고급 위험 평가의 요소

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 5분

    • 요인은 위험을 분석하는 데 사용할 수 있는 질문입니다. 요인은 위험 평가 인스턴스에 나타납니다.

    요인은 위험 평가 중에 나타나는 질문입니다. Advanced Risk 평가를 사용하려면 먼저 이러한 요소를 정의하고 위험 평가 방법론(RAM)을 구성해야 합니다. RAM에 대한 자세한 내용은 을 참조하십시오 위험 평가 방법론 구성. 각 요인 또는 질문에는 응답이 있습니다. 요인에는 여러 가지 유형이 있습니다.
    • 수동 요인: 사람의 입력이 필요한 요인입니다. 응답이 수동 응답입니다. 예를 들어 이름이 있습니다.
    • 자동 요인: 반응이 자동으로 계산되는 요인입니다. 예를 들어 오늘 도시의 기온이 있습니다. 이 정보는 외부 소스에서 가져옵니다.
    • 스크립팅된 자동 요소: 스크립트를 작성하는 데 사용되는 요소입니다.
    • 그룹 요소: 논리적으로 그룹화된 요소 집합입니다.

    이러한 요인 유형은 다음 섹션에서 자세히 설명합니다. 요인을 정의하고 게시한 후에는 RAM을 구성하고 요인을 RAM 내의 평가 유형에 연결할 수 있습니다. RAM은 위험 평가의 기초를 형성합니다. 선택한 각 평가 유형을 게시한 다음 RAM을 게시합니다. sn_risk.user 역할의 사용자는 평가를 수행해야 하는 평가 유형을 선택할 수 있습니다.

    그러면 위험 평가 인스턴스가 생성됩니다. 해당 속성은 RAM에 대해 선택한 평가 유형 및 옵션에 따라 달라집니다. 위험 평가 인스턴스는 위험 평가자가 위험을 평가하는 곳입니다. 질문으로, 요인은 여러 평가 유형에서 사용될 수 있습니다. 예를 들어, "건물이 침수될 확률은 얼마입니까?"와 같은 질문은 고유 평가 또는 통제 효과 평가 후 잔여 평가의 일부일 수 있습니다.

    주:
    요인은 여러 평가 유형에서 사용할 수 있지만 하나의 RAM에서만 사용할 수 있습니다. 한 RAM에서 생성되어 사용되는 요소는 다른 RAM에서 다시 사용할 수 없습니다.

    요인 기여의 유형

    평가자는 요인에 대한 응답을 제공합니다. 위험 평가자는 다음과 같은 방법으로 요인에 기여할 수 있습니다.
    • 질적: 손실은 높음, 중간, 낮음과 같은 주관적인 용어의 형태입니다. 손실은 등급으로 변환되는 숫자 점수의 형태일 수도 있습니다.
    • 양적: 손실은 숫자 형식입니다. 금전적 측면에서 위험으로 인해 발생할 수 있습니다. 이는 내재된 연간 기대 손실(ALE)에 기여합니다.
    • 둘 다: 손실에는 질적 위험 등급과 양적 달러 가치가 모두 있습니다. 이러한 등급을 반정량적이라고도 합니다.
    질적, 양적 및 반양적 등급을 이해하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 위험 평가 방법론의 유형

    수동 요소

    위험 평가에서는 응답자의 인적 응답이 필요한 질문을 수동 요인이라고 합니다. 수동 요인에서는 반응이 주관적이며 분류하기 어렵습니다. 일부 질문에는 인간의 지능과 평가가 필요합니다. 따라서 수동 요인은 개인의 관점에 대한 주관적인 평가입니다. 수동 요인의 예로는 평판 영향, 예상 시작 속도 등이 있습니다. 수동 요인에서 사용자는 다음과 같은 유형의 응답을 제공할 수 있습니다.
    • 텍스트: 설명이 포함된 답변입니다. 예를 들어 피드백이 있습니다. 이 선택은 위험 점수 계산에 영향을 주지 않습니다.
    • 선택: 평가의 질문에 대한 사용자 정의 선택 사항입니다. 예를 들어 사용자는 낮음, 중간 또는 높음 중에서 위험 등급을 선택할 수 있습니다.
    • 숫자: 숫자 값입니다. 예를 들어 미해결 문제 수가 있습니다.
    • 통화: 사용자의 현지 통화로 된 금액입니다. 예를 들어, 특정 위험의 재정적 영향입니다.
    • 백분율: 평가의 질문에 대한 백분율 값입니다. 예를 들어, 조직 전략에 만족하는 직원의 비율입니다.

