Garantie voor risico berekenen
Wanneer u garantie inschakelt, worden de testresultaten en problemen samengevoegd voor een actief project of raamwerk dat aan meerdere projecten is gekoppeld. Hiermee kunt u rapportages maken over de garantie van een afzonderlijk project of over alle projecten die aan een raamwerk zijn gekoppeld.
In dit onderwerp worden voorbeelden van garantie gegeven, zodat u zich vertrouwd kunt maken met de berekeningen die aan garantie gekoppeld zijn.
Garantie demonstreren voor één enkel project
Garantie demonstreren voor één enkel project om het vertrouwen te tonen dat het risico voor de organisatie effectief gemitigeerd wordt.
Voorbeeld
Scenario
U leidt een Beoordeling algemene IT-controles en u dient het risico kwantitatief te beoordelen. Uw project bevat één doel (Fysieke beveiliging) en twee risico's die aan dat doel gekoppeld zijn. U schakelt garantie in in het project, en u begint de projectwerkzaamheden uit te voeren.
Risicoscores
U beoordeelt het risico op basis van twee scorefactoren, Impact en Waarschijnlijkheid, en u gebruikt een 5-puntenschaal om een score aan de risico's toe te kennen:
| Doel | Risico | Beschrijving | Score |
|---|---|---|---|
| Fysieke beveiliging | Risico 1 | Ongeoorloofde toegang tot de beveiligde serverruimte. |
|
| Risico 2 | De faciliteiten waarin vertrouwelijke gegevens of bedrijfsinformatie zijn opgeslagen, zijn niet toereikend beveiligd. |
|
Berekening Inherente risicoscore
Op basis van uw risicoscores berekent Projecten automatisch de Inherente risicoscore van ieder risico, evenals de Totale Inherente risicoscore.
- Risico 1 (5 x 3) = 15,0
- Risico 2 (2 x 2) = 4,0
Totale inherente risicoscore (15 + 4) = 19,0.
Controles, gekoppelde risico's en controlegewichten definiëren
U definieert vier controles die eraan bijdragen dat de twee geïdentificeerde risico's gemitigeerd worden, inclusief de bijbehorende risico's, en het risicopercentage dat door de controle wordt gemitigeerd (Controlegewicht):
| Controle | Beschrijving | Bijbehorend risico | Controlegewicht |
|---|---|---|---|
| Controle 1 | Er is een slot geplaatst op de ingang van de faciliteit. | Risico 1 | 100% |
| Controle 2 | Er is een beveiligingscamera geïnstalleerd om verdachte activiteiten vast te leggen. | Risico 1 | 20% |
| Controle 3 | Alle ingangen van serverfaciliteiten zijn beveiligd met een sleutelkaarttoegangssysteem., |
|
|
| Controle 4 | Alle ingangen van kantoorfaciliteiten worden door administratieve medewerkers gemonitord. |
|
|
Controles testen
U heeft geen testrondes in uw project; in plaats daarvan heeft u per controle één stapsgewijze beschrijving. U test iedere controle en u documenteert de resultaten:
| Controle | Testresultaat | Gehaald of Niet gehaald? |
|---|---|---|
| Controle 1 | Werkt efficiënt | Geslaagd |
| Controle 2 | Uitzondering(en) opgemerkt | Niet geslaagd |
| Controle 3 | Werkt efficiënt | Geslaagd |
| Controle 4 | Werkt efficiënt | Geslaagd |
Restrisicoscore
Op basis van de door u gedefinieerde risico-controleverbindingen, gespecificeerde controlegewichten en testresultaten berekent Projecten automatisch voor ieder risico de Restrisicoscore en de Totale Restrisicoscore.
De Restrisicoscore wordt berekend door de Inherente risicoscore te vermenigvuldigen met het Controlegewicht voor de bijbehorende controles die niet geslaagd zijn:
- Risico 1 (15,0 x 0,2) = Restrisicoscore (3,0)
- Risico 2 Controles 3 en 4 slagen allebei, en samen mitigeren zij Risico 2 met 100%. De Restrisicoscore voor Risico 2 is 0,0.
