Betriebliche Risikobewertungen durchführen

Mit Hilfe der Projekte-App können Sie alle Ihre Aufgaben bei der Durchführung einer betrieblichen Risikobewertung organisieren und das Risiko einer Organisation quantifizieren.

Letztendlich fließen die Testergebnisse in die Einstufungen für das inhärente Risiko und das Restrisiko einer Organisation ein, wodurch Sie eine Echtzeitdarstellung darüber erhalten, wie viel Risiko vor und nach der Einsetzung von Kontrollen verbleibt.

Szenario

Sie arbeiten als Risikomanagementleiter und sind für ein vollständiges Projekt zur betrieblichen Risikobewertung verantwortlich. Ihr Team hat einen ausgereiften und verfeinerten Risikobewertungsprozess und bewertet das Risiko über mehrere Dimensionen (Wahrscheinlichkeit, Auswirkung, Geschwindigkeit und Anfälligkeit) auf einer 3-Punkte-Skala (1-Niedrig, 2-Mittel und 3-Hoch).

Zuvor haben Sie ein Projekt aus einer Projektvorlage erstellt. Sie müssen nun die inhärente Risikoeinstufung eines der Risiken im Ziel Generelle IT-Kontrollen bewerten, um das unbearbeitete Risiko für die Organisation zu ermitteln, wenn keine Kontrollen oder andere beilegende Kontrollen eingesetzt wurden.

Während Sie jedes Risiko im Projekt bewerten, möchten Sie auch in der Lage sein, zu ermitteln, wie viel vom Risiko verbleibt, nachdem die Kontrollen eingerichtet wurden. Diese Informationen sind sehr hilfreich bei der Vorbereitung des endgültigen Risikobewertungsberichts.

Vorbereitungen

Dieses Tutorial beschäftigt sich mit den Schlüsselbereichen in der Projekte-App, in denen Sie bei der Durchführung einer betrieblichen Risikobewertung arbeiten werden.

Bevor Sie dieses Tutorial starten, sollten Sie zwei Dinge erledigen:

  1. Vergewissern Sie sich, dass Sie über die erforderlichen Berechtigungen verfügen, um ein Projekt anzulegen.
  2. Öffnen Sie die Projekte-App, und erstellen Sie ein Projekt mit der Projektvorlage Betriebliche Risikobewertung.

Framework für die Risikoeinstufung definieren

Richten Sie zunächst Ihr Projekt ein. Der erste Schritt beim Risikobewertungsprozess besteht aus der Entwicklung eines einheitlichen Pakets aus Bewertungskriterien (ein Risikoeinstufungs-Framework), die über Entitäten, Abteilungen oder Geschäftseinheiten verwendet werden können. Risikomanagementleiter sind normalerweise verantwortlich für die Einrichtung des Risikoeinstufungs-Framework und können entweder dafür verantwortlich sein, das Risiko selbst zu bewerten oder die Verantwortung für die Bewertung an andere Teammitglieder zu delegieren.

  1. Wählen Sie auf der Launchpad-Startseite (www.highbond.com) die App Projekte aus, um sie zu öffnen.

    Wenn Sie sich bereits in Diligent One befinden, können Sie über das linke Navigationsmenü zur Projekte-App wechseln.

  2. Klicken Sie auf der Projekte-App-Startseite unter Systemadministration auf Projekttypen verwalten.
  3. Klicken Sie neben Betriebliche Risikobewertung auf Bearbeiten und klicken Sie dann auf die Registerkarte Risiken und Kontrollen.

    Auf dieser Seite befinden sich viele Konfigurationsoptionen, über die Sie sich jedoch keine Gedanken machen müssen. Konzentrieren Sie sich auf den Abschnitt Risikoeinstufungsfaktoren. Dort definieren Sie, wie das Risiko im Prjekt bewertet wird.

  4. Scrollen Sie die Seite bis zum Abschnitt Risikoeinstufungsfaktoren hinunter.

    Sie stellen fest, dass die Risikoeinstufungsfaktoren für Auswirkung, Wahrscheinlichkeit und Geschwindigkeit bereits für Sie eingerichtet wurden. Ihre Organisation bewertet auch das Risiko der Anfälligkeit unter Verwendung einer 3-Punkte-Skala. Sie müssen also einen weiteren Risikoeinstufungsfaktor als Teil Ihres Risikoeinstufungs-Framework einrichten.

  5. Klicken Sie auf Risikoeinstufungsfaktor hinzufügen, füllen Sie den Abschnitt Risikoeinstufungsfaktor 2 wie folgt aus, scrollen Sie dann die Seite hinunter und klicken Sie auf Speichern:

    Hinweis

    Klicken Sie dreimal auf +Hinzufügen, um die Punkte unter Auswahlmöglichkeiten zu bezeichnen.

Ergebnis Sie haben ein Risikoeinstufungs-Framework definiert, das zur Bewertung eines Risikos auf einer 3-Punkte-Skala (1-Niedrig, 2-Mittel und 3-Hoch) unter Verwendung der folgenden Risikoeinstufungsfaktoren definiert: Wahrscheinlichkeit, Auswirkung, Geschwindigkeit und Anfälligkeit. Sie können nun damit beginnen, das inhärente Risiko unter Verwendung Ihres Risikoeinstufungs-Frameworks zu bewerten.

Inhärente Risiken bewerten

Nun, da Sie wissen, wie Sie das Risiko im Projekt bewerten werden, können Sie mit der Bewertung des Risikos beginnen. Ihre Aufgabe besteht darin, das Risiko im Zusammenhang damit zu ermitteln, dass das Management nicht die geeignete Kontrollumbebung zur Verwendung der IT einrichtet. Gemeinsam mit anderen Mitgliedern des Risikomanagementteams haben Sie die Auswirkung des Risikos als Niedrig und die Wahrscheinlichkeit des Risikos als Mittel ermittelt. Sie haben außerdem für die Geschwindigkeit Mittel und die Anfälligkeit Hoch bestimmt.

  1. Klicken Sie auf die Dropdown-Liste der Diligent One-Instanz, klicken Sie auf Projekte-App , wählen Sie das Projekt Betriebliche Risikobewertung, und klicken Sie auf die Registerkarte Einsatz vor Ort.
  2. Klicken Sie auf Gehe zu neben dem Ziel Generelle IT-Kontrollen und wählen Sie dann Risikokontrollmatrix.
  3. Klicken Sie auf ITC-R.01: Risiko ohne Namen, scrollen Sie hinunter zum Abschnitt Risikobewertung und bewerten Sie das Risiko wie folgt:

Ergebnis Sie haben das inhärente Risiko von ITC-R.01: Risiko ohne Namen bewertet. Die Einstufungen für das inhärente Risiko und das Restrisiko werden automatisch aktualisiert. Momentan ist der Wert für die Restrisikoeinstufung identisch mit dem Wert für die Inhärente Risikoeinstufung identisch, weil die Kontrollen, die im Zusammenhang mit dem Risiko stehen, nicht getestet wurden und es nicht bestätigt wurde, dass sie effizient funktionieren.

Festlegen, welche Kontrollen zur Beilegung des Risikos entworfen sind

Der Vorteil bei der Verwendung einer Projektvorlage ist, dass sie bereit eine vorkonfigurierte Risikokontrollmatrix enthält. Sie müssen also nichts weiter tun als zu bestätigen, dass die entsprechenden Kontrollen mit dem Risiko verbunden und jeder Kontrolle eine entsprechende Gewichtung zugewiesen wurde.

  1. Scrollen Sie die Seite hoch und klicken Sie auf die Registerkarte Risikokontrollmatrix.
  2. Klicken Sie neben ITC-R.01: Risiko ohne Namen auf Kontrolle zuweisen.

    Sie bestätigen, dass die entsprechenden Kontrollen (ITC-01, ITC-02 und ITC-03) mit dem Risiko verbunden wurden. Jede Kontrolle hat eine angegebene Kontrollgewichtung von 100 %, aber Sie ermitteln, dass diese Information nicht genau ist.

  3. Aktualisieren Sie die folgenden Kontrollgewichtungen und klicken Sie auf Speichern:
    • ITC-01 25 %
    • ITC-02 25 %
    • ITC-03 50 %

Ergebnis Sie haben angeben, welche Kontrollen zur Beilegung des Risikos entworfen wurden und den Prozentsatz des Risikos ausgedrückt, der durch jede Kontrolle begelegt wird.

Wirksamkeit der Kontrolle bewerten

Großartig, Ihre Verbindungen zwischen Risiko und Kontrollen wurden genau eingerichtet. Nun müssen Sie jede Kontrolle testen, um die betriebswirtschaftliche Wirksamkeit zu bewerten. Wenn eine oder mehrere Kontrollen wirksam funktionieren, ist der Wert für die Restrisikoeinstufung niedriger als der für die inhärente Risikoeinstufung.

  1. Klicken Sie auf die Registerkarte Kontrollbewertungen.
  2. Klicken Sie neben ITC-01 Ansicht/Bearbeiten, scrollen Sie die Seite hinunter und wählen Sie Effektiv aus dem Feld Ist die Kontrolle wirksam? und klicken Sie auf Speichern.
  3. Wiederholen Sie die Schritte 1 und 2 für ITC-02 und ITC-03, jedoch markieren Sie ITC-02 als Effektiv und ITC-03 als Nicht effektiv.

Ergebnis Sie haben die betriebliche Wirksamkeit jeder Kontrolle bewertet. ITC-01 und ITC-02 werden als „bestanden” definiert und ITC-03 als „fehlgeschlagen”.

Restrisiko anzeigen

Dieser letzte Schritt ist einfach. Überprüfen wir, wie viel Risiko verbleibt, nachdem die Kontrollen eingesetzt wurden.

  1. Klicken Sie auf die Registerkarte Risikokontrollmatrix und dann auf ITC-R.01: Risiko ohne Namen.
  2. Scrollen Sie die Seite bis zum Abschnitt Bewertung hinunter und zeigen Sie die Restrisikoeinstufung an.

Ergebnis Die Restrisikoeinstufung beträgt 50 % der inhärenten Restrisikoeinstufung. Würden alle Kontrollen effektiv funktionieren, würde der Wert für die Restrisikoeinstufung 0,0 betragen, d.h. die eingesetzten Kontrollen reduzieren das Risiko um 100%. Da jedoch nur zwei von drei Kontrollen bestanden haben (ITC-01 und ITC-02, die beide mit jeweils 25 % gewichtet werden), reduzieren die eingesetzten Kontrollen das Risiko um 50 %.

Diskussion

Nun, nachdem Sie eine betriebliche Risikobewertung durchgeführt haben, erfahren Sie, welche Schritte Sie als nächstes unternehmen und welche Möglichkeiten es für aggregierte Berichte zum inhärenten Risiko und zum Restrisiko gibt.

Wie geht's weiter?

Um zu demonstrieren, warum Sie eine Kontrolle als effektiv oder nicht effektiv bestimmt haben, füllen Sie den Abschnitt Bewertungsergebnisse von jeder Kontrollbewertung aus und fügen unterstützende Dokumentation hinzu, indem Sie Dateien hochladen oder Belege aus der Ergebnisse-App verknüpfen. In diesem Szenario ist eine der Kontrollbewertungen (ITC-03) fehlgeschlagen. Sie protokollieren also dieses Problem, um die Ausnahme zu notieren.

Risikobewertungen automatisieren

Die Durchführung von betrieblichen Risikobewertungen kann ein zeitaufwändiger und manueller Prozess sein. Um die Wirksamkeit zu erhöhen, können Sie Bewertungsfaktoren anlegen, um Risikobewertungen zu automatisieren. Auf diese Weise können Sie schneller auf Änderungen reagieren und die Informationen zum richtigen Zeitpunkt an die richtige Person leiten.

Weitere Informationen finden Sie unter Betriebliche Risikobewertungen automatisieren.

Wie sieht der größere Zusammenhang aus?

Zuvor haben Sie die Einstufungen für das inhärente Risiko und das Restrisiko für ein einzelnes Risiko (ITC-R.01: Risiko ohne Namen) angezeigt. Die Berichterstellung auf Ebene eines individuellen Risikos ist jedoch sehr detailliert. Häufig müssen Sie jedoch einen Bericht zu einem inhärenten Risiko und einem Restrisiko auf einer aggregierten Ebene erstellen. Sie möchten z.B. einen Bericht zu den zusammengefassten Einstufungen für inhärentes Risiko und Restrisiko für ein Ziel über alle Risiken in einem Projekt erstellen.

Aggregierte Risikobewertungen auf Ebene des Ziels anzeigen

Sie können die aggregierten Einstufungen für inhärentes Risiko und Restrisiko über alle Risiken in einem einzelnen Ziel anzeigen, indem Sie im Projekt auf Fortschritt klicken:

Aggregierte Risikobewertungen auf Ebene des Projekts anzeigen

Sie können die aggregierten Einstufungen für inhärentes Risiko und Restrisiko über alle Risiken im Projekt anzeigen, indem Sie auf die Registerkarte Ergebnisse klicken: