Führen Sie eine erweiterte Risikobewertung in durch Risiko-Arbeitsbereich

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Führen Sie Risikobewertungen durch, um inhärente Risiken, die Effektivität von Kontrollen, Restrisiken und Zielrisiken in der Anwendung Risiko-Arbeitsbereich zu bewerten. Sie können Risikoantworten definieren, mit denen Sie die während des Risikobewertungsprozesses identifizierten Risiken verwalten und mindern können.

    Vorbereitungen

    Erforderliche Rolle: sn_grc.business_user
    Hinweis:
    Sie müssen die erweiterten Risikobewertungsrollen manuell der Rolle sn_grc.business_user zuweisen. Informationen dazu, wie Sie die Gewährung von Rollen und Gruppen anpassen können, finden Sie im Artikel So passen Sie die Gewährung von Rollen und Gruppen an, um Hintergrundaufträge zu verwenden [KB0963693] in der Knowledge Base von Now Support. Sie müssen sich bei Now Support anmelden, um den Artikel anzuzeigen.

    Warum und wann dieser Vorgang ausgeführt wird

    Eine Risikobewertung wird für Folgendes durchgeführt:
    • Inhärente Risiken
    • Effektivität der Kontrollen
    • Restrisiken
    • Zielrisiken

    Die Risikobewertungen ergeben Risikopunktzahlen, die automatisch basierend auf den in der Risikobewertungsmethode (RAM) vorgenommenen Konfigurationen berechnet werden. Wenn Sie die automatisch berechneten Punktzahlen ändern möchten, können Sie die berechneten Punktzahlen überschreiben und eine Begründung angeben. Wenn Sie keine zu bewertenden Steuerungen haben, ist die Restrisikopunktzahl mit der inhärenten Risikopunktzahl identisch.

    Nach der Bewertung können Sie die Risikoantwort definieren. Die Risikoantwort bezieht sich auf den Prozess zum Verwalten identifizierter Risiken. Es handelt sich um einen Planungs- und Entscheidungsprozess, bei dem die Risikomanager entscheiden, wie mit jedem Risiko umzugehen ist. Während der Durchführung der Bewertung können Sie detaillierte Referenzinformationen im kontextbezogenen Seitenbereich anzeigen. Dieser Bereich enthält Informationen zu Risikoereignissen, offenen Problemen, Verstößen gegen Schlüsselindikatoren, Kontrolltestergebnissen und Kontrollindikatorfehlern.

    Wenn die Risikobewertung vom Delegierten eines Beurteilers durchgeführt wird, wird im Feld Delegierte des Beurteilers der Name des Delegierten angezeigt.

