参与澳门赌场官方下载风险管理过程的每个人都可能不得不总结他们的工作,并将大量信息浓缩成简短的演示文稿. 这样做的时候, 通常有必要以牺牲其他信息为代价来突出一些信息,或者在不失去整体概念重要性的情况下简化一个想法. 最后, 人们可能会对结果感到不满,觉得本来可以做得更好.
用简明易懂的方式解释一系列概念总是一个挑战. 在讨论风险时,还必须提供各种其他背景信息. 例如, 风险概念与潜在事件有关, 这种可能性模糊了风险价值的轮廓. 为了更好地理解风险评估的基本原理, 必须考虑其他信息, 比如概率, 影响, 补救控制等等. 也, 风险因素通常根据其价值排序, 没有考虑到所有的成分和正确的暴露水平.
提出了一种简单而明确地组织风险评估结果和必要背景资料的方法. 目标是获得高影响和高频率风险因素的高可见度, 同时允许对补救计划进行评估,并将内部和外部风险因素分开. 本文是本系列的第4部分,将继续介绍前三篇文章中介绍的风险监控方法.1, 2, 3
风险监察方法
了解风险组件是什么以及如何收集它们, 下面简要介绍一下合适的方法. 从贡献中得到启示, 原则, 方法和思想来源于各种各样的作品, 处理管理和控制业务流程的机构和标准,4, 5, 6, 7, 8, 9, 10 基于先前对澳门赌场官方下载成熟度模型的评估的风险评估方法是起点.
成熟度模型的评估包括编制澳门赌场官方下载现有的所有控制的列表,然后评估每个控制的成熟度. 自我评估是评估的第一步, 而是为了获得对结果更大的信心, 远程检查由流程所有者执行, 风险管理人员进行现场访问并进行内部审计. 包括能力成熟度模型(CMM)的协同循环, 澳门赌场官方下载风险管理(ERM)过程和内部审计(IA)过程产生了互惠互利(图1).
使用合适的公式对成熟度模型进行评估,可以确定风险水平. 只要在澳门赌场官方下载风险列表中定义的每个风险都与成熟度模型中的一组控制相关联, 所有的风险因素都会被自动评估. 生成的风险图允许选择将触发审计的指标. 内部审计证实了控制评估的正确性, 审计补救计划可以合并到风险处理计划中,因为它具有相同的结构并在相同的上下文中运行.
澳门赌场官方下载风险评估(ERA)是对CMM控制的评估过程的评价, 哪些是澳门赌场官方下载风险监控方法的一部分. 正如CMM提供给澳门赌场官方下载风险模型一样, 它还可以自动提供给其他框架(详细信息请参阅本系列的第1-3部分)。.
CMM评估
在讨论风险数据的呈现方法之前, 有必要考虑组成成熟度模型的一些控制. 其中一个考虑是成熟度的评估. 风险评估人员必须认识到,除了对规则的纯粹尊重之外,还有一个额外的步骤:规则, 作为应用, 必须满足风险分析.
要做到这一点, 评级级别“合规”和“进一步关注”(在本系列的前几篇文章中使用)被重命名为“优化”和“合规”,”分别. 新的compatible级别表示简单状态, 正式遵守规则, 而“优化”则表示该规则的实施完全符合风险控制计划(图2). 此更改澄清了简单遵守规则和验证任何决策是否已使用基于风险的逻辑实现之间的区别. 这种区别对于强调涉及价值创造而不仅仅是潜在损失的情况也很重要, 这是风险分析中经常出现的情况.
让风险分析被接受, 必须采取两项措施——第一项针对当前的控制措施,第二项针对所有应对措施,直至达到可接受的风险水平. 因此,必须监视一个新参数. 评估对策的一种方法是.e.(未来计划的控制)是要求一份关于这些补救措施的进度报告. 中给出了工作进度限定符的列表 图3.
评估修复计划的进度, 就其有效性而言,已执行的工作与已完成和已核查的工作是有区别的. 每一个质量水平的进展都附有一个0到1之间的数值测量值,以便在风险计算公式(图4)及其随后的巩固.
如果不能有效实施,补救计划将降低控制的成熟度. 风险矩阵为每个控制提供了基于成熟度三元组合的风险值, 损失和似然参数. 在结构加固方面, 风险控制关系允许对其他控制(严重程度)和风险本身(风险权重因子)进行加权平均。.
成熟度模型和风险管理概念
图形化地表示所有主要的风险组件是很有用的,这样它们就可以在一次浏览中一起查看. 风险水平是要考虑的第一个因素. 如果不与其他信息进行比较,它只是一个数字. 运用优势、劣势、机会和威胁(SWOT)方法,11 所有具有内部和外部来源的关键因素在上下文分析中被识别和分离. 当风险因素是内部的时候, remediation is often a matter of improving the performance of a business process; when a risk factor is external, 它可能需要新的倡议或创新的解决方案. 因此,这两种类型之间的图形区分当然是可取的.
