サードパーティのリスク評価とリスクスコアリングの計算
サードパーティリスク管理 アプリケーションを使用して、複数の評価とスコアを計算する際に、包括的な外部リスクアセスメントを実行します。全体的な計算プロセスをより深く理解し、ユーザー定義のパラメーターと構成がアンケート結果にどのような影響を与えるかを知ることができます。
リスク評価スケール
アンケートが作成されるたびに、デフォルトのリスク評価が適用されます。カテゴリ、最小値、最大値を含むリスク評価スケールを構成すると、アセスメントごとに異なる特定のアンケートのニーズを満たすことができます。たとえば、リスク評価値を、[1-非常に高い (1-Very High)] から [5-非常に低い (5-Very Low)] ではなく、色で定義することができます。
次の例は、ベースシステムの一部として提供されるデフォルトのリスク評価を示しています。
スコア計算メカニズム
- 質問 (メトリクス)
質問を定義する方法の詳細については、「質問の定義」を参照してください。
- メトリクススケールの定義
メトリクスを定義する方法の詳細については、「質問の定義」を参照してください。
- カテゴリ
カテゴリを定義する方法の詳細については、「質問集の設定と維持」を参照してください。
- 重み付け
重み付けを定義する方法の詳細については、「コンポーネント基準を定義する」を参照してください。
- リスク評価スケール
リスク評価スケールを定義する方法の詳細については、「リスク評価スケールとスコアリングを設定する」を参照してください。
- ビジネスサービス評価スケールスコア計算の最後に、サービス [cmdb_ci_service] テーブルで定義したビジネスサービスにサードパーティまたはエンゲージメントが関連付けられている場合、計算にはその重要度の重み付けが組み込まれます。ビジネスサービスによって、関連するリスクのレベルは異なります。重要度の重み付けを調整することで、結果の値を使用してリスク軽減戦略を調整できます。注:重要度の重み付けを定義するには、次に移動します: .ビジネスサービスとは、メール、IT サービス、e-コマースなどのサービスを提供するために定義された一連のタスクまたはアクティビティのことです。ベースシステムの一部として、4 つの評価が定義されています。
- 1 - 最重要
- 2:ある程度重要
- 3:やや重要
- 4 - 重要ではない
各サードパーティまたはエンゲージメントを複数のビジネスサービスに関連付けることができます。
次のインフォグラフィックは、アセスメント評価の計算プロセスを示しています。
- アンケートの各質問では次の値が計算されます。
-
questionRatings:各質問の評価は回答によって計算されます。評価は、メトリクススケールの定義と回答に関連付けられた値によって決定されます。
- questionPercentContribution:カテゴリ内の各質問の寄与率は、この計算によって決定されます。この値は、サードパーティのリスクマネージャーによって質問にアサインされた重み付けとカテゴリ全体の重み付けに基づいています。
- questionNormalizedValue:各質問の正規化値は、質問の評価、質問の寄与率、および定数値 (100) を乗算して計算されます。この値を使用すると、異なる重み付けと評価を持つ質問を比較できます。
-
- 各アンケートのカテゴリでは、次の評価が計算されます。
- categoryRating:各カテゴリの評価は、カテゴリ内のすべての質問の正規化値を合計することによって計算されます。カテゴリ評価は、関連付けられているリスク評価スケールから導き出されます。
- categoryNormalizedValue:カテゴリ評価は、すべてのカテゴリの値を比較できるように、カテゴリの重み付けを乗算することで正規化されます。
- Questionnaire、questionnaireQuantitativeScore:アセスメントの全体的な定量スコアは、正規化されたカテゴリスコアの合計によって計算されます。このスコアは、アンケートのリスクスコアを表します。
- Documents、Qualitative Score:文書要求の定性的リスク評価の計算は、文書要求のデフォルトの質問「文書「文書名」をお持ちですか?」に対する回答に基づいています。この評価は、必要に応じて、サードパーティリスク査定人が変更できます。
- Assessment、assessmentRating:アセスメントの最終評価は、各サードパーティリスク領域内のアンケートと文書要求の加重平均を取ることによって計算されます。重み付けは、リスク領域の採点方法によって決定されます。
questionRating の計算
questionRating の計算を使用すると、他のメトリクスと比較した場合の、個別のアセスメントメトリクスの相対的な重要度を定義できます。これは、プロセスの後半で正規化値を計算する際の重要な変数です。
個々のアセスメントメトリクスの [スケール定義] は、[高 (High)] または [低 (Low)] に設定して定義できます。
次の例では、[アセスメントメトリクス (Assessment Metric)] フォームでメトリクススケール定義フィールドがどのように定義されたかを示しています。- [高] は、大きな数値が肯定的な結果を示していることを意味します。メトリクススケール定義が高い場合は、次の式が使用されます。
questionRating = (value - minValue) / (maxValue - minValue) - [低] は、小さな数値が肯定的な結果を示していることを意味します。メトリクススケール定義が低い場合は、次の式が使用されます。
questionRating = 1 - ((value - minValue) / (maxValue - minValue))
次の例は、[インスタンスのアセスメントの質問] フォームで定義されている質問値フィールドを示しています。
式で使用される [値] は、質問に対する回答から取得されます。メトリクスの設定では、正解 (値) と、他の不正解または望ましくない回答に関連付けられた他の値を定義します。
questionPercentContribution の計算
questionPercentContribution は、アセスメントメトリクスが含まれているカテゴリ内での、そのアセスメントメトリクスの重要度を定義します。これは、プロセスの後半で正規化値を計算する際に使用される重要な変数です。
questionPercentContribution の計算には、以下の式が使用されます。
