Risiken und Kontrollen definieren

Sie können dokumentieren und sicherstellen, dass betriebliche Risiken durch Kontrollen beigelegt werden. Sie können entweder Risiken zuerst und Kontrollen anschließend definieren, oder umgekehrt.

Hinweis

Sie können Risiken und Kontrollen in einem internen Kontrollworkflow definieren, der für komplexere Projekttypen verwendet wird, in denen Schilderungen definiert, exemplarische Vorgehensweisen zur Überprüfung des Kontrollkonzepts sowie Tests zur Überprüfung der Betriebseffizienz von Kontrollen durchgeführt werden.

Wenn Sie ein einfaches prozedurales Projekt ausführen müssen, können Sie Risiken und Verfahren in einem Arbeitsplanworkflow definieren.

Was sind Risiken und Kontrollen?

Ein Risiko ist eine Auswirkung von Unsicherheit auf ein Ziel, wobei eine positive oder negative Abweichung von der Erwartung möglich ist.

Eine Kontrolle ist eine Menge aus Maßnahmen oder Aktionen, die zur Steuerung von Risiken ergriffen werden und die Wahrscheinlichkeit steigern, dass festgelegte Ziele erreicht werden.

Begriffe für „Risiko“ oder „Kontrolle“ können je nach der Konfiguration Ihrer Organisation abweichen. Ein Risiko kann zum Beispiel als „Anforderung“ und eine Kontrolle als „Verfahren“ bezeichnet werden.

Vorbereitungen

Bevor Sie Risiken und Kontrollen definieren können, müssen Sie Folgendes erledigen:

  1. Projekt oder Framework erstellen
  2. Ziele definieren
Hinweis

Abhängig von der Konfiguration des Projekts oder Frameworks in Ihrer Organisation, können Ziele auch als Abschnitte, Ziele, Zyklen, Funktionsbereiche, Anwendungssysteme oder mit einem anderen benutzerdefinierten Begriff bezeichnet werden.

Funktionsweise

Wenn Sie ein Risiko mit einer Kontrolle verbinden, legen Sie die Maßnahmen oder Handlungsabläufe fest, wie das Risiko beigelegt wird. Die Kombination aus identifizierten Risiken und zugehörigen Kontrollen wird als Risikokontrollmatrix bezeichnet.

Ein Risiko kann mit vielen Kontrollen und eine Kontrolle kann mit vielen Risiken verbunden werden.

Jede von Ihnen definierte Kontrolle hat eine zugehörige exemplarische Vorgehensweise, die zur Überprüfung der angemessenen Gestaltung der Kontrolle verwendet wird. Wenn Sie ein Projekt erstellen oder übertragen, können Sie sich für eine, zwei oder vier Testrunden entscheiden, um zu überprüfen, ob die Kontrolle effektiv funktioniert.

Komplexe Beziehungen zwischen Kontrollen und Tests definieren

Die Risikokontrollmatrix legt ein 1:1-Verhältnis zwischen jeder Kontrolle und dem dazugehörigen Test an. Wenn Sie komplexere Verhältnisse zwischen Kontrollen und Tests definieren möchten, stehen Ihnen zwei Optionen zur Verfügung:

Beziehung Beschreibung Wie erreiche ich das?
1:n

Eine Beziehung zwischen einem Test und vielen Testergebnissen

Wenden Sie den Test auf mehrere Elemente (z.B. unternehmensweite Anwendungssysteme) an und zeichnen Sie die Testergebnisse aus alle Elementen im selben Test auf.

n:1

Eine Beziehung zwischen einem einzigen Testergebnis und vielen Tests

Führen Sie den ersten Test aus und zeichnen Sie das Testergebnis auf, und führen Sie eine Verlinkung mit dem Testergebnis aus anderen Tests aus.

Hinweis

Sie können die URL aus Ihrem Browser-Adressfeld kopieren und in das Feld Testergebnisse für die anderen Tests einfügen, auf die die Ergebnisse zutreffen.

Beschränkungen

Jedes Ziel kann maximal 1000 Risiken und 1000 Kontrollen enthalten.

Beispiel

Risiken und Kontrollen definieren

Szenario

Als CFO sind Sie der Eigentümer eines gesamten Projekts „Generelle IT-Kontrollüberprüfung”. Die IT ist der Eigentümer einer der identifizierten Kontrolllücken, die mit der Netzwerksicherheit verbunden ist. Der Aufsichtsrat möchte wissen, wer der Eigentümer der Beilegung ist.

