Absicherung von Risiken berechnen

Wenn Sie die Absicherung aktivieren, werden die Testergebnisse und Probleme aus dem aktiven Projekt oder mit mehreren Projekten verbundenen Framework zusammengefasst. Auf diese Weise können Sie Berichte zur Absicherung für ein einzelnes Projekt oder über mehrere Projekte, die mit einem Framework verbunden sind, erstellen.

In diesem Thema finden Sie Beispiele für Absicherungen, damit Sie sich mit den Berechnungen in Verbindung mit der Absicherung vertraut machen können.

Absicherung für ein einzelnes Projekt demonstrieren

Sie können die Absicherung für einzelnes Projekt demonstrieren, um Konfidenz zeigen, dass das organisatorische Risiko effektiv beigelegt wird.

Beispiel

Szenario

Sie führen einen generellen IT-Kontroll-Review durch und müssen das Risiko quantitativ bewerten. Sie haben ein Ziel in Ihrem Projekt (physische Sicherheit) und zwei Risiken, die mit diesem Ziel verbunden sind. Sie aktivieren die Absicherung im Projekt und beginnen mit der Durchführung der Projektarbeit.

Risiken bewerten

Sie bewerten das Risiko anhand zwei Risikoeinstufungsfaktoren, Auswirkung und Wahrscheinlichkeit, und verwenden eine 5-Punkteskala, um Risiken zu bewerten:

Ziel Risiko Beschreibung Einstufung
Physische Sicherheit Risiko 1 Unautorisierter Eintritt in den sicheren Serverraum.
  • Auswirkung = 5
  • Wahrscheinlichkeit = 3
Risiko 2 Die Räumlichkeiten, in denen sensible Daten oder Unternehmensinformationen gespeichert werden, sind nicht in angemessener Art und Weise gesichert
  • Auswirkung = 2
  • Wahrscheinlichkeit = 2
Berechnungen des inhärenten Risikoeinstufung

Auf Grundlage Ihrer Risikoeinstufung berechnet die Projekte-App automatisch die inhärente Risikoeinstufung für jedes Risiko sowie einen Gesamtwert für die inhärente Risikoeinstufung:

  • Risiko 1 (5 x 3) = 15.0
  • Risiko 2 (2 x 2) = 4.0

Gesamtwert der inhärenten Risikoeinstufung (15 + 4) = 19.0.

Kontrollen, verbundene Risiken und Kontrollgewichte definieren

Sie definieren vier Kontrollen, die dazu beitragen die beiden identifizierten Risiken beizulegen, einschließlich ihrer verbundenen Risiken und dem Prozentsatz des Risikos, das von der Kontrolle beigelegt wird (Kontrollgewicht):

Kontrolle Beschreibung Verbundene Risiken Kontrollgewicht
Kontrolle 1 Der Gebäudeeingang ist mit einem Schloss versehen. Risiko 1 100%
Kontrolle 2 Eine Sicherheitskamera ist installiert, um verdächtiges Verhalten aufzuzeichnen. Risiko 1 20%
Kontrolle 3 Alle Serverräume sind durch Kartenzugangssysteme gesichert.
  • Risiko 1
  • Risiko 2
  • 80%
  • 50%
Kontrolle 4 Alle Büroeingänge werden durch Verwaltungspersonal überwacht.
  • Risiko 1
  • Risiko 2
  • 50%
  • 50%
Kontrollen testen

In Ihrem Projekt haben Sie keine Testrunden, statt dessen gibt es eine exemplarische Vorgehensweise pro Kontrolle. Sie testen jeden Kontrolle und dokumentieren die Ergebnisse:

Kontrolle Testergebnis Bestanden oder nicht bestanden?
Kontrolle 1 Funktioniert effektiv Geeignet
Kontrolle 2 Ausnahme(n) vermerkt Nicht geeignet
Kontrolle 3 Funktioniert effektiv Geeignet
Kontrolle 4 Funktioniert effektiv Geeignet
Restrisikoeinstufung

Auf Grundlage der definierten Risiko-Kontrolle-Zuordnungen, den angegebenen Kontrollgewichten und den Testergebnissen berechnet die Projekte-App die Restrisikoeinstufung für jedes Risiko sowie den Gesamtwert für die Restrisikoeinstufung.

