Risikobewertungen und Punktzahlberechnungen durch Drittparteien

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 8 Minuten Lesedauer

    • Führen Sie eine umfassende externe Risikobewertung durch, wenn Sie mit der Anwendung Risikomanagement von Drittparteien mehrere Bewertungen und Punktzahlen berechnen. Sie können den gesamten Berechnungsprozess besser verstehen und erfahren, wie anwenderdefinierte Parameter und Konfigurationen die Ergebnisse der Fragebogen beeinflussen.

    Risikobewertungsskala

    Jedes Mal, wenn Sie einen Fragebogen erstellen, wendet das System eine standardmäßige Risikobewertung an. Sie können die Risikobewertungsskala, die die Kategorien sowie Mindest- und Höchstwerte enthält, so konfigurieren, dass sie Ihre spezifischen Fragebogenanforderungen erfüllt, die für jede Bewertung unterschiedlich sein können. Beispielsweise können Sie Risikoeinstufungswerte als Farben anstelle von 1-Sehr hoch bis 5-Sehr niedrigdefinieren.

    Das folgende Beispiel zeigt die standardmäßigen Risikoeinstufungen, die als Teil des Basissystems bereitgestellt werden.

    Abbildung : 1. Standardrisikobewertungsskala

    Liste der Standardrisikobewertungen. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Punktzahlberechnungsmechanismus

    Der Mechanismus zur Berechnung der Punktzahl für jede externe Risikobewertung verwendet die Engine zur Berechnung der Bewertungspunktzahl Now Platform®. Diese Engine führt diese Berechnungen mithilfe einer Reihe von zugehörigen Gleichungen durch, die dynamisch neu berechnet werden. Sie definieren die folgenden Parameter, die sich auf den berechneten Bewertungsbeschluss auswirken:
    • Fragen (Metriken)

      Weitere Informationen zum Definieren von Fragen finden Sie unter Eine Frage definieren.

    • Definition der Metrikskala

      Weitere Informationen zur Definition der Metrikskaladefinition finden Sie unter Eine Frage definieren.

    • Kategorien

      Weitere Informationen zum Definieren von Kategorien finden Sie unter Richten Sie einen Fragenpool ein und verwalten Sie ihn.

    • Gewichte

      Weitere Informationen zum Definieren einer Gewichtung finden Sie unter Definieren Sie Komponentenkriterien.

    • Risikobewertungsskala

      Weitere Informationen zum Definieren einer Risikobewertungsskala finden Sie unter Risikobewertungsskalen und -punktzahlen einrichten.

    • Business-Service-Bewertungsskala
      Wenn am Ende der Bewertungsberechnung eine Drittpartei oder Interaktion mit einem Business-Service verknüpft ist, den Sie in der Tabelle „Service“ [cmdb_ci_service] definiert haben, wird diese Kritikalitätsgewichtung in die Berechnung einbezogen. Verschiedene Geschäftsservices können unterschiedliche Risikostufen aufweisen. Durch Anpassen der Kritikalitätsgewichtung können Sie die resultierenden Werte verwenden, um Ihre Risikoverringerungsstrategien anzupassen.
      Hinweis:
      Ein Business-Service ist eine definierte Abfolge von Aufgaben oder Aktivitäten, die zur Bereitstellung eines Services beitragen, z. B. E-Mail, IT-Services, E-Commerce.
      Sie können die Relevanzgewichtungen definieren, indem Sie zu navigieren Alle > Selfservice > Risikomanagement von Drittparteien > Bewertungs-Setup > Geschäftsservice-Bewertungsskala.
      Im Basissystem sind vier Bewertungen definiert:
      • 1 – sehr kritisch
      • 2 – kritisch
      • 3 – weniger kritisch
      • 4 – nicht kritisch

      Sie können jede Drittpartei oder Interaktion mit mehreren Geschäftsservices verknüpfen.

    Die folgende Infografik zeigt den Prozess zur Berechnung der Bewertungsbeurteilung.

    Abbildung : 2. Berechnungsprozess für Bewertungsbeurteilung

    Infografik, die die Berechnung der Bewertungsbeurteilung zeigt. Die Textbeschreibung finden Sie in der folgenden Liste.
    1. Für jede Frage im Fragebogen werden diese Werte berechnet:

      1. Fragebewertungen: Die Bewertung für jede Frage wird anhand der Antworten berechnet. Die Bewertung wird durch die Definition der Metrikskala und die Werte bestimmt, die den Antworten zugeordnet sind.

