Garantie voor risico berekenen

Wanneer u garantie inschakelt, worden de testresultaten en problemen samengevoegd voor een actief project of raamwerk dat aan meerdere projecten is gekoppeld. Hiermee kunt u rapportages maken over de garantie van een afzonderlijk project of over alle projecten die aan een raamwerk zijn gekoppeld.

In dit onderwerp worden voorbeelden van garantie gegeven, zodat u zich vertrouwd kunt maken met de berekeningen die aan garantie gekoppeld zijn.

Garantie demonstreren voor één enkel project

Garantie demonstreren voor één enkel project om het vertrouwen te tonen dat het risico voor de organisatie effectief gemitigeerd wordt.

Voorbeeld

Scenario

U leidt een Beoordeling algemene IT-controles en u dient het risico kwantitatief te beoordelen. Uw project bevat één doel (Fysieke beveiliging) en twee risico's die aan dat doel gekoppeld zijn. U schakelt garantie in in het project, en u begint de projectwerkzaamheden uit te voeren.

Risicoscores

U beoordeelt het risico op basis van twee scorefactoren, Impact en Waarschijnlijkheid, en u gebruikt een 5-puntenschaal om een score aan de risico's toe te kennen:

Doel Risico Beschrijving Score
Fysieke beveiliging Risico 1 Ongeoorloofde toegang tot de beveiligde serverruimte.
  • Impact = 5
  • Waarschijnlijkheid = 3
Risico 2 De faciliteiten waarin vertrouwelijke gegevens of bedrijfsinformatie zijn opgeslagen, zijn niet toereikend beveiligd.
  • Impact = 2
  • Waarschijnlijkheid = 2
Berekening Inherente risicoscore

Op basis van uw risicoscores berekent Projecten automatisch de Inherente risicoscore van ieder risico, evenals de Totale Inherente risicoscore.

  • Risico 1 (5 x 3) = 15,0
  • Risico 2 (2 x 2) = 4,0

Totale inherente risicoscore (15 + 4) = 19,0.

Controles, gekoppelde risico's en controlegewichten definiëren

U definieert vier controles die eraan bijdragen dat de twee geïdentificeerde risico's gemitigeerd worden, inclusief de bijbehorende risico's, en het risicopercentage dat door de controle wordt gemitigeerd (Controlegewicht):

Controle Beschrijving Bijbehorend risico Controlegewicht
Controle 1 Er is een slot geplaatst op de ingang van de faciliteit. Risico 1 100%
Controle 2 Er is een beveiligingscamera geïnstalleerd om verdachte activiteiten vast te leggen. Risico 1 20%
Controle 3 Alle ingangen van serverfaciliteiten zijn beveiligd met een sleutelkaarttoegangssysteem.,
  • Risico 1
  • Risico 2
  • 80%
  • 50%
Controle 4 Alle ingangen van kantoorfaciliteiten worden door administratieve medewerkers gemonitord.
  • Risico 1
  • Risico 2
  • 50%
  • 50%
Controles testen

U heeft geen testrondes in uw project; in plaats daarvan heeft u per controle één stapsgewijze beschrijving. U test iedere controle en u documenteert de resultaten:

Controle Testresultaat Gehaald of Niet gehaald?
Controle 1 Werkt efficiënt Geslaagd
Controle 2 Uitzondering(en) opgemerkt Niet geslaagd
Controle 3 Werkt efficiënt Geslaagd
Controle 4 Werkt efficiënt Geslaagd
Restrisicoscore

Op basis van de door u gedefinieerde risico-controleverbindingen, gespecificeerde controlegewichten en testresultaten berekent Projecten automatisch voor ieder risico de Restrisicoscore en de Totale Restrisicoscore.

De Restrisicoscore wordt berekend door de Inherente risicoscore te vermenigvuldigen met het Controlegewicht voor de bijbehorende controles die niet geslaagd zijn:

  • Risico 1 (15,0 x 0,2) = Restrisicoscore (3,0)
  • Risico 2 Controles 3 en 4 slagen allebei, en samen mitigeren zij Risico 2 met 100%. De Restrisicoscore voor Risico 2 is 0,0.

De Totale Restrisicoscore wordt berekend door alle Restrisicoscores bij elkaar op te tellen:

Restrisicoscore Risico 1 (3,0) + Restrisicoscore Risico 2 (0,0) = Totale Restrisicoscore (3,0).