Die Restrisikoeinstufung wird berechnet, indem die inhärente Risikoeinstufung mit dem Kontrollgewicht der durchgefallenen Kontrollen multipliziert wird.

  • Risiko 1 (15.0 x 0.2) = Restrisikoeinstufung (3.0)
  • Risiko 2 Die Kontrollen 3 und 4 haben beide bestanden und legen Risiko 2 gemeinsam um 100 % bei. Die Restrisikoeinstufung für Risiko 2 ist 0.0.

Der Gesamtwert für die Restrisikoeinstufung wird die durch die Addition aller Restrisikoeinstufungen berechnet:

Risiko 1 Restrisikoeinstufung (3.0) + Risiko 2 Restrisikoeinstufung (0.0) = Gesamtwert für die Restrisikoeinstufung (3.0).

Allgemeine Absicherung

Die allgemeine Absicherung, die innerhalb des Projekts angezeigt wird, wird wie folgt berechnet:

(Gesamtwert für die inhärente Risikoeinstufung (19.0) – Gesamtwert für die Restrisikoeinstufung (3.0)) / Gesamtwert für die inhärente Risikoeinstufung (19.0) = Allgemeine Absicherung 84%).

Absicherung über mehrere Projekte hinweg demonstrieren

Sie können die Absicherung über mehrere Projekte, die mit einem Framework verbunden sind, hinweg demonstrieren, um Konfidenz zeigen, dass das organisatorische Risiko effektiv beigelegt wird.

Beispiel

Szenario

Sie verwalten zentral fünf verschiedene Projekte und bewerten quantitativ das Risiko über alle fünf Projekte hinweg. Es gibt ein Ziel in Ihrem Framework, das zwei Risiken enthält.

Framework Ziel Risiko
Framework 1 Zielsetzung 1 Risiko 1
Risiko 2

Prozess

Sie importieren die Risiken in die relevanten Projekte, aktivieren die Absicherung sowohl im Framework als auch im Projekt und testen Kontrollen. Eventuell auftretende Probleme notieren Sie.

Ergebnis

Testergebnisse und Probleme aus jedem Projekt werden automatisch zusammengefasst und an das Framework übertragen. Die Sicherungsberechnungen werden wie folgt zusammengefasst und an das Framework übertragen:

Risikoeinstufung des Projekts
Projekt Inhärente Risikoeinstufung Restrisikoeinstufung Verknüpftes Framework-Risiko
Projekt 1 9.0 2.0 Risiko 1
Projekt 2 6.0 2.0
Projekt 3 3.0 1.0
Projekt 3 0,0 0,0 Risiko 2
Projekt 4 5.0 1.0
Projekt 5 5.0 1.0
Risikoeinstufung auf Framework-Ebene
Framework-Risiko Inhärente Risikoeinstufung Restrisikoeinstufung Verknüpfte Projekte
Risiko 1 18.0 5.0 1, 2, 3
Risiko 2 10.0 2.0 3, 4, 5

Absicherung von Ziel 1 75%

(Gesamtwert für die inhärente Risikoeinstufung (28.0) - Gesamtwert für die Restrisikoeinstufung (7.0)) / Gesamtwert für die inhärente Risikoeinstufung (28.0)

Weitere Beispiele

Sie können weitere Szenarien anzeigen, die illustrieren, wie die Absicherung für das Risiko innerhalb eines Projekts berechnet wird.

