Risikobewertungen und Bewertungsberechnungen von Drittparteien

  • Freigeben Version: Washingtondc
  • Aktualisiert 21. Februar 2024
  • 8 Minuten Lesedauer

    • Führen Sie eine umfassende externe Risikobewertung durch, wenn Sie mehrere Bewertungen und Punktzahlen mit der Anwendung Risikomanagement von Drittparteien berechnen. Sie erhalten ein tieferes Verständnis des gesamten Berechnungsprozesses und erfahren, wie benutzerdefinierte Parameter und Konfigurationen die Ergebnisse der Fragebögen beeinflussen.

    Risikobewertungsskala

    Jedes Mal, wenn Sie einen Fragebogen erstellen, wendet das System eine Standardrisikobewertung an. Sie können die Risikobewertungsskala, die die Kategorien, Mindest- und Höchstwerte enthält, so konfigurieren, dass sie Ihren spezifischen Fragebogenanforderungen entspricht, die für jede Bewertung variieren können. Sie können beispielsweise Risikobewertungswerte als Farben anstatt 1-Sehr Hoch bis 5-Sehr Niedrigdefinieren.

    Das folgende Beispiel zeigt die standardmäßigen Risikobewertungen, die als Teil des Basissystems bereitgestellt werden.

    Abbildung : 1. Standardrisikobewertungsskala

    Liste der Standardrisikobewertungen. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Punktzahlberechnungsmechanismus

    Der Punktzahlberechnungsmechanismus für jede externe Risikobewertung verwendet die Now Platform® Bewertungspunktzahl-Berechnungs-Engine. Diese Engine führt diese Berechnungen mithilfe einer Reihe zugehöriger Gleichungen durch, die dynamisch neu berechnet werden. Sie definieren die folgenden Parameter, die sich auf die berechnete Bewertungsbewertung auswirken:
    • Fragen (Metriken)

      Weitere Informationen zum Definieren einer Frage finden Sie unter Eine Frage definieren.

    • Definition der Metrikskala

      Weitere Informationen zum Definieren der Metrikskaladefinition finden Sie unter Eine Frage definieren.

    • Kategorien

      Weitere Informationen zum Definieren einer Kategorie finden Sie unter Richten Sie einen Fragenpool ein und verwalten Sie ihn.

    • Gewichtungen

      Weitere Informationen zum Definieren einer Gewichtung finden Sie unter Definieren Sie Komponentenkriterien.

    • Risikobewertungsskala

      Weitere Informationen zum Definieren einer Risikobewertungsskala finden Sie unter Risikobewertungsskalen und -punktzahlen einrichten.

    • Business Service-Bewertungsskala
      Wenn am Ende der Bewertungsberechnung eine Drittpartei oder Interaktion einem Business Service zugeordnet ist, den Sie in der Tabelle „Service“ [cmdb_ci_service] definiert haben, wird diese Relevanzgewichtung in die Berechnung einbezogen. Verschiedene Geschäftsservices können unterschiedliche Risikoniveaus aufweisen. Durch Anpassen der Relevanzgewichtung können Sie die resultierenden Werte verwenden, um Ihre Risikominderungsstrategien anzupassen.
      Hinweis:
      Ein Geschäftsservice ist eine definierte Abfolge von Aufgaben oder Aktivitäten, die zur Bereitstellung eines Service beitragen, z. B. E-Mail, IT-Services, E-Commerce.
      Sie können die Relevanzgewichtungen definieren, indem Sie zu navigieren Alle > Selfservice > Drittpartei-Risikomanagement > Bewertungs-Setup > Geschäftsservice-Bewertungsskala.
      Als Teil des Basissystems sind vier Bewertungen definiert:
      • 1 – sehr kritisch
      • 2 – kritisch
      • 3 – Weniger kritisch
      • 4 – Nicht kritisch

      Sie können jede Drittpartei oder Interaktion mehreren Business Services zuordnen.

    Die folgende Infografik zeigt den Berechnungsprozess der Bewertungsbewertung.

    Abbildung : 2. Bewertungsberechnungsprozess

    Infografik, die die Berechnung der Bewertungsbewertung zeigt. Die Textbeschreibung finden Sie in der folgenden Liste.
    1. Für jede Frage im Fragebogen werden die folgenden Werte berechnet:

      1. questionRatings: Die Bewertung für jede Frage wird anhand der Antworten berechnet. Die Bewertung wird durch die Metrikskaladefinition und die Werte bestimmt, die den Antworten zugeordnet sind.

