10 wesentliche Schritte, um Risikobewertungen zu überdenken

OneTrust wird diese Konzepte durch die Linse moderner Technologie untersuchen, die dazu beitragen kann, die manuelle und subjektive Natur von Risikobewertungen zu verringern.

Die zentralen Thesen:

1. Machen Sie sich mit bewährten Best Practices und neuen Perspektiven für Risikobewertungen vertraut. Identifizieren Sie Möglichkeiten, Risikoeinblicke im Kontext durch einen automatisierten Fragebogenprozess zu sammeln
2. Optimieren Sie die Risikoidentifikation mit Automatisierungsregeln, die an Ihre Risikomethodik gebunden sind

Transkription: 

Robert Bateman:

Hallo und danke, dass Sie hier bei PrivSec Focus, Enterprise Risk, wieder dabei sind. Ich bin Robert Bateman, der Inhaltsleiter hier bei GRC World Forums und Ihr heutiger Gastgeber. Unsere nächste Sitzung ist nun eine von OneTrust gesponserte Präsentation von Tanner Boswell, GRC Solutions Engineer von OneTrust. Tanner wird Ihre Fragen irgendwann während der Sitzung beantworten können, also stellen Sie bitte keine Fragen. Es ist eine großartige Ressource, Tanner hier zu haben, um zu erklären, wie das funktioniert. Der Titel der Sitzung lautet 10 wesentliche Schritte zum Umdenken von Risikobewertungen. Ich übergebe jetzt an Tanner. Danke.

Tanner Boswell:

Perfekt. Danke, Rob. Es ist großartig, heute mit allen zu sprechen. Wie Rob sagte, mein Name ist Tanner Boswell. Tatsächlich leite ich unser Lösungsentwicklungsteam für unsere GRC-Produkte intern bei OneTrust. Ich selbst habe einen Hintergrund in den Bereichen IT-Audit und Cybersicherheit und bin mit dem Bereich selbst so vertraut, und ich habe in den letzten drei Jahren GRC- und Datenschutzprogramme für mehrere Organisationen eingerichtet, so dass ich mit dem Markt selbst so gut vertraut bin.

Nun, was wir uns heute tatsächlich ansehen werden, wird wirklich drei Kernthemen in der heutigen Präsentation angehen. Zunächst werden wir uns alle Hindernisse für die Risikobewertung in Echtzeit ansehen. Dann werden wir tatsächlich auf einige Best Practices eingehen, die es heute auf dem Markt gibt. Dies ist alles von Industriestandards und Frameworks wie ISO und COSO bis hin zu detaillierteren Methoden, die wir möglicherweise auch auf dem Markt sehen. Abschließend betrachten wir 10 Kernschritte, um Ihren Risikobewertungsprozess, wie er heute besteht, tatsächlich zu verbessern und neu zu gestalten.

Wenn wir uns nun mit diesem Thema befassen, müssen wir zuallererst verstehen, welche Hindernisse es heute gibt, wenn es um den Zugang zu Risiken geht. Viele der Hindernisse, die wir auf dem Markt und bei mir persönlich sehen, wenn ich mit meinen Kunden und Einzelpersonen spreche, die versuchen, ein Datenschutzprogramm oder ein GRC-Programm einzurichten, werden wirklich darin bestehen, dass sich das Risiko selbst ständig ändert und ändert Flüssigkeit in allen Facetten seiner Natur dort. Dies ist alles von mehreren verteilten dezentralen Teams weltweit, wer wofür verantwortlich sein wird, welche regulatorischen Änderungen dort draußen vorgenommen werden, wofür wir in unserer eigenen Branche tatsächlich verantwortlich sind, sowie Dinge wie zum Beispiel nur das Timing von Antworten, die an uns zurückgesendet werden, wodurch die entsprechenden Personen tatsächlich angesprochen werden.

Ich denke, bei einigen der vorherigen Sitzungen, von denen wir gehört haben, gab es einen Mangel an Fachexperten direkt im Risikobewertungs- oder Risikobewertungsprozess. Und wir müssen tatsächlich damit beginnen, Einzelpersonen aus unserer ersten Linie und diese Fachexperten zu ergreifen, um uns angemessene Anleitungen und Beiträge zu geben, wenn wir diese Risiken in erster Linie bewerten.

Ich habe diese Liste auf drei Hauptsäulen eingegrenzt, die wir uns hier im Hinblick auf diese Barrieren ansehen werden. Und der erste ist wirklich Konsolidierung. Wie fangen wir tatsächlich an, gegen Einzelpersonen vorzugehen, und was noch wichtiger ist, bei wem müssen wir hier handeln, während wir eine Risikobewertung durchführen und Risiken im gesamten Unternehmen identifizieren? Wie ich bereits sagte, werden Organisationen hier im Allgemeinen mehrere Personen ansprechen wollen. Daher wird die Konsolidierung der geeigneten Ressourcen als Vorstufe zu diesem Bewertungsprozess immer sehr wichtig sein.