Prozess

Die nachfolgende Tabelle illustriert die Risiken und Kontrollen, die Sie als Teil der Risikokontrollmatrix Ihrer Organisation definiert haben. Als Nachuntersuchung zur Kontrolllücke (NS-002) weisen Sie den entsprechenden Mitarbeiter aus der IT-Abteilung als Eigentümer der Kontrolle zu.

Risiko Verbundene Kontrolle(n)
NS-A: Es wird keine Technologie eingesetzt, um das Netzwerk vor unbefugten Scannern zur Auffindung von Sicherheitslücken zu schützen oder solche Scanner zu entdecken.
  • NS-001: Die Architektur des Produktionsnetzwerks ist so ausgelegt, dass nicht authentisierter oder auf andere Weise unbefugter Datenverkehr zu oder von vertraulichen Systemen verhindert wird.
  • NS-002: Firewalls werden eingesetzt, die so konfiguriert sind, dass sie Internet-Datenverkehr verhindern, der nicht ausdrücklich erforderlich oder autorisiert ist.
NS-B: Unangemessene oder riskante Änderungen wurden an der Konfiguration der Netzwerksicherheitsgeräte vorgenommen.
  • NS-003: Nur entsprechende Mitarbeiter aus der Netzwerkadministration haben Zugriff, um Änderungen an der Konfiguration der Geräte für die Netzwerkfirewalls vorzunehmen.
NS-C: Im Netzwerk oder System gibt es unerkannte Sicherheitslücken, weil kein Prüfprozess eingesetzt wird.
  • NS-004: Einmal pro Monat werden die IP-Adressen und Anwendungen, über die Verbindung außerhalb des Perimeters des Firmennetzwerks erstellt werden kann, einem Scan unterzogen, um potenzielle Sicherheitslücken zu erkennen. Alle identifizierten Sicherheitslücken werden weiterverfolgt und zeitnah aufgelöst.
NS-D: Systeme und Netzwerkgeräte nutzen veraltete Systemsoftware, die potenziell anfällig ist.
  • NS-005: Ein dokumentiertes Verfahren wird eingesetzt und befolgt, um zu überprüfen, ob Patches und Upgrades für die Systemsoftware verfügbar sind und das anschließend diese Patches und Upgrades einmal pro Monate auf Serversysteme und Netzwerkgeräte aufspielt.
NS-E: Zum oder vom Netzwerk übertrage Daten werden von unbefugten Personen abgefangen.
  • NS-006: Übertragungen von vertraulichen Informationen zum und vom Netzwerk oder öffentlichkeitsseitige Anwendungen können zwangsweise nur über eine entsprechend verschlüsselte Verbindung durchgeführt werden.

Ergebnis

  • Der Mitarbeiter aus der IT-Abteilung erhält eine Benachrichtigung per E-Mail und ist in der Lage, zur Aktualisierung der Definition der Kontrolle beizutragen.
  • Sie sind in der Lage, dem Aufsichtsrat den Eigentümer der Beilegung NS-002 mitzuteilen.

Berechtigungen

Nur Benutzer mit den Rollen „Fachmanager“ und „Fachbenutzer“ können Risiken und Kontrollen definieren und verbinden.

Risiken und Kontrollen definieren

Hinweise

  • Begriffe der Benutzeroberfläche können angepasst werden, und auch Felder sowie Registerkarten sind einstellbar. In Ihrer Instanz von Diligent One können einige Begriffe, Felder und Registerkarten unterschiedlich sein.
  • Wenn ein erforderliches Feld leer bleibt, wird Ihnen eine Warnmeldung angezeigt: Dieses Feld ist obligatorisch. Einige benutzerdefinierte Felder verfügen möglicherweise über Standardwerte.
  1. Führen Sie einen der folgenden Schritte aus:
    • So definieren Sie Risiken und Verfahren in einem Projekt:
      1. Wählen Sie auf der Launchpad-Startseite (www.highbond.com) die Projekte-App aus, um sie zu öffnen.

        Wenn Sie sich bereits in Diligent One befinden, können Sie über das linke Navigationsmenü zur Projekte-App wechseln.

      2. Klicken Sie innerhalb eines Projekts auf die Registerkarte Einsatz vor Ort.
    • So definieren Sie Risiken und Verfahren in einem Framework:
      1. Öffnen Sie die Frameworks-App.
      2. Öffnen Sie ein Framework und klicken Sie auf die Registerkarte Abschnitte.
  2. Machen Sie das entsprechende Ziel ausfindig, klicken Sie auf Nach und wählen Sie Risikokontrollmatrix.
  3. Führen Sie einen der folgenden Schritte aus:
    • Um ein Risiko zu definieren, klicken Sie auf Risiko hinzufügen, geben Sie die erforderlichen Informationen ein und klicken Sie auf Speichern.
    • Um eine Kontrolle zu definieren, klicken Sie auf Kontrolle neben der Bezeichnung Anzeige nach, klicken Sie auf Kontrolle hinzufügen, geben Sie die erforderlichen Informationen ein und klicken Sie auf Speichern.
  4. Gehen Sie wie folgt vor, um Risiken und Kontrollen miteinander zu verbinden:
    1. Sorgen Sie dafür, dass Sie wenigstens ein Risiko und eine Kontrolle angelegt haben.
    2. Klicken Sie neben dem Risiko oder der Kontrolle auf Risiko zuweisen bzw. Kontrolle zuweisen, definieren Sie die entsprechenden Zuordnungen und klicken Sie auf Speichern.