Ein Risiko, das durch eine einzige Kontrolle abgedeckt ist

  Risiko A --> Kontrolle A Risiko A --> Kontrolle A Risiko A --> Kontrolle A Risiko A --> Kontrolle A Risiko A --> Kontrolle A
Risiko ID A A A A A
Auswirkung 2 3 2 3 3
Wahrscheinlichkeit 5 3 5 3 3

Benutzerdefinierter Risikoeinstufungsfaktor 1 (Geschwindigkeit)

Gewichtung: 80%

 -- -- 5 5 --

Benutzerdefinierter Risikoeinstufungsfaktor 2 (Anfälligkeit)

Gewichtung: 50%

 -- -- -- 5 --
Inhärente Risikoeinstufung 10 9 40 90 9
Kontrollgewicht 85% 100% 85% 100% 55%
Kontroll-ID A A A A A
Funktioniert effektiv? Ja Ja Ja Ja Nein
Berechnungen der Restrisikoeinstufungen 10 x (1- 0,85) 0 40 x (1- 0,85) 0 (9 x 0,55) + (9 x 1-0,55)
Erläuterung
  • Keine Kontrollen fehlgeschlagen
  • Kombiniertes Kontrollgewicht aller Kontrollen ist < 1
  • Keine Kontrolle fehlgeschlagen UND Kontrollgewicht aller Kontrollen ist > oder = 1
  • Kontrolle legt das Risiko unterhalb des Risikotoleranzbereichs bei
  • Keine Kontrollen fehlgeschlagen
  • Kombiniertes Kontrollgewicht aller Kontrollen ist < 1
  • Keine Kontrolle fehlgeschlagen UND Kontrollgewicht aller Kontrollen ist > oder = 1
  • Kontrolle legt das Risiko unterhalb des Risikotoleranzbereichs bei
  • Kontrolle fehlgeschlagen
  • Kombiniertes Kontrollgewicht aller Kontrollen ist < 1

Ein Risiko, das durch zwei Kontrollen abgedeckt ist

  Risiko A --> Kontrolle A, B Risiko A --> Kontrolle A, B
Risiko ID A A
Auswirkung 3 4
Wahrscheinlichkeit 3 3

Benutzerdefinierter Risikoeinstufungsfaktor 1 (Geschwindigkeit)

Gewichtung: 80%

 -- --

Benutzerdefinierter Risikoeinstufungsfaktor 2 (Anfälligkeit)

Gewichtung: 50%

 -- --
Inhärente Risikoeinstufung 9 12
Kontrollgewicht
  • 100% - A - Ja
  • 75% - B - Nein

 
  • 25% - A - Nein
  • 100% - B - Nein
Kontroll-ID
Funktioniert effektiv?
Berechnungen der Restrisikoeinstufungen 9 x 0,75 12 x 1
Erläuterung
  • Kontrolle fehlgeschlagen
  • Kombiniertes Kontrollgewicht aller Kontrollen ist > oder = 1
  • Kontrollen fehlgeschlagen
  • Kombiniertes Kontrollgewicht ist > 1

Ein Risiko, das durch drei Kontrollen abgedeckt ist

  Risiko A -->
Kontrolle A, B, C		 Risiko A --> Kontrolle A, B, C
Risiko ID A A
Auswirkung 5 5
Wahrscheinlichkeit 3 3

Benutzerdefinierter Risikoeinstufungsfaktor 1 (Geschwindigkeit)

Gewichtung: 80%

 -- --

Benutzerdefinierter Risikoeinstufungsfaktor 2 (Anfälligkeit)

Gewichtung: 50%

 -- --
Inhärente Risikoeinstufung 15 15
Kontrollgewicht
  • 40% - A - Ja
  • 45% - B - Nein
  • 15% - C - Nein
  • 25% - A - Ja
  • 45% - B - Nein
  • 15% - C - Nein
Kontroll-ID
Funktioniert effektiv?
Berechnungen der Restrisikoeinstufungen 15 x (0,45 + 0,15) 15 x (0,45 + 0,15) + 15 x (1- 0,85)
Erläuterung
  • Kontrollen fehlgeschlagen
  • Das Restrisiko wird nur basierend auf dem Risiko der fehlgeschlagenen Kontrollen exemplarischer Vorgehensweisen/Tests berechnet
  • Kontrollen fehlgeschlagen UND kombiniertes Kontrollgewicht aller Kontrollen ist < 1

Berechnungen

In diesem Abschnitt erfahren Sie mehr über die mit Absicherung verbundenen Berechnungen.