      2. questionPercentContribution: Der prozentuale Beitrag jeder Frage innerhalb ihrer Kategorie wird durch diese Berechnung bestimmt. Dieser Wert basiert auf der Gewichtung, die der Drittpartei-Risikomanager der Frage zugewiesen hat, und der Gesamtgewichtung der Kategorie.
      3. questionNormalizedValue: Der normalisierte Wert für jede Frage wird berechnet, indem die Bewertung der Frage, der prozentuale Beitrag der Frage und ein konstanter Wert (100) multipliziert werden. Mit diesem Wert können Sie Fragen mit unterschiedlichen Gewichtungen und Bewertungen vergleichen.
    2. Für die Kategorien jedes Fragebogens werden die folgenden Bewertungen berechnet:
      1. categoryRating: Die Bewertung für jede Kategorie wird berechnet, indem die normalisierten Werte aller Fragen innerhalb der Kategorie summiert werden. Die Kategoriebewertung wird von der zugehörigen Risikobewertungsskala abgeleitet.
      2. categoryNormalizedValue: Die Kategoriebewertung wird normalisiert, indem sie mit der Kategoriegewichtung multipliziert wird, damit Sie Werte über alle Kategorien hinweg vergleichen können.
    3. Fragebogen, QuestionnaireQuantitativeScore: Die quantitative Gesamtpunktzahl für die Bewertung wird berechnet, indem die normalisierten Kategoriepunktzahlen summiert werden. Diese Punktzahl stellt die Risikopunktzahl für den Fragebogen dar.
    4. Dokumente, Qualitative Punktzahl: Die Berechnung der qualitativen Risikobewertung für die Dokumentanforderungen basiert auf der Antwort auf die Standardfrage „Haben Sie das Dokument 'Dokumentname'?“. in der Dokumentanforderung. Diese Bewertung kann bei Bedarf vom Drittpartei-Risikogutachter überschrieben werden.
    5. Bewertung, AssessmentRating: Die endgültige Bewertung für die Bewertung wird berechnet, indem der gewichtete Durchschnitt der Fragebögen und Dokumentanforderungen in jedem Drittpartei-Risikobereich herangezogen wird. Die Gewichtungen werden durch die Bewertungsmethode für Risikobereiche bestimmt.

    Weitere Informationen finden Sie unter Metrikergebnisse anzeigen.

    Fragebewertungsberechnung

    Sie verwenden die Fragebewertungsberechnung, um den relativen Signifikanzgrad jeder einzelnen Bewertungsmetrik im Vergleich zu anderen Metriken zu definieren. Diese Schlüsselvariable hilft bei der Berechnung des normalisierten Werts später im Prozess.

    Sie können die Skaladefinition für eine einzelne Bewertungsmetrik definieren, indem Sie sie auf Hoch oder Niedrigfestlegen.

    Das folgende Beispiel zeigt, wie das Definitionsfeld der Metrikskala im Formular „Bewertungsmetrik“ definiert wurde.
    Abbildung : 3. Beispiel für die Definition der Metrikskala

    Beispiel für die Definition der Metrikskala. Die Textbeschreibung finden Sie im folgenden Text.
    • Hoch bedeutet, dass große numerische Werte ein positives Ergebnis anzeigen. Wenn die Definition der Metrikskala hoch ist, wird die folgende Gleichung verwendet:

      questionRating = (value - minValue) / (maxValue - minValue)

    • Niedrig bedeutet, dass kleine numerische Werte ein positives Ergebnis anzeigen. Wenn die Definition der Metrikskala niedrig ist, wird die folgende Gleichung verwendet:

      questionRating = 1 - ((value - minValue) / (maxValue - minValue))

    Das folgende Beispiel zeigt das Fragewertfeld, das im Frageformular der Bewertungsinstanz definiert ist.

    Abbildung : 4. Beispiel für den Wert der Bewertungsfrage
    Beispiel für das Wertfeld einer Bewertungsfrage. Die Textbeschreibung finden Sie im folgenden Text.

    Der in der Gleichung verwendete Wert wird der Antwort auf die Frage entnommen. Die Konfiguration der Metrik definiert die richtige Antwort, also den Wert, und die anderen Werte, die den anderen falschen oder weniger wünschenswerten Antworten zugeordnet sind.

    FrageProzentBeitragsberechnung

    „questionPercentContribution“ definiert den Signifikanzgrad der Bewertungsmetrik innerhalb der Kategorie, in der sie enthalten ist. Diese Schlüsselvariable wird später im Prozess zur Berechnung des normalisierten Werts verwendet.

