Faktoren in der erweiterten Risikobewertung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 5 Minuten Lesedauer
  • Faktoren sind Fragen, mit denen Sie Risiken analysieren können. Faktoren werden in einer Risikobewertungsinstanz angezeigt.

    Faktoren sind Fragen, die während der Risikobewertung angezeigt werden. Um die erweiterte Risikobewertung zu verwenden, müssen Sie zuerst diese Faktoren definieren und eine Risikobewertungsmethode (RAM) konfigurieren. Weitere Informationen zu RAMs finden Sie unter Konfigurieren Sie eine Risikobewertungsmethode. Jeder Faktor oder jede Frage hat eine Antwort. Es gibt verschiedene Arten von Faktoren:
    • Manueller Faktor: Ein Faktor, der menschliche Eingaben erfordert. Die Antwort ist eine manuelle Antwort. Ein Beispiel ist Ihr Name.
    • Automatisierter Faktor: Ein Faktor, dessen Antwort automatisch berechnet wird. Ein Beispiel ist die Temperatur in Ihrer Stadt heute. Die Informationen werden aus externen Quellen abgerufen.
    • Geskriptete automatisierte Faktoren: Ein Faktor, der zum Schreiben von Skripts verwendet wird.
    • Gruppenfaktor: Eine Reihe von Faktoren, die logisch gruppiert sind.

    Diese Faktortypen werden in den folgenden Abschnitten näher erläutert. Nachdem Sie die Faktoren definiert und veröffentlicht haben, können Sie einen RAM konfigurieren und die Faktoren den Bewertungstypen im RAM zuordnen. Der RAM bildet die Grundlage der Risikobewertung. Veröffentlichen Sie jeden der ausgewählten Bewertungstypen, und veröffentlichen Sie dann den RAM. Benutzer mit der Rolle sn_risk.user können die Bewertungstypen auswählen, für die die Bewertung durchgeführt werden muss.

    Ihre Risikobewertungsinstanz wird dann erstellt. Seine Eigenschaften hängen von den Bewertungstypen und -Optionen ab, die Sie für Ihren RAM ausgewählt haben. In der Risikobewertungsinstanz bewertet der Risikobewerter die Risiken. Als Frage kann ein Faktor in mehreren Bewertungstypen verwendet werden. Zum Beispiel eine Frage wie „wie hoch ist die Wahrscheinlichkeit, dass ein Gebäude überschwemmt wird?“ Kann entweder Teil einer inhärenten Bewertung oder einer Restrisikobewertung nach der Bewertung der Kontrolleffektivität sein.

    Hinweis:
    Ein Faktor kann in mehreren Bewertungstypen verwendet werden, kann jedoch nur in einem RAM verwendet werden. Ein Faktor, der in einem RAM erstellt und verwendet wird, kann nicht in anderen RAMs wiederverwendet werden.

    Arten von Faktorbeiträgen

    Ein Beurteiler gibt Antworten auf Faktoren. Risikobewerter können auf folgende Weise zu Faktoren beitragen:
    • Qualitativ: Verluste entstehen in Form subjektiver Begriffe wie hoch, Mittel und niedrig. Die Verluste können auch in Form einer numerischen Punktzahl vorliegen, die in eine Bewertung konvertiert wird.
    • Quantitativ: Verluste liegen in numerischer Form vor. Sie können aus einem Risiko in monetärer Hinsicht entstehen. Sie tragen zur inhärenten jährlichen Verlusterwartung (ALE) bei.
    • Beide: Verluste haben sowohl eine qualitative Risikobewertung als auch einen quantitativen Dollarwert. Diese Bewertungen werden auch als semiquantitativ bezeichnet.
    Weitere Informationen zum Verständnis qualitativer, quantitativer und semi-quantitativer Bewertungen finden Sie unter Typen von Risikobewertungsmethoden

    Manuelle Faktoren

    In einer Risikobewertung werden Fragen, die menschliche Antworten der Teilnehmer erfordern, als manuelle Faktoren bezeichnet. Bei manuellen Faktoren ist die Antwort subjektiv und schwierig zu klassifizieren. Einige Fragen erfordern menschliche Intelligenz und eine Bewertung. Daher ist ein manueller Faktor eine subjektive Bewertung der Ansicht einer Person. Beispiele für manuelle Faktoren sind die Auswirkung auf die Reputation, die erwartete Geschwindigkeit des Auftretens usw. In manuellen Faktoren können Anwender die folgenden Arten von Antworten bereitstellen:
    • Text: Eine beschreibende Antwort. Beispiel: Feedback. Diese Auswahl trägt nicht zur Berechnung der Risikopunktzahl bei​.
    • Auswahl: Anwenderdefinierte Auswahlmöglichkeiten für die Fragen in der Bewertung. Benutzer können beispielsweise Risikobewertungen von „Niedrig“, „Mittel“ oder „hoch“ auswählen.
    • Zahl: Ein numerischer Wert. Zum Beispiel die Anzahl der offenen Probleme.
    • Währung: Ein Betrag in der lokalen Währung des Anwenders. Zum Beispiel die finanziellen Auswirkungen eines bestimmten Risikos.
    • Prozentsatz: Ein Prozentwert für die Fragen in der Bewertung. Zum Beispiel der Prozentsatz der Mitarbeiter, die mit den Organisationsstrategien zufrieden sind.

