リスク保証の計算

保証を有効化する場合、複数のプロジェクトに関連付けられたアクティブなプロジェクトまたはフレームワークにテスト結果と問題を集約します。これにより、単一プロジェクトの保証について、またはフレームワークに関連付けられたすべてのプロジェクトにわたりレポートすることができます。

このトピックでは、保証に関連する計算に精通できるように、保証の事例を示します。

単一プロジェクトの保証を示す

単一プロジェクトの保証を示すことで、組織のリスクが有効に軽減されることをご信頼いただけることを示します。

シナリオ

あなたは、IT 一般統制レビューを実施しており、リスクを定量的に評価する必要があります。プロジェクト(物理的セキュリティ)に 1 つの目標と、その目標に関連付けられた 2 つのリスクを持っています。そのプロジェクトで保証を有効化し、プロジェクト作業の実施を開始します。

リスクのスコアリング

2 つのリスク スコアリング係数、影響度と発生可能性でリスクを評価し、5 ポイントのスケールでリスクをスコアリングします。

目標 リスク 説明 スコアリング
物理的セキュリティ リスク 1 セキュリティ保護されたサーバー ルームへの未承認のエントリ
  • 影響度 = 5
  • 発生可能性 = 3
リスク 2 機密データまたは会社情報を保管する施設に対して十分なセキュリティが施されていない。
  • 影響度 = 2
  • 発生可能性 = 2
固有のリスク スコアの計算

リスク スコアリングに基づき、プロジェクトでは、各リスクの固有のリスク スコアと、固有のリスク スコアの合計を自動的に計算します。

  • リスク 1 (5 x 3) = 15.0
  • リスク 2 (2 x 2) = 4.0

固有のリスク スコアの合計 (15 + 4) = 19.0。

統制、関連リスク、および統制の重みの定義

関連リスク、および統制によるリスク軽減率(%)(統制の重み)を含む、2 つの特定されたリスクを軽減できる 4 つの統制を定義してください。

統制 説明 関連リスク 統制の重み
統制 1 施設の入口は施錠されています。 リスク 1 100%
統制 2 不審な活動を記録するための防犯カメラが設置されています。 リスク 1 20%
統制 3 すべてのサーバー施設の入口は、キー カード アクセス システムによって保護されています。
  • リスク 1
  • リスク 2
  • 80%
  • 50%
統制 4 会社施設の入口はすべて管理者によって監視されています。
  • リスク 1
  • リスク 2
  • 50%
  • 50%
統制のテスト

ご利用のプロジェクトには、テスト ラウンドがありませんが、代わりに統制につき 1 つのウォークスルーがあります。各統制をテストして、その結果を記録してください。

統制 テスト結果 合格または不合格?
統制 1 運用状況は有効 合格
統制 2 例外検出 不合格
統制 3 運用状況は有効 合格
統制 4 運用状況は有効 合格
残余リスク スコア

定義したリスクと統制の関連、指定した統制の重み、およびテスト結果に基づき、プロジェクトでは、各リスクの残余リスク スコアと、残余リスク スコアの合計を自動的に計算します。

固有のリスク スコアに、不合格になった関連する統制の、統制の重みを掛けて、残余リスク スコアを計算します。

  • リスク 1 (15.0 x 0.2) = 残余リスク スコア (3.0)
  • リスク 2 統制 3 と 4 が両方とも合格であるため、トータルではリスク 2 が 100% 軽減されます。リスク 2 の残余リスク スコアは 0.0 です。

すべての残余リスク スコアを追加して、残余リスク スコアの合計を計算します。

リスク 1 残余リスク スコア (3.0) + リスク 2 残余リスク スコア (0.0) = 残余リスク スコアの合計 (3.0).

