Risiken und Kontrollen definieren
Sie können dokumentieren und sicherstellen, dass betriebliche Risiken durch Kontrollen beigelegt werden. Sie können entweder Risiken zuerst und Kontrollen anschließend definieren, oder umgekehrt.
Sie können Risiken und Kontrollen in einem internen Kontrollworkflow definieren, der für komplexere Projekttypen verwendet wird, in denen Schilderungen definiert, exemplarische Vorgehensweisen zur Überprüfung des Kontrollkonzepts sowie Tests zur Überprüfung der Betriebseffizienz von Kontrollen durchgeführt werden.
Wenn Sie ein einfaches prozedurales Projekt ausführen müssen, können Sie Risiken und Verfahren in einem Arbeitsplanworkflow definieren.
Was sind Risiken und Kontrollen?
Ein Risiko ist eine Auswirkung von Unsicherheit auf ein Ziel, wobei eine positive oder negative Abweichung von der Erwartung möglich ist.
Eine Kontrolle ist eine Menge aus Maßnahmen oder Aktionen, die zur Steuerung von Risiken ergriffen werden und die Wahrscheinlichkeit steigern, dass festgelegte Ziele erreicht werden.
Begriffe für „Risiko“ oder „Kontrolle“ können je nach der Konfiguration Ihrer Organisation abweichen. Ein Risiko kann zum Beispiel als „Anforderung“ und eine Kontrolle als „Verfahren“ bezeichnet werden.
Vorbereitungen
Bevor Sie Risiken und Kontrollen definieren können, müssen Sie Folgendes erledigen:
- Projekt oder Framework erstellen
- Ziele definieren
Abhängig von der Konfiguration des Projekts oder Frameworks in Ihrer Organisation, können Ziele auch als Abschnitte, Ziele, Zyklen, Funktionsbereiche, Anwendungssysteme oder mit einem anderen benutzerdefinierten Begriff bezeichnet werden.
Funktionsweise
Wenn Sie ein Risiko mit einer Kontrolle verbinden, legen Sie die Maßnahmen oder Handlungsabläufe fest, wie das Risiko beigelegt wird. Die Kombination aus identifizierten Risiken und zugehörigen Kontrollen wird als Risikokontrollmatrix bezeichnet.
Ein Risiko kann mit vielen Kontrollen und eine Kontrolle kann mit vielen Risiken verbunden werden.
Jede von Ihnen definierte Kontrolle hat eine zugehörige exemplarische Vorgehensweise, die zur Überprüfung der angemessenen Gestaltung der Kontrolle verwendet wird. Wenn Sie ein Projekt erstellen oder übertragen, können Sie sich für eine, zwei oder vier Testrunden entscheiden, um zu überprüfen, ob die Kontrolle effektiv funktioniert.
Komplexe Beziehungen zwischen Kontrollen und Tests definieren
Die Risikokontrollmatrix legt ein 1:1-Verhältnis zwischen jeder Kontrolle und dem dazugehörigen Test an. Wenn Sie komplexere Verhältnisse zwischen Kontrollen und Tests definieren möchten, stehen Ihnen zwei Optionen zur Verfügung:
Beziehung | Beschreibung | Wie erreiche ich das? |
---|---|---|
1:n |
Eine Beziehung zwischen einem Test und vielen Testergebnissen |
Wenden Sie den Test auf mehrere Elemente (z.B. unternehmensweite Anwendungssysteme) an und zeichnen Sie die Testergebnisse aus alle Elementen im selben Test auf. |
n:1 |
Eine Beziehung zwischen einem einzigen Testergebnis und vielen Tests |
Führen Sie den ersten Test aus und zeichnen Sie das Testergebnis auf, und führen Sie eine Verlinkung mit dem Testergebnis aus anderen Tests aus. Hinweis
Sie können die URL aus Ihrem Browser-Adressfeld kopieren und in das Feld Testergebnisse für die anderen Tests einfügen, auf die die Ergebnisse zutreffen. |
Beschränkungen
Jedes Ziel kann maximal 1000 Risiken und 1000 Kontrollen enthalten.
Beispiel
Risiken und Kontrollen definieren
Szenario
Als CFO sind Sie der Eigentümer eines gesamten Projekts „Generelle IT-Kontrollüberprüfung”. Die IT ist der Eigentümer einer der identifizierten Kontrolllücken, die mit der Netzwerksicherheit verbunden ist. Der Aufsichtsrat möchte wissen, wer der Eigentümer der Beilegung ist.