    Prozedur

    1. Navigieren zu Alle > Risiko > Risiko-Arbeitsbereich > Meine Aufgaben.
    2. Öffnen Sie die Risikobewertung, die Sie bewerten möchten, und führen Sie einen der folgenden Schritte aus.
      • Wenn Sie die Bewertung starten möchten, wählen Sie Fangen wir an.
      • Wenn Sie der Meinung sind, dass die Risikobewertung einer anderen Person zugewiesen werden muss, wählen Sie Erneut zuweisen, und geben Sie die erforderlichen Details ein.
      • Wenn dieses Risiko zuvor bewertet wurde, wählen Sie Letzte Bewertung überprüfenaus, um die vorherige Bewertung anzuzeigen .
    3. Um eine inhärente Bewertung durchzuführen, beantworten Sie alle Fragen der inhärenten Bewertung.
      1. Wahlweise: Um die Anleitung für einen Faktor anzuzeigen, wählen Sie das Fragezeichensymbol ( Anleitung für einen Faktor anzeigen.).
      2. Wahlweise: Um die qualitative und quantitative Gewichtung anzuzeigen, wählen Sie das Symbolallgemeine Bewertung.
      Die Anwendung speichert Ihre Antworten automatisch und berechnet die Gesamtrisikopunktzahl.
    4. Wahlweise: Gehen Sie wie folgt vor, um die berechneten Ergebnisse des inhärenten Risikos zu ändern:
      1. Wählen Sie die Option Ich möchte die berechnete Punktzahl ändern aus.
      2. Wählen Sie im Feld Inhärentes Risiko überschreiben den entsprechenden Wert aus.
      3. Geben Sie Kommentare ein, die die Gründe für die Änderung der berechneten Punktzahl erläutern.
    5. Wählen Sie Verschieben aus, um die Bewertung zu steuern.
    6. Führen Sie für die Kontrollbewertung einen der folgenden Schritte aus:
      • Um die Effektivität der Kontrollen zu bewerten, reagieren Sie auf alle Kontrollbewertungsfaktoren.
      • Um ohne Bewertung der ausgleichenden Kontrollen fortzufahren, wählen Sie die Option Kontrollbewertung nicht anwendbar aus.
      • Um die Kontrollumgebung zu bewerten, ohne Kontrollen hinzuzufügen, wählen Sie die Option Ich möchte die berechnete Punktzahl ändern aus, und lesen Sie Schritt 8.
      Sie können auch die berechneten Ergebnisse der Kontrolleffektivität ändern, indem Sie eine Begründung für die Änderung der Punktzahl angeben.
    7. Führen Sie einen der folgenden Schritte aus, um Steuerungen für die Kontrollbewertung hinzuzufügen oder zu erstellen:
      • Um vorhandene Steuerungen hinzuzufügen, wählen Sie Hinzufügen.
      • Um allgemeine Steuerungen zu erben, wählen Sie Allgemeine Steuerungenerben aus.
      • Um eine Steuerung zu erstellen, wählen Sie den Abwärtspfeil neben der Schaltfläche Allgemeine Steuerungen erben und dann Steuerung erstellen aus.
      • Um Steuerungen aus der Steuerungstaxonomie hinzuzufügen, wählen Sie den Abwärtspfeil neben der Schaltfläche Allgemeine Steuerungen erben und dann Aus Steuerungszielen erstellen aus.
    8. Wahlweise: Gehen Sie wie folgt vor, um die Steuerungsumgebung zu bewerten, ohne Steuerungen hinzuzufügen:
      1. Wählen Sie die Option Ich möchte die berechnete Punktzahl ändern aus.
      2. Wählen Sie im Feld Kontrolleffektivität überschreiben den entsprechenden Wert aus.
      3. Geben Sie Kommentare ein, die die Gründe für die Änderung der berechneten Punktzahl erläutern.
    9. Um die verbleibenden Risiken nach der Implementierung von entschärfenden Kontrollen zu bewerten, wählen Sie Zu Restrisikobewertung verschieben und reagieren auf die Faktoren.
      Sie können auch die berechnete Restpunktzahl ändern, indem Sie eine Begründung für die Änderung der Punktzahl angeben.
    10. Hinweis:
      Die Verfügbarkeit der Zielrisikobewertung im Bewertungsformular hängt von den im RAM beschriebenen Bedingungen ab.
      Um das gewünschte Risikoniveau zu bewerten, das Sie in der Zukunft erreichen möchten, wählen Sie Zu Zielbewertung verschieben und reagieren auf die Faktoren.
      Sie können auch die berechnete Zielpunktzahl ändern, indem Sie eine Begründung für die Änderung der Punktzahl angeben.
    11. Gehen Sie wie folgt vor, um eine geeignete Strategie auszuwählen und den Aktionsplan für die bewerteten Risiken zu definieren.
      1. Wählen Sie Risikoantwort definieren aus.
      2. Wählen Sie die entsprechenden Risikoantworten aus.
      3. Wahlweise: Um eine Risikobewältigungsaufgabe zu erstellen, klicken Sie auf die Schaltfläche Aufgabe erstellen und wählen die entsprechenden Werte aus.
      4. Wählen Sie Überprüfen aus, übermitteln und überprüfen Sie Ihre Antworten.
        Die Risikobewältigungsaufgaben werden erstellt und dem Beauftragten zugewiesen. Sie können die Aufgabe bearbeiten und ändern, um den Besitzer zu ändern.
    12. Wahlweise: Wenn Sie die Bewertung ändern möchten, wählen Sie Bearbeiten.
    13. Wahlweise: Um die Aktivitäten anzuzeigen, die für die Bewertung ausgeführt werden, wählen Sie das Aktivitätsprotokoll-Symbol Aktivitätsprotokoll-Symbol aus..
    14. Wenn Sie Genehmiger definiert haben, wählen Sie Absenden.
      Die Bewertungs-Homepage wird angezeigt. Sie können die Zusammenfassung Ihrer Bewertung überprüfen.
    15. Um eine Genehmigung anzufordern, die Zuweisung zu bearbeiten oder neu zuzuweisen, wählen Sie eine der folgenden Optionen aus.
      AuswahlBeschreibung
      Genehmigung anfordern Wenn ein Genehmiger angegeben ist, wählen Sie diese Option aus, um die Bewertung zur Genehmigung zu senden. Sie können auch zusätzliche Kommentare für den Genehmiger angeben.
      Bewertung bearbeiten Wenn Sie Ihre Antworten in der Bewertung ändern möchten, wählen Sie diese Option aus.
      Erneut zuweisen Wenn die Bewertung einer anderen Person zugewiesen werden muss, wählen Sie diese Option aus.

    Ergebnisse

    Die Bewertung wird an den Genehmiger gesendet, und der Genehmigungs-Workflow wird gestartet.

    Beispiel

    Abbildung : 1. In Bearbeitung befindliche Risikobewertung ist zur Genehmigung bereit
    Senden Sie die Risikobewertung zur Genehmigung.