Absicherung von Risiken berechnen

Wenn Sie die Absicherung aktivieren, werden die Testergebnisse und Probleme aus dem aktiven Projekt oder mit mehreren Projekten verbundenen Framework zusammengefasst. Auf diese Weise können Sie Berichte zur Absicherung für ein einzelnes Projekt oder über mehrere Projekte, die mit einem Framework verbunden sind, erstellen.

In diesem Thema finden Sie Beispiele für Absicherungen, damit Sie sich mit den Berechnungen in Verbindung mit der Absicherung vertraut machen können.

Absicherung für ein einzelnes Projekt demonstrieren

Sie können die Absicherung für einzelnes Projekt demonstrieren, um Konfidenz zeigen, dass das organisatorische Risiko effektiv beigelegt wird.

Beispiel

Szenario

Sie führen einen Generellen IT-Kontroll-Review und müssen das Risiko quantitativ bewerten. Sie haben ein Ziel in Ihrem Projekt (physische Sicherheit) und zwei Risiken, die mit diesem Ziel verbunden sind. Sie aktivieren die Absicherung im Projekt und beginnen mit der Durchführung der Projektarbeit.

Risiken bewerten

Sie bewerten das Risiko anhand zwei Risikoeinstufungsfaktoren, Auswirkung und Wahrscheinlichkeit, und verwenden eine 5-Punkteskala, um Risiken zu bewerten:

Ziel	Risiko	Beschreibung	Einstufung
Physische Sicherheit	Risiko 1	Unautorisierter Eintritt in den sicheren Serverraum.	Auswirkung = 5 Wahrscheinlichkeit = 3
Physische Sicherheit	Risiko 2	Die Räumlichkeiten, in denen sensible Daten oder Unternehmensinformationen gespeichert werden, sind nicht in angemessener Art und Weise gesichert	Auswirkung = 2 Wahrscheinlichkeit = 2

Berechnungen des inhärenten Risikoeinstufung

Auf Grundlage Ihrer Risikoeinstufung berechnet die Projekte-App automatisch die inhärente Risikoeinstufung für jedes Risiko sowie einen Gesamtwert für die inhärente Risikoeinstufung:

Risiko 1(5 x 3) = 15.0
Risiko 2(2 x 2) = 4.0

Gesamtwert der inhärenten Risikoeinstufung (15 + 4) = 19.0.

Kontrollen, verbundene Risiken und Kontrollgewichte definieren

Sie definieren vier Kontrollen, die dazu beitragen die beiden identifizierten Risiken beizulegen, einschließlich ihrer verbundenen Risiken und dem Prozentsatz des Risikos, das von der Kontrolle beigelegt wird (Kontrollgewicht):

Kontrolle	Beschreibung	Verbundene Risiken	Kontrollgewicht
Kontrolle 1	Der Gebäudeeingang ist mit einem Schloss versehen.	Risiko 1	100%
Kontrolle 2	Eine Sicherheitskamera ist installiert, um verdächtiges Verhalten aufzuzeichnen.	Risiko 1	20%
Kontrolle 3	Alle Serverräume sind durch Kartenzugangssysteme gesichert.	Risiko 1 Risiko 2	80% 50%
Kontrolle 4	Alle Büroeingänge werden durch Verwaltungspersonal überwacht.	Risiko 1 Risiko 2	50% 50%

Kontrollen testen

In Ihrem Projekt haben Sie keine Testrunden, statt dessen gibt es eine exemplarische Vorgehensweise pro Kontrolle. Sie testen jeden Kontrolle und dokumentieren die Ergebnisse:

Kontrolle	Testergebnis	Bestanden oder nicht bestanden?
Kontrolle 1	Funktioniert effektiv	Geeignet
Kontrolle 2	Ausnahme(n) vermerkt	Nicht geeignet
Kontrolle 3	Funktioniert effektiv	Geeignet
Kontrolle 4	Funktioniert effektiv	Geeignet

Restrisikoeinstufung

Auf Grundlage der definierten Risiko-Kontrolle-Zuordnungen, den angegebenen Kontrollgewichten und den Testergebnissen berechnet die Projekte-App die Restrisikoeinstufung für jedes Risiko sowie den Gesamtwert für die Restrisikoeinstufung.

Die Restrisikoeinstufung wird berechnet, indem die inhärente Risikoeinstufung mit dem Kontrollgewicht der durchgefallenen Kontrollen multipliziert wird.

Risiko 1(15.0 x 0.2) = Restrisikoeinstufung (3.0)
Risiko 2Die Kontrollen 3 und 4 haben beide bestanden und legen Risiko 2 gemeinsam um 100 % bei. Die Restrisikoeinstufung für Risiko 2 ist 0.0.

Der Gesamtwert für die Restrisikoeinstufung wird die durch die Addition aller Restrisikoeinstufungen berechnet:

Risiko 1 Restrisikoeinstufung (3.0) + Risiko 2 Restrisikoeinstufung (0.0) = Gesamtwert für die Restrisikoeinstufung (3.0).

Allgemeine Absicherung

Die allgemeine Absicherung, die innerhalb des Projekts angezeigt wird, wird wie folgt berechnet:

(Gesamtwert für die inhärente Risikoeinstufung (19.0) – Gesamtwert für die Restrisikoeinstufung (3.0)) / Gesamtwert für die inhärente Risikoeinstufung (19.0) = Allgemeine Absicherung 84%).

Absicherung über mehrere Projekte hinweg demonstrieren

Sie können die Absicherung über mehrere Projekte, die mit einem Framework verbunden sind, hinweg demonstrieren, um Konfidenz zeigen, dass das organisatorische Risiko effektiv beigelegt wird.

Beispiel

Szenario

Sie verwalten zentral fünf verschiedene Projekte und bewerten quantitativ das Risiko über alle fünf Projekte hinweg. Es gibt ein Ziel in Ihrem Framework, das zwei Risiken enthält.

Framework	Ziel	Risiko
Framework 1	Zielsetzung 1	Risiko 1
Framework 1	Zielsetzung 1	Risiko 2

Prozess

Sie importieren die Risiken in die relevanten Projekte, aktivieren die Absicherung sowohl im Framework als auch im Projekt und testen Kontrollen. Eventuell auftretende Probleme notieren Sie.

Ergebnis

Testergebnisse und Probleme aus jedem Projekt werden automatisch zusammengefasst und an das Framework übertragen. Die Sicherungsberechnungen werden wie folgt zusammengefasst und an das Framework übertragen:

Risikoeinstufung des Projekts

Projekt	Inhärente Risikoeinstufung	Restrisikoeinstufung	Verknüpftes Framework-Risiko
Projekt 1	9,0	2.0	Risiko 1
Projekt 2	6,0	2.0
Projekt 3	3,0	1.0
Projekt 3	0,0	0,0	Risiko 2
Projekt 4	5,0	1.0
Projekt 5	5,0	1.0

Risikoeinstufung auf Framework-Ebene

Framework-Risiko	Inhärente Risikoeinstufung	Restrisikoeinstufung	Verknüpfte Projekte
Risiko 1	18,0	5,0	1, 2, 3
Risiko 2	10,0	2.0	3, 4, 5

Absicherung von Ziel 1 75%

(Gesamtwert für die inhärente Risikoeinstufung (28.0) - Gesamtwert für die Restrisikoeinstufung (7.0)) / Gesamtwert für die inhärente Risikoeinstufung (28.0)

Weitere Beispiele

Sie können weitere Szenarien anzeigen, die illustrieren, wie die Absicherung für das Risiko innerhalb eines Projekts berechnet wird.

