIs e captura seus valores, relatórios deindicador padrão são fornecidos para informações de resumo para as entidades denegócios selecionadas.

Os relatórios de indicador a seguir são compartilhados com outros módulos doIBM OpenPages GRC Platform.


Tabela 12. Relatórios de indicador


Painel de KRI Informações de KRI de resumo são exibidaspara a Entidade de negócios selecionada eseus descendentes.

Detalhes do painelde KRI

Painel de KPI Informações de KRI de resumo são exibidaspara a Entidade de negócios selecionada eseus descendentes.

Detalhes do painelde KPI

Relatórios de visualizaçãoO relatório de visualização a seguir é compartilhado com outros módulos do IBMOpenPages GRC Platform.

Tabela 13. Relatórios de visualização

Nome Descrição

Análise de Processo Exibe de Risco e Controles no contexto de um diagramado processo. Fornece uma visualização agregada deRisco e Controles com Classificação de risco e eficácia decontrole no nível de Processo e Entidade de negócios.

Capítulo 7. Relatórios 41


Capítulo 8. Acionadores

O módulo IBM OpenPages Operational Risk Management contém diversosacionadores disponíveis.

Os detalhes do acionador dos módulos do IBM OpenPages Operational Risk Managementfornecem detalhes adicionais sobre os acionadores descritos aqui.

Antes de utilizar a ferramenta Object Manager para carregar dados de instânciaXML, deve-se desativar acionadores em qualquer tipo de objeto para o qual dadosserão carregados.

Os tipos de objeto que são configurados para o módulo IBM OpenPagesOperational Risk Management para ter acionadores por padrão incluem:v Riscov Item de açãov Problemav Evento de perdav Impacto de perdav Recuperação de perdav Valor de KRIv Valor de KPIv Entrada de dadosv Saída de dados

Os tipos de objeto que são configurados para outros módulos IBM OpenPagesGRC Platform para ter acionadores por padrão incluem:v Auditoriav Seção de auditoriav Documento de tabalhov Planov Planilha de horasv Desconbertav Comentário de revisão de auditoriav Arquivo (documento SOX)v Política

Acionadores específicos do ORMDiversos acionadores são específicos para o módulo IBM OpenPages OperationalRisk Management.

Acionadores de ciclo de vida de dvento de perdaOs acionadores de ciclo de vida de Evento de perda calculam e persistem trêscampos no objeto de Evento de perda quando campos relacionados são criados oualterados em quaisquer objetos descendente de Impacto de perda e Recuperação deperda.

43

Os acionadores automatizam o processo de aprovação e desempenho de correçãode Evento de perda conforme descrito nos acionadores para Envio de aprovação deEvento de perda e Aprovação de Evento de perda.

Acionador de cálculo de Evento de perdaO acionador de cálculo de Evento de perda calcula valores de resumo na moedabase acionador em um Evento de perda que é baseado em Impacto e recuperaçõesde Perda associados.

Quando um objeto Impacto de perda ou Recuperação de perda é atualizado,associado, desassociado ou excluído, o acionador conclui as ações a seguir:v Obtém o objeto do Evento de perda pai que recupera uma lista de seus objetos

filho de Impacto de perda.A Perda Bruta converte todos as quantias Perda Real dos objetos filho deImpacto de perda para Moeda base e calcula a Soma. O campo Perda Bruta doEvento de perda pai campo é atualizado com a Soma.

v Obtém o objeto de Evento de perda pai que recupera uma lista de seus objetosfilhos de Recuperação de perda.A Quantia de recuperação converte todas as quantias de Recuperação Real doobjeto-filho de Recuperação de perda para Moeda base e calcula a Soma. Ocampo Quantia de Recuperação de Evento de perda pai é atualizado com aSoma.

v Para calcular a Perda líquida, o acionador subtrai a Quantia de recuperação daPerda bruta e atualiza o campo Perda Líquida no Evento de perda pai.

Acionador de envio de aprovação de Evento de perdaO acionador de envio de aprovação de Evento de perda altera um Evento de perdade um evento Aberto para o estágio de Aprovação de seu ciclo de vida. Oacionador valida dados.

O acionador ocorre quando o usuário salva um Evento de perda com o campoStatus configurado como Aberto e o campo Enviar para aprovação configuradocomo Sim.

Quando um objeto de Evento de perda é criado ou atualizado, o acionador concluias ações a seguir:v Assegura que os dados no evento estejam concluídos e sejam precisos e valida

as seguintes datas:– Por Evento de perda

As seguintes datas devem ser menores ou iguais à data atual:- Data da descoberta do Evento de perda seja maior ou igual à data de início

da ocorrência- Data de início da ocorrência seja menor ou igual à data de encerramento da

ocorrência- Reconhecimento seja maior ou igual à data de início da ocorrência

– Por impacto de perda- Data da descoberta seja maior ou igual à data da ocorrência

v Determina se a perda bruta é menor que um limite de aprovação especificadopara a Entidade de negócios.Para Eventos de perda, o registro de preferência retém dois limites de perdabruta e os nomes dos devidos aprovadores. Aprovadores de eventos são o


usuário ou grupos de usuários do sistema que são notificados sobre seusrequisitos para aprovar um Evento de perda.

Tabela 14. Limites de evento

Limite Ação no envio para aprovação

Limite 1 v Se a perda bruta for menor do que o Limite 1, o campo Statuspara o Evento será definido como Aprovado e Evento,Impactos e Recuperações serão bloqueados.

v Se a perda bruta for maior do que o Limite 1, o campo Statuspara o Evento será definido como Aguardando aprovação.

v Se a perda bruta for maior ou igual ao Limite 1 e menor doque o Limite 2, o status de Evento de perda será definidocomo Aguardando aprovação e os Aprovadores para o Limite1 serão notificados.

Limite 2 Se a perda bruta for maior ou igual ao Limite 2, o status doEvento de perda será definido como Aguardando aprovação e osAprovadores para o Limite 1 e o Limite 2 serão notificados.

Acionador de aprovação de Evento de perdaO acionador de aprovação de evento de perda aprova ou rejeita Eventos de perda.O acionador é iniciado quando o campo Status é configurado para algo diferentede Aberto ou Fechado e Enviar para Aprovação é definido como Sim. As opçõespara Aprovar/Rejeitar são Aprovar ou Rejeitar.

Quando um tipo de objeto de Evento de perda é criado ou atualizado, o acionadorconclui as ações a seguir:

Tabela 15. Aciona ações quando o Evento de perda é salvo

Campo de Status Ações

Abrir Abre o Evento de perda.

Aguardando aprovação Se Perda Bruta é menor do que Limite 2, o acionador conclui asações a seguir:

v Atualiza o status do Evento de perda para Aprovado

v Reconfigura o valor para o campo Enviar para Aprovação paraNão

v Bloqueia o Evento de perda e seus Impactos e recuperaçõesfilhos associados

Aguardando aprovação Se Perda Bruta é maior do que Limite 2, o acionador conclui asações a seguir:

v Atualiza o status do Evento de perda de Aguardandoaprovação L2


v Reconfigura o valor para o campo Aprovar/Rejeitar para embranco

Aguardando aprovaçãoL2

v Atualiza o status para o Evento de perda para Aprovado


v Bloqueia o Evento de perda e seus Impactos e recuperaçõesfilhos associados

Capítulo 8. Acionadores 45

Tabela 15. Aciona ações quando o Evento de perda é salvo (continuação)

Campo de Status Ações

Aguardando aprovaçãoou Aguardandoaprovação L2

v Atualiza o status do Evento de perda para Aberto

v Reconfigura o valor do campo Enviar para Aprovação paraNão

v Envia uma notificação por email para o Proprietário do Eventoindicando que o Evento de perda foi rejeitado.

