计算合规保障
保障是一个计算,代表贵组织对满足要求的信心。保障是合规地图中的很重要的计算,因为它显示了符合具体标准或规范所需做的工作量。
工作原理
将控制映射到要求并为每个控制指定控制权重后,保障分数将自动显示在合规地图上。
保障分数如何显示?
合规地图表显示了要求层面和标准/规范层面的保障分数。各保障分数显示为 0-100 之间的百分比。
保障分数示例
标准(COBIT 5 框架)旁边会显示一个平均保障分数。
总保障分数显示在计算要求旁边(APO 和 APO01)。
单个保障分数显示在工作要求旁边(APO01.01 - APO01.08)。
要求 APO01.04 的保障分数为 100%,这意味着您的组织对当前的控制正有效地满足 APO01.04 的要求充满信心。
COBIT 5 框架的保障分数为 81.25%,这意味着您的组织在完全符合标准方面进展良好。
如何计算保障分数?
基于以下内容计算保障分数:
计算 | 公式 |
---|---|
工作要求保障 | 实际保障/预期保障 |
计算要求保障和标准或规范层面的保障 | 总和(下级工作要求的实际保障)/ 总和(下级工作要求的预期保障) |
工作要求与计算要求
您的合规地图由工作要求和计算要求组成。工作要求在合规地图中以图标 注明。
- 工作要求您已直接映射到控制的要求
- 计算要求工作要求的上级或下级
示例
场景
您创建以下映射:
- 要求 1.1.1 至控制 A
- 要求 1.1.2 至控制 B
结果
要求 | 要求类型 | 已映射控制 |
---|---|---|
要求 1 | 已计算 | 相关控制(A,B) |
|
已计算 | 相关控制(A,B) |
|
工作区 | A |
|
工作区 | B |
预期保障
预期保障是一项计算,源于组织对满足要求的期望。
要求类型 | 预期保障的计算 |
---|---|
工作区 |
预期保障 = 1 说明
这是在测试控制之前表示保障的基准分数。 |
已计算 | SUM(下级工作要求的预期保障) |
示例
要求 1.1.1 和 1.1.2 属于工作要求,每个工作要求的预期保障为 1。
要求 1 和 1.1 属于计算要求。要求树中汇总了预期保障。
- 要求 1.1 的预期保障 = 2(1 + 1)
- 要求 1 的预期保障与要求 1.1(2)相同
要求 | 要求类型 | 预期保障 |
---|---|---|
要求 1 | 已计算 | 2 |
要求 1.1 | 已计算 | 2 |
|
工作区 | 1 |
|
工作区 | 1 |
控制分数和实际保障
控制分数
控制分数是由控制测试是否通过、未通过或尚未测试而得出的计算。
控制和要求之间的每个映射的控制分数计算如下:
- 如果所有的控制测试均通过,或者如果至少有一项适用的控制测试通过而其他未被测试,则控制分数 = 1
- 如果有任何控制测试未通过,则控制分数 = 0
实际保障
实际保障是一种计算,由控制测试是否通过或未通过以及控制涵盖的要求百分比得出。
- 使用以下公式计算控制和要求之间的每个映射的实际保障:
控制权重 x 控制分数
- 使用以下公式计算要求的实际保障:
总和(所有控制要求映射的实际保障)
示例
场景
将要求 1.1.1 映射到控制 A ,将要求 1.1.2 映射到控制 B。
将控制 A 和控制 B 的控制权重指定为 50%。所有测试通过控制 A,但是一项测试未通过控制 B。
结果
要求 | 要求类型 | 已映射控制 | 预期保障 | 控制权重 | 是否通过所有测试? | 控制分数 | 实际保障 |
---|---|---|---|---|---|---|---|
要求 1 | 已计算 | 相关控制(A,B) | 2 | -- | -- | -- | 0.5 |
|
已计算 | 相关控制(A,B) | 2 | -- | -- | -- | 0.5 |
|
工作区 | A | 1 | 50% | Y | 1 | 0.5 |
|
工作区 | B | 1 | 50% | N | 0 | 0 |
操作中的保障
您的组织需要遵守 COBIT 5 框架。您开始执行合规计划以:
- 展示组织履行企业所面临的法律义务和考量的承诺
- 展示尽职调查
- 澄清所允许的组织员工的行为界限
- 提供减少不合规成本的可能性
示例
步骤 1:将控制映射至要求
您需确定适用的要求并将控制映射到要求,以符合 COBIT 5 框架:
要求 | 已映射控制 |
---|---|
要求 1 | 相关控制(A,B) |
|
A |
|
B |
要求 2 | 相关控制(C,D) |
|
C |
|
D |
结果要求 1.1、1.2、2.1 和 2.2 均属于工作要求,且预期保障分数均为 1。根据要求树(1 + 1 = 2)的汇总,要求 1 和要求 2 的预期保障分数均为 2。
步骤 2:指定控制权重和测试控制
映射控制后,您可以指示覆盖各项要求的每项控制的百分比,并测试控制以查看其是通过还是未通过。
要求 | 已映射控制 | 控制权重 | 测试通过 |
---|---|---|---|
要求 1 | 相关控制(A,B) | -- | -- |
|
A | 50% | 是 |
|
B | 25% | 是 |
要求 2 | 相关控制(C,D) | -- | |
|
C | 25% | 否 |
|
D | 25% | 是 |
结果控制 A、B 和 D 的测试通过,每个测试获得控制分数 1。控制 C 的测试未通过,所以其控制分数为 0。
步骤 3:查看保障分数
在指示控制权重和测试控制后,您可以查看每项要求的保障分数和 COBIT 5 框架的总保障分数。
控制和要求之间的每个映射的实际保障计算如下:
控制权重 x 控制分数
工作要求的保障计算如下:
实际保障/预期保障
计算要求保障和标准或规范层面的保障计算如下:
总和(下级工作要求的实际保障)/ 总和(下级工作要求的预期保障)
要求 | 预期保障 | 实际保障 | 保障 |
---|---|---|---|
要求 1 | 2 | 0.75 | 38% |
|
1 | 0.5 | 50% |
|
1 | 0.25 | 25% |
要求 2 | 2 | 0.25 | 13% |
|
1 | 0 | 0% |
|
1 | 0.25 | 25% |
汇总的结果
- 预期保障 = 4
(要求 1 和 2 的预期保障 = 2 + 2)
- 实际保障 = 1
(要求 1 和 2 的实际保障 = 0.75 + 0.25)
- 保障 = 25%
(实际保障除以预期保障 = 1/4)
您展现贵组织符合 COBIT 5 框架开展业务的承诺。但是,为了完全遵守 COBIT 5 框架,您的组织还需要做大量工作。
什么变化会影响保障的方式?
有多种变化会影响保障的方式。
更改 | 影响 |
---|---|
您指定一个不适用的要求。 | 映射到要求的所有框架控制及其组中的任何下级要求都被自动取消映射,且不会作为保障分数的一部分计算。 |
您更改标准或规范的范围。 | 映射到超范围要求的所有框架控制会被自动取消映射,且不会作为保障分数的一部分计算。 |
您从要求取消映射框架控制。 | 与框架相关的项目的任何测试结果和问题将不会汇总到合规地图中,保障分数被更新。 |
在合规地图中定义框架控制的控制权重。 | 重新计算实际保障分数(合规地图中未显示),并更新保障分数。 |
您将目标或控制和/或同步更改从框架中导入项目。 | 如果将框架控制映射到要求,项目中的任何测试结果和问题将被汇总到合规地图,并更新保障分数。 |
您将项目存档或前滚之前与合规地图中使用的框架控制同步的已存档项目。 | 只有活动项目的测试结果和问题才会汇总到合规地图上。保障分数更新并从存档或前滚项目中排除测试结果和问题。 |
您将之前与合规地图中使用的框架控制同步的项目取消存档。 | 保障分数更新,取消存档的项目的测试结果和问题被汇总至合规地图。 |