Ein Risiko, das durch eine einzige Kontrolle abgedeckt ist

	Risiko A --> Kontrolle A	Risiko A --> Kontrolle A	Risiko A --> Kontrolle A	Risiko A --> Kontrolle A	Risiko A --> Kontrolle A
Risiko-ID	A	A	A	A	A
Auswirkung	2	3	2	3	3
Wahrscheinlichkeit	5	3	5	3	3
Benutzerdefinierter Risikoeinstufungsfaktor 1 (Geschwindigkeit) Gewicht: 80%	--	--	5	5	--
Benutzerdefinierter Risikoeinstufungsfaktor 2 (Anfälligkeit) Gewicht: 50%	--	--	--	5	--
Inhärente Risikoeinstufung	10	9	40	90	9
Kontrollgewicht	85%	100%	85%	100%	55%
Kontroll-ID	A	A	A	A	A
Funktioniert effektiv?	Ja	Ja	Ja	Ja	Nein
Berechnungen der Restrisikoeinstufungen	10 x (1- 0,85)	0	40 x (1- 0,85)	0	(9 x 0,55) + (9 x 1-0,55)
Begründung	Keine Kontrollen fehlgeschlagen Kombiniertes Kontrollgewicht aller Kontrollen ist < 1	Keine Kontrolle fehlgeschlagen UND Kontrollgewicht aller Kontrollen ist > oder = 1 Kontrolle legt das Risiko unterhalb des Risikotoleranzbereichs bei	Keine Kontrollen fehlgeschlagen Kombiniertes Kontrollgewicht aller Kontrollen ist < 1	Keine Kontrolle fehlgeschlagen UND Kontrollgewicht aller Kontrollen ist > oder = 1 Kontrolle legt das Risiko unterhalb des Risikotoleranzbereichs bei	Kontrolle fehlgeschlagen Kombiniertes Kontrollgewicht aller Kontrollen ist < 1

Ein Risiko, das durch zwei Kontrollen abgedeckt ist

	Risiko A --> Kontrolle A, B	Risiko A --> Kontrolle A, B
Risiko-ID	A	A
Auswirkung	3	4
Wahrscheinlichkeit	3	3
Benutzerdefinierter Risikoeinstufungsfaktor 1 (Geschwindigkeit) Gewicht: 80%	--	--
Benutzerdefinierter Risikoeinstufungsfaktor 2 (Anfälligkeit) Gewicht: 50%	--	--
Inhärente Risikoeinstufung	9	12
Kontrollgewicht	100% - A - Ja 75% - B - Nein	25% - A - Nein 100% - B - Nein
Kontroll-ID
Funktioniert effektiv?
Berechnungen der Restrisikoeinstufungen	9 x 0,75	12 x 1
Begründung	Kontrolle fehlgeschlagen Kombiniertes Kontrollgewicht aller Kontrollen ist > oder = 1	Kontrollen fehlgeschlagen Kombiniertes Kontrollgewicht ist > 1

Ein Risiko, das durch drei Kontrollen abgedeckt ist

	Risiko A --> Kontrolle A, B, C	Risiko A --> Kontrolle A, B, C
Risiko-ID	A	A
Auswirkung	5	5
Wahrscheinlichkeit	3	3
Benutzerdefinierter Risikoeinstufungsfaktor 1 (Geschwindigkeit) Gewicht: 80%	--	--
Benutzerdefinierter Risikoeinstufungsfaktor 2 (Anfälligkeit) Gewicht: 50%	--	--
Inhärente Risikoeinstufung	15	15
Kontrollgewicht	40% - A - Ja 45% - B - Nein 15% - C - Nein	25% - A - Ja 45% - B - Nein 15% - C - Nein
Kontroll-ID
Funktioniert effektiv?
Berechnungen der Restrisikoeinstufungen	15 x (0,45 + 0,15)	15 x (0,45 + 0,15) + 15 x (1- 0,85)
Begründung	Kontrollen fehlgeschlagen Das Restrisiko wird nur basierend auf dem Risiko der fehlgeschlagenen Kontrollen exemplarischer Vorgehensweisen/Tests berechnet	Kontrollen fehlgeschlagen UND kombiniertes Kontrollgewicht aller Kontrollen ist < 1

Berechnungen

In diesem Abschnitt erfahren Sie mehr über die mit Absicherung verbundenen Berechnungen.