De Totale Restrisicoscore wordt berekend door alle Restrisicoscores bij elkaar op te tellen:
Restrisicoscore Risico 1 (3,0) + Restrisicoscore Risico 2 (0,0) = Totale Restrisicoscore (3,0).
Algehele garantie
De Algehele Garantie, die wordt weergegeven binnen het Project, wordt als volgt berekend:
(Totale Inherente risicoscore (19,0) - Totale Restrisicoscore (3,0)) / Totale Inherente risicoscore (19,0) = Algehele Garantie (84%).
Garantie demonstreren over meerdere projecten
Garantie demonstreren over meerdere projecten die met een raamwerk verbonden zijn om het vertrouwen te tonen dat het risico voor de organisatie effectief gemitigeerd wordt.
Voorbeeld
Scenario
U dient vanuit een centrale plek vijf verschillende projecten te beheren en voor alle vijf projecten het risico kwantitatief te beoordelen. In uw raamwerk bevindt zich één doel dat twee risico's bevat.
| Raamwerk | Doel | Risico |
|---|---|---|
| Raamwerk 1 | Doel 1 | Risico 1 |
| Risico 2 |
Proces
U importeert de risico's in de relevante projecten, schakelt garantie in in zowel het raamwerk als het project, en test de controles. U noteert eventuele problemen waar van toepassing.
Resultaat
De testresultaten en problemen worden automatisch vanuit ieder project samengevoegd in het raamwerk. Garantieberekeningen worden als volgt in het raamwerk samengevoegd:
Risicoscores op projectniveau
| Project | Inherente risicoscore | Restrisicoscore | Gekoppeld raamwerkrisico |
|---|---|---|---|
| Project 1 | 9,0 | 2,0 | Risico 1 |
| Project 2 | 6,0 | 2,0 | |
| Project 3 | 3,0 | 1,0 | |
| Project 3 | 0,0 | 0,0 | Risico 2 |
| Project 4 | 5,0 | 1,0 | |
| Project 5 | 5,0 | 1,0 |
Risicoscores op raamwerkniveau
| Raamwerkrisico | Inherente risicoscore | Restrisicoscore | Gekoppelde projecten |
|---|---|---|---|
| Risico 1 | 18,0 | 5,0 | 1, 2, 3 |
| Risico 2 | 10,0 | 2,0 | 3, 4, 5 |
Garantie van Doel 1 75%
(Totale Inherente risicoscore (28,0) - Totale Restrisicoscore (7,0)) / Totale Inherente risicoscore (28,0)
Meer voorbeelden
Bekijk aanvullende scenario's die illustreren hoe binnen één enkel project de garantie voor een risico wordt berekend.
Een risico dat door één enkele controle gedekt wordt
| Risico A --> Controle A | Risico A --> Controle A | Risico A --> Controle A | Risico A --> Controle A | Risico A --> Controle A | |
|---|---|---|---|---|---|
| Risico-ID | A | A | A | A | A |
| Impact | 2 | 3 | 2 | 3 | 3 |
| Waarschijnlijkheid | 5 | 3 | 5 | 3 | 3 |
|
Aanpasbare Risicoscore Factor 1 (Snelheid) Gewicht: 80% |
-- | -- | 5 | 5 | -- |
|
Aanpasbare Risicoscore Factor 2 (Kwetsbaarheid) Weging: 50% |
-- | -- | -- | 5 | -- |
| Inherente risicoscore | 10 | 9 | 40 | 90 | 9 |
| Controlegewicht | 85% | 100% | 85% | 100% | 55% |
| Controle-ID | A | A | A | A | A |
| Werkt efficiënt? | Ja | Ja | Ja | Ja | Nee |
| Berekening Restrisicoscore | 10 x (1- 0,85) | 0 | 40 x (1- 0,85) | 0 | (9 x 0,55) + (9 x 1-0,55) |
| Toelichting |
|
|
|
|
|
Een risico dat door twee controles gedekt wordt
| Risico A --> Controle A, B | Risico A --> Controle A, B | |
|---|---|---|
| Risico-ID | A | A |
| Impact | 3 | 4 |
| Waarschijnlijkheid | 3 | 3 |
|
Aanpasbare Risicoscore Factor 1 (Snelheid) Gewicht: 80% |
-- | -- |
|
Aanpasbare Risicoscore Factor 2 (Kwetsbaarheid) Weging: 50% |
-- | -- |
| Inherente risicoscore | 9 | 12 |
