处理风险

风险可能是业务决策中可能产生的不确定性或机会。有些风险可能会影响贵组织的日常运营。必须识别和缓解这些风险,以确保贵组织运营顺畅。

有哪些不同类型的风险?

风险类别多种多样,包括但不限于:

  • 合规与监管风险 例如,推出新条例或法规
  • 财务风险 例如,商业贷款或未付款客户的利率上涨
  • 运营风险 例如,关键设备故障或被盗

每一项风险都需要识别、将其与相关资源库对象关联并进行评估。然后,您的组织可以决定最佳的方法来优先考虑和缓解这些风险。

添加风险

要在风险管理器中添加风险,请执行下述步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击 +添加风险
  3. 添加风险面板中,输入风险的名称。
  4. 添加任何其他必要的详细信息,然后单击以下选项之一:
    • 添加风险,以保存风险并关闭面板。
    • 保存并新增,以保存该风险并添加另一个风险。

    结果 添加后即创建了风险。

  5. 可选。单击风险名称,查看详细的风险页面,然后添加更多详细信息。

添加或更改风险所有者

要添加或更新风险所有者,请执行下述步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 从风险列表中,单击想要添加或更新其所有者的风险名称。

    详细信息选项卡随即打开。

  3. 风险所有者字段中,选择一个用户并单击保存更改

    结果 将风险分配给选定的用户,并向该指定用户发送一封电子邮件通知。

将风险推进到不同的工作流

创建风险后,可根据需要和要求将其推进到不同的工作流状态。某些工作流状态可能需要填写一些字段,以确保符合推进风险的标准。

要将风险从草稿状态依次推进到识别状态和分析状态,请执行下述步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击想要处理的风险的名称。

    详细的风险页面随即打开,其中包含详情选项卡。

  3. 输入风险的详细信息,包括风险 ID、描述、所有者,然后单击保存更改
  4. 单击右上角的识别

    结果 工作流状态更改为识别

  5. 确认已提供风险所有必备的信息后,单击验证

    结果 工作流状态更改为分析

说明

可以按照上述步骤,根据需要将风险推进到工作流的其余状态。

将风险链接到不同对象

风险已与您所在组织中的不同资产和其他资源库对象相关联。务必及时捕获这些关系,并将风险与相应的对象关联,以便能够准确计算风险对这些对象的影响。

要将风险链接至不同对象,请按照以下步骤进行操作:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击想要处理的风险的名称。

    详细的风险页面随即打开,其中包含详情选项卡。

  3. 转到关系选项卡,然后执行以下操作:
    • 要链接资产,请单击链接资产

      链接资产对话框随即打开。

      1. 选择资产类型和资产。
      2. 单击链接资产。

        结果 资产与风险链接。

    • 要链接控制,请单击链接控制

      链接控制对话框随即打开。

      1. 选择控制类型和控制。
      2. 单击链接控制

        结果控制与风险链接。

    • 要链接风险评估,请单击链接风险评估

      链接风险评估对话框随即打开。

      1. 选择风险评估类型和风险评估。
      2. 单击链接风险评估

        结果 风险评估与风险链接。

说明

  • 如果在风险管理器中配置了诸如风险、流程和目标等其他资源库对象,则可以按照上述相同步骤,将风险链接到这些对象。
  • 还可以通过展开风险行并单击添加关系来快速链接到主页中的对象。仅在尚未将风险链接到任何实体的情况下,才适用此种方式。
  • 当您将对象彼此关联时,就创建了一个双向链接。例如,当您将风险与控制关联时,关联的风险会显示在控制的“关系”选项卡下方,并且关联的控制会显示在风险的“关系”选项卡下方。如果无法创建双向链接,请联系支持人员以获取帮助。

取消风险与其他对象的链接

您可以取消链接风险与不同资产和其他资源库对象的链接。

要取消链接风险关系,请执行下述步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击想要处理的风险。

    详细的风险页面随即打开,其中包含详情选项卡。

  3. 转到关系选项卡,然后单击要从中移除链接的对象上的取消链接图标

    取消关联关系对话框随即打开。

  4. 单击取消链接对象

    结果 从风险中移除链接。

将风险与组织单位关联

在风险管理器中的风险与组织单位之间创建关系。组织单位构成了企业的基础,将公司不同部门的不同组织实体联系起来。此层次结构还存储了部门和业务单位的详情。您可以将风险与多个组织单位相关联。

可以使用以下步骤将风险与组织单位相关联:

