Cálculo da garantia de risco
Quando você ativa a garantia, agrega os resultados de testes e problemas para um projeto ativo ou estrutura associados com vários projetos. Isso permite que você gere relatórios sobre garantia para um único projeto ou todos os projetos associados com uma estrutura.
Este tópico fornece alguns exemplos de garantia para você se familiarizar com os cálculos associados à garantia.
Demonstrando a garantia para um único projeto
Demonstre a garantia para um único projeto para mostrar confiança de que o risco organizacional está sendo efetivamente mitigado.
Exemplo
Cenário
Você está realizando uma Revisão Geral de Controles de TI e precisa avaliar quantitativamente o risco. Você tem um objetivo em seu projeto (Segurança Física) e dois riscos associados ao objetivo. Você ativa a garantia no projeto e começa a realizar trabalho no projeto.
Pontuando riscos
Você avalia o risco com base em dois fatores de pontuação de risco, Impacto e Probabilidade, e usa uma escala de 5 pontos para pontuar os riscos:
| Objetivo | Risco | Descrição | Pontuação |
|---|---|---|---|
| Segurança Física | Risco 1 | Entrada não autorizada na sala segura do servidor |
|
| Risco 2 | As instalações que armazenam dados confidenciais ou informações da empresa não estão adequadamente protegidas. |
|
Cálculo de Pontuação de Risco Inerente
Com base na sua pontuação de risco, o Projetos automaticamente calcula a Pontuação de Risco Inerente de cada risco, bem como a Pontuação Total de Risco Inerente:
- Risco 1 (5 x 3) = 15,0
- Risco 2 (2 x 2) = 4,0
Pontuação Total de Risco Inerente (15 + 4) = 19,0.
Definindo controles, riscos associados e pesos de controle
Você define quatro controles que ajudam a mitigar os dois riscos identificados, incluindo seus riscos associados e o percentual de risco que o controle mitiga (Peso de Controle):
| Controle | Descrição | Risco Associado | Peso de Controle |
|---|---|---|---|
| Controle 1 | Uma trava na entrada das instalações. | Risco 1 | 100% |
| Controle 2 | Uma câmera de segurança para registrar atividades suspeitas. | Risco 1 | 20% |
| Controle 3 | Todas as entradas nas instalações do servidor são protegidas por um sistema de acesso por cartão. |
|
|
| Controle 4 | Todas as entradas das instalações do escritório são monitoradas pela equipe administrativa. |
|
|
Controles de testes
No seu projeto, você não tem nenhuma rodada de testes, na verdade, tem uma orientação por controle. Você testa cada controle e documenta os resultados:
| Controle | Resultado de testes | Passa ou Falha? |
|---|---|---|
| Controle 1 | Operando Efetivamente | Passa |
| Controle 2 | Exceção(ões) Notada(s) | Falha |
| Controle 3 | Operando Efetivamente | Passa |
| Controle 4 | Operando Efetivamente | Passa |
Pontuação de Risco Residual
Com base nas suas definições de associações de risco-controle, pesos de controle especificados e resultados de testes, o Projetos calcula automaticamente a Pontuação de Risco Residual para cada risco, bem como a Pontuação de Risco Residual Total.
A Pontuação de Risco Residual é calculada multiplicando a Pontuação de Risco Inerente pelo peso de controle para os controles associados que falharam:
- Risco 1 (15,0 x 0,2) = Pontuação de Risco Residual (3,0)
- Risco 2 os Controles 3 e 4 passam e mitigam coletivamente o Risco 2 em 100%. A Pontuação de Risco Residual para o Risco 2 é 0,0.
A Pontuação Total de Risco Residual é calculada adicionando todas as Pontuações de Risco Residual:
Risco 1 Pontuação de Risco Residual (3,0) + Risco 2 Pontuação de Risco Residual (0,0) = Pontuação Total de Risco Residual (3,0).
Garantia Geral
A Garantia Geral, exibida no projeto, é calculada da seguinte forma:
(Pontuação Total de Risco Inerente (19,0) – Pontuação Total de Risco Inerente (3,0)) / Pontuação Total de Risco Inerente (19,0) = Garantia Geral (84%).