Fechado Fecha o Evento de perda.

Acionadores compartilhados com outros módulosVários acionadores são compartilhados com outros módulos do IBM OpenPagesGRC Platform.

Acionador de Gerenciamento de problemas e correçãoEm uma estrutura de Gerenciamento de problemas e correção (IMR), é possívelefetivamente documentar, monitorar, corrigir e realizar auditoria em problemasidentificados.

Problemas são itens identificados em relação à estrutura documentada e sãoconsiderados como itens que afetam negativamente a capacidade de gerenciar erelatar risco com precisão. Em seu ciclo de vida, um problema pode ter apenas umdos dois estados: Aberto ou Fechado.

Para resolver o problema identificado, o proprietário do problema estabelece eregistra as ações apropriadas. Quando a ação for concluída, o designado definirá ocampo Enviar para fechamento para Sim. Quando este campo é salvo, umacionador é iniciado e conclui as ações a seguir:v Copia o valor no campo proprietário do problema do problema pai para a açãov Configura o campo Ação para Aguardando aprovação

O proprietário do problema revisa a ação e pode especificar para Aceitarfechamento ou Recusar fechamento. Se a ação for salvacom Rejeitar fechamento,o status será revertido para Aberto e a ação retornará ao designado da ação.

Vários acionadores são utilizados para automatizar o processo de gerenciamentode problema.

Acionador de ciclo de vida do problemaO acionador de ciclo de vida do problema configura o Prazo final original naprimeira instância do Salvamento do problema e verifica se há quaisquer Açõesabertas quando o problema é salvo com um status de Fechado.

Quando um tipo de objeto Problema é criado ou atualizado e o status do tipo deobjeto Problema é configurado para Fechado, o acionador conclui as ações aseguir:v O acionador verifica todas as Ações filhas diretas e determina se elas estão todas

fechadas. Se quaisquer Ações tiverem um status de Aberto ou Aguardandoaprovação, o acionador gerará uma mensagem de erro. Se todas as Açõesestiverem fechadas, o acionador salvará as alterações.


Nota: Como administrador, é possível configurar a mensagem de erro sob omenu Administrador > Configurações.

v Se o campo Prazo final original no Problema estiver em branco, o acionadorpreencherá o Prazo final original com o valor de Prazo final atual.

Acionador de ciclo de vida de KRIO acionador de ciclo de vida de KRI calcula e persiste valores de campo nos tiposde objeto KRI e Valor de KRI. O acionador ocorre somente se o status de Coleta dovalor do KRI for definido como Coletado.

Quando um objeto de Valor de KRI é atualizado, associado, ou desassociado, oacionador conclui as etapas a seguir:1. Determina se o KRI é configurado para aprovação.

v Se o status for Sim, o acionador atualizará o status para Aguardandoaprovação e prosseguirá com as etapas 2, 3, 4 e 6.

v Se o status for Não, o acionador atualizará o status de Aguardando coletapara Coletado e prosseguirá com as etapas 2, 3, 4 e 5.

2. Copia as informações de limite atual do KRI para o valor de KRI filho.3. Avalia o status de Violação.4. Copia o Valor, Data do valor, Coleta e status de Violação de KPI para KRI pai.5. Se o status do campo de Violação de KPI mudou de Verde ou Âmbar para

Vermelho, o acionador envia uma notificação por email para o proprietário dorisco para informá-lo da violação.

6. Se o status for configurado para Aguardando aprovação, o valor de KRI sráexibido na página inicial do Proprietário do KRI. O Proprietário do KRI podeaprovar ou rejeitar o valor:v Se o proprietário do KRI salvar o registro com um status de Rejeitar, o Valor

e a Data de valor de KPI serão alterados para um espaço em branco e ostatus do Valor de KRI será configurado como Aguardando coleta.

v Se o Proprietário do KRI salvar o registro com um status de Aprovado, ostatus de Coleta será alterado para Coletado no campo Valor e no KRI.

Nota: Quando o proprietário do KRI define o KRI, ele pode especificar osdetalhes sobre a aprovação do KRI.

Acionador de ciclo de vida de KPIO Acionador de ciclo de vida de KPI calcula e persiste valores de campo nos tiposde objeto KPI e Valor de KPI. O acionador ocorre quando o valor de KPI é alteradode um estado em branco para um valor e o status de Data de valor é Concluído.

Quando um objeto Valor de KPI é atualizado, associado ou desassociado, oacionador conclui as ações a seguir:1. Determina se o KPI está configurado para aprovação.

v Se o status for Sim, o acionador atualizará o status para Aguardandoaprovação e prosseguirá com as etapas 2, 3, 4 e 6.

v Se o status for Não, o acionador atualizará o status de Aguardando coletapara Coletado e prosseguirá com as etapas 2, 3, 4 e 5.

2. Copia as informações de limite atual de KPI para o valor de KPI filho.3. Avalia o status de Violação.4. Copia o Valor, Data do valor, Coleta e o status de Violação de KPI para o KPI

pai.


5. Se o status do campo Violação de KPI mudar de Verde ou Âmbar paraVermelho, o acionador enviará uma notificação por email para o proprietáriodo risco para informá-lo da violação.

6. Se o status for configurado para Aguardando aprovação, o Valor de KPI seráexibido na página inicial do proprietário de KPI. O proprietário de KPI podeaprovar ou rejeitar o valor.v Se o proprietário de KPI salvar o registro com um status de Rejeitar, o Valor

e a Data do valor do KPPI serão alterados para em branco e o status dovalor de KPI será configurado como Aguardando coleta.

v Se o proprietário de KPI salvar o registro com um status de Aprovado, ostatus de Coleta será alterado para Coletado no campo Valor e no KPI.

Nota: Quando o proprietário de KPI define o KPI, ele pode especificar osdetalhes da aprovação de KPI.

Acionadores de autoavaliações de risco e controleO processo de Avaliações de Risco é utilizado para identificar, avaliar e quantificarum perfil de risco do negócio. Cada Risco é avaliado em uma base quantitativa ouqualitativa.

Quando um risco é salvo, o acionador da Classificação de risco qualitativadetermina uma Classificação de risco Baixo, Médio, Alto, ou Muito Alto. Oacionador também preenche os campos ocultos Quantitativos: Severidade,Frequência e Exposição.

Quando um risco é salvo, o acionador de Classificação de risco quantitativoconclui as ações a seguir:1. Calcula a Exposição (Frequência x severidade)2. Calcula a Classificação de risco, Baixo, Médio, Alto, ou Muito Alto3. Deriva o valor de Impacto (1 – 10) com base em uma tabela de mapeamento

para cada Unidade de Negócios que é armazenada em seu registro dePreferência.

