Faktoren in der erweiterten Risikobewertung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Faktoren sind Fragen, mit denen Sie Risiken analysieren können. Faktoren werden in einer Risikobewertungsinstanz angezeigt.

    Faktoren sind Fragen, die während der Risikobewertung angezeigt werden. Um die erweiterte Risikobewertung zu verwenden, müssen Sie zuerst diese Faktoren definieren und eine Risikobewertungsmethode (RAM) konfigurieren. Weitere Informationen zu RAMs finden Sie unter Konfigurieren Sie eine Risikobewertungsmethode. Jeder Faktor oder jede Frage hat eine Antwort. Es gibt verschiedene Arten von Faktoren:
    • Manueller Faktor: Ein Faktor, der eine menschliche Eingabe erfordert. Die Antwort ist eine manuelle Antwort. Ein Beispiel ist Ihr Name.
    • Automatisierter Faktor: Ein Faktor, dessen Antwort automatisch berechnet wird. Ein Beispiel ist die Temperatur in Ihrer Stadt heute. Die Informationen werden aus externen Quellen abgerufen.
    • Geskriptete automatisierte Faktoren: Ein Faktor, der zum Schreiben von Skripts verwendet wird.
    • Gruppenfaktor: Eine Reihe von Faktoren, die logisch gruppiert sind.

    Diese Faktortypen werden in den folgenden Abschnitten ausführlicher erläutert. Nachdem Sie die Faktoren definiert und veröffentlicht haben, können Sie einen RAM konfigurieren und die Faktoren den Bewertungstypen innerhalb des RAM zuordnen. Der RAM bildet die Grundlage der Risikobewertung. Veröffentlichen Sie jeden der ausgewählten Bewertungstypen, und veröffentlichen Sie dann den RAM. Benutzer mit der Rolle „sn_risk.user“ können die Bewertungstypen auswählen, für die die Bewertung durchgeführt werden muss.

    Ihre Risikobewertungsinstanz wird dann erstellt. Ihre Eigenschaften hängen von den Bewertungstypen und -optionen ab, die Sie für Ihren RAM ausgewählt haben. In der Risikobewertungsinstanz bewertet der Risikobewerter die Risiken. Als Frage kann ein Faktor in mehreren Bewertungstypen verwendet werden. Zum Beispiel eine Frage wie „Wie hoch ist die Wahrscheinlichkeit, dass ein Gebäude überschwemmt wird?“. kann Teil einer inhärenten Bewertung oder einer Restbewertung nach der Bewertung der Kontrolleffektivität sein.

    Hinweis:
    Ein Faktor kann in mehreren Bewertungstypen verwendet werden, jedoch nur in einem RAM. Ein Faktor, der in einem RAM erstellt und verwendet wird, kann nicht in anderen RAMs wiederverwendet werden.

    Typen der Faktorbeiträge

    Ein Beurteiler gibt Antworten auf Faktoren. Risikogutachter können auf folgende Weise zu Faktoren beitragen:
    • Qualitativ: Verluste werden in Form von subjektiven Begriffen wie hoch, mittel und niedrig angegeben. Die Verluste können auch in Form einer numerischen Punktzahl angegeben werden, die in eine Bewertung umgewandelt wird.
    • Quantitativ: Verluste liegen in numerischer Form vor. Sie können aus einem monetären Risiko resultieren. Sie tragen zur inhärenten jährlichen Verlusterwartung (ALE) bei.
    • Beide: Verluste haben sowohl eine qualitative Risikobewertung als auch einen quantitativen Dollarwert. Diese Bewertungen werden auch als halbquantitativ bezeichnet.
    Weitere Informationen zum Verständnis von qualitativen, quantitativen und halbquantitativen Bewertungen finden Sie unter Arten von Risikobewertungsmethoden

    Manuelle Faktoren

    In einer Risikobewertung werden Fragen, die menschliche Antworten von den Befragten erfordern, als manuelle Faktoren bezeichnet. Bei manuellen Faktoren ist die Antwort subjektiv und schwer zu klassifizieren. Einige Fragen erfordern menschliche Intelligenz und Bewertungen. Daher ist ein manueller Faktor eine subjektive Bewertung der Ansicht einer Person. Beispiele für manuelle Faktoren sind Auswirkung auf die Reputation, erwartete Geschwindigkeit des Einsetzens usw. In manuellen Faktoren können Benutzer die folgenden Arten von Antworten angeben:
    • Text: Eine beschreibende Antwort. Beispiel: Feedback. Diese Auswahl trägt nicht zur Berechnung der Risikopunktzahl bei​.
    • Auswahl: Benutzerdefinierte Auswahlmöglichkeiten für die Fragen in der Bewertung. Beispielsweise können Benutzer die Risikobewertungen niedrig, mittel oder hoch auswählen.
    • Zahl: Ein numerischer Wert. Zum Beispiel die Anzahl der offenen Probleme.
    • Währung: Ein Betrag in der lokalen Währung des Benutzers. Zum Beispiel die finanziellen Auswirkungen eines bestimmten Risikos.
    • Prozentsatz: Ein Prozentwert für die Fragen in der Bewertung. Zum Beispiel der Prozentsatz der Mitarbeiter, die mit den Organisationsstrategien zufrieden sind.

