处理风险
风险是业务决策中可能产生的不确定性或机会。一些风险可能会影响组织的日常运营。识别和缓解这些风险可确保顺利运营。
风险可分为以下类别:
- 合规与监管风险 例如,推出新条例或法规。
- 财务风险 例如,商业贷款的利率上涨,或未付款的客户。
- 运营风险 例如,设备故障或失窃。
必须识别每一项风险、将其与相关资源库对象关联并进行评估。您的组织可以决定最佳的方法来优先考虑和缓解这些风险。
添加风险
可以使用以下步骤添加风险:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到风险管理器应用程序。风险管理器主页打开。
- 选择 + 添加风险。
- 在添加风险面板中,输入风险的名称。
- 添加任何其他必须的详细信息,然后选择下面的其中一个按钮:
- 添加风险,以保存风险并关闭面板。
- 保存并新增,以保存该风险并添加另一个风险。
风险已创建。您可以在风险详情页面查看风险。
- (可选)选择风险名称以查看风险详情页面,然后添加更多详细信息。
添加或更改风险所有者
可以使用以下步骤添加或更新风险负责人:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到风险管理器应用程序。风险管理器主页打开。
- 从风险列表中,选择想要添加或更新其负责人的风险名称。
详请选项卡随即显示。
- 在风险负责人字段中,选择一个用户,然后选择保存更改。
风险已分配给选定的用户,并向该指定用户发送一封电子邮件通知。
将风险推进到不同的工作流
创建风险后,可根据需要和要求将其推进到不同的工作流状态。某些工作流状态可能需要填写一些字段,以确保符合推进风险的标准。
可以使用以下步骤将风险从草稿状态推进到识别状态,然后推进到分析状态:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到问题管理器应用程序。风险管理器主页打开。
- 选择想要处理的风险。
详细的风险页面随即打开,其中包含详情选项卡。
- 输入风险的详细信息,包括控制 ID、描述和负责人。
- 选择保存更改。
- 单击右上角的识别。
结果工作流状态更改为识别。
- 确认已提供风险所有必备的信息后,选择验证。
结果工作流状态更改为分析。
说明
可以按照上述步骤,根据需要将风险推进到工作流的其余状态。
将风险链接到不同对象
风险已与您所在组织中的不同资产和其他资源库对象相关联。务必及时捕获这些关系,并将风险与相应的对象关联,以便能够准确计算风险对这些对象的影响。
可以使用以下步骤将风险关联到不同对象:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到风险管理器应用程序。风险管理器主页打开。
- 选择想要处理的风险。
详细的风险页面随即打开,其中包含详情选项卡。
- 转到关系选项卡,然后执行以下操作:
- 要关联资产,请选择关联资产。
关联资产对话框随即打开。
- 选择资产类型和资产。
- 选择关联资产。
资产已与风险相关联。
- 要关联控制措施,请选择关联控制措施。
关联控制措施对话框随即打开。
- 选择控制类型和控制。
- 选择关联控制措施。
控制措施已关联到风险。
- 要关联风险评估,请选择关联风险评估。
关联风险评估对话框随即打开。
- 选择风险评估类型和风险评估。
- 选择关联风险评估。
风险评估已关联到风险。
- 要关联资产,请选择关联资产。
说明
- 如果在风险管理器中配置了诸如风险、流程和目标等其他资源库对象,则可以按照上述相同步骤,将风险链接到这些对象。
- 展开风险行并选择添加关系,可关联到主页中的对象。仅在尚未将风险链接到任何实体的情况下,才适用此种方式。