Sie werden auch Barrieren rund um die Korrelation finden. Was meine ich, wenn ich Korrelation sage? Alles, was im Bewertungsprozess von Ende zu Ende passiert, das wäre Korrelation. Dazu gehören zum Beispiel Dinge wie, versteht der eigentliche Endbenutzer, der, der beispielsweise auf eine Risikobewertung reagiert oder in den Bewertungsprozess involviert ist, tatsächlich grundsätzlich, was die Bewertung erreichen soll, und hat er das auch? Wissen, um darauf angemessen zu reagieren? Und dies könnte eine langsame Reaktion beinhalten. Dies kann beispielsweise eine verlängerte Bearbeitungszeit usw. umfassen. Und auch das schauen wir uns genauer an.

Und zum Schluss werfen wir hier einen Blick auf kommunizierbare Erkenntnisse. Wie kommunizieren wir unsere Erkenntnisse nach Abschluss des Bewertungsprozesses angemessen an unsere relevanten Stakeholder? Und dies ist nicht immer unbedingt die C-Suite, die Geschäftsleitung oder der Vorstand, dies ist manchmal nur operativ, wie stellen wir den größten Wert, die meisten Daten zu einem geeigneten Zeitpunkt im Bewertungsprozess für das operative, das taktische bereit Benutzer, um sie besser zu informieren, um ihnen bei der Entscheidungsfindung in ihren beruflichen Funktionen besser zu helfen?

Um wirklich auf diesen ersten Punkt rund um die Konsolidierung einzugehen, was wir hier auf dem Markt wirklich sehen, ist, dass mehrere Interessengruppen in den Prozess selbst involviert sein werden. Dies ist hier nicht nur eine Art isolierter Bewertungsprozess. Je nachdem, was Sie in der gesamten Organisation betrachten, benötigen Sie Stakeholder aus den Bereichen Personal, Recht, Datenschutz, Sicherheit und möglicherweise sogar einige Experten für Kernthemen, um das eigentliche Geschäftsziel selbst zu erreichen. Da diese zahlreichen Beteiligten alle an einem einzigen Prozess beteiligt sind, werden Sie tatsächlich konkurrierende Interessen haben. Jede einzelne Interessengruppe wird also etwas anders verstehen wollen, aber dieses Verständnis aus genau denselben Informationen ableiten, die wir im Eingabeprozess gesammelt haben. Und das kann auch in Motivationslosigkeit übergehen.

Wenn ich ein Stakeholder aus einer bestimmten Geschäftsabteilung oder einer bestimmten internen Funktion bin und nicht, sagen wir, im eigentlichen Bewertungsprozess selbst im Mittelpunkt stehe, bin ich möglicherweise nicht so motiviert, daran teilzunehmen. Und manchmal wird meine Teilnahme entscheidend sein. Und selbst ein Mangel an Automatisierung in diesem Prozess, nicht nur ein Mangel an Motivation, sondern ein Mangel an Automatisierung, kann auch den Prozess selbst behindern und tatsächlich Unterstützung von diesen First-Line-Benutzern, von diesen Geschäftsbenutzern oder diesen Fachexperten erhalten.

Die zweite Sache hier ist die Korrelation. Wenn ich Korrelation sage, meine ich hier tatsächlich die Punkte zu verbinden, also den vollständigen End-to-End-Prozess. Oft stellen wir fest, dass Bewertungen, die wir aus dem Tool versenden, einfach sehr robust und unnötig sind. Viele Fragebögen, auf die ich in der Vergangenheit als Datenschutz- und Sicherheitsexperte geantwortet habe, können 800, 1.000, 1.200 Fragen sein, auf die ich möglicherweise antworten muss. Und viele von ihnen sind fehlerhaft oder nicht wirklich relevant für meine eigentliche Funktion oder für die eigentliche Bewertung selbst. Und es ist wirklich schwierig für diese Personen, miteinander zu kooperieren. Wer ist für welche Fragen zuständig? Wer ist dafür verantwortlich, nach Abschluss der Bewertung beispielsweise sogar einen Beweis oder zusätzlichen Input zu liefern? Und es wird sie Zeit kosten.

Also, wie ich schon sagte, diese langen Einschätzungen sind aus dieser Perspektive wirklich falsch. Und es wird eine Weile dauern, bis, sagen wir, ein Team, ein Kollaborationsteam, Ihnen das zurückgibt. Sie möchten in der Lage sein, eine schnelle und einfache Abwicklung zu erreichen, und außerdem über Tools und Methoden verfügen, um sicherzustellen, dass Sie rechtzeitig Beweise und zeitnahen Input erhalten, wenn Sie ihn am dringendsten benötigen.

Und als letzte Barriere, die wir uns heute ansehen werden, ist die Frage: Wie kommunizieren wir Einsichten? Und oft, wenn ich mit Kunden zusammenarbeite, sehe ich auf dem Markt, dass die Fragebögen, die eigentlichen, sagen wir mal, Risikobewertungsdokumente, die wir versenden, nicht unbedingt auf den Geschäftsumfang zugeschnitten sind . Wir stellen eigentlich nur Fragen ohne konkrete Bedeutung, ohne konkrete Richtung. Und das kann sich zum Beispiel irgendwann als eine Art Autolos herausstellen, wenn Sie so wollen, wo alle Fragen zu einem Zeitpunkt sind, nachdem sie den Fragebogen abgeschickt haben, werden jetzt alle Datenpunkte sozusagen nutzlos, weil Dinge ändern sich von Tag zu Tag.