総合的な保証

プロジェクト内に表示される総合的な保証は、次のように計算されます。

(固有のリスク スコア合計 (19.0) – 残余リスク スコア合計 (3.0)) / 固有のリスク スコア合計 (19.0) = 総合的保証 (84%)

複数プロジェクトにわたる保証の実証

フレームワークに関連付けられた複数のプロジェクトにわたる保証を実証し、組織のリスクが有効に軽減されている自信を示します。

シナリオ

あなたは 5 つの異なるプロジェクトを一元的に管理し、5 つのプロジェクトすべてにわたるリスクを定量的に評価する必要があります。フレームワークには、2 つのリスクを含む目標が 1 つあります。

フレームワーク 目標 リスク
フレームワーク 1 目標 1 リスク 1
リスク 2

プロセス

リスクを関連するプロジェクトにインポートし、フレームワークとプロジェクトの両方で保証を有効化するほか、統制をテストします。適用可能な場合に、問題に留意します。

結果

テスト結果と問題は、各プロジェクトからフレームワークに自動的に集約されます。保証の計算は、次のようにフレームワークに集約されます。

プロジェクト レベルのリスク スコア
プロジェクト 固有のリスク スコア 残余リスク スコア 関連するフレームワークのリスク
プロジェクト 2 9.0 20 リスク 1
プロジェクト 2 6.0 20
プロジェクト 3 3.0 1.0
プロジェクト 3 0.0 0.0 リスク 2
プロジェクト 4 5.0 1.0
プロジェクト 5 5.0 1.0
フレームワーク レベルのリスク スコア
フレームワークのリスク 固有のリスク スコア 残余リスク スコア 関連プロジェクト
リスク 1 18.0 5.0 1、2、3
リスク 2 10.0 20 3、4、5

目標 1 の保証 75%

(固有のリスク スコアの合計 (28.0) - 残余リスク スコアの合計 (7.0)) / 固有のリスク スコアの合計 (28.0)

その他の例

単一プロジェクト内でリスクの保証が計算される方法を説明するその他のシナリオを表示します。

単一の統制で対象となるリスク

  リスク A --> 統制 A リスク A --> 統制 A リスク A --> 統制 A リスク A --> 統制 A リスク A --> 統制 A
リスク ID A A A A A
影響度 2 3 2 3 3
発生可能性 5 3 5 3 3

カスタム リスク スコアリング係数 1 (Velocity)

重み: 80%

-- -- 5 5 --

カスタム リスク スコアリング係数 2 (脆弱性)

重み: 50%

-- -- -- 5 --
固有のリスク スコア 10 9 40 90 9
統制の重み 85% 100% 85% 100% 55%
統制 ID A A A A A
有効に運用されているか はい はい はい はい いいえ
残余リスク スコアの計算 10 x (1 - 0.85) 0 40 x (1- 0.85) 0 (9 x 0.55) + (9 x 1 - 0.55)
説明
  • 不合格の統制なし
  • すべての統制の重みが結合された値 < 1
  • 不合格の統制なし、かつすべての統制の重みが >= 1
  • 統制により、リスク許容レベルを下回るまでリスクが軽減される
  • 不合格の統制なし
  • すべての統制の重みが結合された値 < 1
  • 不合格の統制なし、かつすべての統制の重みが >= 1
  • 統制により、リスク許容レベルを下回るまでリスクが軽減される
  • 統制は不合格
  • すべての統制の重みが結合された値 < 1

2 つの統制で対象となるリスク

  リスク A --> 統制 A、B リスク A --> 統制 A、B
リスク ID A A
影響度 3 4
発生可能性 3 3

カスタム リスク スコアリング係数 1 (Velocity)

重み: 80%

-- --

カスタム リスク スコアリング係数 2 (脆弱性)

重み: 50%

-- --
固有のリスク スコア 9 12
統制の重み
  • 100% - A - はい
  • 75% - B - いいえ

 

  • 25% - A - いいえ
  • 100% - B - いいえ
統制 ID
有効に運用されているか
残余リスク スコアの計算 9 x 0.75 12 x 1
説明
  • 統制は不合格
  • すべての統制の重みが結合された値 >= 1
  • 統制は不合格
  • 統制の重みが結合された値 > 1