- 当您将对象彼此关联时,就创建了一个双向链接。例如,当您将风险与控制措施关联时,关联的风险会显示在控制措施的关系选项卡中,并且关联的控制措施会显示在风险的关系选项卡中。如果无法创建双向链接,请联系支持人员以获取帮助。
取消风险与其他对象的链接
您可以取消链接风险与不同资产和其他资源库对象的链接。
可以使用以下步骤取消链接风险关系:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到风险管理器应用程序。风险管理器主页打开。
- 选择想要处理的风险。
详细的风险页面随即打开,其中包含详情选项卡。
- 转到关系选项卡,然后选择要取消关联的对象上的取消关联图标
。
取消链接关系对话框随即打开。
- 选择取消链接对象。
从风险中移除关联。
将风险与组织单位关联
在风险管理器中的风险与组织单位之间创建关系。组织单位构成了企业的基础,将公司不同部门的不同组织实体联系起来。此层次结构还存储了部门和业务单位的详情。您可以将风险与多个组织单位相关联。
可以使用以下步骤将风险与组织单位相关联:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到问题管理器应用程序。风险管理器主页打开。
- 选择要更新的风险。
随即显示风险详情页面。
-
在详情选项卡下的相关组织单位字段中,搜索选择要将风险关联到的任何预配置组织单位。
-
选择应用所选内容。
-
选择保存更改。
风险已更新。您可以在风险管理器主页的组织单位列下查看与特定风险关联的组织单位。
说明
-
组织单位层次结构由您所在组织中的系统管理员预先配置。有关组织结构中层次结构的更多信息,请联系您的系统管理员。如果您是系统管理员,可以在平台设置(导航到平台设置并单击组织结构)中查看预配置的组织单位列表。有关组织单位的更多信息,请参阅组织结构。
-
此外,您可以将组织单位与评估记录相关联。
创建风险评估
为了评估风险对组织的潜在威胁级别,风险管理器可以添加风险评估。将根据关联到的不同对象生成评估。有关更多详细信息,请参阅如何生成评估?。
可以使用以下步骤创建风险评估:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到风险管理器应用程序。风险管理器主页打开。
-
选择要创建风险评估的风险。
-
在风险详情页面上,前往风险评估选项卡。
-
选择添加风险评估。
-
在添加风险评估对话框中:
- 为风险评估输入一个名称。
- 选择添加风险评估。
-
在风险评估详情页面上,执行以下操作:
-
提供参考 ID 并添加描述。
-
指定风险评估的负责人。
-
(可选)选择一个组织单位。
-
-
选择保存更改。风险评估已创建,并已向评估负责人(风险评估员)发送了一封电子邮件,其中包含指向已分配评估的链接。
评估风险
识别、验证风险并将其关联到相关的对象之后,便可以评估风险并计算风险评分。评估风险使您能够评估其对组织的潜在威胁级别。
可以使用以下步骤评估风险:
- 使用您收到的电子邮件中的链接登录 Diligent One。根据评估集成是启用还是禁用,风险管理器或评估应用程序将打开。您可以在设置中启用或禁用评估集成。有关详细信息,请参阅风险管理器设置。
如果启用了评估集成,则会打开评估应用程序。
如果禁用了评估集成,则会打开风险管理器应用程序。 -
如果您风险管理器应用程序打开,请在风险评估详情页面上执行以下操作:
-
为影响和可能性选择值。
-
从下拉列表中选择一项固有风险评分。
如果评估应用程序打开,请为分配的风险评估选择影响和可能性值。
-
-
选择保存更改以更新风险评估。
评估是基于与风险关联的对象生成的。有关更多详细信息,请参阅如何生成评估?
如何生成评估?