Prozess
Die nachfolgende Tabelle illustriert die Risiken und Kontrollen, die Sie als Teil der Risikokontrollmatrix Ihrer Organisation definiert haben. Als Nachuntersuchung zur Kontrolllücke (NS-002) weisen Sie den entsprechenden Mitarbeiter aus der IT-Abteilung als Eigentümer der Kontrolle zu.
Risiko | Verbundene Kontrolle(n) |
---|---|
NS-A: Es wird keine Technologie eingesetzt, um das Netzwerk vor unbefugten Scannern zur Auffindung von Sicherheitslücken zu schützen oder solche Scanner zu entdecken. |
|
NS-B: Unangemessene oder riskante Änderungen wurden an der Konfiguration der Netzwerksicherheitsgeräte vorgenommen. |
|
NS-C: Im Netzwerk oder System gibt es unerkannte Sicherheitslücken, weil kein Prüfprozess eingesetzt wird. |
|
NS-D: Systeme und Netzwerkgeräte nutzen veraltete Systemsoftware, die potenziell anfällig ist. |
|
NS-E: Zum oder vom Netzwerk übertrage Daten werden von unbefugten Personen abgefangen. |
|
Ergebnis
- Der Mitarbeiter aus der IT-Abteilung erhält eine Benachrichtigung per E-Mail und ist in der Lage, zur Aktualisierung der Definition der Kontrolle beizutragen.
- Sie sind in der Lage, dem Aufsichtsrat den Eigentümer der Beilegung NS-002 mitzuteilen.
Berechtigungen
Nur Benutzer mit den Rollen „Fachmanager“ und „Fachbenutzer“ können Risiken und Kontrollen definieren und verbinden.
Risiken und Kontrollen definieren
Hinweise
- Begriffe der Benutzeroberfläche können angepasst werden, und auch Felder sowie Registerkarten sind einstellbar. In Ihrer Instanz von Diligent One können einige Begriffe, Felder und Registerkarten unterschiedlich sein.
- Wenn ein erforderliches Feld leer bleibt, wird Ihnen eine Warnmeldung angezeigt: Dieses Feld ist obligatorisch. Einige benutzerdefinierte Felder verfügen möglicherweise über Standardwerte.
- Führen Sie einen der folgenden Schritte aus:
- So definieren Sie Risiken und Verfahren in einem Projekt:
Wählen Sie auf der Launchpad-Startseite (www.highbond.com) die Projekte-App aus, um sie zu öffnen.
Wenn Sie sich bereits in Diligent One befinden, können Sie über das linke Navigationsmenü zur Projekte-App wechseln.
- Klicken Sie innerhalb eines Projekts auf die Registerkarte Einsatz vor Ort.
- So definieren Sie Risiken und Verfahren in einem Framework:
- Öffnen Sie die Frameworks-App.
- Öffnen Sie ein Framework und klicken Sie auf die Registerkarte Abschnitte.
- So definieren Sie Risiken und Verfahren in einem Projekt:
- Machen Sie das entsprechende Ziel ausfindig, klicken Sie auf Nach und wählen Sie Risikokontrollmatrix.
- Führen Sie einen der folgenden Schritte aus:
- Um ein Risiko zu definieren, klicken Sie auf Risiko hinzufügen, geben Sie die erforderlichen Informationen ein und klicken Sie auf Speichern.
- Um eine Kontrolle zu definieren, klicken Sie auf Kontrolle neben der Bezeichnung Anzeige nach, klicken Sie auf Kontrolle hinzufügen, geben Sie die erforderlichen Informationen ein und klicken Sie auf Speichern.
- Gehen Sie wie folgt vor, um Risiken und Kontrollen miteinander zu verbinden:
- Sorgen Sie dafür, dass Sie wenigstens ein Risiko und eine Kontrolle angelegt haben.
- Klicken Sie neben dem Risiko oder der Kontrolle auf Risiko zuweisen bzw. Kontrolle zuweisen, definieren Sie die entsprechenden Zuordnungen und klicken Sie auf Speichern.
Risikofelder
Rich-Text-Felder dürfen maximal 524.288 Zeichen lang sein.
