고급 위험 평가의 요소

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 요인은 위험을 분석하는 데 사용할 수 있는 질문입니다. 요인은 위험 평가 인스턴스에 나타납니다.

    요인은 위험 평가 중에 나타나는 질문입니다. 고급 위험 평가를 사용하려면 먼저 이러한 요소를 정의하고 위험 평가 방법론(RAM)을 구성해야 합니다. RAM에 대한 자세한 내용은 다음 문서를 참조하십시오 위험 평가 방법론 구성. 각 요인 또는 질문에는 응답이 있습니다. 다양한 유형의 요소가 있습니다.
    • 수동 요인: 사람의 입력이 필요한 요인입니다. 응답은 수동 응답입니다. 예를 들어 귀하의 이름입니다.
    • 자동 요인: 응답이 자동으로 계산되는 요인입니다. 예를 들어 오늘 도시의 기온이 있습니다. 이 정보는 외부 소스에서 가져옵니다.
    • 스크립팅된 자동 요인: 스크립트를 작성하는 데 사용되는 요인입니다.
    • 그룹 요인: 논리적으로 그룹화된 요인 집합입니다.

    이러한 요인 유형은 다음 섹션에서 자세히 설명합니다. 요인을 정의하고 게시한 후에는 RAM을 구성하고 요인을 RAM 내의 평가 유형에 연결할 수 있습니다. RAM은 위험 평가의 기초를 형성합니다. 선택한 각 평가 유형을 게시한 다음 RAM을 게시합니다. sn_risk.user 역할을 가진 사용자는 평가를 수행해야 하는 평가 유형을 선택할 수 있습니다.

    그러면 위험 평가 인스턴스가 생성됩니다. 해당 속성은 RAM에 대해 선택한 평가 유형과 옵션에 따라 달라집니다. 위험 평가 인스턴스는 위험 평가자가 위험을 평가하는 곳입니다. 질문으로, 요인은 여러 평가 유형에서 사용될 수 있습니다. 예를 들어, "건물이 침수될 확률은 얼마나 됩니까?"와 같은 질문은 통제 효과성 평가 후 고유 평가 또는 잔여 평가의 일부일 수 있습니다.

    주:
    요인은 여러 평가 유형에서 사용할 수 있지만 하나의 RAM에서만 사용할 수 있습니다. 한 RAM에서 생성되어 사용되는 요소는 다른 RAM에서 재사용할 수 없습니다.

    요인 기여도의 유형

    평가자가 요인에 대한 응답을 제공합니다. 위험 평가자는 다음과 같은 방법으로 요인에 기여할 수 있습니다.
    • 질적: 손실은 높음, 중간, 낮음과 같은 주관적인 용어의 형태입니다. 손실은 등급으로 변환되는 숫자 점수의 형태일 수도 있습니다.
    • 양적: 손실은 숫자 형식입니다. 금전적 측면에서 위험으로 인해 발생할 수 있습니다. 이는 내재된 연간 손실 예상(ALE)에 기여합니다.
    • 둘 다: 손실은 질적 위험 등급과 양적 달러 가치를 모두 갖습니다. 이러한 등급은 반정량적이라고도 합니다.
    질적, 양적 및 반양적 등급을 이해하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 위험 등급 지정 방법론의 유형

    수동 요소

    위험 평가에서 응답자의 인간적 응답이 필요한 질문을 수동 요인이라고 합니다. 수동 요인에서 응답은 주관적이며 분류하기 어렵습니다. 일부 질문에는 인간의 지능과 평가가 필요합니다. 따라서 수동 요인은 개인의 견해에 대한 주관적인 평가입니다. 수동 요인의 예로는 평판 영향, 예상 발병 속도 등이 있습니다. 수동 요소에서 사용자는 다음과 같은 유형의 응답을 제공할 수 있습니다.
    • 텍스트: 설명이 포함된 답변입니다. 예를 들어 피드백입니다. 이 선택은 위험 점수 계산에 영향을 주지 않습니다.
    • 선택: 평가의 질문에 대한 사용자 정의 선택 항목입니다. 예를 들어 사용자는 낮음, 중간 또는 높음 중에서 위험 등급을 선택할 수 있습니다.
    • 숫자: 숫자 값입니다. 예를 들어 미결 문제 수입니다.
    • 통화: 사용자의 현지 통화로 된 금액입니다. 예를 들어, 특정 위험이 미치는 재무 영향입니다.
    • 백분율: 평가 질문의 백분율 값입니다. 예를 들어 조직 전략에 만족하는 직원의 비율입니다.

