Bewertungen von Risiken und Kontrollen automatisieren
In der Projekte-App können Sie Bewertungsfaktoren auf Grundlage einer Metrik zur Automatisierung der operativen Risiko- und Kontrollbewertungen erstellen und bei Änderungen wichtige Beteiligte automatisch benachrichtigen.
Vorbereitungen
Sie können eine Bewertung erst dann automatisieren, nachdem Sie ein Projekt mit Zielen, Risiken und Kontrollen eingerichtet haben. Um die Schaltfläche Automatisieren 
zu aktivieren, müssen Sie oder ein anderes Mitglied aus Ihrem Team die folgenden Aufgaben erledigen:
- Metrik in der Ergebnisse-App erstellen siehe Das Kennzahlen mit Metriken überwachen
- Metrik mit der Bewertung in einem Projekt verknüpfen siehe Nachweise aus der Ergebnisse-App verknüpfen
Funktionsweise
Ein Bewertungsfaktor ist ein Automatisierungswerkzeug, mit dem Sie Ihre Bewertungen in Echtzeit aktualisieren können. Sie können mehrere Bewertungsfaktoren zur Automatisierung der verschiedenen Risiko- und Kontrollbewertungen erstellen.
Sie erstellen einen Bewertungsfaktor, indem Sie:
- die Risiko- oder Kontrollbewertung, die automatisiert werden soll, auswählen
- die Wertebereiche für Metriken definieren, die verwendet werden, um:
- die inhärente Risikoeinstufung für die Risikobewertung mit Daten zu füllen ODER
- die Bewertung des Entwurfs oder der Effektivität der Kontrolle zu ermitteln
Sobald Sie den Bewertungsfaktor erstellt haben, wird der Wert für die Bewertung automatisch aktualisiert, wenn der Wert der Metrik einen bestimmten Schwellenwert überquert.
Warum sollte man einen Bewertungsfaktor in einem Projekt und nicht in einem Framework erstellen?
Aktive Projekte sind Bewertungen zu einem bestimmten Zeitpunkt, während Frameworks kontinuierlich sind und die zusammengefassten Aktivitäten über mehrere Projekte hinweg zeigen. Es ist nützlicher, Bewertungsfaktoren in einem Projekt zu erstellen und die Änderungen in einem einzigen Framework zusammenzufassen.
Wie benachrichtige ich Interessensgruppen, wenn Änderungen an Bewertungen auftreten?
Über die tägliche E-Mail mit der Zusammenfassung der Projekte-App werden die folgenden Benutzer automatisch bei Bewertungsänderungen benachrichtigt:
- Änderungen an der Risikobewertung der zugeordnete Benutzer für das Ziel
- Änderungen an der Kontrollbewertung der Eigentümer der Kontrolle und der zugeordnete Benutzer für das Ziel
In der E-Mail werden die folgenden Informationen zusammengefasst:
- welche Bewertungen aktualisiert wurden
- wie häufig jede Bewertung innerhalb der letzten 24 Stunden aktualisiert wurde
- alle Bewertungsfaktoren, die aufgrund eines Fehlers deaktiviert wurden
Kann man historische Daten im Zusammenhang mit den Bewertungsfaktoren anzeigen?
Ja. Wenn durch einen Bewertungsfaktor der Wert einer Bewertung geändert wird, wird das Ereignis im Aktivitätsprotokoll aufgezeichnet und kann über die Projekt-Dashboard oder im Abschnitt Verlauf des Risikos, der Verfahrensausführung, der exemplarischen Vorgehensweise oder des Tests eingesehen werden.
Risiko- oder Kontrollbewertungen automatisieren
| Aufgabe | Detaillierte Informationen |
|---|---|
| Risikobewertungen automatisieren | Betriebliche Risikobewertungen automatisieren |
| Kontrollbewertungen automatisieren | Kontrollbewertungen automatisieren |
Beispiele
Szenario
Im Rahmen einer Prüfung der Cybersicherheit haben Sie ein Risiko im Prozess Identifizieren identifiziert:
Geldstrafen, Gerichtsverfahren und Anwaltshonorare als Ergebnis der Nichteinhaltung einer Bestimmung oder dem Verlust von vertraulichen Informationen
Auf Grundlage der Datenanalyseergebnisse haben Sie die globalen Kosten von Sicherheitsvorfällen identifiziert und eine Metrik mit der Bezeichnung „Globale Kosten für Sicherheitsvorfälle” definiert.
Prozess
Als Erstes konfigurieren Sie die Risikoeinstufung, indem Sie die Auswirkung des Risikos wie folgt quantifizieren:
- < $10.000.000 = Niedrig
- ≥ $10.000.000 < $65.000.000 = Mittel
- ≥ $65.000.000 = Hoch
Dann verknüpfen Sie die Metrik „Globale Kosten für Sicherheitsvorfälle”, die Sie in der Ergebnisse-App erstellt haben, mit dem Risiko in der Projekte-App.
Schließlich erstellen Sie einen Bewertungsfaktor, indem Sie eine Reihe von Metrikwertebereichen definieren, mit denen die inhärenten Risikoeinstufungen ausgefüllt werden:
Ergebnis
Die Risikobewertung ist automatisiert: 
Benutzer werden automatisch benachrichtigt, wenn die Schwellenwerte überschritten werden. Dadurch sind sie in der Lage, die entsprechende Aktion einzuleiten.
Szenario
Im Rahmen eines Generellen IT-Kontroll-Reviews haben Sie eine Kontrolle im Prozess Physische Sicherheit identifiziert:
Alle Serverräume sind durch Kartenzugangssysteme gesichert.
Auf Grundlage Ihrer Datenanalyseergebnisse haben Sie 100 Eingänge, über mehrere Rechenzentren verteilt, die durch einen Kartenzugang geschützt werden sollten. Die Metrik, die Sie zum Bewerten und Überwachen der Effektivität der Kontrolle definiert haben, heißt "% der sicheren Rechenzentrumseingänge". Diese Metrik überwacht den Prozentsatz der Eingängen zu Rechenzentren, für die der Kartenzugang aktiviert wurde.
Prozess
Als erstes verlinken Sie die Metrik "% der sicheren Rechenzentrumseingänge", die Sie in der Ergebnisse-App erstellt haben, um Tests in der Projekte-App durchzuführen.
Anschließend erstellen Sie einen Bewertungsfaktor, indem Sie eine Serie von Metrikbereichen definieren, mit denen der Wert des Feldes Funktioniert diese Kontrolle effektiv? ausgefüllt wird:
- > 99 = Funktioniert effektiv
- ≤ 99 = Ausnahme(n) vermerkt
Ergebnis
Die Kontrollbewertung ist automatisiert: 
Benutzer werden automatisch benachrichtigt, wenn die Schwellenwerte überschritten werden. Dadurch sind sie in der Lage, die entsprechende Aktion einzuleiten.