    Gruppenfaktoren

    Wenn Faktoren logisch gruppiert sind, werden sie Gruppenfaktoren genannt. Die Punktzahl eines Gruppenfaktors hängt von den Antworten der entsprechenden manuellen Faktoren ab. Beispielsweise sind Organisationen von finanziellen und nicht finanziellen Risiken betroffen. Sie können einige Faktoren für finanzielle Risiken und andere Faktoren für nicht finanzielle Risiken erstellen. Sie können diese beiden Faktorensätze zu einem einzigen Gruppenfaktor mit der Bezeichnung Gesamtauswirkung kombinieren. Wie manuelle Faktoren können Gruppenfaktoren entweder zu einer numerischen Risikopunktzahl beitragen, die in einen qualitativen Beitrag konvertiert wird, oder zu den ALE-Werten als quantitativer Beitrag.

    Automatisierte Faktoren

    Automatisierte Faktoren rufen während einer Bewertung automatisch die neuesten Daten aus einer der Datenquellen wie Tabellen oder Datenbankansichten ab. Automatisierte Faktoren helfen bei der Automatisierung des Risikobewertungsprozesses. Sie sind nicht auf manuelle Eingaben angewiesen und reduzieren daher die Subjektivität. Beispiel: Ein Risikogutachter möchte eine Bewertung für verschiedene Standorte durchführen. Einer der automatisierten Faktoren ist die politische Lage eines Landes, und diese Informationen sind auf einer Website öffentlich verfügbar. Da sich diese Daten nicht in ServiceNowbefinden, kann der Beurteiler automatisierte Faktoren zum Abrufen der Daten verwenden. Einige andere Beispiele für automatisierte Faktoren sind:
    • Die Anzahl der Mitarbeiter in einem Projekt.
    • Der Umsatz eines Geschäftsbereichs.
    • Die geschäftliche Relevanz eines Prozesses.

    Geskriptete automatisierte Faktoren

    Automatisierte Skriptfaktoren werden zum Schreiben von Skripts verwendet. Die Skripts rufen die Daten entweder aus ServiceNow -Datensätzen oder aus externen Quellen ab. Geskriptete automatisierte Faktoren stellen während der Risikobewertung automatisch die Antworten für Faktoren bereit.

    Die folgenden Anwendungsfälle zeigen ein Beispiel dafür, wie Sie geskriptete Faktoren modellieren können. Wenn Sie beispielsweise die Ergebnisse der Compliance-Funktion verwenden möchten, um die Effektivität der Kontrollen zu bewerten, gibt es zwei Möglichkeiten, die Kontrollen zu bewerten:
    • Individuelle Bewertung von Kontrollen
    • Kontrollumgebungsbewertung.
    Bei der Einzelbewertung von Steuerungen wird jede Steuerung separat bewertet. Um die Kontrollbewertung im Kontext geskripteter Faktoren zu verstehen, betrachten Sie das Beispiel der Geldwäsche als Risiko. In diesem Beispiel wird die Effektivität der Kontrollen basierend auf dem Prozentsatz der fehlgeschlagenen Kontrollen bewertet. Die Werte der fehlgeschlagenen Kontrollen werden dann in eine Bewertung umgewandelt, um die Kontrolleffektivität dieser Kontrolle zu berechnen. Zum Beispiel gibt es für das Geldwäscherisiko drei ausgleichende Kontrollen:
    • Mitarbeiterschulung
    • Interne Audits für Mitarbeiter
    • Kunden-Sorgfaltspflicht
    Angenommen, Sie haben die Kriterien für die Kontrolleffektivität wie folgt definiert:
    Kontrolldesign-Effektivitätsfehler Steuerungseffektivität
    0 %–30 % Effektiv
    30 %–60 % Muss verbessert werden
    > 60 % Ineffektiv

    Nehmen wir nun an, dass von den drei Kontrollen eine Kontrolle bestanden hat und zwei Kontrollen fehlgeschlagen sind. Das Versagen von zwei Steuerungen führt zu einer Fehlerrate von 66,67 %. Basierend auf der Transformation und basierend auf der vorherigen Tabelle ist die Bewertung der Kontrolleffektivität ineffektiv. Sie können dieses definierte Skript verwenden, um die Antwort auf den Faktor zur Bewertung des Geldwäscherisikos zu automatisieren.

    Bei der Bewertung der Steuerungsumgebung können Sie die vollständige Steuerungsumgebung bewerten, anstatt jede Steuerung einzeln zu bewerten. Um die Bewertung der Kontrollumgebung zu verstehen, betrachten Sie das folgende Beispiel. Angenommen, Sie möchten die Kontrollumgebung anhand von zwei Aspekten bewerten: Designeffektivität und Betriebseffektivität. Um die Designeffektivität zu berechnen, können Sie die zugehörigen Steuerungen abrufen, die sich auf das Geldwäscherisiko beziehen. Sie können sich dann die Testergebnisse ansehen, um nachzuvollziehen, wie viele der Steuerungen fehlgeschlagen sind. Angenommen, Sie haben die Kriterien für die Kontrolleffektivität wie folgt definiert:
    Kontrolldesign-Effektivitätsfehler Steuerungseffektivität
    0 %–30 % Effektiv
    30 %–60 % Muss verbessert werden
    > 60 % Ineffektiv

    Nehmen wir nun an, dass zwei Steuerungen fehlgeschlagen sind und eine Steuerung bestanden hat. Daher beträgt die Fehlerrate bei der Effektivität des Steuerungsdesigns 33,33 %. Basierend auf der vorherigen Tabelle bedeutet dieser niedrige Wert von 33,33 %, dass das Steuerungsdesign verbessert werden muss. Diese Antwort kann im automatisierten Skriptfaktor automatisch geskriptet werden, da keine menschliche Berechnung oder kein menschliches Eingreifen erforderlich ist.