Ohne dem Endbenutzer einen spezifischen Geschäftskontext bereitzustellen, werden sie hier nicht in der Lage sein, Fragen angemessen zu beantworten, und ohne kontinuierlich zu prüfen, ob eine gewisse Automatisierung in den Mix integriert werden kann, sind die Fragen, auf die sie tatsächlich antworten, jetzt veraltet, sobald sie gestellt werden ihre Antwort. Und Sie haben die Möglichkeit, sich beispielsweise ein Bewertungsergebnis anzusehen, aber Sie müssen auch bestimmen, was für jedes Team relevant ist. Nicht verbundene Teams werden auch hier ein großes Problem darstellen, nicht nur unbedingt im Bewertungsprozess, sondern auch später, wenn wir über Antworten auf die Probleme oder die Risiken sprechen, die wir entdeckt haben.

Nachdem wir nun einige der Probleme verstanden haben, mit denen wir hier auf dem Markt rund um den Bewertungsprozess konfrontiert sind, wollen wir uns jetzt auf die Best Practices konzentrieren, die wir hier für Bewertungen haben. Und wirklich, ich möchte mit ISO beginnen. ISO ist ein großer Standard, den wir uns heute auf dem Markt ansehen könnten, der wirklich den End-to-End-Prozess von der Risikoidentifizierung bis zur Behandlung oder, wenn Sie so wollen, bis zur Überwachung umreißt. ISO verfügt über eine gute Dokumentation nicht nur zur Definition eines Reaktions- oder Risikobewertungsprozesses, sondern Sie können auch verschiedene Dokumentationen verwenden, wie zum Beispiel 31.000, um ein ERM-Programm oder eine Methodik für das Programm selbst zu definieren.

Sie könnten sich auch an COSO wenden. COSO ist tatsächlich ein Vordenker und ein sehr beliebter Framework-Standard im ERM-Bereich. Jedes Mal, wenn Sie ein Risiko identifizieren, definiert COSO die Schritte, wie Sie dieses Risiko tatsächlich bewerten, bevor Sie darauf reagieren. Sie werden feststellen, dass beide Optionen ziemlich einfach sind. Sobald ich ein Risiko identifiziert habe, führe ich ein gewisses Maß an Analyse durch, ich führe ein gewisses Maß an Bewertung durch und dann reagiere ich letztendlich oder behandle das Risiko.

In COSO hier werden Sie feststellen, dass es eine Art Ausreißerschritt gibt, wie ich ihn gerne nenne, und das sind wirklich Bewertungskriterien entwickeln. Wir müssen verstehen, was bewertet wird und was wir uns letztendlich ansehen werden, bevor wir uns mit der Bewertung selbst befassen. Jetzt werden diese wirklich für verschiedene Teams in verschiedenen Anwendungsfällen geeignet sein. ISO ist ein Standard, der für mehrere verschiedene Funktionen im Risikobereich verwendet werden kann, nicht nur speziell für Unternehmensrisiken, sondern auch für datenschutzbezogene Funktionen, sicherheitsbezogene Funktionen usw. Ich würde jedoch sagen, dass diese beiden Arten von Industriestandards hier, oder ich schätze, Sie würden sagen, Frameworks, wirklich nützlich sein werden für den gesamten Reaktionsprozess und die Gesamtbewertung von Risiken, sobald sie identifiziert sind .

Jetzt können wir diese in unserer Organisation bis zu einem T verfolgen, aber wie beginnen wir tatsächlich mit der Iteration des Prozesses selbst? Wie fangen wir tatsächlich an, die Lücke zwischen dem, was uns die Experten in der Branche sagen, und der Art und Weise, wie wir es als Unternehmen umsetzen, zu überbrücken? Was wir hier in der Praxis gesehen haben, sind wirklich 10 Schritte, auf die ich mich mit meinen Kunden konzentriere, um ihnen zu helfen, ihren Risikobewertungsprozess besser zu iterieren. Und der erste wäre eine Art Risikoübersetzung. Ich habe vorhin darüber gesprochen, aber wirklich den Kontext der Bewertung, oder es tut mir leid, den Endbenutzer der Bewertung in den Kontext gestellt, wenn es tatsächlich um die Bewertung des Geschäftsbereichs oder des Risikos selbst geht.

Wir möchten keine überflüssigen Fragen, wortreichen Fragen oder irgendetwas anderes verwenden, das den Endbenutzer verwirren könnte. Oft bewerten wir die erste Verteidigungslinie, die operativen Benutzer, die taktischen Benutzer, die jeden Tag im Unkraut sind und über das Wissen verfügen. Wir müssen damit beginnen, unsere Einschätzungen in Klartextsprache, Geschäftssprache, zu formulieren, damit sie besser angemessen reagieren können und auch selbst Einblick in ihre eigenen Prozesse erhalten.

Das wird Ihnen nicht nur dabei helfen, die Erfahrung zu vereinfachen. Dies wird, wie gesagt, auch die Subjektivität reduzieren. Und Sie können hier sowohl bei COSO als auch bei ISO nach Best Practices der Branche suchen, aber letztendlich wird dies in Bezug auf die von uns diskutierten Hindernisse wirklich helfen, wenn es um den Mangel an Motivation geht, den wir im Konsolidierungsbereich betrachtet haben. Wenn ich dem Endbenutzer ein Bild genauer präsentieren kann, ist er eher in der Lage und bereit, meine Fragen zu beantworten, die ich ihm stelle.

