Calcolare l'assurance del rischio

Quando si abilita l'assurance, si aggregano i risultati del testing e le issue per un progetto o un framework associato a più progetti. Ciò consente di generare rapporti sull'assurance per un singolo progetto o per tutti i progetti associati a un framework.

Questo argomento fornisce esempi di assurance in modo da acquisire familiarità con i calcoli associati all'assurance.

Dimostrare l'assurance per un singolo progetto

È possibile dimostrare l'assurance per un singolo progetto per mostrare che il rischio organizzativo sia efficacemente mitigato.

Esempio

Scenario

Ipotizziamo di condurre una revisione dei controlli generali dell'IT e di aver bisogno di valutare il rischio da un punto di vista quantitativo. Disponi di un obiettivo nel tuo progetto (sicurezza fisica) e due rischi associati a tale obiettivo. Viene abilitata l'assurance nel progetto e si inizia il lavoro del progetto.

Assegnare un punteggio ai rischi

Si valuta il rischio in base a due fattori di punteggio del rischio, impatto e probabilità, e si utilizza una scala di 5 punti per assegnare un punteggio ai rischi:

Obiettivo Rischio Descrizione Punteggio
Sicurezza fisica Rischio 1 Voce non autorizzata nella sala server protetta.
  • Impatto = 5
  • Probabilità = 3
Rischio 2 Le strutture che archiviano dati sensibili o informazioni aziendali non sono adeguatamente protette.
  • Impatto = 2
  • Probabilità = 2
Calcolo del punteggio di rischio inerente

In base al punteggio del rischio, Progetti calcola automaticamente il punteggio di rischio inerente di ciascun rischio, nonché il punteggio di rischio inerente totale:

  • Rischio 1: (5 x 3) = 15,0.
  • Rischio 2: (2 x 2) = 4,0.

Punteggio di rischio inerente: (15 + 4) = 19,0.

Definire i controlli, i rischi associati e i pesi di controllo

È possibile definire quattro controlli che aiutano a mitigare i due rischi identificati, compresi i rischi associati, e la percentuale del rischio che viene mitigata dal controllo (peso di controllo):

Controllo Descrizione Rischio associato Peso del controllo
Controllo 1 All'ingresso della struttura è presente un lucchetto. Rischio 1 100%
Controllo 2 È presente una telecamera di sicurezza per registrare attività sospette. Rischio 1 20%
Controllo 3 Tutti gli ingressi alla struttura del server sono protetti da un sistema di accesso con chiave magnetica.
  • Rischio 1
  • Rischio 2
  • 80%
  • 50%
Controllo 4 Tutti gli ingressi alla struttura sono monitorati da personale amministrativo.
  • Rischio 1
  • Rischio 2
  • 50%
  • 50%
Testare i controlli

Nel progetto non sono previsti cicli di testing, ma è disponibile una guida dettagliata per controllo. Viene testato ogni controllo e documentati i risultati:

Controllo Risultato del testing Superato o non superato?
Controllo 1 Opera in maniera efficace Superato
Controllo 2 Rilevate eccezioni Non superato
Controllo 3 Opera in maniera efficace Superato
Controllo 4 Opera in maniera efficace Superato
Punteggio di rischio residuo

In base alle associazioni rischio-controllo definite, ai pesi di controllo specificati e ai risultati del testing, Progetti calcola automaticamente il punteggio di rischio residuo per ogni rischio, nonché il punteggio di rischio residuo totale.

Il punteggio di rischio residuo viene calcolato moltiplicando il punteggio di rischio inerente per il peso di controllo per i controlli associati che non hanno superato il test:

  • Rischio 1: (15,0 x 0,2) = Punteggio di rischio residuo (3,0).
  • Rischio 2: i controlli 3 e 4 hanno entrambi superato il test e insieme mitigano il rischio 2 del 100%. Il punteggio di rischio residuo per il rischio 2 è 0,0.

Il punteggio di rischio residuo totale viene calcolato sommando tutti i punteggi di rischio residuo:

Punteggio di rischio residuo del rischio 1 (3,0) + Punteggio di rischio residuo del rischio 2 (0,0) = Punteggio di rischio residuo totale (3,0).

Assurance generale

L'assurance generale, visualizzata all'interno del progetto, viene calcolata come segue:

(Punteggio totale di rischio inerente (19,0) - Punteggio totale di rischio residuo (3,0)) / Punteggio totale di rischio inerente (19,0) = Assurance generale (84%).

