Faktoren in der erweiterten Risikobewertung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Faktoren sind Fragen, mit denen Sie Risiken analysieren können. Faktoren werden in einer Risikobewertungsinstanz angezeigt.

    Faktoren sind Fragen, die während der Risikobewertung angezeigt werden. Zur Verwendung der erweiterten Risikobewertung müssen Sie zuerst diese Faktoren definieren und eine Risikobewertungsmethode (RAM) konfigurieren. Weitere Informationen zu RAMs finden Sie unter Konfigurieren Sie eine Risikobewertungsmethode. Jeder Faktor oder jede Frage hat eine Antwort. Es gibt verschiedene Arten von Faktoren:
    • Manueller Faktor: Ein Faktor, der menschliche Eingaben erfordert. Die Antwort ist eine manuelle Antwort. Ein Beispiel ist Ihr Name.
    • Automatisierter Faktor: Ein Faktor, dessen Antwort automatisch berechnet wird. Ein Beispiel ist die Temperatur in Ihrer Stadt heute. Die Informationen werden aus externen Quellen abgerufen.
    • Geskriptete automatisierte Faktoren: Ein Faktor, der zum Schreiben von Skripts verwendet wird.
    • Gruppenfaktor: Eine Reihe von Faktoren, die logisch gruppiert sind.

    Diese Faktortypen werden in den folgenden Abschnitten näher erläutert. Nachdem Sie die Faktoren definiert und veröffentlicht haben, können Sie einen RAM konfigurieren und die Faktoren den Bewertungstypen im RAM zuordnen. Der RAM bildet die Grundlage der Risikobewertung. Veröffentlichen Sie jeden der ausgewählten Bewertungstypen, und veröffentlichen Sie dann den RAM. Anwender mit der Rolle sn_risk.user können die Bewertungstypen auswählen, für die die Bewertung durchgeführt werden muss.

    Ihre Risikobewertungsinstanz wird dann erstellt. Seine Eigenschaften hängen von den Bewertungstypen und -Optionen ab, die Sie für Ihren RAM ausgewählt haben. In der Risikobewertungsinstanz bewertet der Risikobewerter die Risiken. Als Frage kann ein Faktor in mehreren Bewertungstypen verwendet werden. Beispielsweise eine Frage wie lautet die Wahrscheinlichkeit, dass ein Gebäude überschwemmt wird? Kann Teil einer inhärenten Bewertung oder einer Restbewertung nach der Bewertung der Kontrolleffektivität sein.

    Hinweis:
    Ein Faktor kann in mehreren Bewertungstypen verwendet werden, kann jedoch nur in einem RAM verwendet werden. Ein Faktor, der in einem RAM erstellt und verwendet wird, kann nicht in anderen RAMs wiederverwendet werden.

    Arten von Faktorbeiträgen

    Ein Beurteiler gibt Antworten auf Faktoren. Risikobeurteiler können auf folgende Weise zu Faktoren beitragen:
    • Qualitativ: Verluste erfolgen in Form von subjektiven Begriffen wie hoch, Mittel und niedrig. Die Verluste können auch in Form einer numerischen Punktzahl vorliegen, die in eine Bewertung konvertiert wird.
    • Quantitativ: Verluste in numerischer Form. Sie können aus einem Risiko in monetärer Hinsicht entstehen. Sie tragen zur inhärenten jährlichen Verlusterwartung (ALE) bei.
    • Beides: Verluste haben sowohl eine qualitative Risikobewertung als auch einen quantitativen Dollarwert. Diese Bewertungen werden auch als semiquantitativ bezeichnet.
    Weitere Informationen zum Verständnis qualitativer, quantitativer und halbquantitativer Bewertungen finden Sie unter Typen von Risikobewertungsmethoden

    Manuelle Faktoren

    In einer Risikobewertung werden Fragen, die menschliche Antworten der Teilnehmer erfordern, als manuelle Faktoren bezeichnet. Bei manuellen Faktoren ist die Antwort subjektiv und schwierig zu klassifizieren. Einige Fragen erfordern menschliche Intelligenz und Bewertung. Daher ist ein manueller Faktor eine subjektive Bewertung der Ansicht einer Person. Beispiele für manuelle Faktoren sind Auswirkungen auf die Reputation, erwartete Geschwindigkeit des Einsetzens usw. In manuellen Faktoren können Anwender die folgenden Arten von Antworten bereitstellen:
    • Text: Eine beschreibende Antwort. Beispiel: Feedback. Diese Auswahl trägt nicht zur Berechnung der Risikopunktzahl bei​.
    • Auswahl: Anwenderdefinierte Auswahlmöglichkeiten für die Fragen in der Bewertung. Anwender können beispielsweise Risikobewertungen von „Niedrig“, „Mittel“ oder „hoch“ auswählen.
    • Zahl: Ein numerischer Wert. Beispiel: Die Anzahl der offenen Probleme.
    • Währung: Ein Betrag in der lokalen Währung des Anwenders. Beispiel: Die finanziellen Auswirkungen eines bestimmten Risikos.
    • Prozentsatz: Ein Prozentwert für die Fragen in der Bewertung. Beispiel: Der Prozentsatz der Mitarbeiter, die mit den Organisationsstrategien zufrieden sind.

