Classificações de risco de terceiros e cálculos de pontuação
Execute uma avaliação de risco externo abrangente ao calcular várias classificações e pontuações usando a aplicação Gestão de risco de terceiros. Você pode obter uma compreensão mais profunda do processo geral de cálculo e aprender como os parâmetros e as configurações definidos pelo usuário influenciam os resultados dos questionários.
Escala de classificação de riscos
Toda vez que você cria um questionário, o sistema aplica uma classificação de risco padrão. Você pode configurar a escala de classificação de risco, que inclui as categorias e os valores mínimo e máximo, para atender às suas necessidades específicas de questionário que podem variar para cada avaliação. Por exemplo, você pode definir valores de classificação de risco como cores em vez de 1-Muito alto a 5-Muito baixo.
O exemplo a seguir mostra as classificações de risco padrão fornecidas como parte do sistema de base.
Mecanismo de cálculo de pontuação
- Perguntas (métricas)
Para obter mais informações sobre como definir uma pergunta, consulte Definir uma pergunta.
- Definição de escala de métrica
Para obter mais informações sobre como definir a definição de escala de métrica, consulte Definir uma pergunta.
- Categorias
Para obter mais informações sobre como definir uma categoria, consulte Configurar e manter um banco de dúvidas.
- Pesos
Para obter mais informações sobre como definir um peso, consulte Definir critérios de componente.
- Escala de classificação de riscos
Para obter mais informações sobre como definir uma escala de classificação de risco, consulte Configurar escalas de classificação de risco e pontuação.
- Escala de classificação de serviço de negócio No final do cálculo de pontuação, se um terceiro ou compromisso estiver associado a um serviço de negócios definido na tabela Serviço [cmdb_ci_service], esse peso de criticidade será fatorado no cálculo. Diferentes serviços de negócios podem ter níveis variados de riscos associados. Ao ajustar o peso da criticidade, você pode usar os valores resultantes para ajustar suas estratégias de redução de risco.Nota:Você pode definir os pesos de criticalidade navegando até .Um serviço de negócios é uma sequência definida de tarefas ou atividades que contribuem para a entrega de um serviço, como e-mail, serviços de TI, comércio eletrônico.Como parte do sistema de base, quatro classificações são definidas:
- 1 - mais crítico
- 2 - um pouco crítico
- 3 - menos crítico
- 4 - não crítico
Você pode associar cada terceiro ou compromisso a vários serviços de negócio.
O infográfico a seguir mostra o processo de cálculo da classificação da avaliação.
- Cada pergunta no questionário tem estes valores calculados:
questionRatings: a classificação de cada pergunta é calculada pelas respostas. A classificação é determinada pela definição da escala de métrica e pelos valores associados às respostas.
- questionPercentContribution: a contribuição percentual de cada pergunta em sua categoria é determinada por este cálculo. Este valor é baseado no peso atribuído pelo gerente de risco do terceiro à pergunta e no peso geral da categoria.
- questionNormalizedValue: o valor normalizado de cada pergunta é calculado multiplicando a classificação da pergunta, a contribuição percentual da pergunta e um valor constante (100). Este valor permite comparar perguntas com diferentes pesos e classificações.
- As categorias de cada questionário têm estas classificações calculadas:
- categoryRating: a classificação de cada categoria é calculada somando os valores normalizados de todas as perguntas da categoria. A classificação da categoria é derivada da escala de classificação de risco associada.
- categoryNormalizedValue: a classificação da categoria é normalizada multiplicando-a pelo peso da categoria para permitir que você compare valores em todas as categorias.
- Questionário, questionárioPontuação quantitativa: a pontuação quantitativa geral da avaliação é calculada somando as pontuações da categoria normalizada. Essa pontuação representa a pontuação de risco do questionário.
- Documentos, pontuação qualitativa: o cálculo da classificação de risco qualitativo das solicitações de documento é baseado na resposta à pergunta padrão “Você tem o documento 'nome do documento'? na solicitação de documento. Esta classificação pode ser substituída pelo avaliador de risco de terceiros, se necessário.
- Avaliação, assessmentRating: a classificação final da avaliação é calculada com base na média ponderada dos questionários e solicitações de documentos em cada área de risco do terceiro. Os pesos são determinados pelo método de pontuação da área de risco.
Para obter mais informações, consulte Exibir um resultado de métrica.
Cálculo de questionRating
Você usa o cálculo questionRating para definir o grau relativo de significância de cada métrica de avaliação individual em comparação com outras métricas. Esta variável de chave ajuda a calcular o valor normalizado posteriormente no processo.
Você pode definir a Definição de escala para uma métrica de avaliação individual, definindo-a como Alta ou Baixa.
O exemplo a seguir mostra como o campo de definição de escala de métrica foi definido no formulário Métrica de avaliação.- Alto significa que valores numéricos grandes indicam um resultado positivo. Se a definição de escala de métrica for alta, a seguinte equação será usada:
questionRating = (value - minValue) / (maxValue - minValue) - Baixo significa que valores numéricos pequenos indicam um resultado positivo. Se a definição de escala de métrica for baixa, a seguinte equação será usada:
questionRating = 1 - ((value - minValue) / (maxValue - minValue))
O exemplo a seguir mostra o campo de valor da pergunta que é definido no formulário de pergunta da instância de avaliação.
O valor usado na equação é obtido da resposta à pergunta. A configuração da métrica define a resposta correta, que é o valor, e os outros valores associados a outras respostas incorretas ou menos desejáveis.
Cálculo de questionPercentContribution
A questionPercentContribution define o grau de significância da métrica de avaliação na categoria em que está incluída. Esta variável de chave é usada no cálculo do valor normalizado posteriormente no processo.
