Absicherung für Compliance berechnen
Absicherung ist eine Berechnung, die das Vertrauen Ihrer Organisation repräsentiert, dass Anforderungen erfüllt werden. Absicherung ist eine wertvolle Berechnung in der Compliance-Map, weil sie zeigt, wie viel Arbeit getan werden muss, um Compliance mit einer bestimmten Norm oder Bestimmung zu erreichen.
Funktionsweise
Nachdem Sie Kontrollen Anforderungen zugeordnet und für jede Kontrolle ein Kontrollgewicht angegeben haben, werden Absicherungseinstufungen automatisch auf der Compliance-Map angezeigt.
Wie werden Absicherungseinstufungen angezeigt?
Auf der Compliance-Map werden Absicherungseinstufungen sowohl auf Ebene der Anforderungen als auch auf Ebene der Normen/Bestimmungen angezeigt. Jede Absicherungseinstufung wird als Prozentsatz zwischen 0-100 angezeigt.
Beispiele für Absicherungseinstufungen
Eine einzelne gemittelte Absicherungseinstufung wird neben dem Standard (COBIT 5 Framework) angezeigt.
Aggregierte Absicherungseinstufungen werden neben den berechneten Anforderungen (APO und APO01) angezeigt.
Einzelne Absicherungseinstufungen werden neben den Arbeitsanforderungen (APO01.01 - APO01.08) angezeigt.
Anforderung APO01.04 hat eine Absicherungseinstufung von 100%, d. h., Ihre Organisation ist sicher, dass die Anforderung APO01.04 effektiv von den aktuell eingesetzten Kontrollen erfüllt wird.
COBIT 5 Framework hat eine Absicherungseinstufung von 81,25%, d. h., Ihre Organisation ist auf einem guten Weg hin zur vollständigen Konformität mit dem Standard.
Wie werden Absicherungseinstufungen berechnet?
Absicherungseinstufungen werden auf Grundlage des Folgenden berechnet:
- Arbeits- und berechnete Anforderungen
- Erwartete Absicherung
- Kontrolleinstufung und Ist-Wert der Absicherung
Hinweis
Erwartete Absicherung, Kontrolleinstufung und Ist-Wert der Absicherung werden nicht in der Compliance-Map angezeigt.
| Berechnung | Formel |
|---|---|
| Absicherung für Arbeitsanforderungen | Tatsächliche Absicherung / erwartete Absicherung |
| Absicherung für berechnete Anforderungen und Absicherung auf Normen- oder Bestimmungsebene | SUM (Tatsächliche Absicherung der untergeordneten Arbeitsanforderungen [Nachkommen]) / SUM (Erwartete Absicherung der untergeordneten Arbeitsanforderungen [Nachkommen]) |
Arbeitsanforderungen im Vergleich zu berechneten Anforderungen
Ihre Compliance-Map besteht aus Arbeitsanforderungen und berechneten Anforderungen. Arbeitsanforderungen werden in der Compliance-Map mit einem Symbol 
gekennzeichnet.
- Arbeitsanforderungen Anforderungen, die Sie direkt Kontrollen zugeordnet haben
- Berechnete Anforderungen über- und untergeordnete Elemente der Arbeitsanforderungen
Beispiel
Szenario
Sie erstellen die folgenden Zuordnungen:
- Anforderung 1.1.1 zu Kontrolle A
- Anforderung 1.1.2 zu Kontrolle B
Ergebnis
| Anforderung | Anforderungstyp | Zugeordnete Kontrolle(n) |
|---|---|---|
| Anforderung 1 | Berechnet | Verbundene Kontrollen (A, B) |
|
Berechnet | Verbundene Kontrollen (A, B) |
|
Arbeitsordner | A |
|
Arbeitsordner | B |
Erwartete Absicherung
Die erwartete Absicherung ist eine Berechnung, die von der Erwartung Ihrer Organisation abgeleitet wird, dass die Anforderungen erfüllt werden.
| Anforderungstyp | Erwartete Absicherungsberechnung |
|---|---|
| Arbeitsordner |
Erwartete Absicherung = 1 Hinweis
Das ist die Grundeinstufung, die die Absicherung vor dem Testen der Kontrollen repräsentiert. |
| Berechnet | SUM (Erwartete Absicherung der untergeordnete Arbeitsanforderungen) |
Beispiel
Anforderungen 1.1.1 und 1.1.2 sind Arbeitsanforderungen, wobei jede die erwartete Absicherung von 1 aufweist.
Anforderungen 1 und 1.1 sind berechnete Anforderungen. Die erwartete Absicherung wird die Anforderungsstruktur hinauf aggregiert.
- Erwartete Absicherung der Anforderung 1.1 = 2 (1 + 1)
- Die erwartete Absicherung der Anforderung 1 ist identisch mit Anforderung 1.1 (2)
| Anforderung | Anforderungstyp | Erwartete Absicherung |
|---|---|---|
| Anforderung 1 | Berechnet | 2 |
| Anforderung 1.1 | Berechnet | 2 |
|
Arbeitsordner | 1 |
|
Arbeitsordner | 1 |
Kontrolleinstufung und Ist-Wert der Absicherung
Kontrolleinstufung
Die Kontrolleinstufung ist eine Berechnung, die davon abgeleitet ist, ob die Kontrolltests bestanden oder nicht bestanden oder, ob die Kontrollen nicht getestet wurden.
Die Kontrolleinstufung für jede Zuordnung zwischen einer Kontrolle und einer Anforderung wird wie folgt berechnet:
- Wenn alle Kontrolltests bestanden werden ODER wenn wenigstens ein zutreffender Kontrolltest bestanden wird, während die anderen nicht getestet wurden, ist der Wert für die Kontrolleinstufung = 1
- Wenn mindestens ein Kontrolltest nicht bestanden wurde, Kontrolleinstufung = 0
Ist-Wert der Absicherung
Der Ist-Wert der Absicherung ist eine Berechnung, die davon abgeleitet wird, ob die Kontrolltests bestanden oder nicht bestanden wurden und dem Prozentsatz der Anforderung, die die Kontrolle abdeckt.
- Der Ist-Wert der Absicherung für jede Zuordnung zwischen einer Kontrolle und einer Anforderung wird anhand der folgenden Formel berechnet:
Kontrollgewicht x Kontrolleinstufung
- Der Ist-Wert der Absicherung einer Anforderung wird anhand der folgenden Formel berechnet:
SUM (Tatsächliche Absicherung aller Kontrolle-Anforderung-Zuordnungen)
Beispiel
Szenario
Sie ordnen Anforderung 1.1.1 der Kontrolle A und Anforderung 1.1.2 der Kontrolle B zu.
Sie geben das Kontrollgewicht für Kontrolle A und Kontrolle B als 50 % an. Alle Tests für Kontrolle A wurden bestanden, aber ein Test für Kontrolle B nicht.
Ergebnis
| Anforderung | Anforderungstyp | Verknüpfte Kontrollen | Erwartete Absicherung | Kontrollgewicht | Alle Tests bestanden? | Kontrolleinstufung | Ist-Wert der Absicherung |
|---|---|---|---|---|---|---|---|
| Anforderung 1 | Berechnet | Verbundene Kontrollen (A, B) | 2 | -- | -- | -- | 0,5 |
|
Berechnet | Verbundene Kontrollen (A, B) | 2 | -- | -- | -- | 0,5 |
|
Arbeitsordner | A | 1 | 50% | Y | 1 | 0,5 |
|
Arbeitsordner | B | 1 | 50% | N | 0 | 0 |
Absicherung in Aktion
Ihre Organisation benötigt Compliance mit dem COBIT-5-Framework. Sie beginnen ein Compliance-Programm, um:
- das Engagement Ihrer Organisation bei der Erfüllung juristischer Verpflichtungen und betriebswirtschaftliche Überlegungen in Bezug auf Ihr Geschäft zu präsentieren
- Due Diligence zu demonstrieren
- die Grenze des zulässigen Verhaltens für Ihre Belegschaft darzulegen
- eine Möglichkeit zur Beilegung von Kosten für Nicht-Compliance bereitzustellen
Beispiel
Schritt 1: Kontrollen Anforderungen zuordnen
Um Compliance mit dem COBIT-5-Framework zu erreichen, identifizieren Sie die Anforderungen, die anwendbar sind, und ordnen diesen Anforderungen Kontrollen zu:
| Anforderung | Zugeordnete Kontrolle(n) |
|---|---|
| Anforderung 1 | Verbundene Kontrollen (A, B) |
|
A |
|
B |
| Anforderung 2 | Verbundene Kontrollen (C, D) |
|
C |
|
D |
Ergebnis Die Anforderungen 1.1, 1.2, 2.1 und 2.2 sind Arbeitsanforderungen, wobei jede die erwartete Absicherung von 1 aufweist. Anforderung 1 und Anforderung 2 haben jeweils die erwartete Absicherungseinstufung von 2, die auf der Aggregation aufwärts in der Anforderungsstruktur basiert (1 + 1 = 2).
Schritt 2: Geben Sie das Kontrollgewicht und die Testkontrollen an
Nach der Zuordnung von Kontrollen, geben Sie den Prozentsatz jeder Kontrolle an, die jede Anforderung abdeckt. Anschließend testen Sie die Kontrollen, um festzustellen, ob sie bestehen oder nicht bestehen.
| Anforderung | Zugeordnete Kontrolle(n) | Kontrollgewicht | Test bestanden |
|---|---|---|---|
| Anforderung 1 | Verbundene Kontrollen (A, B) | -- | -- |
|
A | 50% | Ja |
|
B | 25% | Ja |
| Anforderung 2 | Verbundene Kontrollen (C, D) | -- | |
|
C | 25% | Nein |
|
D | 25% | Ja |
Ergebnis Die Tests für die Kontrollen A, B und D wurden bestanden, daher erhält jede eine Kontrolleinstufung von 1. Der Test für Kontrolle C wurde nicht bestanden, daher erhält sie eine Kontrolleinstufung von 0.