| Controlegewicht |
|
|
| Controle-ID | ||
| Werkt efficiënt? | ||
| Berekening Restrisicoscore | 9 x 0,75 | 12 x 1 |
| Toelichting |
|
|
Een risico dat door drie controles gedekt wordt
| Risico A --> Controle A, B, C |
Risico A --> Controle A, B, C | |
|---|---|---|
| Risico-ID | A | A |
| Impact | 5 | 5 |
| Waarschijnlijkheid | 3 | 3 |
|
Aanpasbare Risicoscore Factor 1 (Snelheid) Gewicht: 80% |
-- | -- |
|
Aanpasbare Risicoscore Factor 2 (Kwetsbaarheid) Weging: 50% |
-- | -- |
| Inherente risicoscore | 15 | 15 |
| Controlegewicht |
|
|
| Controle-ID | ||
| Werkt efficiënt? | ||
| Berekening Restrisicoscore | 15 x (0,45 + 0,15) | 15 x (0,45 + 0,15) + 15 x (1- 0,85) |
| Toelichting |
|
|
Berekeningen
Meer te weten komen over de berekeningen die aan garantie gekoppeld zijn.
| Term | Berekening | Opmerkingen |
|---|---|---|
| Gewicht factor Risicoscore |
Waarden (1-1000%) die door de gebruiker worden ingevoerd om het belang van de Risicoscorefactor uit te drukken. |
Hoe hoger de waarde van het gewicht, des te belangrijker de risicoscorende factor is voor uw organisatie, en des te meer de risicoscorende factor zal bijdragen aan de Totale Inherente risicoscore. Het waardenbereik maakt volledige aanpassing van uw scores mogelijk. U kunt bijvoorbeeld een risicoscorefactor vijf keer zwaarder laten wegen dan een andere risicoscorefactor (Kwetsbaarheid = 100%, Snelheid = 500%). De som van de gewichten van de Risicoscorefactoren kan oplopen tot ieder getal. Opmerking
U kunt het gewicht van de standaard risicoscorefactoren (Impact en Waarschijnlijkheid) niet aanpassen; dit is ingesteld op 100%. |
| Inherente risicoscore (Risico) | (Impact x Waarschijnlijkheid) x (Aanpasbare Risicoscorefactor x Gewicht) |
|
| Inherente risicoscore (doel) | SOM (Inherente Risiscoscores voor alle risico's in het doel) |
|
| Totale Inherente risicoscore (Project) | SOM (Inherente Risicoscore per doel) |
|
| Totale inherente risicoscore (Raamwerk) | SOM (Inherente risicoscores in alle projecten die het risico bevatten) |
|
| Controlegewicht |
Waarden (0-100%) die door de gebruiker worden ingevoerd om het percentage van het risico uit te drukken dat door de controle wordt gemitigeerd. |
De som van de controlegewichten kan ieder getal zijn. |
| Restrisicoscore (Risico) | SOM (Inherente risicoscore x Controlegewicht ) + (Inherente risicoscore x (1 - Som van Controlegewichten <als het Totale Controlegewicht minder is dan 100%>)) |
De controle wordt als 'niet geslaagd' aangemerkt en in de berekening van de Restrisicoscore gebruikt als:
In bovengenoemde scenario's neemt de garantie af. In Projecten wordt één Restrisicoscore per risico berekend, niet één Restrisicoscore per testronde. |
| Restrisicoscore (doel) | SOM (Restrisicoscores voor alle risico's in het doel) |
|
| Totale Restrisicoscore (Project) | SOM (Restrisicoscore per doel) |
|
| Totale Restrisicoscore (Raamwerk) | SOM (Restrisicoscores in alle projecten die het risico bevatten) |
|
| Algehele garantie (project) | (Totale Inherente risicoscore - Totale Restrisicoscore / Totale Inherente risicoscore |
|
| Algehele Garantie (Raamwerk) | (Totale Inherente risicoscores in alle projecten die het risico bevatten - Totale Restrisicoscores in alle projecten die het risico bevatten) / Totale Inherente risicoscores |