Algehele garantie

De Algehele Garantie, die wordt weergegeven binnen het Project, wordt als volgt berekend:

(Totale Inherente risicoscore (19,0) - Totale Restrisicoscore (3,0)) / Totale Inherente risicoscore (19,0) = Algehele Garantie (84%).

Garantie demonstreren over meerdere projecten

Garantie demonstreren over meerdere projecten die met een raamwerk verbonden zijn om het vertrouwen te tonen dat het risico voor de organisatie effectief gemitigeerd wordt.

Voorbeeld

Scenario

U dient vanuit een centrale plek vijf verschillende projecten te beheren en voor alle vijf projecten het risico kwantitatief te beoordelen. In uw raamwerk bevindt zich één doel dat twee risico's bevat.

Raamwerk Doel Risico
Raamwerk 1 Doel 1 Risico 1
Risico 2

Proces

U importeert de risico's in de relevante projecten, schakelt garantie in in zowel het raamwerk als het project, en test de controles. U noteert eventuele problemen waar van toepassing.

Resultaat

De testresultaten en problemen worden automatisch vanuit ieder project samengevoegd in het raamwerk. Garantieberekeningen worden als volgt in het raamwerk samengevoegd:

Risicoscores op projectniveau
Project Inherente risicoscore Restrisicoscore Gekoppeld raamwerkrisico
Project 1 9,0 2,0 Risico 1
Project 2 6,0 2,0
Project 3 3,0 1,0
Project 3 0,0 0,0 Risico 2
Project 4 5,0 1,0
Project 5 5,0 1,0
Risicoscores op raamwerkniveau
Raamwerkrisico Inherente risicoscore Restrisicoscore Gekoppelde projecten
Risico 1 18,0 5,0 1, 2, 3
Risico 2 10,0 2,0 3, 4, 5

Garantie van Doel 1 75%

(Totale Inherente risicoscore (28,0) - Totale Restrisicoscore (7,0)) / Totale Inherente risicoscore (28,0)

Meer voorbeelden

Bekijk aanvullende scenario's die illustreren hoe binnen één enkel project de garantie voor een risico wordt berekend.

Een risico dat door één enkele controle gedekt wordt

  Risico A --> Controle A Risico A --> Controle A Risico A --> Controle A Risico A --> Controle A Risico A --> Controle A
Risico-ID A A A A A
Impact 2 3 2 3 3
Waarschijnlijkheid 5 3 5 3 3

Aanpasbare Risicoscore Factor 1 (Snelheid)

Gewicht: 80%

-- -- 5 5 --

Aanpasbare Risicoscore Factor 2 (Kwetsbaarheid)

Weging: 50%

-- -- -- 5 --
Inherente risicoscore 10 9 40 90 9
Controlegewicht 85% 100% 85% 100% 55%
Controle-ID A A A A A
Werkt efficiënt? Ja Ja Ja Ja Nee
Berekening Restrisicoscore 10 x (1- 0,85) 0 40 x (1- 0,85) 0 (9 x 0,55) + (9 x 1-0,55)
Toelichting
  • Geen controles niet geslaagd
  • Gecombineerd controlegewicht van alle controles is < 1
  • Er zijn geen controles niet geslaagd EN het controlegewicht van alle controles is > of = 1
  • De controle mitigeert het risico tot onder het risicotolerantieniveau
  • Geen controles niet geslaagd
  • Gecombineerd controlegewicht van alle controles is < 1
  • Er zijn geen controles niet geslaagd EN het controlegewicht van alle controles is > of = 1
  • De controle mitigeert het risico tot onder het risicotolerantieniveau
  • Controle niet geslaagd
  • Gecombineerd controlegewicht van alle controles is < 1

Een risico dat door twee controles gedekt wordt

  Risico A --> Controle A, B Risico A --> Controle A, B
Risico-ID A A
Impact 3 4
Waarschijnlijkheid 3 3

Aanpasbare Risicoscore Factor 1 (Snelheid)

Gewicht: 80%

-- --

Aanpasbare Risicoscore Factor 2 (Kwetsbaarheid)

Weging: 50%

-- --
Inherente risicoscore 9 12
Controlegewicht
  • 100% - A - Ja
  • 75% - B - Nee

 

