Classificações de risco de terceiros e cálculos de pontuação
Realize uma avaliação de risco externo abrangente ao calcular várias classificações e pontuações usando a aplicação Gestão de risco de terceiros. Você pode obter uma compreensão mais profunda do processo de cálculo geral e aprender como os parâmetros e configurações definidos pelo usuário influenciam os resultados dos questionários.
Escala de classificação de riscos
Cada vez que você cria um questionário, o sistema aplica uma classificação de risco padrão. Você pode configurar a escala de classificação de risco, que inclui as categorias e valores mínimos e máximos, para atender às suas necessidades específicas de questionário que podem variar para cada avaliação. Por exemplo, você pode definir valores de classificação de risco como cores em vez de 1-Muito alto a 5-Muito baixo.
O exemplo a seguir mostra as classificações de risco padrão fornecidas como parte do sistema de base.
Mecanismo de cálculo de pontuação
- Perguntas (métricas)
Para obter mais informações sobre como definir uma pergunta, consulte Definir uma pergunta.
- Definição de escala de métrica
Para obter mais informações sobre como definir a definição de escala de métrica, consulte Definir uma pergunta.
- Categorias
Para obter mais informações sobre como definir uma categoria, consulte Configurar e manter um banco de dúvidas.
- Pesos
Para obter mais informações sobre como definir um peso, consulte Definir critérios de componente.
- Escala de classificação de riscos
Para obter mais informações sobre como definir uma escala de classificação de risco, consulte Configurar escalas e pontuação de classificação de risco.
- Escala de classificação de serviço de negócio No final do cálculo de pontuação, se um terceiro ou compromisso estiver associado a um serviço de negócios definido na tabela Serviço [cmdb_ci_service], esse peso de criticalidade será fatorado no cálculo. Diferentes serviços de negócio podem ter níveis variados de riscos associados. Ao ajustar o peso de criticalidade, você pode usar os valores resultantes para ajustar suas estratégias de redução de risco.Nota:Você pode definir os pesos de criticalidade navegando até .Um serviço de negócio é uma sequência definida de tarefas ou atividades que contribuem para a entrega de um serviço, como e-mail, serviços de TI, comércio eletrônico.Como parte do sistema de base, quatro classificações são definidas:
- 1 - mais crítico
- 2 - um pouco crítico
- 3 - menos crítico
- 4 - não crítico
Você pode associar cada terceiro ou compromisso a vários serviços de negócio.
O infográfico a seguir mostra o processo de cálculo da classificação de avaliação.
- Cada pergunta do questionário tem estes valores calculados:
-
questionRatings: a classificação de cada pergunta é calculada pelas respostas. A classificação é determinada pela definição da escala de métrica e pelos valores que estão associados às respostas.
- questionPercentContribution: a contribuição percentual de cada pergunta em sua categoria é determinada por este cálculo. Este valor é baseado no peso atribuído pelo gerenciador de risco de terceiros à pergunta e ao peso geral da categoria.
- questionNormalizedValue: o valor normalizado de cada pergunta é calculado multiplicando a classificação da pergunta, a contribuição percentual da pergunta e um valor constante (100). Este valor permite comparar perguntas com pesos e classificações diferentes.
-
- As categorias de cada questionário têm estas classificações calculadas:
- categoryRating: a classificação de cada categoria é calculada somando os valores normalizados de todas as perguntas na categoria. A classificação da categoria é derivada da escala de classificação de risco associada.
- categoryNormalizedValue: a classificação da categoria é normalizada multiplicando-a pelo peso da categoria para permitir que você compare valores em todas as categorias.
- Questionário, questionárioPontuação quantitativa: a pontuação quantitativa geral da avaliação é calculada somando as pontuações da categoria normalizada. Essa pontuação representa a pontuação de risco do questionário.
- Documentos, pontuação qualitativa: o cálculo da classificação de risco qualitativo das solicitações de documentos se baseia na resposta à pergunta padrão “Você tem o documento 'nome do documento'? na solicitação de documento. Esta classificação pode ser substituída pelo avaliador de risco de terceiros, se necessário.
- Avaliação, avaliaçãoRating: a classificação final da avaliação é calculada com base na média ponderada dos questionários e solicitações de documentos em cada área de risco de terceiros. Os pesos são determinados pelo método de pontuação da área de risco.
perguntaCálculo de classificação
Você usa o cálculo questionRating para definir o grau relativo de significância de cada métrica de avaliação individual em comparação com outras métricas. Essa variável de chave ajuda a calcular o valor normalizado posteriormente no processo.
Você pode definir a definição de Escala para uma métrica de avaliação individual definindo-a como Alta ou Baixa.
O exemplo a seguir mostra como o campo de definição de escala de métrica foi definido no formulário Métrica de avaliação.- Alto significa que valores numéricos grandes indicam um resultado positivo. Se a definição de escala de métrica for alta, a seguinte equação será usada:
questionRating = (value - minValue) / (maxValue - minValue) - Baixo significa que valores numéricos pequenos indicam um resultado positivo. Se a definição de escala de métrica for baixa, a seguinte equação será usada:
questionRating = 1 - ((value - minValue) / (maxValue - minValue))
O exemplo a seguir mostra o campo de valor de pergunta definido no formulário de pergunta da instância de avaliação.
O valor usado na equação é obtido da resposta à pergunta. A configuração da métrica define a resposta correta, que é o valor, e os outros valores que estão associados a outras respostas incorretas ou menos desejáveis.
Cálculo de questionPercentContribution
O questionPercentContribution define o grau de significância da métrica de avaliação na categoria em que está incluída. Esta variável de chave é usada no cálculo do valor normalizado posteriormente no processo.