在一个地方展示所有潜在的影响,可以很容易地看出活动的优先次序是否朝着正确的方向发展.
第二个组成部分是影响最大的一个事件发生后的潜在经济损失. 在一个地方展示所有潜在的影响,可以很容易地看出活动的优先次序是否朝着正确的方向发展, 影响最大的事件必须在影响较小的事件之前进行管理. 这些冲击的视觉表现还必须能让人立即了解这种冲击是机遇还是损失.
第三个组成部分是影响最大的事件发生的可能性. 至关重要的是,要使用透视图表示,以避免图上的点过度拥挤,以获得高概率值, 确保对需要更多关注或迅速干预的情况有足够的清晰度.
修复计划的进展是第四个主要组成部分. 有可能出现通过一系列对策来解决澳门赌场官方下载高风险的情况, 但了解这些补救措施的进展是很重要的. 在高影响风险的情况下, 有关风险程度的信息并不能提供情况的全貌. 有必要了解对策是否有效,实施计划是否按计划进行,以确定风险是否真正得到控制.
使用成熟度模型作为分析风险的基础意味着当需要详细信息时,这些信息将是可用的, 包括所有被分析的潜在风险因素的控制. 成熟度模型的使用还允许创建一个漏洞图,以证明由这些评估产生的风险级别. 这些附加信息为分析增加了价值, 但它需要使用适合此目的的可视化模型,并且不会在数据表示中引入混淆.
风险执行摘要图
可以概述一种以图形方式呈现前一节中讨论的四个组件(在需要进一步详细信息时加上成熟度)的方法. 一个类似于SWOT分析的布局被用来构建所有的信息. 之所以选择这种布局,是因为上下文分析是风险评估的第一步, 并通过调查与澳门赌场官方下载目标实现相关的不确定性因素来进行研究. 它是, 因此, 合理地得出结论,这是一个合适的方法来表示风险因素和原因作为一个整体.
首先,将风险因素分布在图(图5). 很明显,他们倾向于把注意力集中在一个与预期情况一致的中心点上. 在这个区域, 重叠并不重要,因为人们的注意力集中在风险因素产生重大影响的地方. 它们更分散,因此更容易看到. 该布局源自于气泡散点图和SWOT分析的象限图之间的折衷, 还有一些附加信息.
风险水平在横坐标(x轴)上均匀分布。, 有风险接受阈值的证据. 这就像一个分离器,所有右边的风险都必须考虑到纠正措施. 风险在图表上越靠右,就必须越早采取行动. 轴心长度的80%以上是专门用于应该观察或采取行动的风险因素, 而那些被接受的空间很少(不需要采取行动).
在纵坐标上(y轴), 事件发生的概率呈双序列分布. 上面的顺序用于具有内部原因的事件, 较低的是外因. 这将需要在内部流程中进行更改的风险因素与需要设计或调整以处理外部事件的风险因素区分开来. 后者可能需要大量的时间和金钱支出.
气泡包含两种不同类型的信息. 气泡直径与冲击值有关, 气泡颜色表示实现保护目标的工作进度. Bubbles with larger diameters and colors from yellow to red indicate those cases with the greatest 影响 on enterprise objectives and compromised remediation plans; that is, 反措施尚未实施.
背景颜色代表SWOT分析的四个象限. 这样就可以直观地表示有关过程改进或恶化的风险因素的定位. 背景颜色有助于识别风险的性质,以及它是否能够创造价值,而不是代表潜在事件的警报信号.
与风险因素类似,控制由其成熟度水平(图6). 在上纵坐标上, 成熟度等级表, 还有定义预期成熟度级别的阈值——换句话说, 要实现的成熟度目标. 超过这个阈值, 有机会利用可以改进的优势来实现业务目标. 较低的成熟度级别属于漏洞领域.
无论是否提出了风险因素或控制措施的实施情况, 这种类型的图表可以提供所有必要的细节. 当气泡代表风险因素而不是控制因素时,图中气泡的含义略有变化. 参考上横坐标就足以证明控制的成熟度水平, 而下横坐标则表示风险等级.
气泡很可能集中在零概率坐标附近, 横坐标上的预期成熟度水平和风险接受阈值之间. 这个区域将非常拥挤,使单个气泡的识别变得困难. 这不是问题, 然而, 因为该领域的价值与正常的预期情况和目标的实现相对应, 因此不需要注意或干预. 零概率表示最坏情况(而不是最好情况)发生的概率, 因此,只有当泡沫开始远离图表的中心线时,澳门赌场官方下载才需要开始担心, 在一个能见度很高的大区域,可以确定紧急情况和可以抓住的机会.