questionPercentContribution = (questionWeight / sumOfAllQuestionWeightsWithinCategory)
[カテゴリ] は、アセスメント可能なレコードを評価するためのテーマをメトリクスタイプで表します。このカテゴリの例として、投資利益率 (ROI)、リスク、パフォーマンス、セキュリティ、個人データなどを定義することができます。
[重み付け] は、他のメトリクスと比較して、メトリクスの重要度を示す数値です。カテゴリの全体的な重み付けに比例して重み付けが大きいほど、最終スコアに強く影響します。重み付けを定義し、任意の整数に設定して、質問とカテゴリに適用できます。
次の例では、[アセスメントメトリクス (Assessment Metric)] フォームで定義できる質問の [カテゴリ] と [重み付け] フィールドを示しています。
questionNormalizedValue の計算
questionNormalizedValue は、異なる重み付けと評価を持つ質問を同じスケールで同等に比較できるようにします。
questionNormalizedValue の計算には、以下の式が使用されます。
questionNormalizedValue = 100 * questionRating * questionPercentContribution
アンケートのすべての質問 (アセスメントメトリクス) に対する回答には、[正規化値 (Normalized Value)] があります。この正規化値により、後でカテゴリと全体的なアセスメント結果にロールアップされる意味のある比較を行うことができます。
次の例は、アセスメントグループの正規化値のリストを示しています。
categoryRating の計算
カテゴリ内のメトリクスごとに正規化値があるため、categoryRating は、カテゴリ間の比較を容易にするために、categoryNormalizedValue 式を使用して正規化できるカテゴリ全体の値を計算します。
questionPercentContribution の計算には、以下の式が使用されます。categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory
カテゴリ [評価] は、カテゴリ内のメトリクスのすべての正規化値の合計です。
各カテゴリの指定された [リスク評価] は、関連付けられているリスク評価スケールから導出されます。
次の例は、アセスメントカテゴリのカテゴリ評価とリスク評価のリストを示しています。
categoryNormalizedValue の計算
カテゴリ評価が確立されると、categoryNormalizedValue 式は、この評価とカテゴリの重み付けを使用してすべてのカテゴリの結果を正規化します。
categoryNormalizedValue の計算には、以下の式が使用されます。
categoryNormalizedValue = categoryRating * (categoryWeight / sumOfAllCategoryWeights)
この正規化値は、後でカテゴリと全体的なアセスメント結果にロールアップされる、より意味のある比較を実施します。categoryWeight 値が大きいほど、カテゴリの正規化値が増加します。
次の例は、アセスメントカテゴリの正規化値のリストを示しています。
questionnaireQuantitativeScore の計算
すべてのカテゴリを正規化すると、アセスメントの全体的な定量的スコアが計算されます。
questionnaireQuantitativeScore の計算には、以下の式が使用されます。
questionnaireQuantitativeScore = sumOfAllCategoryNormalizedValues
questionnaireQuantitativeScore 式の出力は、正規化されたカテゴリスコアの合計です。アンケートのレコードに [リスクスコア] として表示されます。
次の例は、アンケートのリスクスコアを示しています。
ドキュメントの定性的スコア
文書要求には、定性的スコアであるリスク評価があります。予備的なリスク評価は、「『文書名』という文書はありますか?」というデフォルトの質問に対する回答に基づいています。
| 応答 | リスク評価 |
|---|---|
| はい | 低 |
| いいえまたは未応答 | 高 |
| 適用外 | 中 |
次の例は、文書の要求のリスク評価を示しています。
文書をレビューすると、欠陥があることが判明する場合があるため、サードパーティリスク査定人はデフォルトの評価を変更できます。アセスメントでは、現在の [リスク評価] と [元のリスク評価] が保持されます。各カテゴリの指定された [リスク評価] は、関連付けられているリスク評価スケールから導出されます。
次の例は、元のリスク評価と現在のリスク評価を含む [カテゴリ] 関連リストを示しています。
assessmentRating の計算
外部リスクアセスメントの場合、アセスメントの最終評価は、各サードパーティリスク領域内のアンケートと文書要求の加重平均として計算されます。
assessmentRating の計算には、以下の式が使用されます。
assessmentRating = (AVG (リスク領域に関するアンケート + 文書要求) * そのリスク領域にアサインされた重み付け + (別のリスク領域に関するアンケート + 文書要求) * そのリスク領域にアサインされた重み付け) / 重み付けの合計
- アンケート 1 = セキュリティリスク領域で定義
- アンケート 2 = 財務リスク領域で定義
- アンケート 3 = 財務リスク領域で定義
- 文書要求 1 = セキュリティリスク領域で定義
| リスク領域 | 採点方法 | 重み付け |
|---|---|---|
| セキュリティリスク | 平均リスク | 10 |
| 財務リスク | 最大リスク | 20 |
assessmentRating = AVG (アンケート 1 + 文書要求 1) * 10 + MAX (アンケート 2 + アンケート 3) * 20 / (10 + 20)
最終評価は、サードパーティまたはエンゲージメントに対して実施されたすべてのアセスメントのスコアと評価を考慮した総合的なアセスメント評価になります。これは、各リスク領域内のアンケートと文書要求の加重平均を取ることによって計算されます。この計算プロセスでは、これらのパラメーターと構成の定義方法に基づいて、関連するすべてのメトリクス、カテゴリ、および重み付けが確実に考慮されます。この計算プロセスと関連する要素は、最終的な評価に基づいて、十分な情報に基づいて意思決定を行い、適切な措置を講じるのに役立ちます。