Faktoren in der erweiterten Risikobewertung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Faktoren sind Fragen, mit denen Sie Risiken analysieren können. Faktoren werden in einer Risikobewertungsinstanz angezeigt.

    Faktoren sind Fragen, die während der Risikobewertung auftreten. Um die erweiterte Risikobewertung zu verwenden, müssen Sie zuerst diese Faktoren definieren und eine Risikobewertungsmethode (RAM) konfigurieren. Weitere Informationen zu RAMs finden Sie unter Risikobewertungsmethode konfigurieren. Für jeden Faktor und jede Frage gibt es eine Antwort. Es gibt verschiedene Arten von Faktoren:
    • Manueller Faktor: Ein Faktor, der menschliche Eingaben erfordert. Die Antwort ist eine manuelle Antwort. Ein Beispiel ist Ihr Name.
    • Automatisierter Faktor: Ein Faktor, dessen Antwort automatisch berechnet wird. Ein Beispiel ist die heutige Temperatur in Ihrer Stadt. Die Informationen werden aus externen Quellen abgerufen.
    • Automatisierte Faktoren mit Skript: Ein Faktor, der zum Schreiben von Skripts verwendet wird.
    • Gruppenfaktor: Ein Satz von Faktoren, die logisch gruppiert sind.

    Diese Faktortypen werden in den folgenden Abschnitten ausführlicher erläutert. Nachdem Sie die Faktoren definiert und veröffentlicht haben, können Sie einen RAM konfigurieren und die Faktoren den Bewertungstypen innerhalb des RAM zuordnen. Der RAM ist die Grundlage der Risikobewertung. Veröffentlichen Sie jeden der ausgewählten Bewertungstypen und veröffentlichen Sie dann den RAM. Benutzer mit der Rolle sn_risk.user können die Bewertungstypen auswählen, für die die Bewertung durchgeführt werden muss.

    Anschließend wird Ihre Risikobewertungsinstanz erstellt. Ihre Eigenschaften hängen von den Bewertungstypen und -optionen ab, die Sie für Ihre RAM ausgewählt haben. In der Risikobewertungsinstanz bewertet der Risikogutachter die Risiken. Als Frage kann ein Faktor in mehreren Bewertungstypen verwendet werden. Beispiel: Eine Frage wie „Wie hoch ist die Wahrscheinlichkeit, dass ein Gebäude überschwemmt wird?“ kann entweder Teil einer inhärenten Bewertung oder einer Restrisikobewertung nach der Bewertung der Kontrolleffektivität sein.

    Hinweis:
    Ein Faktor kann in mehreren Bewertungstypen verwendet werden, aber er kann nur in einem RAM verwendet werden. Ein Faktor, der in einem RAM erstellt und verwendet wird, kann in anderen RAMs nicht wiederverwendet werden.

    Arten von Faktorbeiträgen

    Ein Gutachter gibt Antworten für Faktoren. Risikogutachter können auf folgende Weise zu Faktoren beitragen:
    • Qualitativ: Verluste werden in Form von sekundären Begriffen wie hoch, mittel und niedrig angegeben. Die Verluste können auch in Form einer numerischen Punktzahl angegeben werden, die in eine Bewertung umgewandelt wird.
    • Quantitativ: Verluste werden in numerischer Form angegeben. Sie können aus einem monetären Risiko entstehen. Sie tragen zur inhärenten jährlichen Verlusterwartung bei.
    • Beide: Verluste haben sowohl eine qualitative Risikobewertung als auch einen quantitativen Dollarwert. Diese Bewertungen werden auch als halbquantitativ bezeichnet.
    Weitere Informationen zum Verständnis qualitativer, quantitativer und halbquantitativer Bewertungen finden Sie unter Arten von Risikobewertungsmethoden

    Manuelle Faktoren

    In einer Risikobewertung werden Fragen, die von den Teilnehmern manuell beantwortet werden müssen, als manuelle Faktoren bezeichnet. Bei manuellen Faktoren ist die Antwort subjektiv und schwer zu klassifizieren. Einige Fragen erfordern menschliche Intelligenz und Bewertung. Daher ist ein manueller Faktor eine sensible Bewertung der Ansicht einer Person. Beispiele für manuelle Faktoren sind Auswirkung auf die Reputation, erwartete Geschwindigkeit des Einsetzens usw. In manuellen Faktoren können Benutzer die folgenden Arten von Antworten angeben:
    • Text: Eine beschreibende Antwort. Beispiel: Feedback. Diese Auswahl wird bei der Berechnung der Risikopunktzahl nicht berücksichtigt​.
    • Auswahl: Benutzerdefinierte Auswahlmöglichkeiten für die Fragen in der Bewertung. Beispielsweise können Benutzer Risikoeinstufungen als niedrig, mittel oder hoch auswählen.
    • Anzahl: Ein numerischer Wert. Zum Beispiel die Anzahl der offenen Probleme.
    • Währung: Ein Betrag in der lokalen Währung des Anwenders. Zum Beispiel die finanziellen Auswirkungen eines bestimmten Risikos.
    • Prozentsatz: Ein Prozentwert für die Fragen in der Bewertung. Zum Beispiel der Prozentsatz der Mitarbeiter, die mit den Organisationsstrategien zufrieden sind.