    Gruppenfaktoren

    Wenn Faktoren logisch gruppiert werden, werden sie als Gruppenfaktoren bezeichnet. Die Punktzahl eines Gruppenfaktors hängt von den Antworten der entsprechenden manuellen Faktoren ab​. Organisationen sind beispielsweise von finanziellen und nicht finanziellen Risiken betroffen. Sie können einige Faktoren für finanzielle Risiken und andere Faktoren für nicht finanzielle Risiken erstellen. Sie können diese beiden Sätze von Faktoren zu einem einzelnen Gruppenfaktor kombinieren, der als Gesamtauswirkung bezeichnet wird. Wie manuelle Faktoren können Gruppenfaktoren entweder zu einer numerischen Risikopunktzahl beitragen, die in einen qualitativen Beitrag konvertiert wird, oder zu den ALE-Werten als quantitativer Beitrag.

    Automatisierte Faktoren

    Automatisierte Faktoren rufen während einer Bewertung automatisch die neuesten Daten aus einer der Datenquellen wie Tabellen oder Datenbankansichten ab. Automatisierte Faktoren helfen bei der Automatisierung des Risikobewertungsprozesses. Sie basieren nicht auf manuellen Eingaben und reduzieren somit die Subjektivität. Beispielsweise möchte ein Risikobeurteiler eine Bewertung für verschiedene Standorte durchführen. Einer der automatisierten Faktoren ist die politische Bedingung eines Landes, und diese Informationen sind öffentlich auf einer Website verfügbar. Da sich diese Daten nicht innerhalb von befinden ServiceNow, Der Beurteiler kann automatisierte Faktoren verwenden, um die Daten abzurufen. Einige andere Beispiele für automatisierte Faktoren sind die folgenden:
    • Die Anzahl der Mitarbeiter in einem Projekt.
    • Der Umsatz eines Geschäftsbereichs.
    • Die Geschäftsrelevanz eines Prozesses.

    Geskriptete automatisierte Faktoren

    Automatisierte geskriptete Faktoren werden zum Schreiben von Skripts verwendet. Die Skripts rufen die Daten von beiden ab ServiceNowDatensätze oder aus externen Quellen. Geskriptete automatisierte Faktoren stellen während der Risikobewertung automatisch Antworten für Faktoren bereit.

    Die folgenden Anwendungsfälle demonstrieren ein Beispiel dafür, wie Sie geskriptete Faktoren modellieren können. Wenn Sie beispielsweise die Ergebnisse aus der Compliance-Funktion verwenden möchten, um die Effektivität der Steuerungen zu bewerten, gibt es zwei Möglichkeiten, die Steuerungen zu bewerten:
    • Individuelle Bewertung von Steuerungen
    • Bewertung der Steuerungsumgebung.
    Bei der individuellen Bewertung von Kontrollen wird jede Kontrolle separat bewertet. Um die Kontrollbewertung im Kontext geskripteter Faktoren zu verstehen, betrachten Sie das Beispiel der Geldwäsche als Risiko. In diesem Beispiel wird die Kontrolleffektivität basierend auf dem Prozentsatz der fehlgeschlagenen Steuerungen bewertet. Die Werte der fehlgeschlagenen Steuerungen werden dann in eine Bewertung umgewandelt, um die Kontrolleffektivität dieser Kontrolle zu berechnen. Beispielsweise verfügt das Risiko der Geldwäsche über drei mindernde Kontrollen:
    • Mitarbeiterschulung
    • Interner Audit für Mitarbeiter
    • Sorgfaltspflicht des Kunden
    Nehmen Sie an, dass Sie die Kriterien für die Kontrolleffektivität wie folgt definiert haben:
    Fehler Bei Der Effektivität Des Steuerungsdesigns Steuerungseffektivität
    0 %-30 % Effektiv
    30%-60% Muss verbessert werden
    > 60 % Ineffektiv

    Nehmen Sie jetzt an, dass von den drei Steuerungen eine Steuerung bestanden und zwei Steuerungen fehlgeschlagen sind. Der Fehler von zwei Steuerungen führt zu einer Fehlerrate von 66,67%. Basierend auf der Transformation und basierend auf der vorherigen Tabelle ist die Bewertung der Kontrolleffektivität ineffektiv. Sie können dieses definierte Skript verwenden, um die Antwort auf den Faktor zu automatisieren, um das Risiko der Geldwäsche zu bewerten.

    Was die Bewertung der Kontrollumgebung anbelangt, können Sie die vollständige Kontrollumgebung bewerten, anstatt jede Steuerung einzeln zu bewerten. Betrachten Sie das folgende Beispiel, um die Bewertung der Steuerungsumgebung zu verstehen. Nehmen Sie an, dass Sie die Steuerungsumgebung basierend auf zwei Aspekten bewerten möchten: Designeffektivität und Betriebseffektivität. Um die Designeffektivität zu berechnen, können Sie die zugehörigen Steuerungen abrufen, die sich auf das Risiko der Geldwäsche beziehen. Sie können sich dann die Testergebnisse ansehen, um zu verstehen, wie viele der Steuerungen fehlgeschlagen sind. Nehmen Sie an, dass Sie die Kriterien für die Kontrolleffektivität wie folgt definiert haben:
    Fehler Bei Der Effektivität Des Steuerungsdesigns Steuerungseffektivität
    0 %-30 % Effektiv
    30 %-60 % Muss verbessert werden
    > 60 % Ineffektiv

    Nehmen Sie jetzt an, dass zwei Steuerungen fehlgeschlagen sind und eine Steuerung bestanden wurde. Daher beträgt die Fehlerrate der Effektivität des Steuerungsdesigns 33,33%. Basierend auf der vorherigen Tabelle bedeutet dieser niedrige Wert von 33,33%, dass das Steuerungsdesign verbessert werden muss. Diese Antwort kann automatisch im automatisierten geskripteten Faktor geskriptet werden, da keine menschliche Berechnung oder Intervention erforderlich ist.