    Gruppenfaktoren

    Wenn Faktoren logisch gruppiert werden, werden sie als Gruppenfaktoren bezeichnet. Die Punktzahl eines Gruppenfaktors hängt von den Antworten der entsprechenden manuellen Faktoren ab​. Beispielsweise sind Organisationen von finanziellen Risiken und nicht finanziellen Risiken betroffen. Sie können einige Faktoren für finanzielle Risiken und andere Faktoren für nicht finanzielle Risiken erstellen. Sie können diese beiden Sätze von Faktoren zu einem einzelnen Gruppenfaktor kombinieren, der als Gesamtauswirkung bezeichnet wird. Wie manuelle Faktoren können Gruppenfaktoren entweder zu einer numerischen Risikopunktzahl beitragen, die in einen qualitativen Beitrag konvertiert wird, oder zu den ALE-Werten als quantitativer Beitrag.

    Automatisierte Faktoren

    Automatisierte Faktoren rufen während einer Bewertung automatisch die neuesten Daten aus einer der Datenquellen wie Tabellen oder Datenbankansichten ab. Automatisierte Faktoren helfen bei der Automatisierung des Risikobewertungsprozesses. Sie basieren nicht auf manuellen Eingaben und reduzieren somit die Subjektivität. Beispielsweise möchte ein Risikobewerter eine Bewertung für verschiedene Standorte durchführen. Einer der automatisierten Faktoren ist die politische Bedingung eines Landes, und diese Informationen sind öffentlich auf einer Website verfügbar. Da sich diese Daten nicht in befinden ServiceNow, Der Beurteiler kann automatisierte Faktoren verwenden, um die Daten abzurufen. Einige weitere Beispiele für automatisierte Faktoren sind die folgenden:
    • Die Anzahl der Mitarbeiter in einem Projekt.
    • Der Umsatz eines Geschäftsbereichs.
    • Die Geschäftsrelevanz eines Prozesses.

    Geskriptete automatisierte Faktoren

    Automatisierte geskriptete Faktoren werden zum Schreiben von Skripts verwendet. Die Skripts rufen die Daten von beiden ab ServiceNow Datensätze oder aus externen Quellen. Geskriptete automatisierte Faktoren liefern während der Risikobewertung automatisch Antworten auf Faktoren.

    Die folgenden Anwendungsfälle demonstrieren ein Beispiel dafür, wie Sie geskriptete Faktoren modellieren können. Wenn Sie beispielsweise die Ergebnisse aus der Compliance-Funktion verwenden möchten, um die Effektivität der Steuerungen zur Minderung zu bewerten, gibt es zwei Möglichkeiten, die Steuerungen zu bewerten:
    • Individuelle Bewertung von Steuerungen
    • Bewertung der Kontrollumgebung.
    Bei der individuellen Bewertung von Kontrollen wird jede Kontrolle separat bewertet. Um die Kontrollbewertung im Kontext von geskripteten Faktoren zu verstehen, betrachten Sie das Beispiel der Geldwäsche als Risiko. In diesem Beispiel wird die Kontrolleffektivität basierend auf dem Prozentsatz der fehlgeschlagenen Steuerungen bewertet. Die Werte der fehlgeschlagenen Steuerungen werden dann in eine Bewertung umgewandelt, um die Kontrolleffektivität dieser Kontrolle zu berechnen. Zum Beispiel verfügt das Risiko der Geldwäsche über drei mindernde Steuerungen:
    • Mitarbeiterschulung
    • Interner Audit von Mitarbeitern
    • Sorgfaltspflicht des Kunden
    Angenommen, Sie haben die Kriterien für die Kontrolleffektivität wie folgt definiert:
    Fehler Bei Der Effektivität Des Steuerungsdesigns Steuerungseffektivität
    0 %–30 % Effektiv
    30 %–60 % Muss verbessert werden
    > 60 % Ineffektiv

    Nehmen Sie nun an, dass von den drei Steuerungen eine Steuerung bestanden und zwei Steuerungen fehlgeschlagen sind. Der Fehler von zwei Steuerungen führt zu einer Fehlerrate von 66,67%. Basierend auf der Transformation und basierend auf der vorherigen Tabelle ist die Bewertung der Kontrolleffektivität ineffektiv. Sie können dieses definierte Skript verwenden, um die Reaktion auf den Faktor zu automatisieren und das Risiko der Geldwäsche zu bewerten.

    Bei der Bewertung der Kontrollumgebung können Sie die vollständige Kontrollumgebung bewerten, anstatt jede Kontrolle einzeln zu bewerten. Um die Bewertung der Kontrollumgebung zu verstehen, betrachten Sie das folgende Beispiel. Angenommen, Sie möchten die Steuerungsumgebung basierend auf zwei Aspekten bewerten: Designeffektivität und Betriebseffektivität. Um die Designeffektivität zu berechnen, können Sie die zugehörigen Steuerungen abrufen, die sich auf das Risiko der Geldwäsche beziehen. Sie können sich dann die Testergebnisse ansehen, um zu verstehen, wie viele der Steuerungen fehlgeschlagen sind. Angenommen, Sie haben die Kriterien für die Kontrolleffektivität wie folgt definiert:
    Fehler Bei Der Effektivität Des Steuerungsdesigns Steuerungseffektivität
    0 %–30 % Effektiv
    30 %–60 % Muss verbessert werden
    > 60 % Ineffektiv

    Gehen Sie nun davon aus, dass zwei Steuerungen fehlgeschlagen sind und eine Steuerung bestanden wurde. Daher beträgt die Fehlerrate der Effektivität des Steuerungsdesigns 33,33%. Basierend auf der vorherigen Tabelle bedeutet dieser niedrige Wert von 33,33 %, dass das Steuerungsdesign verbessert werden muss. Diese Antwort kann automatisch im automatisierten geskripteten Faktor geskriptet werden, da keine menschliche Berechnung oder Intervention erforderlich ist.