Schritt 3: Zeigen Sie die Absicherungseinstufungen an
Nacht der Angabe des Kontrollgewichts und dem Testen der Kontrollen können Sie die Absicherungseinstufung für jede Anforderung und die Gesamtsicherungseinstufung für das COBIT 5 Framework anzeigen.
Der Ist-Wert der Absicherung für jede Zuordnung zwischen einer Kontrolle und einer Anforderung wird wie folgt berechnet:
Kontrollgewicht x Kontrolleinstufung
Die Absicherung für Arbeitsanforderungen wird wie folgt berechnet:
Tatsächliche Absicherung / erwartete Absicherung
Die Absicherung für berechnete Anforderungen und die Absicherung auf Normen- oder Bestimmungsebene werden wie folgt berechnet:
SUM (Tatsächliche Absicherung der untergeordneten Arbeitsanforderungen [Nachkommen]) / SUM (Erwartete Absicherung der untergeordneten Arbeitsanforderungen [Nachkommen])
| Anforderung | Erwartete Absicherung | Ist-Wert der Absicherung | Absicherung |
|---|---|---|---|
| Anforderung 1 | 2 | 0,75 | 38% |
|
1 | 0,5 | 50% |
|
1 | 0,25 | 25% |
| Anforderung 2 | 2 | 0,25 | 13% |
|
1 | 0 | 0% |
|
1 | 0,25 | 25% |
Aggregierte Ergebnisse
- Erwartete Absicherung = 4
(Erwartete Absicherung der Anforderungen 1 und 2 = 2 + 2)
- Ist-Wert der Absicherung = 1
(Ist-Wert der Absicherung der Anforderungen 1 und 2 = 0,75 + 0,25)
- Absicherung = 25%
(Ist-Wert der Absicherung geteilt durch erwartete Absicherung = 1 / 4)
Sie demonstrieren das Engagement Ihrer Organisation in Bezug auf die mit dem COBIT-5-Framework konforme Durchführung von Geschäften. Es gibt jedoch immer noch eine signifikante Menge an Arbeit, die Ihre Organisation erledigen muss, um vollständige Compliance mit dem COBIT-5-Framework zu erreichen.
Welche Änderungen wirken sich auf die Art und Weise aus, wie die Absicherung funktioniert?
Es gibt eine Vielzahl von Änderungen, die sich auf die Art und Weise auswirken, wie die Absicherung funktioniert.
| Änderung | Auswirkung |
|---|---|
| Sie geben an, dass eine Anforderung nicht zutreffend ist. | Die Zuordnungen aller Framework-Kontrollen, die der Anforderung zugeordnet sind, und alle untergeordneten Anforderungen in der entsprechenden Gruppe werden automatisch aufgehoben und nicht im Rahmen der Absicherungseinstufung berechnet. |
| Sie ändern den Umfang einer Norm oder ein Bestimmung. | Die Zuordnungen aller Framework-Kontrollen, die Anforderungen außerhalb des Umfangs zugeordnet sind, werden automatisch aufgehoben und nicht im Rahmen der Absicherungseinstufung berechnet. |
| Sie heben die Zuordnung einer Framework-Kontrolle zu einer Anforderung auf. | Alle Testergebnisse und Probleme aus Projekten, die mit dem Framework verbunden sind, werden nicht aggregiert und fließen nicht in die Compliance-Map ein, und die Sicherungseinstufung wird aktualisiert. |
| Sie definieren ein Kontrollgewicht einer Framework-Kontrolle innerhalb der Compliance-Map. | Der Ist-Wert für die Absicherungseinstufung (der nicht in den Compliance-Maps angezeigt wird) wird neu berechnet, und die Absicherungseinstufung wird aktualisiert. |
| Sie importieren Ziele oder Kontrollen und synchronisieren Änderungen aus einem Framework mit einem Projekt. | Wenn eine Framework-Kontrolle einer Anforderung zugeordnet wurde, werden alle Testergebnisse und Probleme im Projekt aggregiert und fließen in die Compliance-Map ein, und die Sicherungseinstufung wird aktualisiert. |
| Sie archivieren ein Projekt oder übertragen ein archiviertes Projekt, das zuvor mit den in den Compliance-Maps verwendeten Framework-Kontrollen synchronisiert wurde. | Nur Testergebnisse und Probleme aus aktiven Projekten werden aggregiert und in die Compliance-Map übernommen. Die Sicherungseinstufung wird aktualisiert und die Testergebnisse und Probleme werden aus dem archivierten oder übertragenen Projekt ausgeschlossen. |
| Sie machen die Archivierung eines Projekts rückgängig, das mit Framework-Kontrollen, die in Compliance-Maps verwendet werden, synchronisiert wurde. | Die Sicherungseinstufung wird aktualisiert und die Testergebnisse und Probleme aus dem Projekt, dessen Archivierung rückgängig gemacht wurde, werden aggregiert und in die Compliance-Map übernommen. |
