Verständnis der Risikobewertungsinstanz

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 3 Minuten Lesedauer

    • Eine Risikobewertungsinstanz ist, in der ein Risikobewerter Risiken und Objekte bewerten kann, indem er auf Fragen oder Faktoren antwortet.

    Nachdem die Risikobewertungsmethode (RAM) erstellt und der Risikobewertungsumfang definiert wurde, werden die Bewertungen vom Risikoadministrator initiiert. Der Beurteiler erhält eine Benachrichtigung, um die Risiken zu bewerten. Um die Risikobewertung durchzuführen, muss ein Beurteiler über die Rolle „sn_grc.Business_user“ verfügen. Die Bewertung wird verwendet, um eine Risikopunktzahl für eine Entität zu erhalten.
    Hinweis:
    Sie müssen der Rolle „sn_grc.Business_user“ die Rollen „erweiterte Risikobewertung“ manuell zuweisen. Informationen dazu, wie Sie die Gewährung von Rollen und Gruppen anpassen können, finden Sie unter So passen Sie die Gewährung von Rollen und Gruppen zur Verwendung von Hintergrundaufträgen an [KB0963693] artikel in Now Support Knowledge Base.

    Die Fragen, die ein Risikobeurteiler beantwortet, sind im RAM konfiguriert. Eine Bewertung kann manuelle Faktoren und automatisierte Faktoren enthalten. Manuelle Faktoren erfordern menschliche Eingaben als Antworten. Bei automatisierten Faktoren werden die Antworten automatisch berechnet. Automatisierte Faktoren werden automatisch basierend auf dem in ihrer Konfiguration definierten Zeitplan ausgeführt.

    Nach Abschluss einer Bewertung wird basierend auf der definierten Häufigkeit der Neubewertung automatisch eine Neubewertung ausgelöst. Eine Neubewertung wird nur ausgelöst, wenn sich die vorhandene Risikobewertungsinstanz im Status „Überwachen“ befindet. Wenn sich eine Bewertung im Status „Überwachen“ befindet, ändern sich die Bewertungspunktzahlen, wenn automatisierte Faktoren gemäß ihrem Zeitplan ausgeführt werden, und die Faktoren tragen neue Punktzahlen zum Rollup bei.

    Wenn der Risikobeurteiler feststellt, dass eine Bewertung einem anderen relevanten Beurteiler neu zugewiesen werden muss, kann der Beurteiler die Bewertung neu zuweisen. Der Beurteiler kann die Antworten auch ändern, nachdem er auf die Faktoren reagiert hat.

    Wenn eine Bewertung mehrmals durchgeführt wird und die Option zum Kopieren der vorherigen Bewertungsantworten im RAM aktiviert ist, werden die Antworten aus den vorherigen Bewertungen automatisch in die aktuelle Bewertung kopiert.
    Hinweis:
    Automatisierte Faktorantworten und überschriebene Punktzahlen werden nicht aus vorherigen Bewertungen kopiert.

    Komponenten einer Risikobewertungsinstanz

    Basierend auf den Konfigurationen im RAM werden im Formular „Risikobewertungsinstanz“ auch die folgenden zugehörigen Listen angezeigt:
    • Vorherige Bewertungen: Die vorherigen fünf Bewertungen für das derzeit bewertete Risiko.
    • Risikoereignisse: Die Anzahl der Risikoereignisse, die dem Risiko zugeordnet sind.
    • Risikoindikatoren: Die Anzahl der Risikoindikatoren, die für dieses Risiko bestanden und fehlgeschlagen sind.
    • Offene Probleme: Die Anzahl der offenen Probleme für das Risiko sowie deren Status und Besitzer.
    • Risikoantwortaufgaben: Die Anzahl der Risikoantwortaufgaben, die für die Bewertung erstellt werden.
    • Zugehörige Steuerungen: Die Steuerungen, die sich auf das Risiko beziehen. Diese zugehörige Liste wird nur angezeigt, wenn die Kontrollumgebung bewertet wird.
      Hinweis:
      Kunden in vorherigen Releases können möglicherweise die aktualisierte Anzahl für bestandene und fehlgeschlagene Indikatoren nicht sehen. Um dieses Problem zu beheben, führen Sie aus Aktualisieren Sie die Anzahl der Indikatoren und Steuerungen Korrekturskript.

    Ein Beurteiler hat die Möglichkeit, die mindernden Steuerungen nicht zu bewerten. Die Option zum Deaktivieren von Steuerungen ist in Fällen nützlich, in denen ein Risiko besteht, es aber keine Steuerungen gibt, um es zu mindern. Betrachten Sie beispielsweise ein Szenario, in dem eine Pandemie ein Risiko darstellt, es aber keine Impfstoffe gibt, um sie zu kontrollieren. In einem solchen Fall wird das Risiko bewertet, die Kontrollen können jedoch aus der Bewertung ausgeschlossen werden. Wenn ein Beurteiler entscheidet, die Bewertung von mindernden Steuerungen und Restrisiken abzuwählen, wird die Punktzahl auf festgelegt Nicht zutreffend .

    Wenn die Kontrollbewertung so konfiguriert ist, dass einzelne Steuerungen bewertet werden und die Steuerungen dem zu bewertenden Risiko zugeordnet sind, wird die Option zum Deaktivieren von Steuerungen nicht angezeigt. Dies geschieht, da die Steuerungen standardmäßig festgelegt sind.

    Wenn die Restrisikobewertung für inhärente Risiken und Kontrollen gilt und der Risikobewerter die Kontrollbewertung abwählt, gelten die Restrisiken nicht. Diese Bedingung wird erstellt, denn wenn keine Steuerungen vorhanden sind, bedeutet dies automatisch, dass nur inhärente Risiken und keine Restrisiken vorhanden sind.

    Phasen der Risikobewertung

    Der Lebenszyklus der Risikobewertung durchläuft die folgenden status:
    1. Bereit zur Bewertung: Eine neue Bewertungsinstanz wird erstellt.
    2. Inhärente Bewertung: Die inhärente Risikobewertung wird durchgeführt.
    3. Kontrollbewertung: Die Kontrollbewertung wird durchgeführt.
    4. Restrisikobewertung: Die Restrisikobewertung wird durchgeführt.
    5. Zielbewertung: Die Zielrisikobewertung wird durchgeführt.
    6. Antwort: Sie reagieren auf die Risiken.
    7. Warten auf Genehmigung: Die Risikobewertung wartet auf die Genehmigung der Genehmiger, wenn sie identifiziert wurden.
    8. Überwachen: Die Risikobewertung ist abgeschlossen und wird überwacht.