A equação a seguir é usada para calcular o questionPercentContribution.
questionPercentContribution = (questionWeight / sumOfAllQuestionWeightsWithinCategory)
A categoria representa um tema para avaliar os registros avaliáveis em um tipo de métrica. Você pode definir o exemplo desta categoria com o retorno do investimento (ROI), risco, desempenho, segurança, dados pessoais e assim por diante.
O peso é um valor numérico que representa a importância da métrica relacionada a outras métricas. Um peso maior em proporção ao peso geral da categoria tem uma influência mais forte na pontuação final. Você pode definir o peso, defini-lo como qualquer número inteiro e aplicá-lo a perguntas e categorias.
O exemplo a seguir mostra a categoria da pergunta e o campo de peso que você pode definir no formulário de métrica de avaliação.
questionCálculo de NormalizedValue
O questionNormalizedValue permite que perguntas com diferentes pesos e classificações sejam comparadas igualmente na mesma escala.
A equação a seguir é usada para calcular o questionNormalizedValue.
questionNormalizedValue = 100 * questionRating * questionPercentContribution
Cada resposta a cada pergunta (métrica de avaliação) no questionário tem um valor normalizado. Esse valor normalizado permite que você faça uma comparação significativa que posteriormente é acumulada para a categoria e os resultados gerais da avaliação.
O exemplo a seguir mostra uma lista de valores normalizados para um grupo de avaliação.
Cálculo de categoryRating
Agora que há valores normalizados para cada métrica na categoria, o categoryRating calcula um valor para a categoria inteira que pode ser normalizado usando a equação categoryNormalizedValue para facilitar as comparações entre categorias.
questionPercentContribution.categoryRating = sumOfAllQuestionNormalizedValuesWithinCategory
A classificação da categoria é a soma de todos os valores normalizados para as métricas na categoria.
A classificação de risco declarada para cada categoria é derivada da escala de classificação de risco associada.
O exemplo a seguir mostra a lista de classificações de categoria e classificações de risco para uma categoria de avaliação.
Cálculo de categoryNomalizedValue
Com as classificações de categoria estabelecidas, a equação categoryNormalizedValue usa essa classificação e o peso da categoria para normalizar o resultado em todas as categorias.
A equação a seguir é usada para calcular o categoryNormalizedValue.
categoryNormalizedValue = categoryRating * (categoryWeight / sumOfAllCategoryWeights)
Este valor normalizado calculado executa uma comparação mais significativa que é acumulada posteriormente para os resultados gerais da avaliação. Valores de categoryWeight mais altos aumentam o valor normalizado da categoria.
O exemplo a seguir mostra a lista de valores normalizados para uma categoria de avaliação.
questionárioCálculo de Pontuação quantitativa
Com todas as categorias normalizadas, a pontuação quantitativa geral da avaliação é calculada.
A equação a seguir é usada para calcular o questionárioQuantitativeScore.
questionárioQuantitativeScore = sumOfAllCategoryNormalizedValues
A saída da equação do questionárioQuantitativeScore é a soma das pontuações da categoria normalizada. É apresentado como a pontuação de risco no registro do questionário.
O exemplo a seguir mostra uma pontuação de risco para um questionário.
Pontuação qualitativa para documentos
As solicitações de documento têm uma classificação de risco que é uma pontuação qualitativa. A classificação de risco preliminar é baseada na resposta à pergunta padrão "Você tem o documento 'nome do documento'?".
| Resposta | Pontuação de risco |
|---|---|
| Sim | Baixo |
| Não ou sem resposta | Alta |
| N/D | Moderado |
O exemplo a seguir mostra uma classificação de risco para uma solicitação de documento.
Depois que o documento é revisado, ele pode ser considerado defeituoso, portanto, o avaliador de risco de terceiros pode substituir a classificação padrão. A avaliação retém a classificação de risco atual e a classificação de risco original. A classificação de risco declarada para cada categoria é derivada da escala de classificação de risco associada.
O exemplo a seguir mostra uma lista relacionada de categorias que inclui a classificação de risco original e atual.
avaliaçãoCálculo de classificação
Para qualquer avaliação de risco externo, a classificação final da avaliação é calculada como a média ponderada dos questionários e solicitações de documentos em cada área de risco do terceiro.
A equação a seguir é usada para calcular o assessmentRating.
assessmentRating = (MÉDIA (Questionário + Solicitação de documento para uma área de risco) * peso atribuído a essa área de risco + (Questionário + Solicitação de documento para outra área de risco) * peso atribuído a essa área de risco) / a soma dos pesos
- Questionário 1 = definido na área de risco de segurança
- Questionário 2 = definido na Área de Risco Financeiro
- Questionário 3 = definido na área de risco financeiro
- Solicitação de documento 1 = definido na área de risco à segurança
| Área de risco | Método de pontuação | Ponderação |
|---|---|---|
| Risco à Segurança | Risco médio | 10 |
| Risco financeiro | Risco máximo | 20 |
assessmentRating = (MÉDIA (Questionário 1 + Solicitação de documento 1) * 10 + MÁX (Questionário 2 + Questionário 3) * 20) / (10 + 20).
A classificação final é a classificação de avaliação geral que considera as pontuações e classificações de todas as avaliações realizadas para um terceiro ou compromisso. É calculado usando a média ponderada dos questionários e solicitações de documentos em cada área de risco. Este processo de cálculo garante que todas as métricas, categorias e pesos relevantes sejam considerados com base em como você definiu esses parâmetros e configurações. O processo de cálculo e os fatores envolvidos podem ajudá-lo a tomar decisões informadas e ações apropriadas com base na classificação final.