Begriff Berechnung Bemerkungen
Gewichtung des Risikoeinstufungsfaktors

Die Werte (1-1000 %), die vom Benutzer eingegeben werden, drücken die Bedeutung des Risikoeinstufungsfaktors aus.

Je höher der Wert für die Gewichtung, desto wichtiger ist der Risikoeinstufungsfaktor für Ihre Organisation, und je mehr wird der Risikoeinstufungsfaktor zum Gesamtwert der inhärenten Risikoeinstufung beitragen.

Der Wertebereich ermöglicht die vollständige Anpassung Ihrer Einstufung. Sie können beispielsweise einen Risikoeinstufungsfaktor fünf mal höher als einen anderen Risikoeinstufungsfaktor gewichten (Anfälligkeit = 100 %, Geschwindigkeit = 500 %). Die Summe der Risikoeinstufungsfaktoren kann eine beliebige Zahl sein.

Hinweis

Sie können das Gewicht der Risikoeinstufungsfaktoren (Wahrscheinlichkeit und Auswirkung), für die 100 % festgelegt wurde, ändern.
Inhärente Risikoeinstufung (Risiko) 
(Auswirkung x Wahrscheinlichkeit) x (benutzerdefinierter Risikoeinstufungsfaktor x Gewichtung)
  
Inhärente Risikoeinstufung (Ziel) 
SUMME (der inhärenten Risikoeinstufungen für alle Risiken des Ziels)
  
Gesamtwert für die inhärente Risikoeinstufung (Projekt) 
SUMME (der inhärenten Risikoeinstufungen pro Ziel)
  
Gesamtwert für die inhärente Risikoeinstufung (Framework) 
SUMME (der inhärenten Risikoeinstufungen in allen Projekten, die das Risiko enthalten)
  
Kontrollgewicht

Werte (0-100 %) werden vom Benutzer eingegeben, um den Prozentsatz des Risikos auszudrücken, der vom der Kontrolle beigelegt wurde.

Die Summe der Kontrollgewichte muss nicht 100 ergeben.
Restrisikoeinstufung (Risiko) 
SUMME (inhärente Risikoeinstufung x Kontrollgewicht <für verbundene Kontrollen, die nicht effektiv funktionieren>) + (inhärente Risikoeinstufung x (1 - Summe der Kontrollgewichte <falls das Gesamtgewicht der Kontrolle kleiner als 100 % ist>)

Die Kontrolle wird als „fehlgeschlagen” markiert und in der Berechnung zur Restrisikoeinstufung verwendet, wenn:

  • eine exemplarische Vorgehensweise nicht ordnungsgemäß gestaltet ist
  • eine Testrunde nicht ordnungsgemäß funktioniert

Der Wert für die Absicherung sinkt bei den oben aufgeführten Szenarios

In der Projekte-App wird eine Restrisikoeinstufung nach Risiko, nicht nach Testrunde, berechnet.
Restrisikoeinstufung (Ziel) 
SUMME (der Restrisikoeinstufungen für alle Risiken des Ziels)
  
Gesamtwert der Restrisikoeinstufung (Projekt) 
SUMME (der Restrisikoeinstufungen pro Ziel)
  
Gesamtwert der Restrisikoeinstufung (Framework) 
SUMME (Restrisikoeinstufung in allen Projekten, die das Risiko enthalten)
  
Allgemeine Absicherung (Projekt) 
(Gesamtwert für die inhärente Risikoeinstufung - Gesamtwert für die Restrisikoeinstufung) / Gesamtwert für die inhärente Risikoeinstufung
Allgemeine Absicherung (Framework) 
(Gesamtwert für die inhärente Risikoeinstufung in allen Projekten, die das Risiko enthalten - Gesamtwert für die Restrisikoeinstufung in allen Projekten, die das Risiko enthalten) / Gesamtwert für die inhärente Risikoeinstufung