Erweiterte Risikobewertung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie die Funktion ServiceNow® Governance, Risk und Compliance (GRC) Advanced Risk Assessment, um eine integrierte Risikoplattform zu erstellen. Diese integrierte Plattform unterstützt verschiedene Arten von Risikobewertungsmethoden. Sie können die Risikobewertung als Teil Ihres allgemeinen Entscheidungsprozesses integrieren.

    Die erweiterte Risikobewertung bietet die folgenden Vorteile:
    • Digitalisiert den gesamten Lebenszyklus des Risikomanagements, einschließlich Risikoidentifizierung, Risikoanalyse, Risikobewertung, Risikobehandlung und Überwachung.
    • Passt den Risikobewertungsprozess an die besonderen Anforderungen Ihrer Organisation an. Diese Anpassung umfasst die Konfiguration der Bewertungskriterien, des Kontexts und der allgemeinen Risikobewertungslogik.
    • Unterstützt sowohl qualitative als auch quantitative Risikobewertungsmethoden.
    • Fasst automatisch die Punktzahlen der Bottom-up-Risikobewertung für das gesamte Risiko zusammen.
    • Integriert den Risikobewertungsprozess in den Arbeitsbereich für Firstline-Benutzer. Diese Einbettung hilft Benutzern, fundierte Entscheidungen basierend auf Risiken zu treffen, die mit Aktionen verbunden sind.
    Hinweis:
    Um zu erfahren, ob Ihre aktuelle Lizenz Sie zu erweiterten Risikobewertungen berechtigt, wenden Sie sich an ServiceNow.

    Schritte der Risikobewertung

    Bevor Sie die erweiterte Risikobewertung im Detail verstehen, ist es wichtig, die wichtigsten Schritte des Risikomanagements zu verstehen:
    1. Risikoidentifizierung: Finden Sie eine Ungewissheit oder ein Risiko, die bzw. das Ihre Organisation daran hindern könnte, ihre Ziele zu erreichen​.
    2. Risikoanalyse: Verstehen Sie die Ursache und die Konsequenz des Risikos.
    3. Risikobewertung: Um festzustellen, ob zusätzliche Maßnahmen erforderlich sind, vergleichen Sie die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien.
    4. Risikobehandlung: Definieren Sie einen Aktionsplan, um das Risiko anzugehen.
    5. Risikoüberwachung: Verfolgen Sie die Risikosituation der Organisation nach, und teilen Sie sie den relevanten Stakeholdern mit.
    Abbildung : 1. Schritte des Risikomanagements
    Schritte des Risikomanagements.
    Die Risikobewertung besteht aus Risikoidentifizierung, Risikoanalyse und Risikobewertung. Die erweiterte Risikobewertung wird basierend auf Faktoren oder Fragen und deren Antworten durchgeführt. Sie kann für eine Entität wie eine Organisation durchgeführt werden. Um die erweiterte Risikobewertung zu verwenden, müssen Sie die Eigenschaft Zu erweiterten Risikobewertungen migrieren im Modul „Administration“ aktivieren. Der Beurteiler und der Genehmiger für die Risikobewertung müssen die Rolle sn_grc.business_user haben. Die erweiterte Risikobewertung ermöglicht Ihnen eine detaillierte Risikobewertung, bei der die inhärenten Risiken, entschärfenden Kontrollen und Restrisiken bewertet werden. Wenn Sie nicht über das vollständige Setup von GRC für Entitäten, Risikobeschreibungen, Kontrollen usw. verfügen, können Sie die Risiken für jeden Datensatz oder jedes Objekt von ServiceNow bewerten. Ein Beispiel für eine Objektbewertung ist die Bewertung des Change-Managements. Während der Risikobewertung werden die folgenden Risiken bewertet.
    • Inhärente Risiken: Inhärente Risiken sind Risiken, die keine Kontrollen haben. Beispielsweise stellt das Fahren mit hoher Geschwindigkeit auf einer Schnellstraße von Natur aus ein höheres Risiko dar als das Fahren mit mäßiger Geschwindigkeit. Die Punktzahl dieses inhärenten Risikos wird abgeleitet, indem die Auswirkung des Risikos und die Wahrscheinlichkeit des Risikos multipliziert werden.
    • Kontrolleffektivität: Kontrollen können die Auswirkungen oder Wahrscheinlichkeit eines Risikos mindern. Zum Beispiel verfügen Schnellstraßen über Geschwindigkeitsbegrenzungsüberwachungen. Wenn ein Risiko eintritt, werden die Auswirkungen durch die Kontrollen gemindert. Kontrollen können präventiv, aufspürend oder korrigierend sein.
      • Präventive Kontrollen sollen Fehler, Ungenauigkeiten oder Betrug verhindern, bevor diese Probleme auftreten.
      • Aufspürende Kontrollen zielen darauf ab, das Vorhandensein von Fehlern, Ungenauigkeiten oder Betrug aufzudecken.
      • Korrekturkontrollen sollen erkannte Fehler oder Unregelmäßigkeiten korrigieren.
    • Restrisiken: Restrisiken sind die verbleibenden Risiken, die nach der Implementierung von Kontrollen verbleiben. Wenn es beispielsweise trotz der vorhandenen Sicherheitsmaßnahmen immer noch zu einem Unfall kommt, ist der durch den Unfall verursachte Schaden ein Restrisiko. Eine Restrisikopunktzahl kann mit einer der folgenden Methoden berechnet werden:
      • Eine Matrix zwischen inhärenter und Resteffektivität.
      • Eine mathematische Formel wie die inhärente Punktzahl minus die Kontrollpunktzahl.
      • Antworten auf Faktoren.
    • Zielrisiken: Zielrisiken sind die gewünschten Risiken, die eine Organisation in der Zukunft erreichen möchte. Durch die Bewertung der gewünschten Wahrscheinlichkeit und Auswirkung der identifizierten Risiken können Unternehmen Zielrisikoniveaus für jedes Risiko festlegen. Wenn Sie beispielsweise ein Risiko bewerten, berücksichtigen Sie verschiedene Aspekte wie das inhärente Risiko, die Effektivität von Kontrollen und Restrisiken. Ebenso wichtig ist es jedoch, das gewünschte Risikoniveau zu erfassen, das nach der Implementierung Ihrer Risikobewältigung erreicht wird. Das Zielrisiko stellt das optimale Risikoniveau dar, das Sie nach erfolgreicher Ausführung Ihres Aktionsplans erreichen möchten. Damit können Sie die Vorteile messen, die Ihre Organisation im Verhältnis zu den Kosten für die Implementierung dieser Aktionen erhält.