4. Deriva o valor de Probabilidade (1 – 10) com base em uma tabela demapeamento para cada Unidade de Negócios que é armazenada em seuregistro de Preferência

Acionador Quantitativo de RCSAO acionador Quantitativo de Autoavaliações de risco e controle (RCSA) configura oClassificação de risco e estabelece impacto, probabilidade, e a exposição a riscosque são inseridos utilizando o método Quantitativo. O acionador ocorre somente seos valores para os campos Impacto ou Probabilidade para Risco forammodificados.

Importante: Deve-se determinar se os riscos serão avaliados utilizando umaabordagem quantitativa ou qualitativa. Se você escolheu qualitativa, este acionadornão se aplicam. A opção para quantitativa ou qualitativa é configurado durante ainstalação do aplicativo do IBM OpenPages GRC Módulos. Para obter maisinformações, consulte o IBM OpenPages GRC Platform Módulos Guia de Instalação.

Quando um objeto de Risco é atualizado, associado, ou desassociado, o acionadorconclui as ações a seguir:v Obtém o objeto Preferência pai.


O acionador tenta localizar o objeto Preferência associado à Entidade denegócios. O acionador atravessa a hierarquia da entidade pai até que um objetode preferência associado a uma Entidade de negócios seja localizado. O objetode preferência contém as configurações para os parâmetros necessários,conforme descrito na tabela Severidade.

v Determina os campos Impacto do objeto de Risco.O Impacto é calculado pela identificação do intervalo limite no qual o valor caiseveridade. Se qualquer valor da severidade for nulo, o valor anterior serágerenciado como a severidade MÁX.

Tabela 16. Valor de impacto com base no valor da severidade

Valor da severidade Valor de impacto

>= 0 e <= Severidade 1 1

> Severidade 1 e <= Severidade 2 2


> Severidade 3 e <= para Severidade 4 4




> Severidade 7 e<= Severidade 8 8


> Severidade 9 10

v Determina os campos de Probabilidade no objeto SOXRisk.A Probabilidade é calculada pela identificação do intervalo limite no qual o valorde frequência cai. Se qualquer valor de frequência for nulo, o valor anterior serágerenciado como a frequência MÁX.

Tabela 17. Valor de probabilidade com base no valor de frequência

o valor de frequência valor de Probabilidade

>= 0 e <= Frequência 1 1

> Frequência 1 e <= Frequência 2 2








> Frequência 9 10

v Calcula a Exposição como Frequência multiplicado por severidadev Em que o valor de Impacto é X e o valor de Probabilidade é Y:

O valor XMAX é o valor máximo para impacto. O valor YMAX é o valormáximo para probabilidade.As configurações de XMAX e YMAX estão disponíveis em /OpenPages/Application/GRCM/ORM/Triggers/RCSA/XMAX e /OpenPages/Application/GRCM/ORM/Triggers/RCSA/YMAX.


Os valores XMAX e YMAX são definidos durante a instalação. Não altere essesvalores. Se esses valores são alterados, a RCSA qualitativa e quantitativa dosacionadores não poderá calcular corretamente a Classificação de risco.O acionador calcula a Classificação de risco utilizando a seguinte fórmula:((X x X) + (Y x Y)) / ((Xmax x Xmax) + (Ymax x Ymax))

O valor de classificação é 0 - 1 e é expresso como percentagem.

Tabela 18. Classificações de risco com base nos valores de classificação

Classificação de valor Classificação de risco

0 – 25% BAIXO (verde)

26-50% MÉDIO (amarelo)

51-75% ALTO (laranja)

76-100% MUITO ALTO (vermelho)

Acionador Qualitativo de RCSAO Acionador Qualitativo de Autoavaliações de risco e controle (RCSA) configura aClassificação de risco e estabelece a severidade, frequência e exposição a riscos quesão inseridos utilizando o método Qualitativo.

Importante: Deve-se determinar se os riscos serão avaliados utilizando umaabordagem quantitativa ou qualitativa. Se você escolheu quantitativa, esteacionador não se aplica. A opção para quantitativa ou qualitativa é configuradadurante a instalação do aplicativo dos módulos do IBM OpenPages GRC. Paraobter mais informações, consulte o Guia de Instalação dos Módulos do IBMOpenPages GRC Platform.

Quando um objeto de Risco é atualizado, associado ou desassociado, o acionadorconclui as ações a seguir:v Avalia o registro de Preferência para a entidade, ou sua entidade pai se nenhum

registro de Preferência existir.O acionador tenta localizar o objeto Preferência associado à Entidade denegócios. O acionador atravessa a hierarquia da entidade pai até que um objetode preferência associado a uma Entidade de negócios seja localizado. O objetode preferência contém as configurações para os parâmetros necessários,conforme descrito na tabela Severidade.

v Avalia os campos Severidade do objeto de Risco.A severidade é determinada pelos mapeamentos do Valor de impacto que sãoespecificados no objeto de Preferência.

Tabela 19. Severidade com base em valores de impacto

Valor de impacto Severidade

1 Severidade 1

2 severidade 2

3 severidade 3

4 severidade 4

5 severidade 5

6 severidade 6

7 severidade 7

8 severidade 8


Tabela 19. Severidade com base em valores de impacto (continuação)

Valor de impacto Severidade

9 severidade 9

10 severidade 10

v Com base na Probabilidade, avalia os campos Frequência do objeto de Risco.A Frequência é determinada pelo mapeamentos do Valor de probabilidade quesão especificados no objeto de preferência.

Tabela 20. Frequência com base em valores de probabilidade

valor de Probabilidade Frequência

1 Frequência 1

2 Frequência 2

3 Frequência 3

4 Frequência 4

5 Frequência 5

6 Frequência 6

7 Frequência 7

8 Frequência 8

9 Frequência 9

10 Frequência 10

v Calcula a Exposição como Frequência multiplicado por severidade.v Onde o valor de Impacto é X, o valor de Probabilidade é Y:

O valor XMAX é o valor máximo para impacto. O valor YMAX é o valormáximo para probabilidade.As configurações de XMAX e YMAX estão disponíveis em /OpenPages/Application/GRCM/ORM/Triggers/RCSA/XMAX e /OpenPages/Application/GRCM/ORM/Triggers/RCSA/YMAX.Os valores XMAX e YMAX são definidos durante a instalação. Não altere essesvalores. Se esses valores são alterados, a RCSA qualitativa e quantitativa dosacionadores não poderá calcular corretamente a Classificação de risco.O acionador calcula a Classificação de risco utilizando a seguinte fórmula:((X x X) + (Y x Y)) / ((Xmax x Xmax) + (Ymax x Ymax))

O valor de classificação é0 - 1 e é expresso como percentagem.

Tabela 21. Classificações de risco com base nos valores de classificação

Classificação de valor Classificação de risco

0 – 25% BAIXO (verde)

26-50% MÉDIO (amarelo)

51-75% ALTO (laranja)

76-100% MUITO ALTO (vermelho)

Acionador de envio de aprovação de riscoO acionador de envio de aprovação de risco atualiza o campo Status em Riscos eControles para que o Proprietário do Processo possa processar a aprovação.


Quando um objeto de Risco é criado ou atualizado e o valor do campo Enviar paraAprovação é configurado como Sim, o acionador conclui as ações a seguir:v Obtém todos os objetos de controle filho associados e aplica regras de validação.

