执行运营风险评估

您可以使用项目应用程序轻松有效地组织执行运营风险评估所涉及的所有任务,并量化组织面临的风险。

最终,项目中的测试结果可以累积到您的组织的固有风险残留风险评分中,从而实时了解实施控制前后的剩余风险量。

场景

您是负责整个运营风险评估项目的风险管理领导。您的团队拥有成熟和完善的风险评估流程,并采用三分制评分机制(1 = 低,2 = 中等,3 = 高)从多个维度(可能性、影响、速度和脆弱性)评估风险。

您之前从项目模板创建了一个项目。现在,您需要评估信息技术一般控制目标中的其中一个风险的固有风险评分,以确定在没有实施控制或其他缓解因素的情况下,组织面临的原始风险。

当您评估项目中的各个风险时,您还希望能够确定实施控制的剩余的风险量。当编制最终风险评估报告时,这些信息将会派上用场。

开始之前

本教程将引导您了解项目应用程序中与执行运营风险评估任务相关的关键领域。

在开始学习本教程之前,您需要做两件事情:

  1. 确保您拥有创建项目的适当权限。
  2. 打开项目应用程序,然后使用运营风险评估项目模板创建一个项目。

定义您的风险评分框架

让我们从设置项目开始吧。风险评估过程的第一步是制定一套可以在实体、部门或运营单位使用的通用的评估标准(一个风险评分框架)。风险管理领导者通常负责建立风险评分框架,自己进行评估风险,或将评估责任委派给其他团队成员。

  1. 从启动面板主页 (www.highbond.com) 选择项目应用程序以将其打开。

    如果您已经进入 Diligent One,可以使用左侧导航菜单切换到项目应用程序。

  2. 从项目应用程序主页,在系统管理之下,单击管理项目类型
  3. 运营风险评估旁,单击编辑,然后单击风险和控制选项卡。

    页面上有多种配置选项,但您无需为此担心。您的重点将放在风险评分因素部分,您将在其中定义项目中风险评估的方式。

  4. 向下滚动页面到风险评分因素部分。

    您注意到已为您设置影响、可能性和速度的风险评分因素。您的组织还使用三分制评分机制评估脆弱性风险,因此您需要再设置一个风险评分因素作为风险评分框架的一部分。

  5. 单击添加风险评分因素,如下填写风险评分因素 2 部分,然后向下滚动页面并单击保存

    说明

    单击 + 添加三次,以标记选项下的分数。

结果 您已经定义了一个风险评分框架,可以使用以下风险评分因素来以三分制评分机制(1 - 低、2 - 中等和 3 - 高)评估风险: 可能性、影响、速度和脆弱性。现在,您可以使用您的风险评分框架开始评估固有风险。

评估固有风险

既然您知道将如何评估项目风险,那么您可以开始评估风险。您需要针对未建立管理 IT 的适当的控制环境,专门评估与管理相关的风险。与风险管理团队的其他成员合作,您已将风险的影响确定为,风险的可能性为中等。您还将速度确定为中等,并将脆弱性确定为

  1. 单击 Diligent One 实例的下拉列表,单击项目应用程序,选择运营风险评估项目,然后单击外勤工作选项卡。
  2. 单击信息技术一般控制目标旁的转到,然后选择风险控制矩阵
  3. 单击 ITC-R.01: 无标题风险,向下滚动到风险评级部分,并按以下方式评估风险:

结果 您已经评估了 ITC-R.01 的固有风险: 无标题风险。固有风险评分和残留风险评分都会自动更新。当前残留风险评分与固有风险评分相同,因为与风险相关的控制尚未经过测试,尚未确认其有效运行。

指定旨在降低风险的控制

使用项目模板的好处是它已有一个预置风险控制矩阵。所以,您所要做的就是确认相应的控制与风险有关,且每个控制都被赋予了适当的权重。

  1. 向上滚动页面,然后单击风险控制矩阵选项卡。
  2. ITC-R.01 旁: 无标题风险,单击关联的控制

    您确认适当的控制措施(ITC-01ITC-02ITC-03)已与风险相关联。每个控制都有 100% 的指定控制权重,但您确定这些信息不准确。

  3. 更新以下控制权重,然后单击保存
    • ITC-01 25%
    • ITC-02 25%
    • ITC-03 50%

结果您已指定旨在降低风险的控制,并说明每个控制所缓解的风险的百分比。

评估控制有效性

太棒了,您已准确设置了风险和控制关联。现在,您需要测试每个控制来评估运行的有效性。如果一个或多个控制有效运行,则残留风险评分将低于固有风险评分。

  1. 单击控制评估选项卡。
  2. ITC-01 旁,单击查看/编辑,向下滚动页面,然后从此控制是否有效?字段中选择有效,并单击保存
  3. ITC-02 ITC-03 重复步骤 1 和 2,但将 ITC-02 标记为有效,将 ITC-03 标记为无效

结果您已评估每个控制的操作有效性。ITC-01 和 ITC-02 被定义为“通过”,而 ITC-03 被定义为“未通过”。

查看残留风险

这是最后一步,非常简单。让我们看看在实施控制后的剩余的风险量。

  1. 单击风险控制矩阵选项卡,然后单击 ITC-R.01: 无标题风险
  2. 向下滚动页面至评级部分,查看残留风险评分。

结果残留风险评分是固有残留风险评分的 50%。如果所有控制均有效运行,则残留风险评分将为 0.0,这意味着所实施的控制将风险降低了 100%。然而,由于三项控制中只有两项通过( ITC-01 ITC-02 ,两者的权重各为25%),因此所实施的控制将风险降低了 50%。

讨论

既然您已经执行了运营风险评估,那么您应了解能采取的下一步措施以及报告总体固有风险和残留风险的选项。

后续步骤

为了说明您将某个控制确定为有效或无效的原因,您应填写每个控制评估的评估结果部分,并通过从结果应用程序上传文件或链接证据来添加支持文档。在此情况下,其中一个控制评估(ITC-03)失败,因此您还可以记录一个问题以指出异常情况。

自动执行风险评估

执行运营风险评估可能极其耗时,且需手动进行。为了提高效率,您可以创建评估推动器来自动执行风险评估,这可以让您更快地对变化做出反应,并在适当的时间将信息传递给适当的人员。

有关详细信息,请参阅自动执行运营风险评估

大局是什么?

您之前查看了单一风险的固有和残留风险评分( ITC-R.01: 无标题风险)。但是,报告单个风险级别要求做到极为详尽。通常,您需要报告总体固有风险和残留风险。例如,您可能需要报告单个目标中所有风险或项目中的所有风险的总体固有风险评分和残留风险评分。

查看目标级别的总体风险评分

您可以通过单击项目中的进度,查看单个目标中的所有风险的总体固有风险和残留风险评分:

查看项目级别的总体风险评分

您可以通过单击结果选项卡来查看项目中的所有风险的总体固有风险和残留风险评分: