고급 위험 평가의 요소

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기5분

    • 요인은 위험을 분석하는 데 사용할 수 있는 질문입니다. 요인은 위험 평가 인스턴스에 나타납니다.

    요인은 위험 평가 중에 나타나는 질문입니다. Advanced Risk 평가를 사용하려면 먼저 이러한 요인을 정의하고 위험 평가 방법론(RAM)을 구성해야 합니다. RAM에 대한 자세한 내용은 다음 문서를 참조하십시오 위험 평가 방법론 구성. 각 요인 또는 질문에는 응답이 있습니다. 다양한 유형의 요인이 있습니다.
    • 수동 요소: 사람의 입력이 필요한 요소입니다. 응답은 수동 응답입니다. 당신의 이름을 예로 들 수 있습니다.
    • 자동화된 요인: 응답이 자동으로 계산되는 요인입니다. 예를 들어 오늘날 도시의 기온이 있습니다. 정보는 외부 소스에서 가져옵니다.
    • 스크립팅된 자동 요소: 스크립트를 작성하는 데 사용되는 요소입니다.
    • 그룹 요소: 논리적으로 그룹화된 요소 집합입니다.

    이러한 요인 유형은 다음 섹션에서 자세히 설명합니다. 요인을 정의하고 게시한 후에는 RAM을 구성하고 해당 요인을 RAM 내의 평가 유형에 연결할 수 있습니다. RAM은 위험 평가의 기초를 형성합니다. 선택한 각 평가 유형을 게시한 다음 RAM을 게시합니다. sn_risk.user 역할을 가진 사용자는 평가를 수행해야 하는 평가 유형을 선택할 수 있습니다.

    그러면 위험 평가 인스턴스가 생성됩니다. 해당 속성은 RAM에 대해 선택한 평가 유형 및 옵션에 따라 달라집니다. 위험 평가 인스턴스는 위험 평가자가 위험을 평가하는 인스턴스입니다. 질문으로서 요인은 여러 평가 유형에 사용될 수 있습니다. 예를 들어, "건물이 침수될 확률은 얼마입니까?"와 같은 질문은 통제 효과성 평가 후 고유 평가 또는 잔여 평가의 일부가 될 수 있습니다.

    주:
    요인은 여러 평가 유형에서 사용할 수 있지만 하나의 RAM에서만 사용할 수 있습니다. 한 RAM에서 생성되고 사용되는 요소는 다른 RAM에서 다시 사용할 수 없습니다.

    요인 기여도의 유형

    평가자는 요인에 대한 응답을 제공합니다. 위험 평가자는 다음과 같은 방법으로 요인에 기여할 수 있습니다.
    • 질적: 손실은 높음, 중간 및 낮음과 같은 주관적인 용어의 형태입니다. 손실은 등급으로 변환되는 숫자 점수의 형태일 수도 있습니다.
    • 양적: 손실은 수치 형식입니다. 금전적 측면에서 위험으로 인해 발생할 수 있습니다. 이는 내재된 연간 손실 예상(ALE)에 기여합니다.
    • 둘 다: 손실에는 질적 위험 등급과 양적 달러 가치가 모두 있습니다. 이러한 등급을 반양적이라고도 합니다.
    질적, 양적, 반양적 등급을 이해하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 위험 등급 방법론의 유형

    수동 요소

    위험 평가에서 응답자의 인적 응답이 필요한 질문을 수동 요인이라고 합니다. 수동 요인에서 응답은 주관적이며 분류하기 어렵습니다. 일부 질문에는 인간의 지능과 평가가 필요합니다. 따라서 수동 요인은 개인의 관점에 대한 주관적인 평가입니다. 수동 요인의 예로는 평판 영향, 예상 발병 속도 등이 있습니다. 수동 요소에서 사용자는 다음과 같은 유형의 응답을 제공할 수 있습니다.
    • 텍스트: 설명이 포함된 답변입니다. 예를 들어 피드백입니다. 이 선택은 위험 점수 계산에 영향을 주지 않습니다.
    • 선택: 평가 질문에 대한 사용자 정의 선택 항목입니다. 예를 들어 사용자는 낮음, 중간 또는 높음 중에서 위험 등급을 선택할 수 있습니다.
    • 숫자: 숫자 값입니다. 예를 들어, 미결 문제 수입니다.
    • 통화: 사용자의 현지 통화로 나타낸 금액입니다. 예를 들어, 특정 위험의 재무 영향입니다.
    • 백분율: 평가 질문의 백분율 값입니다. 예를 들어 조직 전략에 만족한 직원의 비율입니다.

    그룹 요소

    요인이 논리적으로 그룹화된 경우 그룹 요인이라고 합니다. 그룹 요인의 점수는 해당 수동 요인의 응답에 따라 달라집니다. 예를 들어 조직은 재무 위험과 비재무 위험의 영향을 받습니다. 재무 위험에 대한 요인과 비재무 위험에 대한 요인을 만들 수 있습니다. 이러한 두 요인 집합을 전체 영향이라는 단일 그룹 요인으로 결합할 수 있습니다. 수동 요인과 마찬가지로 그룹 요인은 질적 기여로 변환되는 수치 위험 점수 또는 양적 기여로 ALE 값에 기여할 수 있습니다.

    자동화된 요소

    자동 요인은 평가 중에 테이블 또는 데이터베이스 뷰와 같은 데이터 소스에서 최신 데이터를 자동으로 가져옵니다. 자동화된 요인은 위험 평가 프로세스를 자동화하는 데 도움이 됩니다. 수동 입력에 의존하지 않으므로 주관성이 줄어듭니다. 예를 들어 위험 평가자가 여러 위치에 대한 평가를 수행하려고 합니다. 자동화된 요인 중 하나는 국가의 정치적 상황이며 이 정보는 웹사이트에서 공개적으로 사용할 수 있습니다. 이 데이터는 내에 상주 ServiceNow하지 않기 때문에 평가자는 자동 요인을 사용하여 데이터를 가져올 수 있습니다. 자동화된 요소의 몇 가지 다른 예는 다음과 같습니다.
    • 프로젝트의 직원 수입니다.
    • 비즈니스 단위의 수익입니다.
    • 프로세스의 비즈니스 중요도입니다.

    스크립팅된 자동 요인

    자동화된 스크립팅된 요소는 스크립트를 작성하는 데 사용됩니다. 스크립트는 레코드 또는 외부 소스에서 데이터를 ServiceNow 가져옵니다. 스크립팅된 자동 요인은 위험 평가 중 요인에 대한 응답을 자동으로 제공합니다.

    다음 사용 사례는 스크립팅된 요인을 모델링할 수 있는 방법의 예를 보여줍니다. 예를 들어 규정 준수 기능의 결과를 사용하여 통제의 완화 효과를 평가하려는 경우 다음 두 가지 방법으로 통제를 평가할 수 있습니다.
    • 통제 개별 평가
    • 통제 환경 평가.
    통제에 대한 개별 평가에서 각 통제는 별도로 평가됩니다. 스크립팅된 요인의 맥락에서 통제 평가를 이해하려면 위험으로 자금 세탁의 예를 고려하십시오. 이 예에서 통제 효과성은 실패한 통제의 백분율을 기준으로 평가됩니다. 실패한 통제 값은 해당 통제의 통제 효과를 계산하기 위한 등급으로 변환됩니다. 예를 들어, 자금 세탁 위험에는 세 가지 완화 통제가 있습니다.
    • 직원 교육
    • 직원에 대한 내부 감사
    • 고객 실사
    다음과 같은 방식으로 통제 효과성 기준을 정의했다고 가정합니다.
    통제 설계 효과성 장애 통제 효과성
    0%-30% 유효
    30%-60% 개선 필요
    > 60% 무효

    이제 세 개의 컨트롤 중 하나의 컨트롤이 통과되고 두 개의 컨트롤이 실패했다고 가정합니다. 두 컨트롤의 실패는 66.67%의 실패율로 해석됩니다. 변환과 이전 테이블을 기반으로 통제 효과성 등급이 적용되지 않습니다. 이렇게 정의된 스크립트를 사용하여 요소에 대한 응답을 자동화하여 자금 세탁 위험을 평가할 수 있습니다.

    통제 환경 평가의 경우 각 통제를 개별적으로 평가하는 대신 전체 통제 환경을 평가할 수 있습니다. 통제 환경 평가를 이해하려면 다음 예를 고려하십시오. 설계 효과성과 운영 효과성이라는 두 가지 측면을 기준으로 통제 환경을 평가하려 한다고 가정합니다. 설계 효과를 계산하기 위해 자금 세탁 위험과 관련된 관련 통제를 가져올 수 있습니다. 그런 다음 테스트 결과를 확인하여 실패한 컨트롤 수를 파악할 수 있습니다. 다음과 같은 방식으로 통제 효과성 기준을 정의했다고 가정합니다.
    통제 설계 효과성 장애 통제 효과성
    0%-30% 유효
    30%-60% 개선 필요
    > 60% 무효

    이제 두 개의 컨트롤이 실패하고 하나의 컨트롤이 통과되었다고 가정합니다. 따라서, 제어 설계 효과성 실패율은 33.33%이다. 이전 표에 따르면 이 낮은 값인 33.33%는 통제 설계에 개선이 필요함을 의미합니다. 이 응답은 사람의 계산이나 개입이 필요하지 않기 때문에 자동화된 스크립팅된 요소에서 자동으로 스크립팅될 수 있습니다.