Informationen zur Risikobewertungsinstanz

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • In einer Risikobewertungsinstanz kann ein Risikogutachter Risiken und Objekte bewerten, indem er auf Fragen oder Faktoren antwortet.

    Nachdem die Risikobewertungsmethode (Risk Assessment Methodology, RAM) erstellt und der Risikobewertungsumfang definiert wurde, werden die Bewertungen vom Risikoadministrator initiiert. Der Beurteiler erhält eine Benachrichtigung, in der die Risiken bewertet werden. Zur Durchführung der Risikobewertung muss ein Gutachter über die Rolle sn_grc.business_user verfügen. Die Bewertung wird verwendet, um zu einer Risikopunktzahl für eine Entität zu gelangen.
    Hinweis:
    Sie müssen die erweiterten Risikobewertungsrollen manuell der Rolle sn_grc.business_user zuweisen. Um zu verstehen, wie Sie die Gewährung von Rollen und Gruppen anpassen können, lesen Sie den Artikel Gewissheit, wie Sie die Gewährung von Rollen und Gruppen an die Verwendung von Hintergrundaufträgen anpassen [KB0963693] in der Knowledge Base Now Support.

    Die Fragen, die ein Risikogutachter beantwortet, werden im RAM konfiguriert. Eine Bewertung kann manuelle Faktoren und automatisierte Faktoren enthalten. Manuelle Faktoren benötigen als Antwort menschliche Eingaben. Bei automatisierten Faktoren werden die Antworten automatisch berechnet. Automatisierte Faktoren werden automatisch basierend auf dem Zeitplan ausgeführt, der in ihrer Konfiguration definiert ist.

    Nach Abschluss einer Bewertung wird basierend auf der definierten Häufigkeit für eine erneute Bewertung automatisch eine erneute Bewertung ausgelöst. Eine erneute Bewertung wird nur ausgelöst, wenn sich die vorhandene Risikobewertungsinstanz im Status „Überwachen“ befindet. Wenn sich eine Bewertung im Status „Überwachen“ befindet, ändern sich die Bewertungspunktzahlen, wenn automatisierte Faktoren gemäß ihrem Zeitplan ausgeführt werden, und die Faktoren tragen neue Punktzahlen zum Rollup bei.

    Wenn der Risikogutachter feststellt, dass eine Bewertung einem anderen relevanten Beurteiler zugewiesen werden muss, kann er die Bewertung neu zuweisen. Der Gutachter kann die Antworten auch ändern, nachdem er auf die Faktoren geantwortet hat.

    Wenn ein Assessment mehrmals durchgeführt wird und die Option zum Kopieren der vorherigen Assessment-Antworten im RAM aktiviert ist, werden die Antworten aus dem vorherigen Assessment automatisch in das aktuelle Assessment kopiert.
    Hinweis:
    Automatisierte Faktorantworten und überschriebene Punktzahlen werden nicht aus vorherigen Bewertungen kopiert.

    Komponenten einer Risikobewertungsinstanz

    Basierend auf den Konfigurationen im RAM werden im Formular der Risikobewertungsinstanz auch die folgenden zugehörigen Listen angezeigt:
    • Vorherige Bewertungen: Die vorherigen fünf Bewertungen für das Risiko, das derzeit bewertet wird.
    • Risikoereignisse: Die Anzahl der Risikoereignisse, die dem Risiko zugeordnet sind.
    • Risikoindikatoren: Die Anzahl der Risikoindikatoren, die für dieses Risiko bestanden und fehlgeschlagen sind.
    • Offene Probleme: Anzahl der offenen Probleme für das Risiko sowie deren Status und Besitzer.
    • Risikoantwortaufgaben: Anzahl der Risikoantwortaufgaben, die für die Bewertung erstellt werden.
    • Zugehörige Steuerungen: Steuerungen, die sich auf das Risiko beziehen. Diese zugehörige Liste wird nur angezeigt, wenn die Steuerungsumgebung bewertet wird.
      Hinweis:
      Kunden, die frühere Releases verwenden, können die aktualisierte Anzahl für erfolgreiche und fehlgeschlagene Indikatoren möglicherweise nicht sehen. Um dieses Problem zu beheben, führen Sie das Korrekturskript für „Indikator aktualisieren“ und „Anzahl der Kontrollen“ aus.

    Ein Gutachter hat die Möglichkeit, die abschwächenden Steuerungen nicht zu bewerten. Die Option zum Deaktivieren von Steuerungen ist in Fällen nützlich, in denen ein Risiko besteht, aber keine Steuerungen vorhanden sind, um es zu mindern. Betrachten Sie beispielsweise ein Szenario, in dem eine Pandemie ein Risiko darstellt, es jedoch keine Impfstoffe gibt, um sie zu kontrollieren. In diesem Fall wird das Risiko bewertet, die Steuerungen können jedoch aus der Bewertung herausgelassen werden. Wenn ein Beurteiler die Bewertung von ausgleichenden Steuerungen und Restrisiken deaktiviert, wird die Punktzahl auf Nicht zutreffendgesetzt.

    Wenn die Steuerungsbewertung zur Bewertung einzelner Steuerungen konfiguriert ist und die Steuerungen dem zu bewertenden Risiko zugeordnet sind, wird die Option zum Deaktivieren der Steuerungen nicht angezeigt. Dies geschieht, da die Steuerelemente auf Standard eingestellt sind.

    Wenn die Restrisikobewertung für inhärente Risiken und Steuerungen gilt und der Risikogutachter die Steuerungsbewertung deaktiviert, sind die Restrisiken nicht anwendbar. Diese Bedingung wird erstellt, denn wenn keine Steuerungen vorhanden sind, bedeutet dies automatisch, dass nur inhärente Risiken und keine Restrisiken vorhanden sind.

    Phasen der Risikobewertung

    Der Lebenszyklus der Risikobewertung durchläuft die folgenden Status:
    1. Bereit zum Bewerten: Eine neue Bewertungsinstanz wird erstellt.
    2. Inhärente Bewertung: Die Bewertung des inhärenten Risikos wird durchgeführt.
    3. Steuerungsbewertung: Die Steuerungsbewertung wird durchgeführt.
    4. Restrisikobewertung: Die Restrisikobewertung wird durchgeführt.
    5. Zielrisikobewertung: Die Zielrisikobewertung wird durchgeführt.
    6. Antworten: Sie reagieren auf die Risiken.
    7. Warten auf Genehmigung: Die Risikobewertung wartet auf die Genehmigung durch die Genehmiger, sofern sie identifiziert wurden.
    8. Überwachen: Die Risikobewertung ist abgeschlossen und wird überwacht.