      2. FrageProzentBeitrag: Der prozentuale Beitrag jeder Frage innerhalb ihrer Kategorie wird durch diese Berechnung bestimmt. Dieser Wert basiert auf der Gewichtung, die der Manager für Drittparteirisiken der Frage zugewiesen hat, und der Gesamtgewichtung der Kategorie.
      3. FrageNormalisierterWert: Der normalisierte Wert für jede Frage wird berechnet, indem die Fragenbewertung, der prozentuale Beitrag der Frage und ein konstanter Wert (100) multipliziert werden. Mit diesem Wert können Sie Fragen mit unterschiedlichen Gewichtungen und Bewertungen vergleichen.
    2. Für die Kategorien der einzelnen Fragebogen werden diese Bewertungen berechnet:
      1. categoryRating: Die Bewertung für jede Kategorie wird berechnet, indem die normalisierten Werte aller Fragen innerhalb der Kategorie summiert werden. Die Kategoriebewertung wird von der zugehörigen Risikobewertungsskala abgeleitet.
      2. categoryNormalizedValue: Die Kategoriebewertung wird normalisiert, indem sie mit der Kategoriegewichtung multipliziert wird, damit Sie Werte über alle Kategorien hinweg vergleichen können.
    3. Fragebogen, FragebogenQuantitativeScore: Die quantitative Gesamtpunktzahl für die Bewertung wird berechnet, indem die normalisierten Kategoriepunktzahlen summiert werden. Diese Punktzahl stellt die Risikopunktzahl für den Fragebogen dar.
    4. Dokumente, Qualitative Punktzahl: Die Berechnung der qualitativen Risikobewertung für die Dokumentanforderungen basiert auf der Antwort auf die Standardfrage „Haben Sie das Dokument „Dokumentname“?“ in der Dokumentanforderung. Diese Bewertung kann bei Bedarf vom Drittpartei-Risikogutachter überschrieben werden.
    5. Assessment, AssessmentRating: Die endgültige Bewertung für die Bewertung wird berechnet, indem der gewichtete Durchschnitt der Fragebogen und Dokumentanforderungen in jedem Drittpartei-Risikobereich ermittelt wird. Die Gewichtungen werden durch die Bewertungsmethode für Risikobereiche bestimmt.

    FrageBewertungsberechnung

    Sie verwenden die Fragebewertungsberechnung, um den relativen Grad der Signifikanz jeder einzelnen Bewertungsmetrik im Vergleich zu anderen Metriken zu definieren. Diese Schlüsselvariable hilft später im Prozess bei der Berechnung des normalisierten Werts.

    Sie können die Skaladefinition für eine einzelne Bewertungsmetrik definieren, indem Sie sie auf Hoch oder Niedrigfestlegen.

    Das folgende Beispiel zeigt, wie das Feld für die Definition der Metrikskala im Formular „Bewertungsmetrik“ definiert wurde.
    Abbildung : 3. Beispiel für die Definition der Metrikskala

    Beispiel für die Definition der Metrikskala. Die Textbeschreibung finden Sie im folgenden Text.
    • „Hoch“ bedeutet, dass hohe numerische Werte ein positives Ergebnis anzeigen. Wenn die Definition der Metrikskala hoch ist, wird die folgende Gleichung verwendet:

      Fragebewertung = (Wert – minValue) / (maxValue – minValue)

    • Niedrig bedeutet, dass niedrige numerische Werte ein positives Ergebnis anzeigen. Wenn die Definition der Metrikskala niedrig ist, wird die folgende Gleichung verwendet:

      Fragebewertung = 1 - ((Wert - minValue) / (maxValue - minValue))

    Das folgende Beispiel zeigt das Fragenwertfeld, das im Fragenformular der Bewertungsinstanz definiert ist.

    Abbildung : 4. Wertbeispiel für Bewertungsfrage
    Beispiel für das Feld für den Wert einer Bewertungsfrage. Die Textbeschreibung finden Sie im folgenden Text.

    Der in der Gleichung verwendete Wert wird aus der Antwort auf die Frage übernommen. Die Konfiguration der Metrik definiert die richtige Antwort, also den Wert, und die anderen Werte, die den anderen falschen oder weniger wünschenswerten Antworten zugeordnet sind.

    „questionPercentContribution“-Berechnung

    Die „questionPercentContribution“ definiert den Grad der Signifikanz der Bewertungsmetrik innerhalb der Kategorie, in der sie enthalten ist. Diese Schlüsselvariable wird später im Prozess bei der Berechnung des normalisierten Werts verwendet.

    Die folgende Formel wird verwendet, um die Frage des Prozentsatzbeitragszu berechnen.

    questionPercentContribution = (questionWeight / sumOfAllQuestionWeightsWithinCategory)

    Hinweis:
    „sumOfAllQuestionWeightsWithinCategory“ ist die Summe der Gewichtungen in der Kategorie für Fragen, die beantwortet wurden.

