Die Risikobewertungsinstanz verstehen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • In einer Risikobewertungsinstanz kann ein Risikobewerter Risiken und Objekte bewerten, indem er auf Fragen oder Faktoren reagiert.

    Nachdem die Risikobewertungsmethode (RAM) erstellt und der Umfang der Risikobewertung definiert wurde, werden die Bewertungen vom Risikoadministrator initiiert. Der Beurteiler erhält eine Benachrichtigung, um die Risiken zu bewerten. Um die Risikobewertung durchzuführen, muss ein Beurteiler die Rolle sn_grc.business_user haben. Die Bewertung wird verwendet, um eine Risikopunktzahl für eine Entität zu erhalten.
    Hinweis:
    Sie müssen die erweiterten Risikobewertungsrollen manuell der Rolle sn_grc.business_user zuweisen. Informationen zum Anpassen der Gewährung von Rollen und Gruppen finden Sie im Artikel So passen Sie die Gewährung von Rollen und Gruppen an, um Hintergrundaufträge zu verwenden [KB0963693] in der Knowledge Base von Now Support.

    Die Fragen, die ein Risikobewerter beantwortet, werden im RAM konfiguriert. Eine Bewertung kann manuelle Faktoren und automatisierte Faktoren enthalten. Manuelle Faktoren erfordern menschliche Eingaben als Antworten. Für automatisierte Faktoren werden die Antworten automatisch berechnet. Automatisierte Faktoren werden automatisch basierend auf dem Zeitplan ausgeführt, der in ihrer Konfiguration definiert ist.

    Nach Abschluss einer Bewertung wird basierend auf der definierten Neubewertungshäufigkeit automatisch eine Neubewertung ausgelöst. Eine Neubewertung wird nur ausgelöst, wenn sich die vorhandene Risikobewertungsinstanz im Status „Überwachen“ befindet. Wenn sich eine Bewertung im Status „Überwachen“ befindet und automatisierte Faktoren gemäß ihrem Zeitplan ausgeführt werden, ändern sich die Bewertungspunktzahlen, und die Faktoren tragen neue Punktzahlen zum Rollup bei.

    Wenn der Risikobewerter feststellt, dass eine Bewertung einem anderen relevanten Beurteiler zugewiesen werden muss, kann der Beurteiler die Bewertung neu zuweisen. Der Beurteiler kann die Antworten auch ändern, nachdem er auf die Faktoren reagiert hat.

    Wenn eine Bewertung mehrmals durchgeführt wird und die Option zum Kopieren der vorherigen Bewertungsantworten im RAM aktiviert ist, werden die Antworten aus den vorherigen Bewertungen automatisch in die aktuelle Bewertung kopiert.
    Hinweis:
    Automatisierte Faktorantworten und überschriebene Punktzahlen werden nicht aus vorherigen Bewertungen kopiert.

    Komponenten einer Risikobewertungsinstanz

    Basierend auf den Konfigurationen im RAM werden im Formular der Risikobewertungsinstanz auch die folgenden zugehörigen Listen angezeigt:
    • Vorherige Bewertungen: Die vorherigen fünf Bewertungen für das Risiko, das derzeit bewertet wird.
    • Risikoereignisse: Die Anzahl der Risikoereignisse, die dem Risiko zugeordnet sind.
    • Risikoindikatoren: Die Anzahl der Risikoindikatoren, die für dieses Risiko bestanden und nicht bestanden wurden.
    • Offene Probleme: Die Anzahl der offenen Probleme für das Risiko sowie deren Status und Besitzer.
    • Risikobewältigungsaufgaben: Die Anzahl der Risikobewältigungsaufgaben, die für die Bewertung erstellt werden.
    • Zugehörige Kontrollen: Die Kontrollen, die sich auf das Risiko beziehen. Diese zugehörige Liste wird nur angezeigt, wenn die Kontrollumgebung bewertet wird.
      Hinweis:
      Kunden mit früheren Releases können die aktualisierte Anzahl für bestandene und fehlgeschlagene Indikatoren möglicherweise nicht sehen. Um dieses Problem zu beheben, führen Sie das Korrekturskript „ Indikator aktualisieren“ und „Steuerungsanzahl “ aus.

    Ein Beurteiler hat die Möglichkeit, die entschärfenden Kontrollen nicht zu bewerten. Die Option zum Deaktivieren von Steuerungen ist in Fällen nützlich, in denen ein Risiko besteht, aber keine Steuerungen zu dessen Minderung vorhanden sind. Betrachten Sie beispielsweise ein Szenario, in dem eine Pandemie ein Risiko darstellt, es jedoch keine Impfstoffe gibt, um sie zu kontrollieren. In einem solchen Fall wird das Risiko bewertet, die Steuerungen können jedoch aus der Bewertung ausgelassen werden. Wenn ein Beurteiler beschließt, die Bewertung von entschärfenden Kontrollen und Restrisiken zu deaktivieren, wird die Punktzahl auf Nicht zutreffendfestgelegt.

    Wenn die Kontrollbewertung so konfiguriert ist, dass einzelne Kontrollen bewertet werden, und die Kontrollen dem zu bewertenden Risiko zugeordnet sind, wird die Option zum Abwählen von Kontrollen nicht angezeigt. Dies liegt daran, dass die Steuerungen standardmäßig festgelegt sind.

    Wenn die Restrisikobewertung für inhärente Risiken und Kontrollen gilt und der Risikobewerter die Kontrollbewertung ablehnt, sind die Restrisiken nicht anwendbar. Diese Bedingung wird erstellt, denn wenn keine Steuerungen vorhanden sind, bedeutet dies automatisch, dass nur inhärente Risiken und keine Restrisiken vorhanden sind.

    Phasen der Risikobewertung

    Der Lebenszyklus der Risikobewertung durchläuft die folgenden Status:
    1. Bereit zur Bewertung: Eine neue Bewertungsinstanz wird erstellt.
    2. Inhärente Bewertung: Die Bewertung des inhärenten Risikos wird durchgeführt.
    3. Kontrollbewertung: Die Kontrollbewertung wird durchgeführt.
    4. Restrisikobewertung: Die Restrisikobewertung wird durchgeführt.
    5. Zielbewertung: Die Zielrisikobewertung wird durchgeführt.
    6. Reagieren: Sie reagieren auf die Risiken.
    7. Genehmigung ausstehend: Die Risikobewertung wartet auf die Genehmigung durch die Genehmiger, sofern diese identifiziert wurden.
    8. Überwachen: Die Risikobewertung ist abgeschlossen und wird überwacht.