Automatizzare le valutazioni del rischio operativo e dei controlli
Nell'applicazione Progetti è possibile creare fattori di valutazione basati su una metrica per automatizzare le valutazioni del rischio operativo e dei controlli e informare le principali parti interessate in caso di cambiamenti.
Prima di iniziare
Prima di poter automatizzare le valutazioni, è necessario impostare un progetto con obiettivi, rischi e controlli. Per attivare il pulsante Automatizza 
, un membro del team deve completare le seguenti attività:
- Creare una metrica in Risultati consultare Monitorare gli indicatori chiave con le metriche
- Collegare la metrica alla valutazione in un progetto consultare Collegare prove provenienti da Risultati
Come funziona
Un fattore di valutazione è uno strumento di automazione per mantenere le tue valutazioni attuali, in tempo reale. Puoi creare più fattori di valutazione per automatizzare le diverse valutazioni dei rischi e dei controlli.
Si crea un fattore di valutazione:
- selezionando la valutazione del rischio o dei controlli che si desidera automatizzare
- definendo intervalli di metriche che verranno utilizzati per:
- compilare il punteggio di rischio inerente per la valutazione del rischio OPPURE
- determinare la valutazione della progettazione o dell'efficacia di un controllo
Una volta creato il fattore di valutazione, la valutazione viene aggiornata automaticamente ogni volta che il valore della metrica supera una determinata soglia.
Perché creare un fattore di valutazione in un progetto invece che in un framework?
I progetti attivi sono valutazioni puntuali, mentre i framework sono continui e mostrano attività aggregate su più progetti. È più utile creare fattori di valutazione all'interno di un progetto e aggregare le modifiche in un unico framework.
Come informare le parti interessate quando si verificano modifiche alle valutazioni?
I seguenti utenti vengono automaticamente informati delle modifiche alle valutazioni tramite l'e-mail di riepilogo giornaliera di Progetti:
- La valutazione del rischio cambia l'Utente assegnato dell'obiettivo
- La valutazione dei controlli cambia il Proprietario del controllo e l'Utente assegnato dell'obiettivo
L'e-mail riassume:
- quali valutazioni sono state aggiornate
- il numero di volte in cui ciascuna valutazione è stata aggiornata nelle ultime 24 ore
- eventuali fattori di valutazione disabilitati a causa di un errore
Si possono visualizzare i dati storici associati ai fattori di valutazione?
Sì. Quando un fattore di valutazione aggiorna una valutazione, l'evento viene registrato nel Log attività all'interno della dashboard del progetto e nella sezione Cronologia del rischio, della procedura d'esecuzione, della guida dettagliata o del test.
Automatizzare una valutazione del rischio o dei controlli
| Attività | Informazioni dettagliate |
|---|---|
| Automatizzare una valutazione del rischio | Automatizzare le valutazioni del rischio operativo |
| Automatizzare una valutazione dei controlli | Automatizzare le valutazioni dei controlli |
Esempi
Scenario
Nell'ambito della Revisione della sicurezza informatica, è stato identificato un rischio nel processo Identificazione:
Multe, azioni legali e spese legali derivanti dalla mancata conformità o dalla perdita di informazioni sensibili
Sulla base dei risultati dell'analisi dei dati, è stato identificato il costo globale degli incidenti di sicurezza e creata una metrica denominata "Costo globale degli incidenti di sicurezza".
Processo
Innanzitutto, si configura il punteggio del rischio quantificando l'impatto del rischio come segue:
- < 10.000.000 $ = Basso
- ≥ 10.000.000 $ < 65.000.000 $ = Medio
- ≥ 65.000.000 $ = Alto
Quindi si collega la metrica "Costo globale degli incidenti di sicurezza", creata in Risultati, al rischio in Progetti.
Infine, si crea un fattore di valutazione definendo una serie di intervalli di metriche che verranno utilizzati per compilare i punteggi di rischio inerente:
Risultato
La valutazione del rischio è automatizzata: 
Gli utenti vengono avvisati automaticamente quando vengono superate determinate soglie, consentendo loro di intraprendere le azioni appropriate.
Scenario
Nell'ambito della Revisione generale dei controlli IT, è stato identificato un controllo nel processo Sicurezza fisica:
Tutti gli ingressi al centro dati o alle strutture server sono protetti da un sistema di accesso con chiave magnetica
Sulla base dei risultati dell'analisi dei dati, sono stati identificati 100 ingressi alle strutture in diversi centri dati che dovrebbero essere tutti protetti tramite accesso con chiave magnetica. La metrica creata per valutare e monitorare l'efficacia del controllo si chiama "% di ingressi sicuri alle strutture". Questa metrica monitora la percentuale di ingressi alla struttura per cui è abilitato l'accesso con chiave magnetica.
Processo
Innanzitutto, si collega la metrica "% di ingressi sicuri alle strutture", creata in Risultati, al test in Progetti.
Quindi si crea un fattore di valutazione definendo una serie di intervalli di metriche che verranno utilizzati per compilare il valore del campo Questo controllo ha funzionato in modo efficace? :
- > 99 = Funzionamento efficace
- ≤ 99 = Eccezioni rilevate
Risultato
La valutazione dei controlli è automatizzata: 
Gli utenti vengono avvisati automaticamente quando vengono superate determinate soglie, consentendo loro di intraprendere le azioni appropriate.