Tipp
Gehen Sie wie folgt vor, um die Rechtschreibprüfung in Rich-Text-Feldern zu aktivieren:
- Chrome, Firefox oder Safari STRG + Rechtsklicken innerhalb des Feldes unter Windows oder Command + Rechtsklicken bei einem Mac
- Internet Explorer oder Microsoft Edge öffnen Sie die Browser-Einstellungen und aktivieren Sie die Rechtsschreibprüfung / Hervorhebung falsch geschriebener Wörter
Feld | Beschreibung |
---|---|
Titel Optional |
ein aussagekräftiger Titel für das Risiko Die maximale Länge beträgt 255 Zeichen. |
Beschreibung |
Eine Aussage über das Risiko |
Risiko ID Optional |
Die Identifizierungsnummer des Risikos Die maximale Länge beträgt 255 Zeichen. |
Auswirkung Optional |
Eine Bewertung der Auswirkungen, falls das Risiko auftreten sollte |
Wahrscheinlichkeit Optional |
Eine Bewertung der Wahrscheinlichkeit, dass das Risiko auftreten wird |
Benutzerdefinierte Risikoeinstufungsfaktoren Optional |
Bestimmt die benutzerdefinierten Risikoeinstufungsfaktoren, die mit dem Risiko verbunden sind. Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Risiken unter Projekttypen verwalten definieren. Tipp
Sie können die Risikobewertungen nach Auswirkung, Wahrscheinlichkeit und benutzerdefinierte Risikoeinstufungsfaktoren automatisieren. Weitere Informationen finden Sie unter Betriebliche Risikobewertungen automatisieren. |
Benutzerdefinierte Risikoattribute Optional |
Gibt die Attribute an, die mit dem Risiko verbunden sind. Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Risiken unter Projekttypen verwalten definieren. |
Unterstützende Nachweise Optional |
Ermöglicht Ihnen, im Anschluss an die Beilegung Daten aus der Ergebnisse-App mit Ihrer Dokumentation in der Projekte-App verknüpfen, um Informationen zu konsolidieren, Abzeichnungen ohne großen Aufwand durchzuführen und über Bewertungen zu informieren. Hinweis
Diese Option ist nur verfügbar, wenn Ihre Organisation die Ergebnisse-App verwendet. |
Mit diesem Risiko verbundene Kontrolle Optional |
Ermöglicht Ihnen, eine Kontrolle mit dem Risiko zu verbinden. |
Entitätserfassungsbereich Optional |
Ermöglicht Ihnen, eine oder mehrere Entitäten zu Berichtszwecken mit dem Risiko zu markieren. Hinweis
Nur „Fachmanager“ und „Fachbenutzer“ können eine Kontrolle mit einer Entität markieren, indem sie auf Inhalt anzeigen klicken und jede Entität auswählen, die der Kontrolle zugeordnet werden soll. Änderungen werden automatisch gespeichert. |
Verlauf |
Sie können einen kompletten Verlauf der Änderungen, die an dem Risiko auf Feldebene vorgenommen wurden, anzeigen. |
Kontrollfelder
Rich-Text-Felder dürfen maximal 524.288 Zeichen lang sein.