Todos os objetos de controle filho são avaliados e o campo é configurado paraStatus Aguardando Avaliação.

v Atualiza o campo Status no objeto de Risco e todos os objetos de controleassociado a partir de Aguardando Avaliação para Aguardando aprovação.

v Obtém o pai do objeto para obter todos os Process Risco os objetos e verifica setodos os riscos para um Processo, Aguardando aprovação.

v Determina se todos os riscos para um Processo está Aguardando aprovação, econtinua com base nos seguintes status:– Se o status for Sim, o acionador termina seu processo.– Se o status for Não, o acionador configura o Status do pai do objeto para

Process Aguardando aprovaçãoe envia uma notificação por email para oProprietário do Processo.

Acionador de Aprovação de Risco e Controle de RCSAO Acionador de Aprovação de Risco e Controle de RCSA permite que oProprietário do processo aprove ou rejeite uma avaliação de um risco e seuscontroles.

Quando um campo Aprovar/Rejeitar do objeto de Risco é configurado paraAprovar ou Rejeitar, o acionador conclui as ações a seguir:v Se o campo Aprovar/Rejeitar for configurado para Rejeitar, o acionador

atualizará o valor do campo Status do Risco e os Controles associados aAguardando avaliação e enviará uma notificação por email para o Proprietáriodo risco.

v Se o campo Aprovar/Rejeitar for configurado para Aprovar, o acionadorcontinuará com os seguintes processos:– Atualiza o valor do campo Status do Risco e Controles associados para

Aprovado.– Atualiza o status do Processo para Aprovado, define a Data de aprovação e

envia uma notificação por email para o coordenador de RCSA.

Acionadores de visualizaçãoOs Acionadores de visualização impedem que o usuário inclua novos riscos comofilhos dos tipos de objeto Entrada de dados e Saída de dados.

Riscos somente podem ser feitos filhos destes tipos de objeto por meio daassociação de riscos existente a eles. Os tipos de objeto Entrada de dados e Saídade dados não são permitidos como pais primários de Riscos.


Capítulo 9. Perfis

O módulo IBM OpenPages Operational Risco Management inclui vários perfis porpadrão.

Perfis incluem os seguintes componentes:v Filtrosv Guias Página inicial e Página inicial de Meu Trabalhov Os campos dependentes e listas de seleção dependentesv Visualizações de atividade, Detalhes, Contexto, Pasta, Visão Geral, Lista filtrada,

Grade e Lista

Perfil do OpenPages ORM 7.0.0 MasterO perfil do OpenPages ORM 7.0.0 Master inclui os campos e configuração paratodos os IBM OpenPages Operational Risk Management.

Lista filtrada da página inicial

Para obter uma lista dos filtros de página inicial que estão disponíveis para o perfildo OpenPages ORM 7.0.0 Master, consulte “Listas filtradas da página inicial” napágina 55.

Visualizações de atividade

Para obter uma lista das Visualizações de atividade que estão disponíveis para operfil do OpenPages ORM 7.0.0 Master, consulte “Visualizações de atividade” napágina 58.

Visualizações em grade

Para obter uma lista das Visualizações em grade que estão disponíveis para o perfildo OpenPages ORM 7.0.0 Master, consulte “Visualizações em grade” na página61.

Perfil da equipe de risco operacional do ORMO perfil de equipe de risco operacional do ORM inclui a configuração para umusuário que utiliza a maioria dos recursos de energia OpenPages, mas não possuiacesso de leitura para IDs de biblioteca e os campos de status do objeto.

Um usuário desse perfil tem a capacidade de modificar os itens a seguir:v Manter processosv Gerenciar bibliotecas de risco & controlev Executar definição de escopo de RCSAv Executar e supervisionar o processo de RCSAv Administrar, revisar e supervisionar Evento de perdav Definir e capturar KRIsv Gerenciar fechamento de problema e açãov Coordenar análise de cenário

53


Para obter uma lista dos filtros de página inicial que estão disponíveis para o perfilEquipe de risco operacional do ORM, consulte “Listas filtradas da página inicial”na página 55.


Para obter uma lista das Visualizações de atividade que estão disponíveis para operfil do ORM Risco Operacional da Equipe, consulte “Visualizações deatividade” na página 58.


Para obter uma lista das Visualizações em grade que estão disponíveis para o perfildo ORM Risco Operacional da Equipe, consulte “Visualizações em grade” napágina 61.

Perfil de usuário corporativo do ORMO perfil de Usuário corporativo do ORM inclui os campos e a configuração paraum gerente de risco para uso nas operações do negócio. Este usuário é umparticipante ativo em quase todas as atividades de Gerenciamento de RiscoOperacional.

Um usuário desse perfil tem a capacidade de modificar os itens a seguir:v Registrar um Evento de perdav Executar definição de escopo de RCSAv Aprovar avaliações de riscov Capturar Principais indicadores de riscov Gerenciar fechamento de problema e açãov Participar de workshops de cenário


Para obter uma lista dos filtros de página inicial que estão disponíveis para o perfilde Usuário corporativo de ORM, consulte “Listas filtradas da página inicial” napágina 55.


Para obter uma lista das Visualizações de atividade que estão disponíveis para operfil do Usuário corporativo do ORM, consulte “Visualizações de atividade” napágina 58.


Para obter uma lista das Visualizações em grade que estão disponíveis para o perfildo Usuário corporativo do ORM, consulte “Visualizações em grade” na página 61.

Perfil de usuário simplificado do ORMO perfil do Usuário simplificado do ORM permite que um usuário se concentreem Eventos de perda, captura de valor de KRI e gerenciamento de problema.



Para obter uma lista dos filtros de página inicial que estão disponíveis para o perfildo Usuário simplificado do ORM, consulte “Listas filtradas da página inicial”.


Para obter uma lista das Visualizações de atividade que estão disponíveis para operfil do Usuário simplificado do ORM, consulte “Visualizações de atividade” napágina 58.


Para obter uma lista das Visualizações em grade que estão disponíveis para o perfildo Usuário simplificado do ORM, consulte “Visualizações em grade” na página61.

Listas filtradas da página inicialPor padrão, listas filtradas são definidas para a guia Meu trabalho na páginaInício para os usuários do perfil do ORM 7.0.0 Master, o perfil da Equipe de riscooperacional do ORM, o perfil do Usuário corporativo ORM e o perfil do Usuáriosimplificado do ORM.

Tabela 22. Listas filtradas da página inicial

Tarefas DescriçãoTipo doobjeto Perfil

Problemasabertos

Acesso da página inicial aosseus problemas.

Problema Perfil do OpenPages ORM7.0.0 Master

Perfil da equipe de riscooperacional do ORM

Perfil de usuário corporativodo ORM

Meusproblemas emaberto

Lista de problemas emaberto que pertencem aousuário com login efetuadoe exigem correção.

Problema Perfil do OpenPages ORM7.0.0 Master



Perfil de usuáriosimplificado do ORM

Meus itens deação

Acesso da página inicial aositens de ação.

Item de ação Perfil do OpenPages ORM7.0.0 Master




Capítulo 9. Perfis 55

Tabela 22. Listas filtradas da página inicial (continuação)


Aprovaçãopendente decorreção

Acesso da página inicial aositens de correção queaguardam aprovação.

O usuário é notificado deitens com aprovaçãopendente e a ação a serexecutada. Se uma açãorequer tempo para serconcluída, utilize o campode Comentários paracontrolar as atualizaçõesmais recentes. Quando aação for concluída, configureo campo Enviar parafechamento para Sim.