Risikofelder

Hinweis

Rich-Text-Felder dürfen maximal 524.288 Zeichen lang sein.

Tipp

Gehen Sie wie folgt vor, um die Rechtschreibprüfung in Rich-Text-Feldern zu aktivieren:

  • Chrome, Firefox oder Safari STRG + Rechtsklicken innerhalb des Feldes unter Windows oder Command + Rechtsklicken bei einem Mac
  • Internet Explorer oder Microsoft Edge öffnen Sie die Browser-Einstellungen und aktivieren Sie die Rechtsschreibprüfung / Hervorhebung falsch geschriebener Wörter
Feld Beschreibung

Titel

Optional

ein aussagekräftiger Titel für das Risiko

Die maximale Länge beträgt 255 Zeichen.

Beschreibung

Eine Aussage über das Risiko

Risiko ID

Optional

Die Identifizierungsnummer des Risikos

Die maximale Länge beträgt 255 Zeichen.

Auswirkung

Optional

Eine Bewertung der Auswirkungen, falls das Risiko auftreten sollte

Wahrscheinlichkeit

Optional

Eine Bewertung der Wahrscheinlichkeit, dass das Risiko auftreten wird

Benutzerdefinierte Risikoeinstufungsfaktoren

Optional

Bestimmt die benutzerdefinierten Risikoeinstufungsfaktoren, die mit dem Risiko verbunden sind.

Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Risiken unter Projekttypen verwalten definieren.

Tipp

Sie können die Risikobewertungen nach Auswirkung, Wahrscheinlichkeit und benutzerdefinierte Risikoeinstufungsfaktoren automatisieren. Weitere Informationen finden Sie unter Betriebliche Risikobewertungen automatisieren.

Benutzerdefinierte Risikoattribute

Optional

Gibt die Attribute an, die mit dem Risiko verbunden sind.

Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Risiken unter Projekttypen verwalten definieren.

Unterstützende Nachweise

Optional

Ermöglicht Ihnen, im Anschluss an die Beilegung Daten aus der Ergebnisse-App mit Ihrer Dokumentation in der Projekte-App verknüpfen, um Informationen zu konsolidieren, Abzeichnungen ohne großen Aufwand durchzuführen und über Bewertungen zu informieren.

Hinweis

Diese Option ist nur verfügbar, wenn Ihre Organisation die Ergebnisse-App verwendet.

Mit diesem Risiko verbundene Kontrolle

Optional

Ermöglicht Ihnen, eine Kontrolle mit dem Risiko zu verbinden.

Entitätserfassungsbereich

Optional

Ermöglicht Ihnen, eine oder mehrere Entitäten zu Berichtszwecken mit dem Risiko zu markieren.

Hinweis

Nur „Fachmanager“ und „Fachbenutzer“ können eine Kontrolle mit einer Entität markieren, indem sie auf Inhalt anzeigen klicken und jede Entität auswählen, die der Kontrolle zugeordnet werden soll. Änderungen werden automatisch gespeichert.

Verlauf

Sie können einen kompletten Verlauf der Änderungen, die an dem Risiko auf Feldebene vorgenommen wurden, anzeigen.

Kontrollfelder

Hinweis

Rich-Text-Felder dürfen maximal 524.288 Zeichen lang sein.

Tipp

Gehen Sie wie folgt vor, um die Rechtschreibprüfung in Rich-Text-Feldern zu aktivieren:

  • Chrome, Firefox oder Safari STRG + Rechtsklicken innerhalb des Feldes unter Windows oder Command + Rechtsklicken bei einem Mac
  • Internet Explorer oder Microsoft Edge öffnen Sie die Browser-Einstellungen und aktivieren Sie die Rechtsschreibprüfung / Hervorhebung falsch geschriebener Wörter
Feld Beschreibung

Titel

Optional

ein aussagekräftiger Titel für die Kontrolle

Die maximale Länge beträgt 255 Zeichen.