Die zweite Sache, die hier tatsächlich die Antwortzeit erhöhen würde, sowie die Einsicht, dass wir von der ersten Zeile aus fahren, wird die Integration von Antworten sein, also tatsächlich überdenken, wie die Bewertung selbst durchgeführt wird. Die Bewertung ist nicht nur, sagen wir, ein Fragebogen oder eine Reihe von Fragen, die ich einem Fachexperten oder einem Geschäftsinhaber oder einem Prozessverantwortlichen stellen werde. Dies sind wirklich Fragen, die mir helfen sollten, Risiken zu identifizieren und letztendlich das Risiko einzuschätzen, mit dem diese verbunden sind. Daher muss jeder Fragebogen Einblicke in das gesamte Unternehmen geben. Wenn ich beispielsweise ein bestimmtes System bewerte und dieses System mehrere Geschäftsprozesse unterstützt, müssen wir dies in der eigentlichen Bewertung selbst in einen Zusammenhang bringen. Es geht also zurück zu dem ersten Schritt, der tatsächlich den Geschäftskontext bereitstellt, und eine zusätzliche Möglichkeit, dies zu tun, besteht darin, den Geschäftsprozess direkt in die Bewertung zu integrieren.

Denken Sie zum Beispiel an BIA, also Business Impact Assessments oder Analysen. Wenn wir einen bestimmten Bereich der Organisation bewerten wollen, müssen wir wirklich verstehen, was alles in die Unterstützung dieses Bereichs einfließt, damit wir Risiken genau ableiten können Informationen sowie das Gesamtrisiko in diesem Prozess.

Schritt Nummer drei in Bezug auf das Überdenken und Neudenken des Bewertungsprozesses wird darin bestehen, die Bemühungen zu priorisieren, also die grundlegenden Fragen, die Sie haben, zu überdenken. Dazu gehören Funktionen zum Filtern und Sortieren nach, sagen wir, Geschäftszielen oder Zielen, die wir tatsächlich betrachten, um Ihre Aufmerksamkeit auf kritische Geschäftsprozesse zu lenken. Dies können umsatzgenerierende Prozesse sein. Dies könnten andere Arten von Schlüsselprozessen sein, die uns das Management mitgeteilt hat und die für den Geschäftsbetrieb von entscheidender Bedeutung sind. Aber letztendlich müssen wir dabei unsere Ressourcen ausbalancieren. Wir müssen unsere Bemühungen bei dieser Bewertung priorisieren. Also mehr Funktionen, mehr Prozesse, die für die Unternehmensziele möglicherweise nicht entscheidend sind, aber dennoch bewertet werden müssen. Wir müssen möglicherweise nicht so viele Ressourcen oder, sagen wir, Mühe aufwenden, um diese Bereiche zu bewerten.

Anstrengung ist hier vielleicht das falsche Wort, aber genau das habe ich auf dem Schirm. Ich würde eigentlich sagen, nicht so viele, ich denke, strenge Anforderungen an einen Prozess, wenn er keine Priorität hat. Wir möchten immer noch bestimmte Artefakte, bestimmte Beweise, bestimmte Datenpunkte sammeln, damit wir das Risikoniveau des Prozesses, des Systems und des Dienstes, den wir betrachten, vollständig verstehen können. Aber letztendlich müssen wir unsere Ressourcen, die wir zur Verfügung haben, priorisieren und optimal auf geschäftskritische, unternehmenskritische Bereiche der Organisation lenken.

Der nächste Schritt in diesem Prozess ist, was ich normalerweise finde, dass wir nicht unbedingt die richtigen Stakeholder an den richtigen Stellen einbeziehen. Diese Art geht auf diesen Konsolidierungsposten zurück. Sobald eine Risikobewertung durchgeführt wurde, müssen wir die Ergebnisse dieser Bewertung und unsere Empfehlungen als Risikoexperten an die Geschäftsinhaber und das Unternehmen selbst weitergeben und sie entscheiden lassen, ob sie unsere Empfehlung tatsächlich umsetzen können als Behandlungsplaner oder als Minderungsstrategie. Ich stelle oft fest, dass Teams, die an diesem Antwortprozess oder diesem Bewertungsprozess beteiligt sind, je nach Etappe der Reise, auf der Sie sich befinden, nicht unbedingt die richtigen Teammitglieder sind. Und wir geben nicht mehreren Teams Einblick in das, was wir nach dem Bewertungsprozess entdeckt haben. Mein Rat hier speziell in Schritt vier wäre, diese Sichtbarkeit im gesamten Team zu verbessern.

Ja, Risiken leben je nach Art manchmal in einer Silofunktion. Wir möchten nicht, dass alle unsere Risiken, die wir identifiziert haben, an andere Teams oder sogar außerhalb der Organisation weitergegeben werden, aber es ist wichtig und sehr angemessen, alle Ihre kritischen Funktionen zu haben, die dieses Risiko tatsächlich berührt oder betrifft am Entscheidungsprozess beteiligt sein, sei es durch einen Ausschuss oder durch direkte Benachrichtigung, Sie möchten wirklich in der Lage sein, direkt mit Ihrem Fachexperten zu kommunizieren und jeden zu ergreifen, der sich mit den anstehenden Problemen befasst. Und dies hilft Ihnen nicht nur dabei, beispielsweise eine Bewertung oder Bewertung des Risikos vorzunehmen. Dies wird Ihnen auch helfen, die Gesamtreaktion oder die Minderungsstrategie zu bestimmen, da wir eine Art Crowdsourcing-Informationen von mehreren Personen durchführen werden, nachdem etwas entdeckt wurde.