Item de ação Perfil do OpenPages ORM7.0.0 Master




Meus eventosabertos

Exibe uma lista de Eventosde perda em que o status éAberto e o Proprietário doevento está com loginefetuado no usuário.

Evento deperda

Perfil do OpenPages ORM7.0.0 Master




EventosAguardandoaprovação

A página inicial exibe osEventos de perda com umstatus de Aguardandoaprovação ou Aguardandoaprovação L2 e L1 ouAprovador L2 é um usuáriocom login efetuado.

Evento deperda




Eventos deperda abertosacima de US$1 milhão

Acesso da página inicial aeventos com grande perda.

Evento deperda




ProcessoAguardandoaprovação

Retorna uma lista de todosos Processos que pertencemao usuário com loginefetuado e ter um statusAguardando aprovação.

Processo Perfil do OpenPages ORM7.0.0 Master






RiscosAguardandoAvaliação

Retorna uma lista de todosos riscos que pertencem aousuário com login efetuadocom um status deAguardando Avaliação.

Risco Perfil do OpenPages ORM7.0.0 Master



MinhasAvaliações deRisco

Acesso da página inicial àssuas avaliações de risco.

Avaliação derisco




KRIsAguardandoEntrada

Retorna uma lista de valoresde KRI que possuem umstatus de aguardando coletae uma data de coletaesperada, nos próximos 7dias ou nos últimos 365 dias.Também requer que oColetor de KRI = usuáriocom login efetuado.

valor do KRI Perfil do OpenPages ORM7.0.0 Master



Meus KRIs naViolação

Retorna quaisquer KRIspertencentes ao usuário comlogin efetuado com umstatus de Violação deVermelho




Meus KRIsAguardandoaprovação

Retorna valores de KRI quecorrespondem ao status decoleta de Aguardandoaprovação e o Proprietáriodo KRI é igual ao usuáriocom login efetuado.




KPIsaguardandoentrada

Retorna uma lista de valoresde KPI que possuem umstatus de aguardando coletae uma data de coletaesperada nos próximos 7dias ou nos últimos 365 dias.Também requer que oColetor de KPI = usuáriocom login efetuado.

Valor de KPI Perfil do OpenPages ORM7.0.0 Master






Meus KPIs naViolação

Retorna todos os KPIspertencentes ao usuário comlogin efetuado com umstatus de Violação deVermelho




Meus KPIsAguardandoaprovação

Retorna os valores de KPIque correspondem ao statusde coleta de Aguardandoaprovação e o Proprietáriode KPI é igual ao usuáriocom login efetuado.




Visualizações de atividadePor padrão, o módulo IBM OpenPages Operational Risk Management contémvárias visualizações de atividades que estão definidas para os usuários do perfil doOpenPages ORM 7.0.0 Master, o perfil da Equipe de risco operacional do ORM,o perfil do Usuário corporativo do ORM e o perfil do Usuário simplificado doORM.

Tabela 23. Visualizações de atividade

Nome daVisualização deAtividade Descrição Perfil

Resumo de testede controle

Use para indicar Eficáciaoperacional de controle. FornecePlano de teste e informações doResultado de teste que informa adecisão de Eficácia operacional.

Perfil do OpenPages ORM 7.0.0Master

Perfil de usuário simplificado doORM

Configuração deQuestionário

Utilize para criar e modificar osquestionários que utilizam oQuestionário, Seção, modelo deobjeto Pergunta.


Questionário Use para responder a questionáriosque utilizam o modelo de objetoQuestionário, Seção, Questão.


Visualização deRCSA deprocesso

Facilita a realização deautoavaliações de risco e controlebaseadas em processo.




Tabela 23. Visualizações de atividade (continuação)


Aprovação doprocesso

Na página Inicial, o proprietário doprocesso pode navegar para osProcessos que estão Aguardandoaprovação, utilizando a visualizaçãode Atividade de aprovação deprocesso.


Perfil de usuário corporativo doORM


VisualizaçãoRCSA

Facilita a realização de Avaliação derisco baseada em Risco e Avaliaçõesde Autoavaliação de Controle.



Aprovação deRCSA

Utilizada pelo Coordenador derisco para aprovar autoavaliaçõesde risco e controle.

Avaliação derisco e controle

Avaliações de risco são, muitasvezes, o processo principal queuma organização utiliza em RiscoOperacional. Ele identifica, avalia, equantifica um perfil de risco. Eleestabelece a consistência e permiteuma visão ampla dos riscos emtoda uma organização. Ele forneceSuporte de decisão paragerenciamento, conduz melhoresdecisões e leva à ação.




Aprovação deEvento de perda

Se um evento é enviado paraaprovação e é válido e está acimado limite de 1 de Evento de perda,o status é alterado paraAguardando aprovação. OAprovador é notificado para revisare aprovar ou rejeitar o evento.





Gerenciamentode evento deperda

O recurso de Evento de perdapermite a coleta, classificação emanutenção de Eventos de perdade risco operacional dentro dahierarquia de negócios. Eleassegura que as informações sobreEventos de perda sejam coletadasde forma consistente em toda aorganização, solicitando que osdados mais importantes sobre cadaevento sejam inseridos e que aaprovação e as ações apropriadassão realizadas.







Gerenciamentode cenário

Use para indicar a aplicabilidade deum cenário.

Cenários quantificam eventossignificantes que uma organizaçãopode realizar, como impactos efrequências de eventos potenciais.Eles capturam cenários de perdahipotéticos para uma organização.




Aprovação decenário

Use para aprovar um cenário. Perfil da equipe de riscooperacional do ORM

Entrada devalor de KPI

Use para inserir valores de KPI ealterar o status para coletado.



Aprovação dovalor de KPI

Use para aprovar valores de KPI. Perfil do OpenPages ORM 7.0.0Master


Entrada devalor de KRI

Use para inserir valores de KRI ealterar o status para coletado.

Após a definição do KRI, o sistemadetermina se um valor de KRI énecessário. Se o KRI for marcadocomo Ativo, o auxiliar de KRI geravalores. Se o valor de KRI fordefinido como Inativo, o utilitárionão gerará um valor em branco. Oobjeto de valor é inicialmenteconfigurado como um marcadorcom um status Aguardando coleta.





Aprovação dovalor de KRI

Determina se aprovação do valorde KRI é necessária. Configuradopara Sim se a entrada do valordeve ser revisada pelo proprietáriode KRI.








Valor de KRI Após a definição do KRI, o sistemadetermina se um valor de KRI énecessário. Se o KRI for marcadocomo Ativo, o auxiliar de KRI geravalores. Se o valor de KRI fordefinido como Inativo, o utilitárionão gerará um valor em branco. Oobjeto de valor é inicialmenteconfigurado como um marcadorcom um status Aguardando coleta.



Visualizações em gradePor padrão, visualizações em grade são definidas para os usuários do ORM 7.0.0Master perfil, o ORM Risco Operacional da Equipe perfil, o ORM Business Userperfil, e o perfil Usuário simplificado do ORM.

Tabela 24. Visualizações em grade

Visualizaçãoem Grade Descrição

Tipo doObjeto Perfil

Insira ValoresKRI

Use para inserir Valores deKRI. Antes de utilizar essavisualização, criar objetosValor de KRI.