    그룹 요소

    요인이 논리적으로 그룹화되면 이를 그룹 요인이라고 합니다. 그룹 요인의 점수는 해당 수동 요인의 응답에 따라 달라집니다. 예를 들어 조직은 재무적 위험과 비재무적 위험의 영향을 받습니다. 재무 위험에 대한 몇 가지 요인과 비재무 위험에 대한 다른 요인을 만들 수 있습니다. 이러한 두 요인 집합을 전체 영향이라는 단일 그룹 요인으로 결합할 수 있습니다. 수동 요인과 마찬가지로 그룹 요인은 질적 기여로 변환되는 숫자 위험 점수 또는 양적 기여로 ALE 값에 기여할 수 있습니다.

    자동화된 요소

    자동화된 요소는 평가 중에 테이블이나 데이터베이스 뷰와 같은 데이터 소스에서 최신 데이터를 자동으로 가져옵니다. 자동화된 요인은 위험 평가 프로세스를 자동화하는 데 도움이 됩니다. 수동 입력에 의존하지 않으므로 주관성이 줄어듭니다. 예를 들어, 위험 평가자가 여러 위치에 대한 평가를 수행하려고 합니다. 자동화된 요인 중 하나는 국가의 정치적 상황이며 이 정보는 웹사이트에서 공개적으로 사용할 수 있습니다. 이 데이터는 내에 ServiceNow상주하지 않으므로 평가자는 자동화된 요인을 사용하여 데이터를 가져올 수 있습니다. 자동 요인의 다른 예는 다음과 같습니다.
    • 프로젝트의 직원 수입니다.
    • 비즈니스 단위의 수익입니다.
    • 프로세스의 비즈니스 중요도입니다.

    스크립팅된 자동 요인

    자동화된 스크립팅된 요인은 스크립트를 작성하는 데 사용됩니다. 스크립트는 기록 또는 외부 소스에서 ServiceNow 데이터를 가져옵니다. 스크립팅된 자동 요인은 위험 평가 중 요인에 대한 응답을 자동으로 제공합니다.

    다음 사용 사례는 스크립팅된 요인을 모델링할 수 있는 방법의 예를 보여줍니다. 예를 들어 규정 준수 함수의 결과를 사용하여 통제의 완화 효과를 평가하려는 경우 통제를 평가하는 방법에는 두 가지가 있습니다.
    • 통제 개별 평가
    • 통제 환경 평가.
    통제의 개별 평가에서는 각 통제가 개별적으로 평가됩니다. 스크립팅된 요소의 맥락에서 통제 평가를 이해하려면 자금 세탁을 위험으로 간주합니다. 이 예에서는 실패한 통제의 백분율을 기준으로 통제 효과성이 평가됩니다. 그런 다음 실패한 통제의 값은 등급으로 변환되어 해당 통제의 통제 효과성을 계산합니다. 예를 들어, 자금 세탁 위험에는 세 가지 완화 통제 수단이 있습니다.
    • 직원 교육
    • 직원에 대한 내부 감사
    • 고객 실사
    다음과 같은 방식으로 통제 효과성 기준을 정의했다고 가정합니다.
    통제 설계 효과성 장애 통제 효과성
    0%-30% 유효
    30%-60% 개선 필요
    > 60% 무효

    이제 세 개의 통제 중 하나의 통제가 통과하고 두 개의 통제가 실패했다고 가정합니다. 두 개의 통제가 실패하면 66.67%의 실패율이 발생합니다. 변환과 이전 테이블에 따르면 통제 효과성 등급은 무효입니다. 이 정의된 스크립트를 사용하여 요소에 대한 응답을 자동화하여 자금 세탁 위험을 평가할 수 있습니다.

    통제 환경 평가의 경우 각 통제를 개별적으로 평가하는 대신 전체 통제 환경을 평가할 수 있습니다. 통제 환경 평가를 이해하기 위해 다음 예제를 고려하십시오. 설계 효과성과 운영 효과성이라는 두 가지 측면을 기준으로 통제 환경을 평가하려고 한다고 가정합니다. 설계 효과성을 계산하기 위해 자금 세탁 위험과 관련된 관련 통제를 가져올 수 있습니다. 그런 다음 테스트 결과를 살펴보고 실패한 통제 수를 파악할 수 있습니다. 다음과 같은 방식으로 통제 효과성 기준을 정의했다고 가정합니다.
    통제 설계 효과성 장애 통제 효과성
    0%-30% 유효
    30%-60% 개선 필요
    > 60% 무효

    이제 두 개의 통제가 실패하고 하나의 통제가 통과했다고 가정합니다. 따라서 제어 설계 효과 실패율은 33.33%입니다. 이전 표에 따르면 33.33%라는 낮은 값은 제어 설계에 개선이 필요하다는 것을 의미합니다. 이 응답은 사람의 계산이나 개입이 필요하지 않으므로 자동화된 스크립팅된 요소에서 자동으로 스크립팅될 수 있습니다.