    Die folgende Gleichung wird verwendet, um die FragePercentContribution zu berechnen.

    questionPercentContribution = (questionWeight / sumOfAllQuestionWeightsWithinCategory)

    Die Kategorie stellt ein Thema für die Bewertung der bewertbaren Datensätze in einem Metriktyp dar. Sie können das Beispiel dieser Kategorie mit Kapitalrendite (ROI), Risiko, Leistung, Sicherheit, personenbezogenen Daten usw. definieren.

    Die Gewichtung ist ein numerischer Wert, der die Wichtigkeit der Metrik darstellt, die sich auf andere Metriken bezieht. Eine höhere Gewichtung im Verhältnis zur Gesamtgewichtung der Kategorie hat einen stärkeren Einfluss auf die endgültige Punktzahl. Sie können die Gewichtung definieren, sie auf eine beliebige ganze Zahl festlegen und sie auf Fragen und Kategorien anwenden.

    Das folgende Beispiel zeigt die Fragekategorie und das Gewichtungsfeld, die Sie im Bewertungsmetrikformular definieren können.

    Abbildung : 5. Beispiel für Bewertungsfragenkategorie und -gewichtung
    Beispiele für Felder „Kategorie“ und „Gewichtung“. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    questionNormalizedValue-Berechnung

    Mit questionNormalizedValue können Fragen mit unterschiedlichen Gewichtungen und Bewertungen auf derselben Skala verglichen werden.

    Die folgende Gleichung wird verwendet, um den questionNormalizedValuezu berechnen.

    questionNormalizedValue = 100 * questionRating * questionPercentContribution

    Jede Antwort auf jede Frage (Bewertungsmetrik) im Fragebogen hat einen normalisierten Wert. Mit diesem normalisierten Wert können Sie einen aussagekräftigen Vergleich durchführen, für den später ein Rollup auf die Kategorie und die Gesamtbewertungsergebnisse durchgeführt wird.

    Das folgende Beispiel zeigt eine Liste normalisierter Werte für eine Bewertungsgruppe.

    Abbildung : 6. Normalisierte Werteliste für ein Beispiel für eine Bewertungsgruppe

    Liste der normalisierten Werte der Bewertungsgruppe. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    categoryRating-Berechnung

    Jetzt, da normalisierte Werte für jede Metrik innerhalb der Kategorie vorhanden sind, berechnet categoryRating einen Wert für die gesamte Kategorie, der dann mithilfe der categoryNormalizedValue -Gleichung normalisiert werden kann, um Vergleiche zwischen Kategorien zu erleichtern.

    Die folgende Gleichung wird verwendet, um die FragePercentContribution zu berechnen.

    categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory

    Die Kategoriebewertung ist die Summe aller normalisierten Werte für die Metriken innerhalb der Kategorie.

    Die angegebene Risikobewertung für jede Kategorie wird von der zugehörigen Risikobewertungsskala abgeleitet.

    Das folgende Beispiel zeigt die Liste der Kategoriebewertungen und Risikobewertungen für eine Bewertungskategorie.

    Abbildung : 7. Beispiel für Kategorienbewertung und Risikobewertungsliste

    Kategorienbewertung und Risikobewertungsliste. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    categoryNormalizedValue-Berechnung

    Wenn die Kategoriebewertungen festgelegt sind, verwendet die categoryNormalizedValue -Gleichung diese Bewertung und die Kategoriegewichtung, um das Ergebnis für alle Kategorien zu normalisieren.

    Die folgende Gleichung wird verwendet, um den categoryNormalizedValuezu berechnen.

    categoryNormalizedValue = categoryRating * (categoryWeight / sumOfAllCategoryWeights)

    Dieser berechnete normalisierte Wert führt einen aussagekräftigeren Vergleich durch, für den später ein Rollup zu den Gesamtbewertungsergebnissen durchgeführt wird. Höhere categoryWeight -Werte erhöhen den normalisierten Wert der Kategorie.

    Das folgende Beispiel zeigt die Liste der normalisierten Werte für eine Bewertungskategorie.

    Abbildung : 8. Beispiel für die Liste mit normalisierten Werten für Kategorien

    Beispiel einer Liste mit normalisierten Werten für Kategorien. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Fragebogen Quantitative Punktzahlberechnung

    Wenn alle Kategorien normalisiert sind, wird die quantitative Gesamtpunktzahl für die Bewertung berechnet.

    Die folgende Gleichung wird verwendet, um den FragebogenQuantitativeScorezu berechnen.