    그룹 요소

    요인을 논리적으로 그룹화하면 그룹 요인이라고 합니다. 그룹 요인의 점수는 대응하는 수동 요인의 응답에 따라 달라집니다. 예를 들어 조직은 재무 위험과 비재무 위험의 영향을 받습니다. 재무 위험에 대한 몇 가지 요인과 비재무 위험에 대한 다른 요인을 만들 수 있습니다. 이러한 두 요인 집합을 전체 영향이라는 단일 그룹 요인으로 결합할 수 있습니다. 수동 요인과 마찬가지로 그룹 요인은 질적 기여도로 변환되는 수치적 위험 점수 또는 양적 기여도로서의 ALE 값에 기여할 수 있습니다.

    자동화된 요소

    자동화된 요인은 평가 중에 테이블 또는 데이터베이스 뷰와 같은 데이터 소스에서 최신 데이터를 자동으로 가져옵니다. 자동화된 요인은 위험 평가 프로세스를 자동화하는 데 도움이 됩니다. 수동 입력에 의존하지 않으므로 주관성이 줄어듭니다. 예를 들어, 위험 평가자가 여러 위치에 대한 평가를 수행하려고 합니다. 자동화된 요인 중 하나는 국가의 정치적 상황이며 이 정보는 웹사이트에서 공개적으로 사용할 수 있습니다. 이 데이터는 에 ServiceNow없기 때문에 평가자는 자동 요인을 사용하여 데이터를 가져올 수 있습니다. 자동화된 요인의 몇 가지 다른 예는 다음과 같습니다.
    • 프로젝트의 직원 수입니다.
    • 비즈니스 단위의 수익입니다.
    • 프로세스의 비즈니스 중요도입니다.

    스크립팅된 자동 요소

    자동화된 스크립팅된 요소가 스크립트를 작성하는 데 사용됩니다. 스크립트는 기록 또는 외부 소스에서 ServiceNow 데이터를 가져옵니다. 스크립팅된 자동 요인은 위험 평가 중에 요인에 대한 응답을 자동으로 제공합니다.

    다음 사용 사례는 스크립팅된 요인을 모델링할 수 있는 방법의 예를 보여줍니다. 예를 들어 규정 준수 함수의 결과를 사용하여 통제의 완화 효과를 평가하려는 경우 다음 두 가지 방법으로 통제를 평가할 수 있습니다.
    • 통제 개별 평가
    • 환경 평가를 통제합니다.
    통제의 개별 평가에서 각 통제는 별도로 평가됩니다. 스크립팅된 요인의 맥락에서 통제 평가를 이해하려면 위험으로서의 자금 세탁의 예를 고려하십시오. 이 예에서는 실패한 통제의 백분율을 기준으로 통제 효과성을 평가합니다. 그런 다음 실패한 통제의 값이 등급으로 변환되어 해당 통제의 통제 효과를 계산합니다. 예를 들어, 자금 세탁 위험에는 세 가지 완화 제어가 있습니다.
    • 직원 교육
    • 직원에 대한 내부 감사
    • 고객 실사
    다음과 같은 방식으로 통제 효과성 기준을 정의했다고 가정합니다.
    통제 설계 효과성 장애 통제 효과성
    0%-30% 유효
    30%-60% 개선 필요
    > 60% 무효

    이제 세 개의 컨트롤 중 하나의 컨트롤이 통과되고 두 개의 컨트롤이 실패했다고 가정합니다. 두 통제의 실패는 66.67%의 실패율로 변환됩니다. 변환 및 이전 테이블을 기반으로 통제 효과성 등급이 비효율적입니다. 이 정의된 스크립트를 사용하여 요소에 대한 응답을 자동화하고 자금 세탁 위험을 평가할 수 있습니다.

    통제 환경 평가의 경우 각 통제를 개별적으로 평가하는 대신 전체 통제 환경을 평가할 수 있습니다. 통제 환경 평가를 이해하려면 다음 예를 고려하십시오. 설계 효과성과 운영 효율성이라는 두 가지 측면을 기준으로 제어 환경을 평가한다고 가정합니다. 설계 효과를 계산하기 위해 자금 세탁 위험과 관련된 관련 컨트롤을 가져올 수 있습니다. 그런 다음 테스트 결과를 보고 실패한 컨트롤 수를 파악할 수 있습니다. 다음과 같은 방식으로 통제 효과성 기준을 정의했다고 가정합니다.
    통제 설계 효과성 장애 통제 효과성
    0%-30% 유효
    30%-60% 개선 필요
    > 60% 무효

    이제 두 개의 컨트롤이 실패하고 하나의 컨트롤이 통과했다고 가정합니다. 따라서 제어 설계 효과 실패율은 33.33%입니다. 이전 표에 따르면 33.33%의 이 낮은 값은 통제 설계에 개선이 필요하다는 것을 의미합니다. 이 응답은 사람의 계산이나 개입이 필요하지 않으므로 자동화된 스크립팅된 요소에서 자동으로 스크립팅될 수 있습니다.