KRI, Valor deKRI





AprovarValores KRI

Use para revisar e aprovarValores de KRI. Antes deutilizar essa visualização,criar objetos Valor de KRI edigite os valores.

KRI, Valor deKRI





Insira ValoresKPI

Use para inserir valores deKPI. Antes de utilizar estavisualização, criar objetos deValor de KPI.

KPI, Valor deKPI






Tabela 24. Visualizações em grade (continuação)

Visualizaçãoem Grade Descrição

Tipo doObjeto Perfil

AproveValores KPI

Use para revisar e aprovaros Valores de KPI. Antes deutilizar esta visualização,criar objetos de valor de KPIe digite os valores.

KPI, Valor deKPI





AtualizaçãoPRSA

Use para Avaliações deRisco do Processo deauto-atualização.

Processo,risco, controle





Revisão PRSA Use para revisão deautoavaliações de risco doprocesso.

Processo,risco, controle





Perfil do OpenPages FIRST Loss 7.0.0O perfil do OpenPages FIRST Loss 7.0.0 inclui os campos e configuração quefacilitam o carregamento de dados do FIRST Loss através do recurso deOpenPages FastMap para IBM OpenPages Operational Risk Management.

O perfil do OpenPages FIRST Loss 7.0.0. torna todos os campos em FIRST Lossobjetos editáveis aos usuários com esse perfil para que os dados possam sercarregados. Este perfil deve ser designado somente a usuários que sejamresponsáveis pelo carregamento de dados do FIRST Loss por meio do FastMap.Todos os outros usuários devem ter acesso somente leitura a objetos do FIRSTLoss.

Listas filtradas da página inicial

Não há Listas filtradas da página inicial definidas para os usuários do perfilOpenPages FIRST Loss 7.0.0.



Não há visualizações de atividade definidas para usuários do perfil OpenPagesFIRST Loss 7.0.0.


Não há visualizações em grade definido para os usuários do perfil OpenPagesFIRST Loss 7.0.0.



Capítulo 10. Modelos da função

Um Modelo da Função descreve os privilégios que um usuário possui para acessarcada tipo de objeto. Um modelo define os objetos que um usuário pode Ler,Gravar, Excluir e Associar.

Por padrão, os modelos da função a seguir estão disponíveis para o módulo IBMOpenPages Operational Risk Management.v OpenPages ORM 7.0 - Todas as Permissõesv OpenPages ORM 7.0 – Todos os Dados – Sem Adminv Equipe do Risco Operacionalv Usuário corporativov Usuário Simplificado

O modelos da função fornecem acesso de Leitura, Gravação, Exclusão e Associaçãoaos tipos de objeto a seguir.

Tabela 25. Tipos de objeto de modelo da função

Nome do Tipo de objeto Tipo do Objeto

DataInput Entrada de dados

DataOutput Saída de dados

FIRSTLoss FIRST Loss

KeyPerformanceindicator KPI

KeyPerformanceindicatorValue Valor de KPI

KeyRiscoindicator KRI

KeyRiscoindicatorValue Valor de KRI

LossEvent Evento de perda

LossImpact Impacto de perda

LossRecovery Recuperação de perda

ORICLoss ORIC Loss

ORXLoss ORX Loss

ProcessDiagram Diagrama do Processo

ProcessEval Avaliação de Processo

Questionnaire Questionário

RiscoAssessment Avaliação de risco

ScenarioAnalysis Análise de cenário

ScenarioResult Resultado de cenário

SOXBusEntity Entidade de negócios

SOXControl Controle

SOXDocument, SOXExternalDocument Arquivo, Link

SOXIssue Problema

SOXProcess Processo

SOXRisk Risco

65

Tabela 25. Tipos de objeto de modelo da função (continuação)

Nome do Tipo de objeto Tipo do Objeto

SOXSignature Assinatura

SOXSubprocess Subprocesso

SOXTask Item de ação

SOXTest Plano de teste

SOXTestResult Resultado de teste

Permissões de acesso

As permissões a seguir descrevem o nível de segurança.

Ler Quaisquer grupos ou usuários que estão designados a essa função podemprocurar e visualizar os detalhes de objetos (pai e filho) contidos na pasta.Eles não pode modificar os dados do objeto, a menos que outraspermissões sejam explicitamente configuradas.

GravarOs grupos ou usuários que estão designados a essa função podemmodificar os detalhes de objetos dentro da pasta selecionada. Eles nãopodem excluir objetos. O acesso de gravação a uma pasta é necessário paraa criação de novos objetos dentro da pasta.

ExcluirO grupo ou usuário que está designado a essa função pode excluir objetosdentro da estrutura de pasta.

AssociarO grupo ou usuário que está designado a essa função pode criarassociações entre objetos.

Não especificadoPor padrão, nenhum acesso é concedido ao usuário ou grupo para o objetocorrespondente através dessa função. A configuração Não especificado nãosubstitui qualquer acesso que seja concedido a um objeto por meio deoutras funções ou acesso que seja herdado por meio de uma função empontos de contexto de segurança de nível superior. Se desejar um acessomenos restritivo, use este valor em vez de Negado.

ConcedidoEssa configuração fornece a um usuário ou grupo acesso total à açãoespecificada, como Gravar, Excluir ou Associar. O usuário pode modificarou excluir o arquivo ou pasta que é baseado na permissão.

NegadoEsta configuração não permite que um usuário ou grupo Grave, Exclua ouAssocie. A configuração de Negado substitui qualquer acesso concedido noobjeto por meio de outras funções.

Permissões de objeto de modelos da função principal do ORM

A tabela a seguir define o objeto de modelo da função para os modelos doOpenPages ORM 7.0 - Todas as Permissões e OpenPages ORM 7.0 - Todos osDados - Nenhuma função administrativa.


Tabela 26. Acesso da função de modelos da Função Principal do ORM para tipos de objeto

Tipo de objeto Ler Gravar Excluir Associar

Entidade de negócios Concedido Concedido Concedido Concedido

Registro de preferência Concedido Concedido Concedido Concedido

Processo Concedido Concedido Concedido Concedido

Avaliação de processo Concedido Concedido Concedido Concedido

Subprocesso Concedido Concedido Concedido Concedido

Risco Concedido Concedido Concedido Concedido

Avaliação de risco Concedido Concedido Concedido Concedido

Avaliação de análise derisco

Concedido Concedido Concedido Concedido

Avaliação de risco Concedido Concedido Concedido Concedido

Controle Concedido Concedido Concedido Concedido

Avaliação de controle Concedido Concedido Concedido Concedido

KPI Concedido Concedido Concedido Concedido

Valor de KPI Concedido Concedido Concedido Concedido

KRI Concedido Concedido Concedido Concedido

Valor de KRI Concedido Concedido Concedido Concedido

Evento de perda Concedido Concedido Concedido Concedido

Impacto de perda Concedido Concedido Concedido Concedido

Recuperação de perda Concedido Concedido Concedido Concedido

Problema Concedido Concedido Concedido Concedido

Item de ação Concedido Concedido Concedido Concedido

Análise de cenário Concedido Concedido Concedido Concedido

Resultado de cenário Concedido Concedido Concedido Concedido

ORIC Loss Concedido Concedido Concedido Concedido

ORX Loss Concedido Concedido Concedido Concedido

FIRST Loss Concedido Concedido Concedido Concedido

Questionário Concedido Concedido Concedido Concedido

Permissões do objeto de Equipe de risco operacional

A tabela a seguir define as permissões de objeto do modelo da função da Equipede risco operacional.