    Gruppenfaktoren

    Wenn Faktoren logisch gruppiert sind, werden sie als Gruppenfaktoren bezeichnet. Die Punktzahl eines Gruppenfaktors hängt von den Antworten der entsprechenden manuellen Faktoren ab​. Beispielsweise sind Organisationen von finanziellen Risiken und nichtfinanziellen Risiken betroffen. Sie können einige Faktoren für finanzielle Risiken und andere Faktoren für nicht finanzielle Risiken erstellen. Sie können diese beiden Gruppen von Faktoren in einem einzelnen Gruppenfaktor namens Gesamtauswirkung kombinieren. Gruppenfaktoren können wie manuelle Faktoren entweder zu einer numerischen Risikopunktzahl beitragen, die in einen qualitativen Beitrag konvertiert wird, oder als quantitativen Beitrag zu den ALE-Werten.

    Automatisierte Faktoren

    Automatisierte Faktoren rufen während einer Bewertung automatisch die neuesten Daten aus allen Datenquellen wie Tabellen oder Datenbankansichten ab. Automatisierte Faktoren helfen bei der Automatisierung des Risikobewertungsprozesses. Sie sind nicht auf manuelle Eingaben angewiesen und reduzieren daher die Subjektivität. Angenommen, ein Risikogutachter möchte eine Bewertung für verschiedene Standorte durchführen. Einer der automatisierten Faktoren ist die politische Lage eines Landes, und diese Informationen sind auf einer Website öffentlich verfügbar. Da sich diese Daten nicht in ServiceNowbefinden, kann der Gutachter automatisierte Faktoren verwenden, um die Daten abzurufen. Einige andere Beispiele für automatisierte Faktoren sind die folgenden:
    • Die Anzahl der Mitarbeiter an einem Projekt
    • Der Umsatz eines Geschäftsbereichs.
    • Die Geschäftskritikalität eines Prozesses.

    Automatisierte Faktoren mit Skript

    Automatisierte geskriptete Faktoren werden zum Schreiben von Skripts verwendet. Die Skripts rufen die Daten entweder aus ServiceNow -Datensätzen oder aus externen Quellen ab. Automatisierte Faktoren mit Skript stellen automatisch die Antworten für Faktoren während der Risikobewertung bereit.

    Die folgenden Anwendungsfälle zeigen ein Beispiel dafür, wie Sie geskriptete Faktoren modellieren können. Wenn Sie beispielsweise die Ergebnisse der Compliance-Funktion verwenden möchten, um die Effektivität der Steuerungen bei der Verringerung zu bewerten, gibt es zwei Möglichkeiten, die Steuerungen zu bewerten:
    • Individuelle Bewertung von Steuerungen
    • Kontrollumgebungsbewertung.
    Bei der Einzelbewertung von Steuerungen wird jede Steuerung separat bewertet. Um die Steuerungsbewertung im Kontext geskripteter Faktoren zu verstehen, betrachten Sie Geldwäsche als Risiko. In diesem Beispiel wird die Effektivität der Kontrollen basierend auf dem Prozentsatz der fehlgeschlagenen Kontrollen bewertet. Die Werte der fehlgeschlagenen Steuerungen werden dann in eine Bewertung umgewandelt, um die Effektivität der Steuerung zu berechnen. Zum Beispiel gibt es für das Geldwäscherisiko drei ausgleichende Steuerungen:
    • Mitarbeiterschulung
    • Interne Audits für Mitarbeiter
    • Sorgfaltspflicht von Kunden
    Angenommen, Sie haben die Kriterien für die Kontrolleffektivität wie folgt definiert:
    Fehler bei der Entwurfseffektivität der Steuerung Steuerungseffektivität
    0 %–30 % Effektiv
    30 %–60 % Muss verbessert werden
    > 60 % Ineffektiv

    Angenommen, von den drei Steuerungen haben eine bestanden und zwei sind fehlgeschlagen. Der Ausfall von zwei Steuerungen führt zu einer Ausfallrate von 66,67 %. Basierend auf der Transformation und basierend auf der vorherigen Tabelle ist die Bewertung der Kontrolleffektivität ineffektiv. Sie können dieses definierte Skript verwenden, um die Antwort auf den Faktor zur Bewertung des Geldwäscherisikos zu automatisieren.

    Bei der Bewertung der Steuerungsumgebung können Sie die gesamte Steuerungsumgebung bewerten, anstatt jede Steuerung einzeln zu bewerten. Um die Bewertung der Steuerungsumgebung zu verstehen, sehen Sie sich das folgende Beispiel an. Angenommen, Sie möchten die Steuerungsumgebung basierend auf zwei Aspekten bewerten: Designeffektivität und Betriebseffektivität. Um die Designeffektivität zu berechnen, können Sie die zugehörigen Steuerungen abrufen, die sich auf das Geldwäscherisiko beziehen. Anschließend können Sie sich die Testergebnisse ansehen, um zu verstehen, wie viele Steuerungen fehlgeschlagen sind. Angenommen, Sie haben die Kriterien für die Kontrolleffektivität wie folgt definiert:
    Fehler bei der Entwurfseffektivität der Steuerung Steuerungseffektivität
    0 %–30 % Effektiv
    30 %–60 % Muss verbessert werden
    > 60 % Ineffektiv

    Angenommen, zwei Steuerungen sind fehlgeschlagen und eine bestanden. Daher beträgt die Fehlerrate bei der Steuerungsdesigneffektivität 33,33 %. Basierend auf der vorherigen Tabelle bedeutet dieser niedrige Wert von 33,33 %, dass das Steuerungsdesign verbessert werden muss. Diese Antwort kann im automatisierten Skriptfaktor automatisch geskriptet werden, da sie keine menschliche Berechnung oder Eingriff erfordert.