Advanced Risk アセスメントの要素

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • 要素は、リスクの分析に使用できる質問です。リスクアセスメントインスタンスに要素が表示されます。

    要素は、リスクアセスメント中に表示される質問です。Advanced Risk アセスメントを使用するには、最初にこれらの要素を定義し、リスクアセスメント方法論 (RAM) を設定する必要があります。RAM の詳細については、「リスクアセスメント方法論を構成」を参照してください。各要素または質問には応答があります。要素には次のようなタイプがあります。
    • 手動要素:人間の入力が必要な要素。応答は手動応答です。たとえば、自分の名前です。
    • 自動要素:応答が自動的に計算される要素。例:今日の都市の気温。情報は外部ソースから取得されます。
    • スクリプト化された自動要素:スクリプトを記述するために使用される要素。
    • グループ要素:論理的にグループ化された一連の要素。

    これらの機能については、次のセクションで説明します。要素を定義して公開した後、RAM を設定し、RAM 内のアセスメントタイプに要素を関連付けることができます。RAM はリスクアセスメントの基礎を形成します。選択した各アセスメントタイプを公開してから、RAM を公開します。sn_risk.user ロールを持つユーザーは、アセスメントを実行する必要があるアセスメントタイプを選択できます。

    リスクアセスメントインスタンスが作成されます。そのプロパティは、RAM に対して選択したアセスメントのタイプとオプションによって異なります。リスクアセスメントインスタンスでは、リスク査定人がリスクの評価を行います。質問として、要素は複数のアセスメントタイプで使用できます。たとえば、「建物が浸水する可能性はどのくらいですか?」などの質問を、固有のアセスメントまたはコントロール有効性アセスメント後の残存アセスメントに含めることができます。

    注:
    要素は複数のアセスメントタイプで使用できますが、使用できるのは 1 つの RAM のみです。1 つの RAM で作成され、使用された要素を他の RAM で再利用することはできません。

    要素の貢献度のタイプ

    査定人が要素に応答します。リスク査定人は、次の方法で要素に貢献できます。
    • 定性的:損失は、高、中、低などの主観的な用語の形式です。損失は、評価に変換される数値スコアの形式にすることもできます。
    • 定量的:損失は数値形式です。これらは、金銭的なリスクから発生する可能性があります。固有年次損失予測 (ALE) に寄与します。
    • 両方:損失には、定性的なリスク評価と定量的な金額 (ドル) の両方があります。これらの評価は、半定量的とも呼ばれます。
    定性的、定量的、および半定量的評価の詳細については、「リスク評価方法のタイプ」を参照してください

    手動要素

    リスクアセスメントでは、回答者からの人間による回答が必要な質問は手動要素と呼ばれます。手動要素では、応答は主観的で分類が困難です。一部の質問では、人間のインテリジェンスとアセスメントが必要です。したがって、手動要素は個人の見解によるアセスメントです。手動要素の例としては、評判への影響度、予想される発現速度などがあります。手動要素では、ユーザーは次のタイプの応答を提供できます。
    • テキスト:説明的な回答。たとえば、フィードバックです。この選択肢は、リスクスコアの計算に寄与しません。
    • 選択肢:アセスメントの質問に対するユーザー定義の選択肢。たとえば、ユーザーは低、中、高からリスク評価を選択できます。
    • 数字:数値。たとえば、未解決の問題の数です。
    • 通貨:ユーザーの現地通貨での金額。たとえば、特定のリスクの財務の影響です。
    • パーセンテージ:アセスメントの質問のパーセンテージ値。たとえば、組織の戦略に満足している従業員の割合。