A equação a seguir é usada para calcular o questionPercentContribution.
questionPercentContribution = (questionWeight / sumOfAllQuestionWeightsWithinCategory)
A categoria representa um tema para avaliar os registros avaliáveis em um tipo de métrica. Você pode definir o exemplo desta categoria com o retorno do investimento (ROI), risco, desempenho, segurança, dados pessoais e assim por diante.
O Peso é um valor numérico que representa a importância da métrica relacionada a outras métricas. Um peso maior em proporção ao peso geral da categoria tem uma influência mais forte na pontuação final. Você pode definir o peso, defini-lo como qualquer número inteiro e aplicá-lo a perguntas e categorias.
O exemplo a seguir mostra a categoria de pergunta e o campo de peso que você pode definir no formulário de métrica de avaliação.
Cálculo de questionNormalizedValue
O questionNormalizedValue permite que perguntas com pesos e classificações diferentes sejam comparadas igualmente na mesma escala.
A equação a seguir é usada para calcular o questionNormalizedValue.
questionNormalizedValue = 100 * questionRating * questionPercentContribution
Cada resposta a cada pergunta (métrica de avaliação) no questionário tem um valor normalizado. Esse valor normalizado permite que você faça uma comparação significativa que posteriormente é acumulada para a categoria e os resultados da avaliação geral.
O exemplo a seguir mostra uma lista de valores normalizados para um grupo de avaliação.
cálculo de categoryRating
Agora que há valores normalizados para cada métrica na categoria, o categoryRating calcula um valor para a categoria inteira que pode ser normalizado usando a equação categoryNormalizedValue para facilitar as comparações entre categorias.
questionPercentContribution.categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory
A classificação da categoria é a soma de todos os valores normalizados das métricas na categoria.
A classificação de risco declarada para cada categoria é derivada da escala de classificação de risco associada.
O exemplo a seguir mostra a lista de classificações de categoria e classificações de risco para uma categoria de avaliação.
cálculo de categoryNormalizedValue
Com as classificações de categoria estabelecidas, a equação categoryNormalizedValue usa essa classificação e o peso da categoria para normalizar o resultado em todas as categorias.
A equação a seguir é usada para calcular o categoryNormalizedValue.
categoryNormalizedValue = categoryRating * (categoryWeight / sumOfAllCategoryWeights)
Este valor normalizado calculado executa uma comparação mais significativa que é posteriormente acumulada para os resultados da avaliação geral. Valores de categoryWeight mais altos aumentam o valor normalizado da categoria.
O exemplo a seguir mostra a lista de valores normalizados para uma categoria de avaliação.
questionárioQuantitativoCálculo de pontuação
Com todas as categorias normalizadas, a pontuação quantitativa geral da avaliação é calculada.
A equação a seguir é usada para calcular o questionárioQuantitativeScore.
questionárioQuantitativeScore = sumOfAllCategoryNormalizedValues
A saída da equação do questionárioQuantitativeScore é a soma das pontuações da categoria normalizada. É apresentado como a Pontuação de risco no registro do questionário.
O exemplo a seguir mostra uma pontuação de risco para um questionário.
Pontuação qualitativa para documentos
As solicitações de documentos têm uma classificação de risco que é uma pontuação qualitativa. A classificação de risco preliminar se baseia na resposta à pergunta padrão "Você tem o documento 'nome do documento'?".
| Resposta | Pontuação de risco |
|---|---|
| Sim | Baixo(a) |
| Não ou sem resposta | Alto |
| N/D | Moderado(a) |
O exemplo a seguir mostra uma classificação de risco para uma solicitação de documento.
Depois que o documento é revisado, ele pode ser considerado deficiente, portanto, o avaliador de risco de terceiros pode substituir a classificação padrão. A avaliação mantém a classificação de risco atual e a classificação de risco original. A classificação de risco declarada para cada categoria é derivada da escala de classificação de risco associada.
O exemplo a seguir mostra uma lista relacionada de categorias que inclui a classificação de risco original e atual.
avaliaçãoCálculo de classificação
Para qualquer avaliação de risco externo, a classificação final da avaliação é calculada como a média ponderada dos questionários e solicitações de documentos em cada área de risco de terceiros.
A equação a seguir é usada para calcular o assessmentRating.
assessmentRating = (MÉDIA (Questionário + Solicitação de documento para uma área de risco) * peso atribuído a essa área de risco + (Questionário + Solicitação de documento para outra área de risco) * peso atribuído a essa área de risco) / a soma dos pesos
- Questionário 1 = definido na área de risco de segurança
- Questionário 2 = definido na área de risco financeiro
- Questionário 3 = definido na área de risco financeiro
- Solicitação de documento 1 = definido na área de risco de segurança
| Área de risco | Método de pontuação | Ponderação |
|---|---|---|
| Risco de segurança | Risco médio | 10 |
| Risco financeiro | Risco máximo | 20 |
assessmentRating = (MÉDIA (Questionário 1 + Solicitação de documento 1) * 10 + MAX (Questionário 2 + Questionário 3) * 20) / (10 + 20).
A classificação final é a classificação de avaliação geral que considera as pontuações e classificações de todas as avaliações realizadas para um terceiro ou compromisso. É calculado com base na média ponderada dos questionários e solicitações de documentos em cada área de risco. Este processo de cálculo garante que todas as métricas, categorias e pesos relevantes sejam levados em conta com base em como você definiu esses parâmetros e configurações. O processo de cálculo e os fatores envolvidos podem ajudá-lo a tomar decisões fundamentadas e tomar as medidas apropriadas com base na classificação final.