    Die Kategorie stellt ein Thema zur Bewertung der bewertbaren Datensätze in einem Metriktyp dar. Sie können das Beispiel dieser Kategorie mit Kapitalrendite (ROI), Risiko, Leistung, Sicherheit, personenbezogene Daten usw. definieren.

    Die Gewichtung ist ein numerischer Wert, der die Wichtigkeit der Metrik in Bezug auf andere Metriken darstellt. Eine höhere Gewichtung im Verhältnis zur Gesamtgewichtung der Kategorie hat einen stärkeren Einfluss auf die endgültige Punktzahl. Sie können die Gewichtung definieren, eine beliebige Ganzzahl festlegen und auf Fragen und Kategorien anwenden.

    Das folgende Beispiel zeigt die Fragenkategorie und das Gewichtungsfeld, die Sie im Bewertungsmetrikformular definieren können.

    Abbildung : 5. Beispiel für Bewertungsfragenkategorie und Gewichtung
    Beispiele für Felder „Kategorie“ und „Gewichtung“. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    „frageNormalizedValue“-Berechnung

    Mit der Frage Normalisierter Wert können Fragen mit unterschiedlichen Gewichtungen und Bewertungen auf derselben Skala verglichen werden.

    Die folgende Formel wird verwendet, um die FrageNormalizedValuezu berechnen.

    FrageNormalisierterWert = 100 * FrageRating * FrageBeitrag

    Jede Antwort auf jede Frage (Bewertungsmetrik) im Fragebogen hat einen normalisierten Wert. Mit diesem normalisierten Wert können Sie einen aussagekräftigen Vergleich durchführen, für den später ein Rollup für die Kategorie und die Gesamtbewertungsergebnisse durchgeführt wird.

    Das folgende Beispiel zeigt eine Liste normalisierter Werte für eine Bewertungsgruppe.

    Abbildung : 6. Normalisierte Werteliste für ein Bewertungsgruppenbeispiel

    Liste normalisierter Werte für Bewertungsgruppen. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    kategorieBewertungsberechnung

    Nachdem nun für jede Metrik innerhalb der Kategorie normalisierte Werte vorhanden sind, berechnet categoryRating einen Wert für die gesamte Kategorie, der dann mithilfe der Formel categoryNormalizedValue normalisiert werden kann, um den Vergleich zwischen Kategorien zu erleichtern.

    Die folgende Formel wird verwendet, um die Frage des Prozentsatzbeitragszu berechnen.

    categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory

    Die Kategoriebewertung ist die Summe aller normalisierten Werte für die Metriken innerhalb der Kategorie.

    Die angegebene Risikobewertung für jede Kategorie wird von der zugehörigen Risikobewertungsskala abgeleitet.

    Das folgende Beispiel zeigt die Liste der Kategoriebewertungen und Risikobewertungen für eine Assessment-Kategorie.

    Abbildung : 7. Beispiel für Kategoriebewertung und Risikobewertungsliste

    Kategorienbewertung und Risikobewertungsliste. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    kategorieNormalizedValue-Berechnung

    Sobald die Kategoriebewertungen festgelegt sind, verwendet die Gleichung für den kategorieNormalisiertenWert diese Bewertung und die Kategoriegewichtung, um das Ergebnis über alle Kategorien hinweg zu normalisieren.

    Die folgende Formel wird verwendet, um den Wert für categoryNormalizedValuezu berechnen.

    categoryNormalizedValue = categoryRating * (categoryWeight / sumOfAllCategoryWeights)

    Dieser berechnete normalisierte Wert ermöglicht einen aussagekräftigeren Vergleich, für den später ein Rollup zu den Gesamtbewertungsergebnissen durchgeführt wird. Höhere categoryWeight -Werte erhöhen den normalisierten Wert der Kategorie.

    Das folgende Beispiel zeigt die Liste der normalisierten Werte für eine Bewertungskategorie.

    Abbildung : 8. Beispiel für normalisierte Werteliste für Kategorien

    Kategorien – Beispiel für normalisierte Werteliste. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    FragebogenQuantitativePunktzahlberechnung

    Wenn alle Kategorien normalisiert sind, wird die quantitative Gesamtpunktzahl für die Bewertung berechnet.

    Die folgende Formel wird verwendet, um den FragebogenQuantitativeScorezu berechnen.

    fragebogenQuantitativeScore = sumOfAllCategoryNormalizedValues

    Die Ausgabe der Formelfragebogen-QuantitativeScore -Gleichung ist die Summe der normalisierten Kategoriepunktzahlen. Sie wird als Risikopunktzahl im Datensatz für den Fragebogen dargestellt.