  • 25% - A - Nee
  • 100% - B - Nee
Controle-ID
Werkt efficiënt?
Berekening Restrisicoscore 9 x 0,75 12 x 1
Toelichting
  • Controle niet geslaagd
  • Gecombineerd controlegewicht van alle controles is > of = 1
  • Controles niet geslaagd
  • Gecombineerd controlegewicht is < 1

Een risico dat door drie controles gedekt wordt

  Risico A -->
Controle A, B, C
Risico A --> Controle A, B, C
Risico-ID A A
Impact 5 5
Waarschijnlijkheid 3 3

Aanpasbare Risicoscore Factor 1 (Snelheid)

Gewicht: 80%

-- --

Aanpasbare Risicoscore Factor 2 (Kwetsbaarheid)

Weging: 50%

-- --
Inherente risicoscore 15 15
Controlegewicht
  • 40% - A - Ja
  • 45% - B - Nee
  • 15% - C - Nee
  • 25% - A - Ja
  • 45% - B - Nee
  • 15% - C - Nee
Controle-ID
Werkt efficiënt?
Berekening Restrisicoscore 15 x (0,45 + 0,15) 15 x (0,45 + 0,15) + 15 x (1- 0,85)
Toelichting
  • Controles niet geslaagd
  • Het Restrisico wordt uitsluitend berekend op basis van het risico van niet geslaagde stapsgewijze beschrijvingen/test van controles
  • Controles niet geslaagd EN het gecombineerd controlegewicht van alle controles is < 1

Berekeningen

Meer te weten komen over de berekeningen die aan garantie gekoppeld zijn.

Term Berekening Opmerkingen
Gewicht factor Risicoscore

Waarden (1-1000%) die door de gebruiker worden ingevoerd om het belang van de Risicoscorefactor uit te drukken.

Hoe hoger de waarde van het gewicht, des te belangrijker de risicoscorende factor is voor uw organisatie, en des te meer de risicoscorende factor zal bijdragen aan de Totale Inherente risicoscore.

Het waardenbereik maakt volledige aanpassing van uw scores mogelijk. U kunt bijvoorbeeld een risicoscorefactor vijf keer zwaarder laten wegen dan een andere risicoscorefactor (Kwetsbaarheid = 100%, Snelheid = 500%). De som van de gewichten van de Risicoscorefactoren kan oplopen tot ieder getal.

Opmerking

U kunt het gewicht van de standaard risicoscorefactoren (Impact en Waarschijnlijkheid) niet aanpassen; dit is ingesteld op 100%.

Inherente risicoscore (Risico)
(Impact x Waarschijnlijkheid) x (Aanpasbare Risicoscorefactor x Gewicht)
 
Inherente risicoscore (doel)
SOM (Inherente Risiscoscores voor alle risico's in het doel)
 
Totale Inherente risicoscore (Project)
SOM (Inherente Risicoscore per doel)
 
Totale inherente risicoscore (Raamwerk)
SOM (Inherente risicoscores in alle projecten die het risico bevatten)
 
Controlegewicht

Waarden (0-100%) die door de gebruiker worden ingevoerd om het percentage van het risico uit te drukken dat door de controle wordt gemitigeerd.

De som van de controlegewichten kan ieder getal zijn.

Restrisicoscore (Risico)
SOM (Inherente risicoscore x Controlegewicht ) + (Inherente risicoscore x (1 - Som van Controlegewichten <als het Totale Controlegewicht minder is dan 100%>))

De controle wordt als 'niet geslaagd' aangemerkt en in de berekening van de Restrisicoscore gebruikt als:

  • eender welke stapsgewijze beschrijving niet correct is ontworpen
  • eender welke testronde niet effectief functioneert

In bovengenoemde scenario's neemt de garantie af.

In Projecten wordt één Restrisicoscore per risico berekend, niet één Restrisicoscore per testronde.

Restrisicoscore (doel)
SOM (Restrisicoscores voor alle risico's in het doel)
 
Totale Restrisicoscore (Project)
SOM (Restrisicoscore per doel)
 
Totale Restrisicoscore (Raamwerk)
SOM (Restrisicoscores in alle projecten die het risico bevatten)
 
Algehele garantie (project)
(Totale Inherente risicoscore - Totale Restrisicoscore / Totale Inherente risicoscore
Algehele Garantie (Raamwerk)
(Totale Inherente risicoscores in alle projecten die het risico bevatten - Totale Restrisicoscores in alle projecten die het risico bevatten) / Totale Inherente risicoscores