Beschreibung

Eine Aussage über die Kontrolle

Kontroll-ID

Die Identifizierungsnummer der Kontrolle

Die maximale Länge beträgt 255 Zeichen.

Hinweis

Diese Nummer wird an den Zielpräfix angehängt.

Eigentümer

Optional

Ermöglicht Ihnen, einen lizenzierten oder nicht lizenzierten Benutzer als Eigentümer der Kontrolle zum Zweck der Überwachung oder Berichterstellung zuzuweisen.

Benutzer, denen die Rolle „Mitwirkender Tester” oder „Mitwirkender Benutzer“ zugewiesen wurde, werden normalerweise als ein Eigentümer einer Kontrolle festgelegt.

Eigentümer können auf Grundlage regionaler oder die Geschäftseinheit bzw. das Projekt betreffende Frameworks zugewiesen werden. Sobald eine Person als Eigentümer einer Kontrolle festgelegt wurde, erhält sie eine Benachrichtigung per E-Mail mit einem Link auf die Kontrolle. Auf diese Weise erhält die Person Schreibzugriff auf die zugewiesene Kontrolle und Lesezugriff auf Ziele und Risiken.

Hinweis

Wenn Sie einen Massen-Upload von Kontrollen durchführen und im Feld „Eigentümer“ eine Person angeben, wird der Name dieser Person in der Projekte-App erscheinen. Ihr wird jedoch nicht automatisch die Kontrolle zugeteilt und sie erhält auch keine Benachrichtigung per E-Mail.

Häufigkeit

Bestimmt das Standardtestmethode sowie den Stichprobenumfang auf der Registerkarte Testplan.

Der Testplan für ein Projekt kann zum Beispiel mit einer vordefinierten Häufigkeit (fortlaufend, wöchentlich, monatlich usw.) oder nach Bedarf angelegt werden.

Weitere Informationen finden Sie unter Verfahren ausführen und Kontrollen testen.

Typ

Bestimmt das Standardtestmethode sowie den Stichprobenumfang auf der Registerkarte Testplan.

Der Testplan kann zum Beispiel manuelle Kontrollen, Anwendungs-/Systemkontrollen, generelle IT-Kontrollen oder IT-abhängige, manuelle Kontrollen beinhalten.

Weitere Informationen finden Sie unter Verfahren ausführen und Kontrollen testen.

Verhindern oder erkennen? Legt fest, ob die Kontrolle zur Vermeidung oder zur Erkennung von Risiken vorgesehen ist, oder ob sie hier nicht angewendet werden kann.

Methode

Optional

Legt fest, wie die Kontrolle getestet oder implementiert wird.

Status

Optional

Legt den aktuellen Zustand der Kontrolle fest.

Benutzerdefinierte Kontrollattribute

Optional

Bestimmt die Attribute im Zusammenhang mit der Kontrolle.

Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Kontrollen unter Projekttypen verwalten definieren.

Relevante Aussagen

Optional

Ermöglicht Ihnen, eine oder mehrere relevante Aussagen mit der Kontrolle zu markieren.

COSO-Grundsätze

Optional

Ermöglicht Ihnen, die Kontrolle mit einem oder mehreren COSO-Grundsätzen zu markieren.

Hinweis

Die Projekte-App unterstützt das 2013 COSO Framework mit 17 COSO-Grundsätzen.

Mit dieser Kontrolle verbundenes Risiko

Optional

Ermöglicht Ihnen, ein Risiko mit der Kontrolle zu verbinden.

Kontrollgewicht

Optional

Drückt den Prozentsatz aus, mit dem die Kontrolle das Risiko beilegt.

Die Standardeinstellung für das Kontrollgewicht ist 100%. Sie können ein Kontrollgewicht zwischen 0% und 100% eingeben. Die Summe der Kontrollgewichte muss nicht 100 ergeben.

Weitere Informationen finden Sie unter Komponenten der Absicherung.

Entitätserfassungsbereich

Optional

Ermöglicht Ihnen, eine oder mehrere Entitäten zu Berichtszwecken mit der Kontrolle zu markieren.

Hinweis

Nur „Fachmanager“ und „Fachbenutzer“ können eine Kontrolle mit einer Entität markieren, indem sie auf Inhalt anzeigen klicken und jede Entität auswählen, die der Kontrolle zugeordnet werden soll. Änderungen werden automatisch gespeichert.

Verlauf

Sie können einen kompletten Verlauf der Änderungen, die an der Kontrolle auf Feldebene vorgenommen wurden, anzeigen.

Mehrere Risiken und Kontrollen hinzufügen

Informationen zum gleichzeitigen Hinzufügen mehrerer Risiken und Kontrollen finden Sie unter Massenimport von Risiken bzw. Massenimport von Kontrollen.