3 つの統制で対象となるリスク

  リスク A -->
統制 A、B、C
リスク A --> 統制 A、B、C
リスク ID A A
影響度 5 5
発生可能性 3 3

カスタム リスク スコアリング係数 1 (Velocity)

重み: 80%

-- --

カスタム リスク スコアリング係数 2 (脆弱性)

重み: 50%

-- --
固有のリスク スコア 15 15
統制の重み
  • 40% - A - はい
  • 45% - B - いいえ
  • 15% - C - いいえ
  • 25% - A - はい
  • 45% - B - いいえ
  • 15% - C - いいえ
統制 ID
有効に運用されているか
残余リスク スコアの計算 15 x (0.45 + 0.15) 15 x (0.45 + 0.15) + 15 x (1 - 0.85)
説明
  • 統制は不合格
  • 残余リスクは、不合格となった統制のウォークスルー/テストのみのリスクから計算される
  • すべての統制が不合格、かつすべての統制の重みが結合された値 < 1

計算

保証に関連する計算について学びます。

用語 計算 備考
リスク スコアリング係数の重要度

リスク スコアリング係数の重要性を表すために、ユーザーが入力する値(1~1000%)。

重要度の値が高いほど、組織に対するリスク スコアリング係数の重要性が高くなるほか、固有のリスク スコアの合計に対するリスク スコアリング係数の寄与度も高くなります。

値の範囲では、スコアリングを完全にカスタマイズできます。たとえば、特定のリスク スコアリング係数の重要度を別のリスク スコアリング係数の重要度の 5 倍に設定することができます(脆弱性 = 100%、速度 = 500%)。リスク スコアリング係数の重みの合計には上限はありません。

メモ

100% に設定されているデフォルトのリスク スコアリング係数(発生可能性と影響度)の重要度は変更できません。

固有のリスク スコア (リスク)
(影響度 x 発生可能性) x (カスタム リスク スコアリング係数 x 重み)
 
固有のリスク スコア (目標)
SUM (目標でのすべてのリスクの固有のリスク スコア)
 
固有のリスク スコアの合計 (プロジェクト)
SUM(目標あたりの固有のリスク スコア)
 
固有のリスク スコアの合計 (フレームワーク)
SUM (リスクを含むすべてのプロジェクトにおける固有のリスク スコア)
 
統制の重み

0 ~ 100% の値。これはユーザーが入力する、統制によるリスクの軽減率(%)を表す値です。

統制の重みの合計には上限はありません。

残余リスク スコア (リスク)
合計(固有のリスク スコア x 統制の重み <運用状況が有効でない関連付けられた統制>) +(固有のリスク スコア x (1 - 統制の重みの合計 <統制の重みが 100% 未満の場合>))

次のような場合に、統制は "不合格" としてマークされ、残余リスク スコアの計算で使用されます。

  • いずれか 1 つの ウォークスルーが適切に設計されていない
  • いずれか 1 つのテスト ラウンドが効果的に動作していない

上記のようなシナリオで、保証は低下します。

プロジェクトは、テスト ラウンドごとに 1 つの残余リスク スコアを計算するのではなく、リスクごとに 1 つの残余リスク スコアを計算します。

残余リスク スコア (目標)
SUM(目標のすべてのリスクでの残余リスク スコア)
 
残余リスク スコアの合計 (プロジェクト)
SUM(目標あたりの残余リスク スコア)
 
残余リスク スコアの合計 (フレームワーク)
SUM(リスクを含むすべてのプロジェクトでの残余リスク スコア)
 
総合的な保証 (プロジェクト)
(固有のリスク スコアの合計 - 残余リスク スコアの合計) / 固有のリスク スコアの合計
総合的な保証 (フレームワーク)
(リスクを含むすべてのプロジェクトでの固有のリスク スコアの合計 - リスクを含むすべてのプロジェクトでの残余リスク スコアの合計) / 固有のリスク スコアの合計