Das nächste, worauf ich mich hier konzentrieren wollte, ist das Delegieren von Abschnitten. Wie ich bereits sagte, gibt es während des Bewertungsprozesses eine Art Aufschlüsselung der Eigentumsverhältnisse. Wenn wir in eine Risikobewertung einsteigen, ist es im Allgemeinen nicht nur eine Person, die diese Fragen beantwortet. Es ist ein Team von Einzelpersonen. Es findet Delegation statt, es gibt Fachexperten, die nur für bestimmte Fragensätze verantwortlich sind, die wir dem Publikum stellen könnten. Hier wird jede gute Risikobewertung tatsächlich Eigenverantwortung und Rechenschaftspflicht in die Bewertung selbst eingebaut haben. Dies hilft Ihnen, die Arbeitslast auf Ihre Kollegen zu verteilen, wenn Sie eine Risikobewertung erhalten haben, aber auch als Bewerter hilft es Ihnen, die Bewertung noch einmal besser auf diesen Endbenutzer zuzuschneiden. Es gibt den Fachexperten und den zugewiesenen Personen die Möglichkeit, sich auf das Wesentliche zu konzentrieren und das Unternehmen und ihre Antworten tatsächlich individuell zu analysieren. Sie könnten auch während der Bewertung zusammenarbeiten, wenn Sie beispielsweise mehrere Personen einem Satz von Fragen zuweisen möchten.

Letztendlich wird diese Zusammenarbeit, diese Delegation von Teilen der Bewertung über Teams hinweg, die Reaktionszeiten auf ganzer Linie verbessern. Wir haben gerade hier bei OneTrust in der Praxis gesehen, dass wir, wenn wir mehrere Personen haben, jede andere als eine Person, die an einer Bewertung arbeitet, eine Erhöhung der Rückgabezeit um mehr oder weniger 50 % feststellen konnten. Einzelpersonen geben ihre Bewertungen zeitnah zurück, wenn sie wissen, dass mehrere Personen verantwortlich sind, und sie wissen, dass sie an diesem Punkt tatsächlich der Engpass im gesamten Prozess sind, wenn sie einen bestimmten Abschnitt ihres Fragebogens nicht beantworten.

Und Sie möchten sich auch dabei helfen, ein effizienteres Programm zu erstellen, nicht nur die Antwortzeit zu verlängern oder, sorry, ich schätze, die Antwortzeit des Befragten zu verkürzen. Sie möchten auch Möglichkeiten bieten, wie Sie dazu beitragen können, dass die Bewertung einfacher zu beantworten ist. Wir sprachen darüber, den geschäftlichen Kontext bereitzustellen und die Bewertung tatsächlich auf mehrere Bereiche unserer Organisation zu beziehen. Hier können wir auch alte Gutachten upcyceln. Und was meine ich, wenn ich das sage?

Wenn wir in der Vergangenheit immer wieder Bewertungen vorgenommen haben, ändern sich diese Bewertungen normalerweise nicht, aber sie unterliegen. Wir möchten in der Lage sein, dem Endbenutzer, dem Befragten unseres Fragebogens, wenn Sie so wollen, vorgefertigte Antworten zu liefern, wenn wir sie bereits in der Vergangenheit gesammelt haben. Wenn mir jemand eine Bewertung aus dem Vorjahr zurückgesendet hat, möchte ich diese Antworten behalten und sie dem Befragten im laufenden Jahr präsentieren, damit er die Fragen genauer beantworten kann, er muss, sagen wir, nicht erneut antworten ein leerer Fragebogen mit tausend Fragen. Sie können Änderungen überwachen. Sie können Ihnen zum Beispiel sagen, was sich Jahr für Jahr geändert hat.

Sie können bei Frage 1.2 sehen, dass es tatsächlich eine Änderung gegeben hat, und jede gute Risikobewertung wird Sie benachrichtigen, wenn etwas aktualisiert wurde. Das hilft nicht nur dem Endnutzer, weil er jetzt nicht mehr jeden Fragebogen beantwortet, einige Dinge für ihn auf der Grundlage früherer Bewertungen und früherer Metriken vorbelegt wurden, er sich neu ausrichten kann, aber es hilft auch Sie. Es hilft Ihnen, sich auf kritischere Datenpunkte und Elemente zu konzentrieren, die sich von Jahr zu Jahr ändern. Denn wenn etwas in der Vergangenheit gemindert wurde, unverändert bleibt, es keine sich ändernden Metriken gibt, es keine Aggregation oder Änderung des Risikoniveaus gibt, müssen wir diesem bestimmten Problem möglicherweise nicht unbedingt so viele Ressourcen widmen wie in der Vergangenheit. Möglicherweise müssen wir nur überwachen, für das laufende Jahr neu bewerten, prüfen, ob Änderungen vorgenommen wurden, und dann die Anfrage abschließen.

Perfekt. Fahren Sie jetzt mit Schritt sieben fort, um nur einen kurzen Zeitcheck zu machen. Schritt sieben und was ich auf dem Markt sehe, ist wirklich die Reaktionsfähigkeit von Fragebögen zu skalieren. Wie ich bereits sagte, geht dies zurück auf diese Barriere für tatsächliche Bewertungen und ihre Zeitpläne, also auf die tatsächliche Art der Zusammenarbeit oder Konsolidierung, wenn Sie so wollen. Was wir in der Praxis gesehen haben, sind manchmal Bewertungen, insbesondere wenn Sie sie in etwas wie Excel versenden, sie sind nicht dynamischer Natur. Sie ändern sich nicht dynamisch basierend auf Trends oder basierend auf dem Geschäftskontext. Wie ich bereits sagte, besteht einer der ersten Schritte darin, dem Endbenutzer einen guten Geschäftskontext zu schaffen. Ein zweiter Schritt oder siebter Schritt, wenn Sie so wollen, ist, wie Sie sich das vorstellen können, wie ich es jetzt basierend auf dem Geschäftskontext dynamisch mache. Wir brauchen die Fähigkeit, eine Art dynamische Logik zu haben, damit sich die Bewertungen selbst basierend auf den Antworten ändern können, die der Endbenutzer oder Befragte mir gibt.

Wenn ich also sage: “Hey, ich bin für HR-Aktivitäten zuständig.” Fragen zu IT-Aktivitäten möchte ich nicht beantworten. Sie sind vielleicht nicht einmal relevant für mich oder sollten mir nicht einmal auf dem Bildschirm präsentiert werden. Eine Art dynamische Sichtbarkeitslogik oder dynamische Logik zum Stellen von Fragen in einem laufenden Fragebogen verbessert nicht nur den Geschäftswert für den Endbenutzer und den Wert für uns selbst als Risikomanager, sondern auch die Gesamtdurchlaufzeit, weil nicht Wir können nur angemessene Fragen anzeigen, aber wir können auch Fragen wegnehmen und überflüssige Fragen entfernen, wenn sie ebenfalls nicht angemessen sind.

Fahren Sie hier mit Schritt acht fort. Kontextgesteuerte Quantifizierung. Ich konzentriere mich weiterhin auf den geschäftlichen Kontext, und ich denke, es ist so wichtig für unsere Risikobewertungen, die wir versenden. Aber in Bezug auf die Risikoquantifizierung verlassen sich viele Organisationen immer noch auf qualitative Metriken, anstatt aus einer quantitativen Perspektive zu schauen. Bei jeder guten Bewertung denke ich, dass das identifizierte Risiko, das identifizierte Problem von diesem geschäftlichen Kontext bestimmt werden sollte. Basierend auf den Antworten, basierend auf mehreren Antworten, die wir von unseren Fachexperten oder unseren taktischen Geschäftsexperten zurückerhalten, wird ihre Antwort tatsächlich diese Quantifizierung für uns vorantreiben. Nehmen wir nur ein Beispiel: Jemand hat einen Laptop verloren. Dies könnte eine eher IT-orientierte Frage sein, aber nehmen wir an, jemand hat einen Laptop verloren. Es gibt sensible PI auf dem Laptop selbst. Und sagen wir zum Beispiel, wir hatten einen Passwortschutz auf dem Laptop, von dem uns der Geschäftsanwender erzählt hat. Es ist ein sicheres Passwort, alphanumerisch, acht Zeichen lang.

Dies könnte für uns ein mittleres oder mittleres Risiko darstellen. Wir haben geeignete Sicherheitsvorkehrungen getroffen, um die auf dem Gerät abgelegten Festplattenkennwörter zu verschlüsseln. Das könnte also ein moderates Risiko für uns sein, im Gegensatz zu dem Fall, dass der Geschäftsanwender uns sagt: „Hey, ich habe einen Laptop verloren. Darauf sind vertrauliche PI. Es ist kein Passwort vorhanden. Sie melden sich tatsächlich direkt mit Admin und Passwort an Es gibt keine Verschlüsselung der zugrunde liegenden Datenbank oder Festplatte.” An diesem Punkt kann das ein kritisches Risiko oder ein sehr hohes Risiko sein, je nachdem, wie wir es betrachten. Daher ist es für die Gesamtreaktion auf das Risiko selbst sehr entscheidend, dass sich die Bewertung ändern und das Risiko basierend auf den Eingaben tatsächlich quantifizieren kann, in den meisten Fällen sogar automatisch.

Wenn Sie zum neunten Schritt übergehen, den ich empfehlen würde, um Ihren Bewertungsprozess hier neu zu überdenken, nutzen Sie wirklich so viel Automatisierung wie möglich. Und wir haben im vorherigen Abschnitt um Schritt acht herum ein wenig davon angesprochen, aber dem Endbenutzer wirklich die Möglichkeit zu geben, sich auf die Beantwortung von Fragen zu konzentrieren und ihm so viel Automatisierung wie möglich zu geben, ist ein Schritt im Prozess, aber auch die Automatisierung des Prozesses Für die zweite Linie, den Risikomanager, die Compliance-Personen, wird das ebenfalls sehr wichtig sein.

Ein großer Teil der Verteidigungslinie der zweiten Verteidigungslinie, oder es tut mir leid, Zeit wird für die tatsächliche Analyse und Bewertung von Risiken aufgewendet. Wenn wir eine Engine, einen Regelsatz, einen Entscheidungsbaum in den Bewertungsprozess einbauen könnten, um uns dabei zu helfen, Risiken zu kennzeichnen und die Risikokennzeichnung zu automatisieren, würden wir uns nicht länger mit administrativen Aufgaben belasten, um die Bewertung zurückzubekommen und festzustellen, was tatsächlich ist schief gelaufen. Wenn wir diese Regeln in die Bewertung einbauen können, sind wir in der Lage, diese Bewertungen genauer umzukehren, Risiken in Echtzeit zu identifizieren und die entsprechenden Stakeholder während des gesamten Prozesses zu benachrichtigen, dass ein neues Problem oder Risiko erstellt wurde, und ihren Beitrag zu erhalten die Gesamtreaktion.

Und hier zum Schluss der zehnte Schritt zum Überdenken oder Neudenken Ihres Bewertungsprozesses, wie er heute existiert, um den Fortschritt wirklich zu messen. Einige Organisationen betrachten dies als eine einfache Frage: Wie viele Fragen haben Sie beantwortet und wie viele habe ich Ihnen gestellt? Aber das ist wirklich mehr als das. Wenn Sie den Fortschritt auf dem Bildschirm präsentieren, nicht nur dem Risikomanager, um ihm mitzuteilen, ob etwas abgeschlossen wurde oder nicht, oder ob wir jede Frage beantwortet haben, sondern wenn Sie diesen Fortschritt auch dem Endbenutzer, dem Befragten, präsentieren , der Fachexperte für die Fragebögen oder Bewertungen, die wir, sagen wir, verwenden, das gibt ihnen eine Art Schwelle für das Ausfüllen. Wenn ich ihnen tausend Fragen stelle, sehen sie null von tausend, das ist sehr demotivierend, das ist sehr demoralisierend.

Aber wenn ich ihnen einen Fragebogen präsentiere, der besagt, dass sie zu 75 % vollständig sind, oder sagen wir, anstatt tausend Fragen zu beantworten, haben sie vielleicht nur 10 auf dem Bildschirm und diese 10 wiederholen sich möglicherweise, während sie antworten. Wenn Sie ihnen direkt in der Bewertung selbst eine Art Schwelle, eine Art Ziellinie geben, können Sie die Rückgabezeit erhöhen und die Endbenutzer motivieren, die Fragen zu beantworten, die Sie ihnen gestellt haben. Und dies soll Ihnen nicht nur dabei helfen, die Fertigstellung zu überwachen. Dies soll Ihnen auch dabei helfen, Erinnerungen zu versenden, Hilfe anzubieten und vielleicht sogar einen tieferen Einblick in die Bewertung zu erhalten und eventuell vorhandene Blockaden zu identifizieren. Diese Abschlussmetrik, diese Fortschrittsmetrik, kann Ihnen viel über die Bewertung sagen, die Sie senden, nicht nur über den Endbenutzer, sondern auch über die tatsächlichen Fragen, die Sie stellen, und wo einige Engpässe liegen könnten.

Perfekt. Ich denke, wir haben hier noch etwa eine Minute. Ich wollte nur ein wenig über OneTrust sprechen, und dann werde ich fortfahren und einige dieser Fragen beantworten, die wir hier im Chat haben. Wir hier bei OneTrust leisten wirklich Pionierarbeit bei der Vertrauensstruktur für Organisationen. Wir haben über 3.000 Mitarbeiter und 12, ich glaube, in letzter Zeit sind es 13.000 Kunden in unserem Unternehmen weltweit, die alle diese Vertrauensgemeinschaft aufbauen. Dies sind Informationen zu Datenschutz, Risiken durch Dritte und ESG-konformen Räumen. Und wir werden auch in der Lage sein, maßgeschneiderte Bewertungen für jeden dieser Bereiche zu erstellen.

Ich denke, dass sich das, was wir in den vorherigen Präsentationen gehört haben, oft auf Datenschutz, Datenverwaltung und -sicherheit konzentriert, aber jedes Mal, wenn wir einen dieser Funktionsbereiche bewerten, einen dieser Compliance-Bereiche, wenn Sie so wollen, wir müssen Sie wirklich verstehen, was alles in die Eingabe einfließt, was für, sagen wir, die Einführung einer DSFA oder einer PIA entscheidend ist, was für die Einführung einer BIA oder vielleicht einer Risikobewertung von Anwendungen entscheidend ist? Was ist entscheidend, um tatsächlich zu verstehen, was in der Ethik- und Compliance-Welt innerhalb unseres Unternehmens vor sich geht? Jede dieser verschiedenen Säulen wird Risiken auf unterschiedliche Weise betrachten und Risiken konsumieren. Und das hilft Ihnen auch zu verstehen, welche Art von Bewertungen und wie Sie diese Bewertungen besser verbessern können, je nachdem, was bewertet wird.

Perfekt. Ich denke, wir werden weitermachen. Ich weiß, dass wir gerade hier sind, also werde ich fortfahren und zum Ende meiner Präsentation springen. Ich möchte mich hier erst am Ende auf einige Fragen konzentrieren. Es sieht so aus, als hätten wir hier im Chat eine Frage, irgendwelche Gedanken in Bezug auf die Verwendung des Denkansatzes sowohl der linken als auch der rechten Gehirnhälfte in Bezug auf ERM? Ja, das ist eine großartige Frage. Ich denke, Sie müssen mehrere Interessenvertreter in den Prozess einbeziehen, die, sagen wir mal, eher geschäftsorientiert, analytischer Natur sind, aber auch Personen, die zukunftsorientierter sind.

Ich interpretiere diese Frage als linke helle, rechte Gehirnhälfte analytischer und kreativer. Ich denke, Sie werden nicht nur analytische und kreative Köpfe brauchen. Ich denke, Sie werden auch Personen brauchen, die nur nah am Prozess sind. Ich denke, einige der Sitzungen, die wir uns kurz zuvor angehört haben, sprachen über das Handeln der ersten Linie und über Personen, die im Unkraut der Prozesse selbst stecken, eher taktische Personen. Ich denke, das werden Ihre Schlüsselwerteingaben sein, nicht unbedingt die linke oder rechte Gehirnhälfte, aber ich denke, dass Sie dort die meisten Daten für eine ERM-Funktion finden und steuern werden.

Perfekt. Frage zwei: Was macht einen effektiven automatisierten Risikofragebogen aus? Ich denke, wenn wir auf einige der Schritte zurückkommen, die wir uns zuvor angesehen haben, denke ich, dass eine Möglichkeit zur Automatisierung eines Fragebogens in erster Linie darin bestehen wird, den Geschäftskontext und das, was tatsächlich bewertet wird, zu verstehen. Als Zweites würde ich empfehlen, vorgefertigte Regeln oder eine Entscheidungsmatrix basierend auf den gestellten Fragen zu haben, damit wir die Identifizierung eines Risikos genauer automatisieren sowie die Reaktion und Erinnerungen automatisieren können, die wir haben aussenden und die dynamische Art der Fragen, die wir versenden würden. Ich denke, all dies sind Facetten, die in die Automatisierung einer Risikobewertung einfließen würden.

Frage drei, die wir hier im Chat haben, wird sein, ist es notwendig, nach einem Risikovorfall eine Krisenpostmortem durchzuführen? Ich würde sagen auf jeden Fall. Ich denke, jeder Risikovorfall muss einer Autopsie unterzogen werden, um nicht nur genau zu beschreiben, was wir getan haben, sondern auch, was dabei schief gelaufen ist. Wir haben einen Behandlungsplan erstellt. Wir haben uns einen Behandlungsplan ausgedacht, aber was eigentlich schief gelaufen ist. Gibt es irgendwelche guten Lektionen, die wir aus dem Prozess selbst lernen können?

Und zum Schluss habe ich hier noch eine letzte Frage im Chat gesehen, aus Audit-Sicht, welche Art von Audit sollte durchgeführt werden und wie oft? Wie sollte ein Auditergebnis besser in die Änderungen der Risikobewertung einfließen? Ja, nein, das ist eine großartige Frage. Ich würde zumindest sagen, und es hängt wirklich davon ab, was Ihre Branche ist und wogegen Sie auditieren. Einige Organisationen werden monatliche Audits oder vierteljährliche Audits durchführen. Einige werden jährliche Audits für die Zertifizierung durchführen. Es hängt wirklich davon ab, was der Umfang der Prüfung selbst ist. Jetzt ist es entscheidend, die Prüfungsergebnisse wieder in die Risikobewertung einzubeziehen. Oft hören Organisationen einfach auf, sobald sie einen Mangel festgestellt haben, sagen wir bei einer Kontrolle oder wenn sie eine Sicherheitsmaßnahme evaluieren, und sie teilen dies dem Unternehmen mit, aber es wird nicht unbedingt eingebracht, sagen wir die Risikobewertung des nächsten Jahres.

Wenn eine Prüfung in einer Feststellung durchgeführt wird, daraus abgeleitet oder ein Problem aus der Prüfung abgeleitet wird, muss dies mit einem Risiko verbunden werden, wenn eine Sicherheitsmaßnahme bewertet und für mangelhaft befunden wird und das Risikoniveau erhöht werden muss. Das könnte ein kritischeres Risiko sein, mit dem wir uns nächstes Jahr befassen, weil wir in der Vergangenheit Probleme gefunden haben, wir haben Erkenntnisse zu den Sicherheitsvorkehrungen gefunden, die wir eingeführt haben, um mit dem Risiko umzugehen, die eigentliche Minderungsstrategie selbst.

Perfekt. Wunderbar. Team, ich schätze wirklich jeden, der hier in der Leitung Fragen stellt, und die Interaktion, die wir hatten. Hoffentlich war dies eine großartige Sitzung für alle. Fühlen Sie sich frei, mich direkt zu kontaktieren, wenn Sie Fragen haben oder irgendetwas, das ich nach dem Anruf beantworten kann. Danke.

Robert Bateman:

Vielen Dank, Tanner, eine wirklich interessante Präsentation dort und ein sehr interessantes Produkt. Wenn Sie mehr über OneTrust und alles, was sie zu bieten haben, erfahren möchten, gehen Sie einfach zu ihrer Sponsorenseite im linken Menü auf der Plattform. Bleiben Sie jetzt dran, wir haben jetzt eine kleine Pause für 25 Minuten, dann um halb drei britischer Zeit schauen wir uns an.