Demonstrando garantia em vários projetos
Demonstre a garantia em vários projetos associados a uma estrutura para mostrar a confiança na mitigação efetiva do risco organizacional.
Exemplo
Cenário
Você precisa gerenciar centralmente cinco projetos diferentes e avaliar quantitativamente os riscos entre todos os cinco projetos. Na sua estrutura, há um objetivo que contém dois riscos.
| Estrutura | Objetivo | Risco |
|---|---|---|
| Estrutura 1 | Objetivo 1 | Risco 1 |
| Risco 2 |
Processo
Você importa os riscos para os projetos relevantes, ativa a garantia na estrutura e no projeto e testa os controles. Você anota todos os problemas, quando aplicável.
Resultado
Os resultados de testes e problemas são automaticamente agregados de cada projeto à estrutura. Os cálculos de garantia são agregados à estrutura desta forma:
Pontuações de risco de nível do projeto
| Projeto | Pontuação de Risco Inerente | Pontuação de Risco Residual | Risco de estrutura associado |
|---|---|---|---|
| Projeto 1 | 9.0 | 2.0 | Risco 1 |
| Projeto 2 | 6.0 | 2.0 | |
| Projeto 3 | 3.0 | 1.0 | |
| Projeto 3 | 0,0 | 0,0 | Risco 2 |
| Projeto 4 | 5.0 | 1.0 | |
| Projeto 5 | 5.0 | 1.0 |
Pontuações de risco de nível da estrutura
| Risco da estrutura | Pontuação de Risco Inerente | Pontuação de Risco Residual | Projetos associados |
|---|---|---|---|
| Risco 1 | 18.0 | 5.0 | 1, 2, 3 |
| Risco 2 | 10.0 | 2.0 | 3, 4, 5 |
Garantia do Objetivo 1 75%
(Pontuação Total de Risco Inerente (28.0) - Pontuação Total de Risco Residual (7.0)) / Pontuação Total de Risco Inerente (28.0)
Mais exemplos
Exiba outros cenários que ilustram como a garantia para o risco é calculada em um único projeto.
Um risco coberto por um único controle
| Risco A --> Controle A | Risco A --> Controle A | Risco A --> Controle A | Risco A --> Controle A | Risco A --> Controle A | |
|---|---|---|---|---|---|
| ID do Risco | A | A | A | A | A |
| Impacto | 2 | 3 | 2 | 3 | 3 |
| Probabilidade | 5 | 3 | 5 | 3 | 3 |
|
Fator de Pontuação de Risco Personalizado 1 (Velocidade) Peso: 80% |
-- | -- | 5 | 5 | -- |
|
Fator de Pontuação de Risco Personalizado 2 (Vulnerabilidade) Peso: 50% |
-- | -- | -- | 5 | -- |
| Pontuação de Risco Inerente | 10 | 9 | 40 | 90 | 9 |
| Peso de Controle | 85% | 100% | 85% | 100% | 55% |
| ID de Controle | A | A | A | A | A |
| Operando efetivamente? | Sim | Sim | Sim | Sim | Não |
| Cálculo de Pontuação de Risco Residual | 10 x (1- 0,85) | 0 | 40 x (1- 0,85) | 0 | (9 x 0,55) + (9 x 1-0,55) |
| Explicação |
|
|
|
|
|
Um risco coberto por dois controles
| Risco A --> Controle A, B | Risco A --> Controle A, B | |
|---|---|---|
| ID do Risco | A | A |
| Impacto | 3 | 4 |
| Probabilidade | 3 | 3 |
|
Fator de Pontuação de Risco Personalizado 1 (Velocidade) Peso: 80% |
-- | -- |
|
Fator de Pontuação de Risco Personalizado 2 (Vulnerabilidade) Peso: 50% |
-- | -- |
| Pontuação de Risco Inerente | 9 | 12 |
| Peso de Controle |
|
|
| ID de Controle | ||
| Operando efetivamente? | ||
| Cálculo de Pontuação de Risco Residual | 9 x 0,75 | 12 x 1 |
| Explicação |
|
|
Um risco coberto por três controles
| Risco A --> Controle A, B, C |
Risco A --> Controle A, B, C | |
|---|---|---|
| ID do Risco | A | A |
| Impacto | 5 | 5 |
| Probabilidade | 3 | 3 |
|
Fator de Pontuação de Risco Personalizado 1 (Velocidade) Peso: 80% |
-- | -- |
|
Fator de Pontuação de Risco Personalizado 2 (Vulnerabilidade) Peso: 50% |
-- | -- |
| Pontuação de Risco Inerente | 15 | 15 |
| Peso de Controle |
|
|
| ID de Controle | ||
| Operando efetivamente? | ||
| Cálculo de Pontuação de Risco Residual | 15 x (0,45 + 0,15) | 15 x (0,45 + 0,15) + 15 x (1- 0,85) |
| Explicação |
|
|
Cálculos
Saiba sobre os cálculos associados com a garantia.
