Erweiterte Risikobewertung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer
  • Verwenden Sie ServiceNow® Governance, Risk und Compliance(GRC) Funktion „Erweiterte Risikobewertung“ zum Erstellen einer integrierten Risikoplattform. Diese integrierte Plattform unterstützt verschiedene Arten von Risikobewertungsmethoden. Mit dieser Option können Sie die Risikobewertung als Teil Ihres allgemeinen Entscheidungsprozesses integrieren.

    Die erweiterte Risikobewertung bietet die folgenden Vorteile:
    • Digitalisiert den gesamten Risikomanagement-Lebenszyklus, einschließlich Risikoidentifizierung, Risikoanalyse, Risikobewertung, Risikobehandlung, und Überwachung.
    • Passt den Risikobewertungsprozess basierend auf den individuellen Anforderungen Ihrer Organisation an. Diese Anpassung umfasst die Konfiguration der Bewertungskriterien, des Kontexts und der allgemeinen Risikobewertungslogik.
    • Unterstützt sowohl qualitative als auch quantitative Risikobewertungsmethoden.
    • Aggregiert automatisch die Bottom-up-Risikobewertungspunktzahlen für das Risiko.
    • Bettet den Risikobewertungsprozess in den Arbeitsbereich für Erstlinienanwender ein. Diese Einbettung hilft Anwendern, fundierte Entscheidungen basierend auf Risiken zu treffen, die mit Aktionen verknüpft sind.
    Hinweis:
    Um zu erfahren, ob Ihre aktuelle Lizenz Sie zu erweiterten Risikobewertungen berechtigt, wenden Sie sich an ServiceNow.

    Schritte der Risikobewertung

    Bevor Sie die erweiterte Risikobewertung im Detail verstehen, ist es wichtig, die wichtigsten Schritte des Risikomanagements zu verstehen:
    1. Risikoidentifizierung: Finden Sie eine Unsicherheit oder ein Risiko, die Ihre Organisation daran hindern könnte, ihre Ziele​zu erreichen.
    2. Risikoanalyse: Verstehen Sie die Ursache und Konsequenz des Risikos.
    3. Risikobewertung: Um festzustellen, ob zusätzliche Maßnahmen erforderlich sind, vergleichen Sie die Ergebnisse der Risikoanalyse mit den festgelegten Risikokriterien.
    4. Risikobehandlung: Definieren Sie einen Aktionsplan​, um das Risiko zu beheben.
    5. Risikoüberwachung: Verfolgen Sie die Risikolage der Organisation und teilen Sie sie relevanten Stakeholdern mit.
    Abbildung : 1. Schritte des Risikomanagements
    Schritte des Risikomanagements.
    Die Risikobewertung besteht aus Risikoidentifizierung, Risikoanalyse und Risikobewertung. Die erweiterte Risikobewertung wird basierend auf Faktoren oder Fragen und ihren Antworten durchgeführt. Sie kann für eine Entität wie eine Organisation ausgeführt werden. Um die erweiterte Risikobewertung zu verwenden, müssen Sie aktivieren Migrieren Sie zu erweiterten Risikobewertungen Eigenschaft unter dem Administrationsmodul. Der Beurteiler und der Genehmiger für die Risikobewertung müssen über die Rolle sn_grc.Business_user verfügen. Mit der erweiterten Risikobewertung können Sie eine detaillierte Bewertung der Risiken durchführen, bei denen die inhärenten Risiken, mindernden Kontrollen und Restrisiken bewertet werden. Wenn Sie nicht über die vollständige verfügen GRC Richten Sie für Entitäten, Risikobeschreibungen, Steuerungen usw. ein, dann können Sie die Risiken trotzdem für jeden bewerten ServiceNow Datensatz oder Objekt. Ein Beispiel für eine Objektbewertung ist die Bewertung des Change-Managements. Während der Risikobewertung werden die folgenden Risiken bewertet.
    • Inhärente Risiken: Inhärente Risiken sind Risiken, die keine Steuerungen haben. Zum Beispiel ist das Fahren mit hoher Geschwindigkeit auf einer Autobahn von Natur aus gefährlicher als das Fahren mit mäßiger Geschwindigkeit. Die Punktzahl dieses inhärenten Risikos wird durch Multiplikation der Auswirkung des Risikos und der Wahrscheinlichkeit des Risikos abgeleitet.
    • Kontrolleffektivität: Kontrollen können die Auswirkung oder Wahrscheinlichkeit eines Risikos mindern. Zum Beispiel verfügen Autobahnen über Geschwindigkeitsbegrenzungsüberwachungen. Wenn ein Risiko eintritt, mindern die Steuerungen die Auswirkung. Kontrollen können vorbeugend, erkennend oder korrigierend sein.
      • Vorbeugende Kontrollen sollen Fehler, Ungenauigkeiten oder Betrug verhindern, bevor diese Probleme auftreten.
      • Erkennungskontrollen sollen das Vorhandensein von Fehlern, Ungenauigkeiten oder Betrug erkennen.
      • Korrekturkontrollen dienen der Korrektur von Fehlern oder Unregelmäßigkeiten, die erkannt wurden.
    • Restrisiken: Restrisiken sind die verbleibenden Risiken, die nach der Implementierung von Kontrollen verbleiben. Wenn beispielsweise trotz der vorhandenen Sicherheitsmaßnahmen immer noch ein Unfall vorliegt, ist der durch den Unfall verursachte Schaden ein Restrisiko. Eine Restrisikopunktzahl kann mit einer der folgenden Methoden berechnet werden:
      • Eine Matrix zwischen inhärenter und Resteffektivität.
      • Eine mathematische Formel wie die inhärente Punktzahl minus der Kontrollpunktzahl.
      • Antworten auf Faktoren.