Tipp
Gehen Sie wie folgt vor, um die Rechtschreibprüfung in Rich-Text-Feldern zu aktivieren:
- Chrome, Firefox oder Safari STRG + Rechtsklicken innerhalb des Feldes unter Windows oder Command + Rechtsklicken bei einem Mac
- Internet Explorer oder Microsoft Edge öffnen Sie die Browser-Einstellungen und aktivieren Sie die Rechtsschreibprüfung / Hervorhebung falsch geschriebener Wörter
Feld | Beschreibung |
---|---|
Titel Optional |
ein aussagekräftiger Titel für die Kontrolle Die maximale Länge beträgt 255 Zeichen. |
Beschreibung |
Eine Aussage über die Kontrolle |
Kontroll-ID |
Die Identifizierungsnummer der Kontrolle Die maximale Länge beträgt 255 Zeichen. Hinweis
Diese Nummer wird an den Zielpräfix angehängt. |
Eigentümer Optional |
Ermöglicht Ihnen, einen lizenzierten oder nicht lizenzierten Benutzer als Eigentümer der Kontrolle zum Zweck der Überwachung oder Berichterstellung zuzuweisen. Benutzer, denen die Rolle „Mitwirkender Tester” oder „Mitwirkender Benutzer“ zugewiesen wurde, werden normalerweise als ein Eigentümer einer Kontrolle festgelegt. Eigentümer können auf Grundlage regionaler oder die Geschäftseinheit bzw. das Projekt betreffende Frameworks zugewiesen werden. Sobald eine Person als Eigentümer einer Kontrolle festgelegt wurde, erhält sie eine Benachrichtigung per E-Mail mit einem Link auf die Kontrolle. Auf diese Weise erhält die Person Schreibzugriff auf die zugewiesene Kontrolle und Lesezugriff auf Ziele und Risiken. Hinweis
Wenn Sie einen Massen-Upload von Kontrollen durchführen und im Feld „Eigentümer“ eine Person angeben, wird der Name dieser Person in der Projekte-App erscheinen. Ihr wird jedoch nicht automatisch die Kontrolle zugeteilt und sie erhält auch keine Benachrichtigung per E-Mail. |
Häufigkeit |
Bestimmt das Standardtestmethode sowie den Stichprobenumfang auf der Registerkarte Testplan. Der Testplan für ein Projekt kann zum Beispiel mit einer vordefinierten Häufigkeit (fortlaufend, wöchentlich, monatlich usw.) oder nach Bedarf angelegt werden. Weitere Informationen finden Sie unter Verfahren ausführen und Kontrollen testen. |
Typ |
Bestimmt das Standardtestmethode sowie den Stichprobenumfang auf der Registerkarte Testplan. Der Testplan kann zum Beispiel manuelle Kontrollen, Anwendungs-/Systemkontrollen, generelle IT-Kontrollen oder IT-abhängige, manuelle Kontrollen beinhalten. Weitere Informationen finden Sie unter Verfahren ausführen und Kontrollen testen. |
Verhindern oder erkennen? | Legt fest, ob die Kontrolle zur Vermeidung oder zur Erkennung von Risiken vorgesehen ist, oder ob sie hier nicht angewendet werden kann. |
Methode Optional |
Legt fest, wie die Kontrolle getestet oder implementiert wird. |
Status Optional |
Legt den aktuellen Zustand der Kontrolle fest. |
Benutzerdefinierte Kontrollattribute Optional |
Bestimmt die Attribute im Zusammenhang mit der Kontrolle. Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Kontrollen unter Projekttypen verwalten definieren. |
Relevante Aussagen Optional |
Ermöglicht Ihnen, eine oder mehrere relevante Aussagen mit der Kontrolle zu markieren. |
COSO-Grundsätze Optional |
Ermöglicht Ihnen, die Kontrolle mit einem oder mehreren COSO-Grundsätzen zu markieren. Hinweis
Die Projekte-App unterstützt das 2013 COSO Framework mit 17 COSO-Grundsätzen. |
Mit dieser Kontrolle verbundenes Risiko Optional |
Ermöglicht Ihnen, ein Risiko mit der Kontrolle zu verbinden. |
Kontrollgewicht Optional |
Drückt den Prozentsatz aus, mit dem die Kontrolle das Risiko beilegt. Die Standardeinstellung für das Kontrollgewicht ist 100%. Sie können ein Kontrollgewicht zwischen 0% und 100% eingeben. Die Summe der Kontrollgewichte muss nicht 100 ergeben. Weitere Informationen finden Sie unter Komponenten der Absicherung. |
Entitätserfassungsbereich Optional |
Ermöglicht Ihnen, eine oder mehrere Entitäten zu Berichtszwecken mit der Kontrolle zu markieren. Hinweis
Nur „Fachmanager“ und „Fachbenutzer“ können eine Kontrolle mit einer Entität markieren, indem sie auf Inhalt anzeigen klicken und jede Entität auswählen, die der Kontrolle zugeordnet werden soll. Änderungen werden automatisch gespeichert. |
Verlauf |
Sie können einen kompletten Verlauf der Änderungen, die an der Kontrolle auf Feldebene vorgenommen wurden, anzeigen. |
Mehrere Risiken und Kontrollen hinzufügen
Informationen zum gleichzeitigen Hinzufügen mehrerer Risiken und Kontrollen finden Sie unter Massenimport von Risiken bzw. Massenimport von Kontrollen.