Tabela 27. Acesso de função de Equipe de risco operacional para tipos de objeto


Entidade de negócios Concedido Concedido Negado Concedido

Registro de preferência Concedido Concedido Negado Concedido

Processo Concedido Concedido Negado Concedido

Avaliação de processo Concedido Concedido Negado Concedido

Subprocesso Concedido Concedido Negado Concedido

Risco Concedido Concedido Negado Concedido

Capítulo 10. Modelos da função 67

Tabela 27. Acesso de função de Equipe de risco operacional para tipos deobjeto (continuação)


Avaliação de risco Concedido Concedido Negado Concedido


Concedido Concedido Negado Concedido


Controle Concedido Concedido Negado Concedido

Avaliação de controle Concedido Concedido Negado Concedido

KPI Concedido Concedido Negado Concedido

Valor de KPI Concedido Concedido Negado Concedido

KRI Concedido Concedido Negado Concedido

Valor de KRI Concedido Concedido Negado Concedido

Evento de perda Concedido Concedido Negado Concedido

Impacto de perda Concedido Concedido Negado Concedido

Recuperação de perda Concedido Concedido Negado Concedido

Problema Concedido Concedido Negado Concedido

Item de ação Concedido Concedido Negado Concedido

Análise de cenário Concedido Concedido Negado Concedido

Resultado de cenário Concedido Concedido Negado Concedido

ORIC Loss Concedido Nãoespecificado

Negado Nãoespecificado

ORX Loss Concedido Nãoespecificado


FIRST Loss Concedido Nãoespecificado


Permissões de objeto de Usuário corporativo

A tabela a seguir define as permissões de objeto do modelo da função de Usuáriocorporativo.

Tabela 28. Acesso de função de Usuário corporativo a tipos de objeto

Tipo do objeto Ler Gravar Excluir Associar

Entidade de negócios Concedido Negado Negado Concedido

Registro de referência Concedido Negado Negado Concedido


Avaliação de Processo Concedido Concedido Negado Concedido









Tabela 28. Acesso de função de Usuário corporativo a tipos de objeto (continuação)



KPI Concedido Concedido Negado Concedido

Valor de KPI Concedido Concedido Negado Concedido








Análise de cenário Concedido Nãoespecificado

Negado Concedido

Resultado de cenário Concedido Nãoespecificado

Negado Concedido

ORIC Loss Concedido Nãoespecificado


ORX Loss Concedido Nãoespecificado


FIRST Loss Concedido Nãoespecificado


Permissões de objeto de Usuário simplificado

A tabela a seguir define as permissões de objeto do modelo da função do Usuáriosimplificado.

Tabela 29. Acesso de função de Usuário simplificado a tipos de objeto


Entidade de negócios Concedido Negado Negado Concedido

registro de Preferência Concedido Negado Negado Concedido


Avaliação de Processo Concedido Concedido Negado Concedido









KPI Concedido Negado Negado Concedido

Valor de KPI Concedido Negado Negado Concedido


Capítulo 10. Modelos da função 69

Tabela 29. Acesso de função de Usuário simplificado a tipos de objeto (continuação)








Análise de cenário Negado Negado Negado Negado

Resultado de cenário Negado Negado Negado Negado

ORIC Loss Negado Negado Negado Negado

ORX Loss Negado Negado Negado Negado

FIRST Loss Negado Negado Negado Negado


Avisos

Estas informações foram desenvolvidas para produtos e serviços oferecidos emtodo o mundo.

Este material pode estar disponível a partir da IBM em outros idiomas. Entretanto,você pode ser obrigado a ter uma cópia do produto ou da versão do produtonaquele idioma para ter acesso a ele.

É possível que a IBM não ofereça os produtos, serviços ou recursos discutidosnesta publicação em outros países. Consulte um representante IBM local para obterinformações sobre produtos e serviços atualmente disponíveis em sua área.Qualquer referência a um produto, programa ou serviço IBM não significa queapenas produtos, programas ou serviços IBM possam ser utilizados. Qualquerproduto, programa ou serviço funcionalmente equivalente, que não infrinjanenhum direito de propriedade intelectual da IBM poderá ser utilizado emsubstituição. Entretanto, a avaliação e verificação da operação de qualquer produto,programa ou serviço não IBM são de responsabilidade do Cliente. Este documentopode descrever produtos, serviços ou recursos que não estão incluídos noPrograma ou autorização de licença adquirido pelo Cliente.

A IBM pode ter patentes ou solicitações de patentes pendentes relativas a assuntostratados nesta publicação. O fornecimento deste documento não concede ao Clientenenhuma licença a essas patentes. É possível enviar consultas sobre licenças, porescrito, para:

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785U.S.A.

Para pedidos de licença relacionados a informações de Conjunto de Caracteres deByte Duplo (DBCS), entre em contato com o Departamento de PropriedadeIntelectual da IBM em seu país ou envie pedidos de licença, por escrito, para:

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokyo 103-8510, Japan

O parágrafo a seguir não se aplica a nenhum país em que tais disposições nãoestejam de acordo com a legislação local: A INTERNATIONAL BUSINESSMACHINES CORPORATION FORNECE ESTA PUBLICAÇÃO "NO ESTADO EMQUE SE ENCONTRA", SEM GARANTIA DE NENHUM TIPO, SEJA EXPRESSAOU IMPLÍCITA, INCLUINDO, MAS A ELAS NÃO SE LIMITANDO, ASGARANTIAS IMPLÍCITAS DE MERCADO OU ADEQUAÇÃO A UMDETERMINADO PROPÓSITO. Alguns países não permitem a exclusão degarantias expressas ou implícitas em certas transações; portanto, essa disposiçãopode não se aplicar ao Cliente.

71

Estas informações podem conter imprecisões técnicas ou erros tipográficos.Periodicamente, são feitas alterações nas informações aqui contidas; tais alteraçõesserão incorporadas em futuras edições desta publicação. A IBM pode fazermelhorias e/ou alterações no(s) produto(s) e/ou no(s) programa(s) descrito(s) nestapublicação a qualquer momento sem aviso.

Referências nestas informações a websites não IBM são fornecidas apenas porconveniência e não representam de forma alguma um endosso a esses websites. Osmateriais nesses websites não fazem parte dos materiais desse produto IBM e ouso desses websites é de inteira responsabilidade do Cliente.

A IBM pode utilizar ou distribuir as informações fornecidas da forma que julgarapropriada sem incorrer em qualquer obrigação para com o Cliente.

Licenciados deste programa que desejam obter informações sobre este assunto comobjetivo de permitir: (i) a troca de informações entre programas criadosindependentemente e outros programas (incluindo este) e (ii) a utilização mútuadas informações trocadas, devem entrar em contato com:

IBM CorporationLocation Code FT0550 King StreetLittleton, MA01460-1250U.S.A.

Tais informações podem estar disponíveis, sujeitas a termos e condiçõesapropriados, incluindo, em alguns casos, o pagamento de uma taxa.

O programa licenciado descrito nesta publicação e todo o material licenciadodisponível são fornecidos pela IBM sob os termos do IBM Customer Agreement,Contrato de Licença do Programa Internacional IBM ou de qualquer outro contratoequivalente.