Dimostrare l'assurance su più progetti

È possibile dimostrare l'assurance su più progetti associati a un framework per dimostrare che il rischio organizzativo sia efficacemente mitigato.

Esempio

Scenario

Ipotizziamo di gestire centralmente 5 diversi progetti e di valutare il rischio da un punto di vista quantitativo su tutti i 5 progetti. Nel framework, è presente un obiettivo che contiene due rischi.

Framework Obiettivo Rischio
Framework 1 Obiettivo 1 Rischio 1
Rischio 2

Processo

Vengono importati i rischi nei progetti pertinenti, abilitata l'assurance sia nel framework che nel progetto e vengono testati i controlli. Vengono annotati eventuali problemi, ove applicabile.

Risultato

I risultati del testing e le issue vengono automaticamente aggregati da ciascun progetto al framework. I calcoli di assurance vengono aggregati al framework come riportato di seguito:

Punteggi del rischio a livello di progetto
Progetto Punteggio di rischio inerente Punteggio di rischio residuo Rischio del framework associato
Progetto 1 9,0 2,0 Rischio 1
Progetto 2 6,0 2,0
Progetto 3 3,0 1,0
Progetto 3 0,0 0,0 Rischio 2
Progetto 4 5,0 1,0
Progetto 5 5,0 1,0
Punteggi del rischio a livello di framework
Rischio del framework Punteggio di rischio inerente Punteggio di rischio residuo Progetti associati
Rischio 1 18,0 5,0 1, 2, 3
Rischio 2 10,0 2,0 3, 4, 5

Assurance dell'obiettivo 1: 75%.

(Punteggio totale di rischio inerente (28,0) - Punteggio totale di rischio residuo (7,0)) / Punteggio totale di rischio inerente (28,0).

Altri esempi

È possibile visualizzare scenari aggiuntivi che illustrano come viene calcolata l'assurance del rischio all'interno di un singolo progetto.

Un rischio coperto da un unico controllo

  Rischio A --> Controllo A Rischio A --> Controllo A Rischio A --> Controllo A Rischio A --> Controllo A Rischio A --> Controllo A
ID di rischio A A A A A
Impatto 2 3 2 3 3
Probabilità 5 3 5 3 3

Fattore di punteggio del rischio personalizzato 1 (velocità)

Peso: 80%

 -- -- 5 5 --

Fattore di punteggio del rischio personalizzato 2 (vulnerabilità)

Peso: 50%

 -- -- -- 5 --
Punteggio di rischio inerente 10 9 40 90 9
Peso del controllo 85% 100% 85% 100% 55%
ID di controllo A A A A A
Opera in maniera efficace? No
Calcolo del punteggio di rischio residuo 10 x (1- 0,85) 0 40 x (1- 0,85) 0 (9 x 0,55) + (9 x 1-0,55)
Spiegazione
  • Nessun controllo ha avuto esito negativo
  • Il peso combinato di controllo di tutti i controlli è < 1
  • Nessun controllo ha avuto esito negativo E il peso di tutti i controlli è > o = 1
  • Il controllo mitiga il rischio al di sotto del livello di tolleranza al rischio
  • Nessun controllo ha avuto esito negativo
  • Il peso combinato di controllo di tutti i controlli è < 1
  • Nessun controllo ha avuto esito negativo E il peso di tutti i controlli è > o = 1
  • Il controllo mitiga il rischio al di sotto del livello di tolleranza al rischio
  • Il controllo ha avuto esito negativo
  • Il peso combinato di controllo di tutti i controlli è < 1

Un rischio coperto da 2 controlli

  Rischio A --> Controlli A, B Rischio A --> Controlli A, B
ID di rischio A A
Impatto 3 4
Probabilità 3 3

Fattore di punteggio del rischio personalizzato 1 (velocità)

Peso: 80%

 -- --

Fattore di punteggio del rischio personalizzato 2 (vulnerabilità)

Peso: 50%

 -- --
Punteggio di rischio inerente 9 12
Peso del controllo
  • 100% - A - Sì
  • 75% - B - No

 
  • 25% - A - No
  • 100% - B - No
ID di controllo
Opera in maniera efficace?
Calcolo del punteggio di rischio residuo 9 x 0,75 12 x 1
Spiegazione
  • Il controllo ha avuto esito negativo
  • Il peso combinato di controllo di tutti i controlli è > o = 1
  • I controlli hanno avuto esito negativo
  • Il peso combinato di controllo è > 1