通过颜色和气泡的定位, 这种类型的图表非常清晰地突出了具有重大影响的风险情况和对策实施的问题. 同时, 它允许理解活动的目的是改进内部过程还是处理外部因素.
标头区域应该提供理解所选应用程序周长所需的所有数据.e., 受影响的澳门赌场官方下载部分以及涉及哪些风险因素或控制), 而不占用图中用于分析的区域.
一些实现注意事项
图中成熟度等级的刻度与数据记录中使用的相关成熟度等级有明显的差异. 图表使用成熟度参考名称的标准列表,并使用值的线性分布构建. 管理数据输入的个人对知道或学习一组与他们工作无关的正式名称不感兴趣. 避免不必要的培训, 数据输入使用一系列自我解释的标签,并强调一些名称, 但不是其他(非线性分布).
这些公式使用一组标准化的值,范围从0到1. 管理标签组差异的一种实用方法是使用两张附有阈值的转换表,以定义向较高级别的转换(图7). 这种选择为系统的微调提供了很大的灵活性.
有可能引入额外的信息, 但这只适用于特定的表示,以避免使图变重. 例如, 可能有必要在国家一级和所有有关实体说明风险状况, 比如生产现场, 研发中心, 仓库, 办公室, 和总部. 可以通过在图数据集中添加另一列来定义气泡形状来满足此要求.
正常情况下, 气泡包含两条信息:直径, 定义影响和颜色, 指示工作进度. 要改变形状,实体类型可以通过一个中心图标来标识.g., (带有特殊字体的字符)包含在气泡中,而不是使用几何形状来代替圆周(如地图中使用的标记)。.
结论
这里展示的图表可以向高层管理者展示一系列风险因素或控制措施, 根据指标的严重程度突出需要采取行动的情况,并降低不太重要情况的可见度.
尽管可能存在大量的风险因素和控制措施, 大多数结果都集中在平均值附近, 可以保证关键信息的清晰和完整,而不会过于复杂. 特别是,高影响力的信息可以非常有效地呈现.
这种相同的表示技术可以适用于从CMM开始的任何控制框架. 该技术包括对评估中使用的所有值进行系统的规范化, 取值范围为0 ~ 1. 然后,任何控制框架都可以转换为图形表示.
采用本文提出的评估方法和图形显示技术, 在不丢失任何细节的情况下,有效地表示风险因素的分布是可能的, 同时突出和优先考虑主要事实.
尾注
1 Sbriz L.; “澳门赌场官方下载 风险监察方法, Part 1,” ISACA® 杂志,卷. 2, 2019, http://jmkw.xizhanwenhua.com/archives
2 Sbriz L.; “澳门赌场官方下载 风险监察方法, Part 2,” ISACA杂志,卷. 2, 2019, http://jmkw.xizhanwenhua.com/archives
3 Sbriz L.; “澳门赌场官方下载 风险监察方法, Part 3,” ISACA杂志,卷. 6, 2019, http://jmkw.xizhanwenhua.com/archives
4 国际标准化组织(ISO), ISO 31000风险管理, 2018, http://www.iso.org/iso-31000-risk-management.html/
5 CMMI研究所 http://cmmiinstitute.com/
6 ITIL-IT服务管理 http://www.axelos.com/best-practice-solutions/itil/
7 北美内部审计师协会, 标准与指南-国际专业实践框架(IPPF), 美国, 2015年7月, http://na.theiia.org/standards-guidance/
8 国际标准化组织(ISO)/国际电工委员会(IEC), ISO / IEC 27001, 信息技术-安全技术-信息安全管理系统-要求, 2013, http://www.iso.org/isoiec-27001-information-security.html
9 德国汽车工业协会(VDA),“信息安全评估”,
10 欧盟,通用数据保护条例(GDPR), 2016年4月27日
11 马德森,D. O.; “SWOT Analysis: A Management Fashion Perspective,” 国际商业研究杂志,卷. 16日,国际空间站. 1, 2016, p. 39 –56
路易吉Sbriz, CISM, CRISC, ISO / IEC 27001 LA, ITIL v4, UNI 11697:2017 DPO
是否在一家跨国汽车公司担任风险监控经理超过5年. 以前, 他负责亚太地区(中国)的信息通信业务和资源, 日本和马来西亚)和, 在那之前, 担任全球信息安全官超过7年. 内部风险监控, 他开发了一种原始的方法,将操作风险分析与由控制的成熟度级别驱动的后续风险评估合并在一起. 他还设计了网络监测工具和风险监测综合系统, 成熟度模型与内部审计. Sbriz做了几年的商业智能系统顾问. 你可以在LinkedIn上联系到他, http://www.linkedin.com/in/luigisbriz.