Bevindingen

    Risicobevindingen, compliancetekortkomingen en hun levenscyclus

    Wat zijn bevindingen?

    Bevindingen vertegenwoordigen risicobevindingen en compliancetekortkomingen die moeten worden gevolgd en verholpen. Ze zijn de primaire input voor het risicorapport - elke openstaande bevinding draagt bij aan de totale risicoblootstelling van uw organisatie.

    Twee bronnen

    Bevindingen kunnen op twee manieren ontstaan:

    • Automatisch aangemaakt bij gefaalde beheersmaatregeltests - wanneer een beheersmaatregeltest faalt, wordt automatisch een bevinding aangemaakt met ernst medium, gekoppeld aan de beheersmaatregel en de specifieke test.
    • Handmatig aangemaakt (ad-hoc) - gebruikers kunnen bevindingen direct aanmaken voor constateringen die niet aan een specifieke beheersmaatregeltest zijn gekoppeld, zoals auditobservaties of risicobeoordelingen.

    Belangrijke informatie

    Elke bevinding bevat de volgende gegevens:

    • Bevindingnummer - een automatisch gegenereerde sequentiële identificator (ISS-0001, ISS-0002, enzovoort).
    • Titel - een korte samenvatting van de bevinding.
    • Beschrijving - een gedetailleerde uitleg van de bevinding.
    • Status - de huidige workflowstatus (zie hieronder).
    • Ernstniveau - kritiek, hoog, medium of laag.
    • Melder - de gebruiker die de bevinding heeft gemeld.
    • Toegewezene - de gebruiker die verantwoordelijk is voor herstel.
    • Eigenaar-entiteit - de entiteit waartoe deze bevinding behoort.
    • Gerelateerde beheersmaatregel - koppeling naar de beheersmaatregel (indien automatisch aangemaakt vanuit een testfalen).
    • Gerelateerde test - koppeling naar de specifieke test die de bevinding heeft veroorzaakt.
    • Acceptatiedeadline - de datum waarop een geaccepteerd risico moet worden herbeoordeeld (verplicht bij risicoacceptatie).

    Statusworkflow

    Wanneer een bevinding wordt geïdentificeerd, begint deze als Open en wacht op actie. Het team begint vervolgens met het analyseren van de bevinding om de beste herstelstrategie te bepalen en verplaatst deze naar Onderzoek. Zodra een oplossing wordt geïmplementeerd, verandert de status naar Herstel. Nadat de bevinding is verholpen, wordt deze gemarkeerd als Opgelost en wordt een oplossingsdatum vastgelegd. Ten slotte wordt de bevinding formeel Gesloten na verificatie.

    Risicoacceptatie

    Niet elke bevinding kan of moet direct worden opgelost. Wanneer de organisatie besluit een risico te accepteren, kan de bevinding worden verplaatst naar Geaccepteerd. Dit vereist het instellen van een acceptatiedeadline - een datum waarop het risico opnieuw moet worden geëvalueerd of verholpen.

    Geaccepteerde bevindingen dragen nog steeds bij aan uw risicoblootstelling in het risicorapport. Ze worden niet genegeerd - het zijn expliciet erkende risico’s met een deadline.

    Business Impact Analysis

    Elke bevindingdetailpagina heeft een eigen Bedrijfsimpact-tabblad naast het Overzicht-tabblad. Het bepaalt automatisch de getroffen bedrijfsprocessen, stappen en applicaties door de keten bevinding → beheersmaatregel → configuratie-items → bedrijfsprocessen te doorlopen. De badge op het tabblad toont in één oogopslag het aantal getroffen processen en applicaties.

    Het impactpaneel toont:

    • Getroffen bedrijfsprocessen - afgeleid van de gekoppelde CI’s en directe BP-associaties van de beheersmaatregel.
    • Getroffen processtappen - specifieke stappen die getroffen zijn via CI-koppelingen.
    • Getroffen applicaties - met kritikaliteitsbadges.
    • Financiële blootstelling - zichtbaar voor gebruikers met de RiskValueInsight:read-machtiging.

    Opmerkingen

    Elke bevinding heeft een opmerkingtijdlijn, vergelijkbaar met tickets. Opmerkingen kunnen door gebruikers worden gegenereerd of door het systeem (bijv. de initiële opmerking die vermeldt dat de bevinding automatisch is aangemaakt vanuit een gefaalde beheersmaatregeltest).

    Gebruikersopmerkingen ondersteunen Markdown-opmaak - **vet**, *cursief*, ~~doorgestreept~~, `code`, [koppelingen](https://example.com), en opsommingen of genummerde lijsten. De editor heeft een werkbalk en een Voorbeeld-tabblad. Dezelfde weergave wordt gebruikt in e-mailmeldingen.

    Integratie met risicorapport

    Bevindingen die Open, in Onderzoek, in Herstel of Geaccepteerd zijn, worden opgenomen in het risicorapport. Het ernstniveau van de bevinding en de financiële waarde van het hoogst gewaardeerde bedrijfsproces dat is gekoppeld aan de beheersmaatregel bepalen hoeveel de bevinding bijdraagt aan uw totale risicoblootstelling.