  1. 打开风险管理器应用程序

    随即显示风险管理器主页。

  2. 选择要更新的风险名称。

    随即显示风险详情页面。

  3. 详情选项卡下的相关组织单位字段中,搜索选择要将风险关联到的任何预配置组织单位。

  4. 选择应用所选内容

  5. 选择保存更改

    结果 风险已更新。您可以在风险管理器主页的组织单位列下查看与特定风险关联的组织单位。

说明

组织单位层次结构由您所在组织中的系统管理员预先配置。有关组织结构中层次结构的更多信息,请联系您的系统管理员。如果您是系统管理员,可以在平台设置(导航到平台设置并单击组织结构)中查看预配置的组织单位列表。有关组织单位的更多信息,请参阅组织单位概览

评估风险

识别、验证风险并将其关联到不同的对象之后,便可以评估风险并计算风险评分。评估风险旨在评估该风险的潜在威胁程度及其对组织的影响。可以通过触发评估来进行风险评估。

要评估风险,请执行下述步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击想要评估的风险。

    详细的风险页面随即打开。

  3. 单击右上角的评估

    结果根据链接到风险的不同对象,生成风险评估。有关更多详细信息,请参阅如何生成评估?

说明

您也可以从风险事件评估选项卡,手动添加风险评估。

如何生成评估?

会根据风险与其他实体(例如资产和控制)的关联生成相应的评估。

  • 如果风险仅与资产关联,则只会生成风险事件评估。
  • 如果风险与资产和控制关联,则将会生成风险事件评估与控制评估。
  • 如果风险仅与控制关联,则也会生成风险评估与控制评估,只不过二者的命名约定略有差异。

例如,添加了名为病毒威胁的风险,则它与资产和控制的关联如下:

  • 资产 - 笔记本电脑
  • 控制 - 防病毒软件

此时,单击评估触发生成评估,会出现以下情况:

  • 工作流状态更改为评估
  • 生成风险评估,其命名约定为:<风险名称> - <资产名称>。例如,病毒威胁 - 笔记本电脑。
    • 风险评估与风险和资产均有关联。您可以通过以下方式查看风险评估:“风险”页面的风险事件评估选项卡,以及资产管理器应用程序中资产的评估选项卡。
    • 风险中的以下字段将复制到风险评估:风险 ID、风险描述和风险负责人。
  • 生成控制评估,其命名约定为:<控制名称> - <风险名称> - <资产名称>。例如,防病毒软件 - 病毒威胁 - 笔记本电脑。
    • 控制评估与控制、风险和资产均有关联。可以从“控制”页面的控制评估选项卡,查看控制评估。
    • 控制中的以下字段将复制到控制评估:控制 ID、控制描述和控制所有者。

计算风险评分

计算风险评分的方法有两种:

  • 使用默认配置 使用默认配置来计算风险评分。例如:可能性和影响字段的值均设置为 3 x 3 矩阵(低、中、高)。使用这种方法,您可以一次计算一个风险(或风险评估)的分数。有关详细信息,请参阅使用默认配置
  • 使用自定义配置 您可以使用自定义公式来计算风险和评估的分数。使用这种方法,您可以一次计算多个风险(或风险评估)的分数。有关详细信息,请参阅风险管理器应用程序中的风险与评估分数配置

使用默认配置

触发评估之后,便可以计算风险评分。可以计算风险和风险评估记录中的固有风险评分。

要计算固有风险评分,则需了解风险的可能性和影响。请查看下表,获取参考信息。

可能性

 
影响

要使用默认配置来计算风险评估的风险评分,请执行以下步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击想要处理的风险。

    详细的风险页面随即打开。

  3. 转到风险事件评估选项卡,然后单击风险评估名称将其打开。
  4. 请确保已填写必要的信息,然后单击右上角的评估

    结果 工作流状态更改为评估。

  5. 此时,单击右上角的评分

    结果 计算了风险评分,并且显示在“固有风险评分”字段中。

    说明

    请确保填写并保存“影响”和“可能性”字段,然后单击评分

  6. 单击批准以最终确定风险评分。

    结果 已最终确定风险评分,且工作流状态更改为监控。

  7. 可选。单击重新评估,可以再次开始评估。

删除风险

要删除风险,请执行下述步骤:

  1. 打开风险管理器应用程序

    风险管理器主页打开。

  2. 单击想要删除的风险。

    详细的风险页面随即打开。

  3. 单击右上角的更多选项,然后单击删除
  4. 在确认对话框中,再次单击删除

    结果 已删除风险。

后续步骤

可以开始通过控制措施来缓解风险。有关详细信息,请参阅处理控制