保障组件
了解项目应用程序中影响风险保障的组件。
风险评分因素
风险评分因素是对在组织内实现目标有影响的属性。每个风险评分因素都可以具有一个名称和被分配的权重,并且与一个评分量表相关联。
默认和自定义风险评分因素
有两种默认风险评分因素:
- 影响
- 可能性
每个默认的风险评分因素都与 3 点刻度尺评分量表相关联:
- 1 分——低
- 2 分——中
- 3 分——高
您可以重新标记默认风险评分因素,并修改与各风险评分因素相关的分数量表。
或者,您也可以定义多达八个自定义风险评分因素,并为每个分配权重,规定自定义评分机制。由于所有的风险评分因素并非同等重要,所以您可以指定一个权重,来反映风险评分因素的感知重要性。权重值越高,风险评分因素对您的组织越重要,风险评分因素对整体固有风险评分的影响就越大。
您不能修改默认风险评分因素的权重(可能性和影响),其默认值为100%。
定义风险评分因素
项目管理员可在管理项目类型 > 风险和控制选项卡下定义风险评分因素。
有关详细信息,请参阅自定义术语、字段和通知。
给风险评分
专业经理和专业用户可以在添加或编辑风险时对风险进行评分。
有关详细信息,请参阅定义风险和控制。
项目应用程序中的风险评分因素与战略
项目应用程序中的风险评分因素影响项目应用程序中以及战略应用程序保障选项卡上(如果项目应用程序目标与风险应用程序中的风险相关)显示的保障分数。
战略应用程序中的风险评分因素影响战略应用程序中显示的固有风险和残留风险评分。
权重
定义控制的权重可让您表达控制缓解风险的百分比。
工作原理
您可以定义 0-100% 之间的控制权重。默认的控制权重是 100%。但是,控制权重的总和可以增加到任何数值。
确定控制权重
控制权重的确定取决于风险和您的环境。有些组织或部门采用自行决定的方式,而另一些组织或部门则使用历史数据或数据分析技术来确定控制的权重。
定义控制权重
在您关联风险和控制时,您可以为每个控制定义权重。
有关详细信息,请参阅定义风险和控制。
测试
当您执行排查和测试控制或执行程序时,项目应用程序会自动汇总测试结果和问题,并实时计算保障。随着控制通过,保障会增加,如果控制失败,则保障减少。
执行排查和测试或执行程序
根据项目工作流,需要执行以下测试任务:
| 工作流 | 任务 | 信息 |
|---|---|---|
| 内部控制 | 使用排查页面测试控制的设计。 | 执行程序和测试控制 |
| 使用测试页面测试控制的有效性。 | ||
| 工作计划 | 使用执行程序页面执行程序。 |
记录执行程序、排查或测试轮是通过还是失败
取决于项目工作流,会有不同的选项用于记录执行程序、排查或测试轮是通过还是失败。
| 工作流 | 测试类型 | 选项 | 通过或失败 |
|---|---|---|---|
| 内部控制 | 排查 | 设计合理 | 通过 |
| 设计失败 | 未通过 | ||
| 测试轮 | 有效运行 | 通过 | |
| 发现异常 | 未通过 | ||
| 工作计划 | 执行程序 | 没有问题 | 通过 |
| 发现问题 | 未通过 |
控制何时被视为通过/未通过,何时被认为是“未经测试”?
项目应用程序根据以下逻辑自动计算控制何时通过或未通过:
| 控制状态 | 逻辑 |
|---|---|
| 通过 |
相关联的排查或执行程序已通过 或 至少有一个控制适用的测试轮已通过(不得测试其他测试轮数) |
| 未通过 |
相关联的排查或执行程序未通过 或 至少有一个控制适用的测试轮未通过 |
| 未测试 |
关联的排查尚未经测试,且其所有适用的测试轮尚未经测试 或 关联的执行程序尚未经测试 |
场景
下表说明了当控制通过或未通过时的几种不同情况。该表阐释了每个控制包含一个排查和两个适用的测试轮的项目:
| 控制 | 排查 | 中期测试 | 最终测试 | 控制是否通过? |
|---|---|---|---|---|
| 控制 1 | 通过 | 通过 | 通过 | 通过 |
| 控制 2 | 未通过 | 未通过 | 未通过 | 未通过 |
| 控制 3 | 通过 | 通过 | 未通过 | 未通过 |
| 控制 4 | 通过 | 通过 | 未测试 | 通过 |
| 控制 5 | 未通过 | 通过 | 通过 | 未通过 |
| 控制 6 | 未测试 | 通过 | 通过 | 通过 |
| 控制 7 | 未测试 | 通过 | 未通过 | 未通过 |
| 控制 8 | 未测试 | 未测试 | 未测试 | 未测试 |