Amtszeit	Berechnung	Bemerkungen
Gewichtung des Risikoeinstufungsfaktors	Die Werte (1-1000 %), die vom Benutzer eingegeben werden, drücken die Bedeutung des Risikoeinstufungsfaktors aus.	Je höher der Wert für die Gewichtung, desto wichtiger ist der Risikoeinstufungsfaktor für Ihre Organisation, und je mehr wird der Risikoeinstufungsfaktor zum Gesamtwert der inhärenten Risikoeinstufung beitragen. Der Wertebereich ermöglicht die vollständige Anpassung Ihrer Einstufung. Sie können beispielsweise einen Risikoeinstufungsfaktor fünf mal höher als einen anderen Risikoeinstufungsfaktor gewichten (Anfälligkeit = 100 %, Geschwindigkeit = 500 %). Die Summe der Risikoeinstufungsfaktoren kann eine beliebige Zahl sein. Hinweis Sie können das Gewicht der Risikoeinstufungsfaktoren (Wahrscheinlichkeit und Auswirkung), für die 100 % festgelegt wurde, ändern.
Inhärente Risikoeinstufung (Risiko)	(Auswirkung x Wahrscheinlichkeit) x (benutzerdefinierter Risikoeinstufungsfaktor x Gewichtung)
Inhärente Risikoeinstufung (Ziel)	SUMME (der inhärenten Risikoeinstufungen für alle Risiken des Ziels)
Gesamtwert für die inhärente Risikoeinstufung (Projekt)	SUMME (der inhärenten Risikoeinstufungen pro Ziel)
Gesamtwert für die inhärente Risikoeinstufung (Framework)	SUMME (der inhärenten Risikoeinstufungen in allen Projekten, die das Risiko enthalten)
Kontrollgewicht	Werte (0-100 %) werden vom Benutzer eingegeben, um den Prozentsatz des Risikos auszudrücken, der vom der Kontrolle beigelegt wurde.	Die Summe der Kontrollgewichte muss nicht 100 ergeben.
Restrisikoeinstufung (Risiko)	SUMME (inhärente Risikoeinstufung x Kontrollgewicht <für verbundene Kontrollen, die nicht effektiv funktionieren>) + (inhärente Risikoeinstufung x (1 - Summe der Kontrollgewichte <falls das Gesamtgewicht der Kontrolle kleiner als 100 % ist>)	Die Kontrolle wird als „fehlgeschlagen” markiert und in der Berechnung zur Restrisikoeinstufung verwendet, wenn: eine exemplarische Vorgehensweise nicht ordnungsgemäß gestaltet ist eine Testrunde nicht ordnungsgemäß funktioniert Der Wert für die Absicherung sinkt bei den oben aufgeführten Szenarios Inn der Projekte-App wird eine Restrisikoeinstufung nach Risiko, nicht nach Testrunde, berechnet.
Restrisikoeinstufung (Ziel)	SUMME (der Restrisikoeinstufungen für alle Risiken des Ziels)
Gesamtwert der Restrisikoeinstufung (Projekt)	SUMME (der Restrisikoeinstufungen pro Ziel)
Gesamtwert der Restrisikoeinstufung (Framework)	SUMME (Restrisikoeinstufung in allen Projekten, die das Risiko enthalten)
Allgemeine Absicherung (Projekt)	(Gesamtwert für die inhärente Risikoeinstufung - Gesamtwert für die Restrisikoeinstufung) / Gesamtwert für die inhärente Risikoeinstufung
Allgemeine Absicherung (Framework)	(Gesamtwert für die inhärente Risikoeinstufung in allen Projekten, die das Risiko enthalten - Gesamtwert für die Restrisikoeinstufung in allen Projekten, die das Risiko enthalten) / Gesamtwert für die inhärente Risikoeinstufung