    FragebogenQuantitativeScore = sumOfAllCategoryNormalizedValues

    Die Ausgabe der FragebogenQuantitativeScore -Gleichung ist die Summe der normalisierten Kategoriepunktzahlen. Sie wird als Risikopunktzahl im Datensatz für den Fragebogen dargestellt.

    Das folgende Beispiel zeigt eine Risikopunktzahl für einen Fragebogen.

    Abbildung : 9. Fragebogendatensatz mit Beispiel Risikopunktzahl

    Beispiel: Fragebogen „Risikopunktzahl“. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Qualitative Punktzahl für Dokumente

    Dokumentanforderungen haben eine Risikobewertung, die eine qualitative Punktzahl ist. Die vorläufige Risikobewertung basiert auf der Antwort auf die Standardfrage „Haben Sie das Dokument 'Dokumentname'?“.

    Die Risikobewertung des Dokuments verwendet die in der folgenden Tabelle dargestellte Skala.
    Tabelle : 1. Skala für Dokumentrisikobewertung
    Antwort Risikobewertung
    Ja Niedrig
    Nein oder nicht beantwortet Hoch
    N/V Mittel

    Das folgende Beispiel zeigt eine Risikobewertung für eine Dokumentanforderung.

    Abbildung : 10. Beispiel für die Risikobewertung einer Dokumentanforderung

    Beispiel für die Risikobewertung von Dokumentanforderungen Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Nachdem das Dokument überprüft wurde, kann es als mangelhaft befunden werden, sodass der Drittpartei-Risikobewerter die Standardbewertung überschreiben kann. Die Bewertung behält die aktuelle Risikobewertung und die ursprüngliche Risikobewertung bei. Die angegebene Risikobewertung für jede Kategorie wird von der zugehörigen Risikobewertungsskala abgeleitet.

    Das folgende Beispiel zeigt eine zugehörige Liste mit Kategorien, die die ursprüngliche und die aktuelle Risikobewertung enthält.

    Abbildung : 11. Beispiel für zugehörige Liste „Kategorien“.

    Zugehörige Liste mit Kategorien, die das ursprüngliche und das aktuelle Risikobewertungsbeispiel zeigt. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    AssessmentRating-Berechnung

    Für jede externe Risikobewertung wird die endgültige Bewertung als gewichteter Durchschnitt der Fragebögen und Dokumentanforderungen in jedem Drittpartei-Risikobereich berechnet.

    Die folgende Gleichung wird verwendet, um das AssessmentRatingzu berechnen.

    AssessmentRating = (Durchschnittlich (Fragebogen + Dokumentanforderung für einen Risikobereich) * Gewichtung, die diesem Risikobereich zugewiesen ist + (Fragebogen + Dokumentanforderung für einen anderen Risikobereich) * Gewichtung, die diesem Risikobereich zugewiesen ist)/Summe der Gewichtungen

    • Fragebogen 1 = im Sicherheitsrisikobereich definiert
    • Fragebogen 2 = im Finanzrisikobereich definiert
    • Fragebogen 3 = im Finanzrisikobereich definiert
    • Dokumentanforderung 1 = im Sicherheitsrisikobereich definiert
    Die Kriterien für Risikobereiche werden wie im Beispiel in der folgenden Tabelle festgelegt:
    Tabelle : 2. Kriterien für Risikobereiche
    Risikobereich Bewertungsmethode Gewichtung
    Sicherheitsrisiko Durchschnittliches Risiko 10
    Finanzielles Risiko Max. Risiko 20
    Die endgültige Bewertung für die Bewertung wird anhand der folgenden Gleichung berechnet:

    AssessmentRating = (Durchschnitt (Fragebogen 1 + Dokumentanforderung 1) * 10 + MAX (Fragebogen 2 + Fragebogen 3) * 20) / (10 + 20).

    Die endgültige Bewertung ist die Gesamtbewertung, bei der die Punktzahlen und Bewertungen aller für eine Drittpartei oder Interaktion durchgeführten Bewertungen berücksichtigt werden. Zur Berechnung wird der gewichtete Durchschnitt der Fragebögen und Dokumentanforderungen in jedem Risikobereich herangezogen. Dieser Berechnungsprozess stellt sicher, dass alle relevanten Metriken, Kategorien und Gewichtungen basierend auf der Definition dieser Parameter und Konfigurationen berücksichtigt werden. Der Berechnungsprozess und die beteiligten Faktoren können Ihnen helfen, fundierte Entscheidungen zu treffen und basierend auf der endgültigen Bewertung geeignete Maßnahmen zu ergreifen.