Todos os dados de desempenho aqui contidos foram determinados em umambiente controlado. Portanto, os resultados obtidos em outros ambientesoperacionais poderão variar significativamente. Algumas medidas podem ter sidotomadas em sistemas em nível de desenvolvimento e não há garantia de que estasmedidas serão as mesmas nos sistemas geralmente disponíveis. Além disso,algumas medidas podem ter sido estimadas por dedução. Resultados reais podemvariar. Os usuários deste documento devem verificar os dados aplicáveis para seusambientes específicos.

As informações sobre produtos não IBM foram obtidas junto aos fornecedores dosrespectivos produtos, de seus anúncios publicados ou de outras fontes disponíveispublicamente. A IBM não testou esses produtos e não pode confirmar a precisãodo desempenho, da compatibilidade ou de outras afirmações relacionadas aosprodutos não IBM. Perguntas sobre os recursos de produtos não IBM devem serendereçadas aos fornecedores desses produtos.

Todas as instruções relativas à orientação ou intenção futura da IBM estão sujeitasa alterações ou retiradas sem aviso prévio e representam apenas metas e objetivos.

Estas informações contêm exemplos de dados e relatórios utilizados em operaçõescomerciais diárias. Para ilustrá-los da forma mais completa possível, os exemplos


incluem nomes de indivíduos, empresas, marcas e produtos. Todos esses nomessão fictícios e qualquer semelhança com nomes e endereços usados por umaempresa real é totalmente coincidência.

Se você estiver visualizando esta cópia digital de informações, as fotografias e asilustrações coloridas poderão não aparecer.

Esta Oferta de Software não usa cookies ou outras tecnologias para coletarinformações pessoais.

Copyright

Licensed Materials - Property of IBM Corporation.

© Copyright IBM Corporation, 2003, 2013.

Direitos Restritos aos Usuários do Governo dos EUA - Uso, duplicação oudivulgação restritos pelo documento GSA ADP Schedule Contract com a IBMCorp.

Estas informações contêm programas de aplicativos de amostra na linguagemfonte, ilustrando as técnicas de programação em diversas plataformas operacionais.O usuário pode copiar, modificar e distribuir essas amostras de programas dequalquer forma gratuitamente, para finalidades de desenvolvimento, uso,comercialização ou distribuição de programas aplicativos compatíveis com ainterface de programação de aplicativos da plataforma operacional para a qual asamostras de programas foram gravadas.

Esses exemplos não foram totalmente testados sob todas as condições. Por essarazão, a IBM não pode garantir ou implicar em confiabilidade, capacidade demanutenção ou função desses programas. O Cliente pode copiar, modificar edistribuir estes programas de amostra de qualquer maneira sem pagamento à IBM,com objetivos de desenvolvimento, utilização, marketing ou distribuição deprogramas aplicativos em conformidade com interfaces de programação deaplicativos da IBM.

Marcas comerciais

IBM, o logotipo IBM e ibm.com são marcas comerciais ou marcas registradas daInternational Business Machines Corp., registradas em diversas jurisdições nomundo todo.

Outros nomes de empresas, produtos e serviços podem ser marcas comerciais daIBM ou de outras empresas. Uma lista atual das marcas comerciais da IBM estádisponível na web em “Copyright and trademark information” nowww.ibm.com/legal/copytrade.shtml.

Avisos 73

http://www.ibm.com/legal/copytrade.shtml


Índice Remissivo

Aacionador de Aprovação de Evento de perda 45Acionador de Aprovação de risco e controle de RCSA 52Acionador de cálculo de Evento de perda 44acionador de ciclo de vida de KPI

Notificação de violação 35Acionador de ciclo de vida de KPI 47acionador de ciclo de vida de KRI 47

notificação de violação 34Acionador de ciclo de vida do problema 46acionador de entrada de dados 52Acionador de envio de aprovação de risco 52acionador de envios de aprovação de Evento de perda 44acionador de saída de dados 52acionador Qualitativo de RCSA 50Acionador Quantitativo de RCSA 48acionadores

Aprovação de Evento de perda 45Aprovação de risco e controle de RCSA 52Cálculo de Evento de perda 44Ciclo de vida de KPI 47ciclo de vida de KRI 47ciclo de vida do problema 46envio de aprovação de Evento de perda 44Envio de Aprovação de Risco 52Quantitativo de RCSA 48RCSA Qualitativo 50visualização 52

Acionadores de autoavaliações de risco e controleVeja acionadores RCSA

acionadores de visualização 52acionadores RCSA 48Administrator (modelo da função) 65auxiliares

auxiliares de Análise de cenário 27auxiliares de avaliação de risco 30auxiliares de RCSA 28, 29Auxiliares de RCSA 29campos computados 25principais indicadores 27Principais indicadores 28

auxiliares de Análise de cenário 27auxiliares de avaliação de risco

Veja auxiliares de RCSAauxiliares de principais indicadores 27, 28auxiliares de RCSA 28, 29

campos computados 25Auxiliares de RCSA 29, 30Avaliações de risco

Entidade de negócios para associação 29

Ccampos computados 25Capturador de KPI

notificação de lembrete de KPI 35capturador de KRI

notificação de lembrete de KRI 34

EEntidade de negócios

Avaliações de risco para associação 29Equipe do Risco Operacional (modelo da função) 65Evento de perda (tipo de objeto) 44, 45

Iimpacto de perda (tipo de objeto) 44itens de ação 46

Llista filtrada da página inicial 55

Mmodelos de função 65

NNotificação de Boletim de problema e ação 33notificação de lembrete de KPI 35notificação de lembrete de KRI 34notificação de violação de KPI 35notificação de violação de KRI 34notificações 33

Boletim de problema e ação 33notificação de lembrete de KPI 35notificação de lembrete de KRI 34Notificação de violação de KPI 35notificação de violação de KRI 34

Pperfil da Equipe de Risco Operacional 54Perfil da equipe de risco operacional 53perfil do usuário simplificado 55permissões de acesso

Tipos de objeto 65problema (tipo de objeto) 46Problemas

gerenciamento 46

RRecuperação de perda (tipo de objeto) 44relatório de Lista de problemas 38relatório do Painel de problemas 38relatórios

análise de cenário 38avaliações de risco 38Evento de perda 37indicador 40Painel de problemas 38visualização 41

Relatórios de análise de cenário 38relatórios de avaliação de risco 38

75

relatórios de Evento de perda 37relatórios de indicador 40relatórios de visualização 41

SSomente Leitura (modelo da função) 65SOXRisk (tipo de objeto) 48

Ttipos de objeto

Evento de perda 45Impacto de perda 44Recuperação de perda 44

Tipos de objetoEvento de perda 44permissões de acesso 65Problema 46

Tipos de objeto (continuação)SOXRisk 48

UUsuário Corporativo (modelo da função) 65Usuário Simplificado (modelo da função) 65

Vvalor de KPI

notificação de lembrete de KPI 35valor de KRI

notificação de lembrete de KRI 34valores de impacto 48, 50valores de probabilidade 48, 50valores de severidade 50visualizações em grade 61


Documents

IBM OpenPages GRC Platform Versão 7.0public.dhe.ibm.com/software/data/cognos/... · A maioria dos eventos em Algo FIRST captura informações quantitativas, bem como análise qualitativa