| Termo | Cálculo | Observações |
|---|---|---|
| Peso do Fator de Pontuação de Risco |
Valores (1-1000%) inseridos pelo usuário para expressar a importância do Fator de Pontuação de Risco. |
Quanto maior o valor do peso, mais importante é o fator de pontuação de risco para sua organização e maior a contribuição do fator para a Pontuação de Risco Inerente Total. O intervalo de valores permite personalização completa da sua pontuação. Por exemplo, você pode ponderar um fator de pontuação de risco cinco vezes mais do que outro fator de pontuação de risco (Vulnerabilidade = 100%, Velocidade = 500%). A soma dos pesos de Fator de Pontuação de Risco pode resultar em qualquer número. Observação
Você não pode modificar o peso dos fatores de pontuação de risco padrão (Probabilidade e Impacto), que são definidos em 100%. |
| Pontuação de Risco Inerente (Risco) | (Impacto x Probabilidade) x (Fator de Pontuação de Risco x Peso) |
|
| Pontuação de Risco Inerente (Objetivo) | SUM (Pontuações de Risco Inerente para todos os riscos no objetivo) |
|
| Pontuação Total de Risco Inerente (Projeto) | SUM (Pontuações de Risco Inerente por objetivo) |
|
| Pontuação Total de Risco Inerente (Estrutura) | SUM (Pontuações de Risco Inerente em todos os projetos que contêm o risco) |
|
| Peso de Controle |
Valores (0 a 100%) inseridos pelo usuário para expressar a porcentagem de risco mitigada pelo controle. |
A soma dos pesos de controle pode resultar em qualquer número. |
| Pontuação de Risco Residual (Risco) | SUM (Pontuação de Risco Inerente x Peso de Controle ) + (Pontuação de Risco Inerente x (1 - Soma dos pesos de controle <se Peso de controle total for inferior a 100%>)) |
O controle é marcado como "reprovado" e usado no cálculo da Pontuação de Risco Residual quando:
A garantia diminui nos cenários acima. O Projetos calcula uma Pontuação de Risco Residual por risco, não uma Pontuação de Risco Residual por rodada de testes. |
| Pontuação de Risco Residual (Objetivo) | SUM (Pontuações de Risco Residual para todos os riscos no objetivo) |
|
| Pontuação Total de Risco Residual (Projeto) | SUM (Pontuações de Risco Residual por objetivo) |
|
| Pontuação Total de Risco Residual (Estrutura) | SUM (Pontuações de Risco Residual em todos os projetos que contêm o risco) |
|
| Garantia Geral (Projeto) | (Pontuação Total de Risco Inerente - Pontuação Total de Risco Residual) / Pontuação Total de Risco Inerente |
|
| Garantia Geral (Estrutura) | (Pontuações Totais de Risco Inerente em todos os projetos que contêm o risco - Pontuações Totais de Risco Residual em todos os projetos que contêm o risco) / Pontuações Totais de Risco Inerente |
