Erweiterte Risikobewertung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie die Funktion ServiceNow® Governance, Risk und Compliance (GRC) Erweiterte Risikobewertung, um eine integrierte Risikoplattform zu erstellen. Diese integrierte Plattform unterstützt verschiedene Arten von Risikobewertungsmethoden. Sie können die Risikobewertung in Ihren allgemeinen Entscheidungsprozess integrieren.

    Die erweiterte Risikobewertung bietet folgende Vorteile:
    • Digitalisiert den gesamten Risikomanagement-Lebenszyklus, einschließlich Risiko-Identifizierung, Risikoanalyse, Risikobewertung, Risikobehandlung und Überwachung.
    • Passt den Risikobewertungsprozess an die individuellen Bedürfnisse Ihrer Organisation an. Diese Anpassung umfasst die Konfiguration der Bewertungskriterien, des Kontexts und der allgemeinen Logik zur Risikobewertung.
    • Unterstützt sowohl qualitative als auch quantitative Risikobewertungsmethoden.
    • Fasst automatisch die Punktzahlen der Bottom-up-Risikobewertung für das gesamte Risiko zusammen.
    • Bettet den Risikobewertungsprozess in den Arbeitsbereich für First-Line-Benutzer ein. Diese Einbettung hilft Anwendern, fundierte Entscheidungen basierend auf Risiken zu treffen, die Aktionen zugeordnet sind.
    Hinweis:
    Um zu erfahren, ob Ihre aktuelle Lizenz Sie zu erweiterten Risikobewertungen berechtigt, wenden Sie sich an ServiceNow.

    Schritte der Risikobewertung

    Bevor Sie die erweiterte Risikobewertung im Detail verstehen, ist es wichtig, die wichtigsten Schritte des Risikomanagements zu verstehen:
    1. Risiko-Identifizierung: Ermitteln Sie eine Ungewissheit oder ein Risiko, die bzw. das Ihre Organisation daran hindern könnte, ihre Ziele zu erreichen​.
    2. Risikoanalyse: Ermitteln Sie Ursache und Konsequenz des Risikos.
    3. Risikobewertung: Um festzustellen, ob zusätzliche Maßnahmen erforderlich sind, vergleichen Sie die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien.
    4. Risikobehandlung: Definieren Sie einen Aktionsplan​, um das Risiko anzugehen.
    5. Risikoüberwachung: Verfolgen Sie die Risikosituation der Organisation, und kommunizieren Sie sie an relevante Stakeholder.
    Abbildung : 1. Schritte des Risikomanagements
    Schritte des Risikomanagements
    Die Risikobewertung besteht aus Risiko-Identifizierung, Risikoanalyse und Risikobewertung. Die erweiterte Risikobewertung wird basierend auf Faktoren oder Fragen und deren Antworten durchgeführt. Sie kann für eine Entität wie eine Organisation durchgeführt werden. Um die erweiterte Risikobewertung zu verwenden, müssen Sie die Eigenschaft Zu erweiterten Risikobewertungen migrieren im Modul „Administration“ aktivieren. Der Beurteiler und der Genehmiger für die Risikobewertung müssen die Rolle sn_grc.business_user haben. Mit der erweiterten Risikobewertung können Sie eine detaillierte Bewertung der Risiken vornehmen, bei der die inhärenten Risiken, abschwächenden Steuerungen und Restrisiken bewertet werden. Wenn Sie nicht über das vollständige GRC -Setup für Entitäten, Risikobeschreibungen, Steuerungen usw. verfügen, können Sie die Risiken dennoch für jeden Datensatz oder jedes Objekt ServiceNow von bewerten. Ein Beispiel für eine Objektbewertung ist die Bewertung des Change-Managements. Während der Risikobewertung werden die folgenden Risiken bewertet.
    • Inhärente Risiken: Inhärente Risiken sind Risiken, die keine Steuerungen aufweisen. Beispielsweise stellt das Fahren mit hoher Geschwindigkeit auf einer Schnellstraße von Natur aus ein höheres Risiko dar als das Fahren mit mäßiger Geschwindigkeit. Die Punktzahl dieses inhärenten Risikos ergibt sich aus der Multiplikation der Auswirkung des Risikos mit der Wahrscheinlichkeit des Eintretens.
    • Kontrolleffektivität: Kontrollen können die Auswirkung oder Wahrscheinlichkeit eines Risikos mindern. Beispielsweise gibt es auf Landstraßen Geschwindigkeitsbegrenzungsüberwachungen. Wenn ein Risiko eintritt, mindern die Steuerungen die Auswirkungen. Steuerungen können vorbeugend, aufspürend oder korrigierend wirken.
      • Präventive Kontrollen sollen Fehler, Ungenauigkeiten oder Betrug verhindern, bevor diese Probleme auftreten.
      • Aufspürende Kontrollen sollen Fehler, Ungenauigkeiten oder Betrug aufdecken.
      • Korrekturkontrollen sollen erkannte Fehler oder Unregelmäßigkeiten korrigieren.
    • Restrisiken: Restrisiken sind die verbleibenden Risiken, die nach der Implementierung von Steuerungen verbleiben. Beispiel: Wenn es zu einem Unfall kommt, ist der durch den Unfall verursachte Schaden ein Restrisiko. Eine Restrisikopunktzahl kann mit einer der folgenden Methoden berechnet werden:
      • Eine Matrix zwischen inhärenter und Resteffektivität
      • Eine mathematische Formel wie die inhärente Punktzahl minus die Kontrollpunktzahl.
      • Antworten zu Faktoren.
    • Zielrisiken: Zielrisiken sind die gewünschten Risiken, die eine Organisation in Zukunft erreichen möchte. Durch die Bewertung des gewünschten Niveaus der Wahrscheinlichkeit und der Auswirkungen identifizierter Risiken können Organisationen Zielrisikostufen für jedes Risiko festlegen. Beispielsweise berücksichtigen Sie bei der Bewertung eines Risikos verschiedene Aspekte, z. B. das inhärente Risiko, die Effektivität von Steuerungen und die Restrisiken. Genauso wichtig ist es jedoch, die gewünschte Risikostufe zu erfassen, die nach der Implementierung Ihrer Risikoantwort erreicht wird. Das Zielrisiko stellt das optimale Risikoniveau dar, das Sie nach erfolgreicher Ausführung Ihres Aktionsplans erreichen möchten. Damit können Sie den Nutzen messen, den Ihre Organisation im Verhältnis zu den Kosten für die Implementierung dieser Aktionen erhält.