会根据风险与其他实体(例如资产和控制)的关联生成相应的评估。
- 如果风险仅与资产关联,则只会生成风险事件评估。
- 如果风险与资产和控制关联,则将会生成风险事件评估与控制评估。
- 如果风险仅与控制关联,则也会生成风险评估与控制评估,只不过二者的命名约定略有差异。
例如,添加了名为病毒威胁的风险,则它与资产和控制的关联如下:
- 资产 - 笔记本电脑
- 控制 - 防病毒软件
此时,单击评估触发生成评估,会出现以下情况:
- 工作流状态更改为评估。
- 生成风险评估,其命名约定为:<风险名称> - <资产名称>。例如,病毒威胁 - 笔记本电脑。
- 风险评估与风险和资产均有关联。您可以通过以下方式查看风险评估:“风险”页面的风险事件评估选项卡,以及资产管理器应用程序中资产的评估选项卡。
- 风险中的以下字段将复制到风险评估:风险 ID、风险描述和风险负责人。
- 生成控制评估,其命名约定为:<控制名称> - <风险名称> - <资产名称>。例如,防病毒软件 - 病毒威胁 - 笔记本电脑。
- 控制评估与控制、风险和资产均有关联。可以从“控制”页面的控制评估选项卡,查看控制评估。
- 控制中的以下字段将复制到控制评估:控制 ID、控制描述和控制所有者。
计算风险评分
计算风险评分的方法有两种:
- 使用默认配置 使用默认配置来计算风险评分。例如:可能性和影响字段的值均设置为 3 x 3 矩阵(低、中、高)。使用这种方法,您可以一次计算一个风险(或风险评估)的分数。有关详细信息,请参阅使用默认配置。
- 使用自定义配置 您可以使用自定义公式来计算风险和评估的分数。使用这种方法,您可以一次计算多个风险(或风险评估)的分数。有关详细信息,请参阅风险管理器应用程序中的风险与评估分数配置。
使用默认配置
触发评估之后,便可以计算风险评分。可以计算风险和风险评估记录中的固有风险评分。
要计算固有风险评分,则需了解风险的可能性和影响。请查看下表,获取参考信息。
可能性 | 高 |
中 |
高 | 高 |
---|---|---|---|---|
中 |
低 |
中 | 高 | |
低 |
低 |
低 | 中 | |
低 | 中 | 高 | ||
影响 |
可以使用以下步骤,利用默认配置来计算风险评估的风险评分:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到风险管理器应用程序。风险管理器主页打开。
- 选择想要处理的风险。
随即显示详细的风险页面。
- 转到风险事件评估选项卡,然后选择风险评估名称,以将其打开。
- 请确保已填写必要的信息,然后选择右上角的评估。
结果工作流状态更改为评估。
- 此时,选择右上角的评分。
系统将计算风险评分,并且显示在固有风险评分字段中。
说明
请确保填写并保存“影响”和“可能性”字段,然后单击评分。
- 选择批准以最终确定风险评分。
此时已最终确定风险评分,且工作流状态更改为“监控”。
- (可选)单击重新评估,可以再次开始评估。
创建风险缓解
风险缓解使您能够识别、减少、跟踪或消除可能影响组织运营、财务或声誉的潜在威胁。它通过主动管理不确定性和最大限度地减少损失来协助确保业务连续性。
可以使用以下步骤创建风险缓解:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到问题管理器应用程序。风险管理器主页打开。
- 选择想要创建风险缓解的风险。
-
在风险详情页面上,前往风险缓解选项卡。
-
选择添加风险缓解。
-
在添加风险缓解对话框中,输入风险缓解的名称,然后选择添加风险缓解。
-
在风险缓解详情页面上,执行以下操作:
-
选择一个组织单位。
-
提供描述和计划。
-
为风险缓解指定一名负责人。
-
从下拉列表中选择处理类型。
-
提供补救详情。
-
输入计划完成日期和实际完成日期。
-
-
选择保存更改。此时风险缓解已创建。
删除风险
可以使用以下步骤删除风险:
- 从启动面板主页 (www.highbond.com) 选择风险管理器应用程序,以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到问题管理器应用程序。风险管理器主页打开。
- 选择想要删除的风险。
随即显示详细的风险页面。
- 单击右上角的更多选项
,然后选择删除。
- 在确认对话框中,选择删除。
风险已删除。
后续步骤
可以开始通过控制措施来缓解风险。有关详细信息,请参阅处理控制。