    グループ要素

    要素が論理的にグループ化されると、グループ要素と呼ばれます。グループ要素のスコアは、対応する手動要素の応答に依存します。たとえば、組織は財務リスクと非財務リスクの影響を受けます。財務リスクのいくつかの要素と、非財務リスクの他の要素を作成できます。これらの 2 つの要素セットを組み合わせて、全体的な影響度と呼ばれる 1 つのグループ要素を作成できます。手動要素と同様に、グループ要素は、定性的貢献に変換される数値リスクスコア、または定量的貢献として ALE 値に貢献できます。

    自動要素

    自動要素は、アセスメント中にテーブルやデータベースビューなどのデータソースから最新のデータを自動的にフェッチします。自動要素は、リスクアセスメントプロセスを自動化するのに役立ちます。手動入力に依存しないため、主観性が減少します。たとえば、リスク査定人がさまざまな場所に対してアセスメントを実行する必要があるとします。自動要素の 1 つは国の政治状況であり、この情報は Web サイトで公開されます。このデータは ServiceNow 内に存在しないため、査定人は自動要素を使用してデータをフェッチできます。自動要素の他の例を次に示します。
    • プロジェクトに参加している従業員数。
    • 事業部門の収益。
    • プロセスの事業上の重要度。

    スクリプト化済み自動要素

    自動スクリプト化済み要素は、スクリプトを記述するために使用されます。スクリプトは、ServiceNow レコードまたは外部ソースからデータをフェッチします。スクリプト化された自動要素は、リスクアセスメント中に要素に対する応答を自動的に提供します。

    次のユースケースは、スクリプト化された要素をモデル化する方法の例を示しています。たとえば、コンプライアンス機能の結果を使用してコントロールの緩和の有効性を評価する場合、コントロールを評価する方法には次の 2 つがあります。
    • コントロールの個々のアセスメント
    • コントロール環境のアセスメント。
    コントロールの個々のアセスメントでは、各コントロールが個別に評価されます。スクリプト化された要素のコンテキストでコントロールアセスメントを理解するために、リスクとしてのマネーロンダリングの例を検討してください。この例では、コントロールの有効性は失敗したコントロールの割合に基づいて評価されます。失敗したコントロールの値は、そのコントロールのコントロール有効性を計算するための評価に変換されます。たとえば、マネーロンダリングのリスクには次の 3 つの軽減コントロールがあります。
    • 従業員トレーニング
    • 従業員に関する内部監査
    • 顧客デューデリジェンス
    次の方法でコントロール有効性基準を定義しているものとします。
    コントロール設計有効性の問題 コントロール有効性
    0% ~ 30% 有効
    30% ~ 60% 改善が必要
    60% 超 無効

    ここで、3 つのコントロールのうち、1 つのコントロールが合格し、2 つのコントロールが不合格であると仮定します。2 つのコントロールが失敗した場合、失敗率は 66.67% になります。変換に基づき、また前のテーブルに基づくと、コントロール有効性評価は無効です。この定義済みスクリプトを使用して、マネーロンダリングのリスクを評価する要素への応答を自動化できます。

    コントロール環境アセスメントの場合は、各コントロールを個別に評価する代わりに、完全なコントロール環境を評価できます。コントロール環境アセスメントを理解するために、次の例を考えてみましょう。設計有効性と運用有効性の 2 つの側面に基づいてコントロール環境を評価すると仮定します。設計有効性を計算するために、マネーロンダリングのリスクに関連する関連コントロールをフェッチできます。その後、テスト結果を確認して、不合格になったコントロールの数を把握できます。次の方法でコントロール有効性基準を定義しているものとします。
    コントロール設計有効性の問題 コントロール有効性
    0% ~ 30% 有効
    30% ~ 60% 改善が必要
    60% 超 無効

    ここで、2 つのコントロールが不合格で、1 つのコントロールが合格したと仮定します。このように、コントロール設計有効性の失敗率は 33.33% です。前のテーブルに基づくと、この値が 33.33% と低い場合は、コントロール設計に改善が必要であることを意味します。この応答は、人間の計算や介入を必要としないため、自動スクリプト化された要素で自動的にスクリプト化できます。