Un rischio coperto da 3 controlli

  Rischio A -->
Controlli A, B, C		 Rischio A --> Controlli A, B, C
ID di rischio A A
Impatto 5 5
Probabilità 3 3

Fattore di punteggio del rischio personalizzato 1 (velocità)

Peso: 80%

 -- --

Fattore di punteggio del rischio personalizzato 2 (vulnerabilità)

Peso: 50%

 -- --
Punteggio di rischio inerente 15 15
Peso del controllo
  • 40% - A - Sì
  • 45% - B - No
  • 15% - C - No
  • 25% - A - Sì
  • 45% - B - No
  • 15% - C - No
ID di controllo
Opera in maniera efficace?
Calcolo del punteggio di rischio residuo 15 x (0,45 + 0,15) 15 x (0,45 + 0,15) + 15 x (1- 0,85)
Spiegazione
  • I controlli hanno avuto esito negativo
  • Il rischio residuo viene calcolato solo in base al rischio di guide dettagliate/test di controllo falliti
  • Controlli hanno avuto esito negativo E il peso combinato di controllo di tutti i controlli è < 1

Calcoli

È possibile ottenere maggiori informazioni sui calcoli associati all'assurance.

Termine Calcolo Osservazioni
Peso del fattore di punteggio del rischio

Valori (1-1000%) immessi dall'utente per esprimere l'importanza del fattore di punteggio del rischio.

Maggiore è il valore del peso, maggiore sarà il fattore di punteggio del rischio per l'organizzazione e maggiore sarà il contributo di tale fattore al punteggio di rischio inerente totale.

La presenza di un intervallo di valori consente la personalizzazione assoluta del punteggio. Per esempio, è possibile assegnare a un fattore del punteggio del rischio cinque volte superiore a un altro (Vulnerabilità = 100%, Velocità = 500%). La somma dei pesi del fattore di punteggio del rischio può sommarsi a qualsiasi numero.

Nota

Non è possibile modificare il peso dei fattori di punteggio del rischio predefinito (Probabilità e Impatto), che è fissato al 100%.
Punteggio di rischio inerente (rischio) 
(Impatto x Probabilità) x (Fattore di punteggio del rischio personalizzato x Peso)
  
Punteggio di rischio inerente (obiettivo) 
SOMMA (Punteggi di rischio inerente per tutti i rischi nell'obiettivo)
  
Punteggio di rischio inerente totale (progetto) 
SOMMA (Punteggio di rischio inerente per obiettivo)
  
Punteggio di rischio inerente totale (framework) 
SOMMA (Punteggi di rischio inerente in tutti i progetti contenenti il rischio)
  
Peso del controllo

Valori (0-100%) immessi dall'utente per esprimere la percentuale di rischio mitigato dal controllo.

La somma dei pesi di controllo può sommarsi a qualsiasi numero.
Punteggio di rischio residuo (rischio) 
SOMMA (Punteggio di rischio inerente x Peso di controllo <per controlli associati che non operano in modo efficiente>) + (Punteggio di rischio inerente x (1 - Somma dei pesi di controllo <se il peso di controllo totale è inferiore al 100%>))

Il controllo viene contrassegnato come "non riuscito" e utilizzato nel calcolo del punteggio di rischio residuo nei seguenti casi:

  • Qualsiasi guida dettagliata non è progettata in modo appropriato
  • Qualsiasi ciclo di testing non opera in modo efficace

L'assurance diminuisce con gli scenari di cui sopra.

Progetti calcola un punteggio di rischio residuo per rischio, non un punteggio di rischio residuo per ciclo di testing.
Punteggio di rischio residuo (obiettivo) 
SOMMA (Punteggi di rischio residuo per tutti i rischi nell'obiettivo)
  
Punteggio totale di rischio residuo (progetto) 
SOMMA (Punteggio di rischio residuo per obiettivo)
  
Punteggio totale di rischio residuo (framework) 
SOMMA (Punteggi di rischio residuo in tutti i progetti contenenti il rischio)
  
Assurance generale (progetto) 
(Punteggio totale di rischio inerente - Punteggio totale di rischio residuo) / Punteggio totale di rischio inerente.
Assurance generale (framework) 
(Punteggi totali di rischio inerente in tutti i progetti che contengono il rischio - Punteggi totali di rischio residuo in tutti i progetti che contengono il rischio) / Punteggi totali di rischio inerente.