    Das folgende Beispiel zeigt eine Risikopunktzahl für einen Fragebogen.

    Abbildung : 9. Fragebogendatensatz mit Beispiel für Risikopunktzahl

    Beispiel für einen Fragebogen zur Risikopunktzahl Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Qualitative Punktzahl für Dokumente

    Dokumentanforderungen haben eine Risikobewertung, die eine qualitative Punktzahl ist. Die vorläufige Risikoeinstufung basiert auf der Antwort auf die Standardfrage „Haben Sie das Dokument „Dokumentname“?“.

    Für die Risikobewertung des Dokuments wird die in der folgenden Tabelle dargestellte Skala verwendet.
    Tabelle : 1. Risikobewertungsskala für Dokumente
    Antwort Risikobewertung
    Ja Niedrig
    Nein oder unbeantwortet Hoch 
    N/V Mittel

    Das folgende Beispiel zeigt eine Risikobewertung für eine Dokumentanforderung.

    Abbildung : 10. Beispiel für die Risikobewertung einer Dokumentanforderung

    Beispiel für die Risikobewertung von Dokumentanforderungen Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    Nach der Überprüfung des Dokuments wird möglicherweise festgestellt, dass es mangelhaft ist, sodass der Gutachter für Drittparteirisiken die Standardbewertung überschreiben kann. Die Bewertung behält die aktuelle Risikobewertung und die ursprüngliche Risikobewertungbei. Die angegebene Risikobewertung für jede Kategorie wird von der zugehörigen Risikobewertungsskala abgeleitet.

    Das folgende Beispiel zeigt eine zugehörige Liste mit Kategorien, die die ursprüngliche und die aktuelle Risikobewertung enthält.

    Abbildung : 11. Beispiel für zugehörige Liste „Kategorien“.

    Zugehörige Liste „Kategorien“, die das ursprüngliche und das aktuelle Beispiel für die Risikobewertung zeigt. Die Textbeschreibung finden Sie im Text vor diesem Beispiel.

    AssessmentRating-Berechnung

    Bei externen Risikobewertungen wird die endgültige Einstufung für die Bewertung als gewichteter Durchschnitt der Fragebogen und Dokumentanforderungen in den einzelnen Drittpartei-Risikobereichen berechnet.

    Die folgende Formel wird verwendet, um die BewertungBewertungzu berechnen.

    AssessmentRating = (Durchschnitt (Fragebogen + Dokumentanforderung für einen Risikobereich) * Gewichtung, die diesem Risikobereich zugewiesen ist + (Fragebogen + Dokumentanforderung für einen anderen Risikobereich) * Gewichtung, die diesem Risikobereich zugewiesen ist)/Summe der Gewichtungen

    • Fragebogen 1 = im Sicherheitsrisikobereich definiert
    • Fragebogen 2 = im Bereich „Finanzrisiken“ definiert
    • Fragebogen 3 = im Bereich „Finanzrisiken“ definiert
    • Dokumentanforderung 1 = im Sicherheitsrisikobereich definiert
    Die Kriterien für Risikobereiche werden wie im Beispiel in der folgenden Tabelle festgelegt:
    Tabelle : 2. Kriterien für Risikobereiche
    Risikobereich Bewertungsmethode Gewichtung
    Sicherheitsrisiko Durchschnittliches Risiko 10
    Finanzielles Risiko Max. Risiko 20
    Der endgültige Wert für die Bewertung wird mit der folgenden Formel berechnet:

    AssessmentRating = (Durchschnitt (Fragebogen 1 + Dokumentanforderung 1) * 10 + MAX (Fragebogen 2 + Fragebogen 3) * 20) / (10 + 20).

    Die endgültige Bewertung ist die Gesamtbewertung, bei der die Punktzahlen und Bewertungen aus allen Bewertungen berücksichtigt werden, die für eine Drittpartei oder Interaktion durchgeführt wurden. Zur Berechnung wird der gewichtete Durchschnitt der Fragebogen und Dokumentanforderungen in jedem Risikobereich herangezogen. Dieser Berechnungsprozess stellt sicher, dass alle relevanten Metriken, Kategorien und Gewichtungen berücksichtigt werden, je nachdem, wie Sie diese Parameter und Konfigurationen definiert haben. Der Berechnungsprozess und die beteiligten Faktoren können Ihnen helfen, fundierte Entscheidungen zu treffen und auf Grundlage der endgültigen Bewertung geeignete Maßnahmen zu ergreifen.

    Hinweis:
    Informationen zum Überprüfen von Risikobewertungen und Bewertungsberechnungen finden Sie unter Verifizierung von Risikobewertungen und Punktzahlberechnungen.