Risiken und Verfahren definieren

Dokumentieren und sichern Sie, dass die betrieblichen Risiken durch Kontrollen beigelegt wurden. Sie können entweder Risiken zuerst und Verfahren anschließend definieren, oder umgekehrt.

Hinweis

Sie können Risiken und Verfahren in einem Arbeitsplan-Workflow definieren, der aus einer Reihe von Schritten oder Verfahren besteht und vom Prüfungsteam ausgeführt wird, sowie die Dokumentation des Ergebnisses jedes einzelnen Schritts.

Wenn Sie komplexere Projekttypen ausführen müssen, können Sie Risiken und Kontrollen in einem Workflow für interne Kontrolle definieren.

Was sind Risiken und Verfahren?

Ein Risiko ist eine Auswirkung von Unsicherheit auf ein Ziel, wobei eine positive oder negative Abweichung von der Erwartung möglich ist.

Ein Verfahren ist eine Menge aus Maßnahmen oder Aktionen, die zur Steuerung von Risiken ergriffen werden und die Wahrscheinlichkeit steigern, dass festgelegte Ziele erreicht werden.

Begriffe für „Risiko“ oder „Verfahren“ können je nach der Konfiguration Ihrer Organisation abweichen. Ein Risiko kann zum Beispiel als „Anforderung“ und ein Verfahren als „Kontrolle“ bezeichnet werden.

Vorbereitungen

Bevor Sie Risiken und Verfahren definieren können, müssen Sie Folgendes erledigen:

  1. Erstellen Sie ein Projekt oder ein Framework.
  2. Definieren Sie Ziele.
Hinweis

Abhängig von der Konfiguration des Projekts oder Frameworks in Ihrer Organisation, können Ziele auch als Abschnitte, Ziele, Zyklen, Funktionsbereiche, Anwendungssysteme oder mit einem anderen benutzerdefinierten Begriff bezeichnet werden.

Funktionsweise

Wenn Sie ein Risiko mit einem Verfahren verbinden, legen Sie die Aktionen oder Vorgehensweisen fest, wie das Risiko beigelegt wird. Die Kombination aus identifizierten Risiken und dazugehörigen Verfahren wird als Projektplan bezeichnet.

Ein Risiko kann vielen Verfahren und ein Verfahren kann vielen Risiken zugeordnet werden. Für jedes definierte Verfahren wird automatisch ein Test erstellt.

Komplexe Beziehungen zwischen Verfahren und Tests definieren

Der Projektplan legt ein 1:1-Verhältnis zwischen jedem Verfahren und dem dazugehörigen Test an. Wenn Sie komplexere Verhältnisse zwischen Verfahren und Tests definieren möchten, stehen Ihnen zwei Optionen zur Verfügung:

Beziehung Beschreibung Wie erreiche ich das?
1:n

Eine Beziehung zwischen einem Test und vielen Testergebnissen

Wenden Sie den Test auf mehrere Elemente (z.B. unternehmensweite Anwendungssysteme) an und zeichnen Sie die Testergebnisse aus alle Elementen im selben Test auf.
n:1

Eine Beziehung zwischen einem einzigen Testergebnis und vielen Tests

Führen Sie den ersten Test aus und zeichnen Sie das Testergebnis auf, und führen Sie eine Verlinkung mit dem Testergebnis aus anderen Tests aus.

Hinweis

Sie können die URL aus Ihrem Browser-Adressfeld kopieren und in das Feld Verfahrensergebnisse für die anderen Tests einfügen, auf die die Ergebnisse zutreffen.

Beschränkungen

Jedes Ziel kann maximal 1000 Risiken und 1000 Kontrollen enthalten.

Beispiel

Risiken und Verfahren definieren

Szenario

Sie sind ein Mitglied der Geschäftsleitung und in dieser Funktion Eigentümer eines vollständigen Projekts vom Typ FCPA Compliance-Untersuchung. Eine der identifizierten Verfahrenslücken bezieht sich auf unangemessene Verwaltungsaufwendungen, und die Eigentümer in davon ist die Personalabteilung. Der Aufsichtsrat möchte wissen, wer der Eigentümer der Beilegung ist.

Prozess

Die nachfolgende Tabelle illustriert die Risiken und Verfahren, die Sie als Teil des Projektplans Ihrer Organisation definiert haben. Als Nachuntersuchung zur Verfahrenslücke (R&B-01) weisen Sie den entsprechenden Mitarbeiter aus der Personalabteilung als Eigentümer des Verfahrens zu.

Risiko Verbundene(s) Verfahren
R&B-A: Unangemessene Verwaltungsausgaben werden durch den Einsatz von unterstehenden Bediensteten verdeckt. R&B-01: Sie erhalten eine Liste mit Mitarbeitern mit Firmenkreditkarten, inkl. dem Titel des Mitarbeiters. Sie scannen die Liste, um alle Mitarbeiter zu identifizieren, an die normalerweise keine Firmenkreditkarte ausgegeben würde. Beispielsweise Büroangestellte und Verwaltungskräfte.
R&B-B: Mitarbeiter leisten Zahlungen an ausländische Amtsträger und verbergen diese Ausgaben in ihren Anträgen zur Reisekostenerstattung.
  • R&B-02: Sie ermitteln die Zielorganisationen. Dazu gehören Mitarbeiter, die mit Regierungsvertretern oder Vertretern von Fremdfirmen interagieren. Also ermitteln Sie, welche(r) Vertriebsmitarbeiter für das Regierungskonto verantwortlich sind (ist).
  • R&B-03: Sie erhalten eine Liste aller Mitarbeiterberichte zu Reise- und Bewirtungskosten, inkl. der Beträge und das kodierte Sachkonto, das im Rahmen der Untersuchung verarbeitet wurde. Sie führen damit eine Analytics-Antikorruptions-Schlüsselwortsuche durch.
  • R&B-04: Alle Namen, die auf dem Spesenbericht als Teilnehmer aufgeführt werden, oder andere werden anhand einer eingeschränkten Liste mit Analytics überprüft. Alle Ausnahmen sollten untersucht werden.
  • R&B-05: Sie überprüfen alle Spesenberichte anhand der Grenzwerte nach Spesentyp. Wählen Sie einen Stichprobe, um einen Angemessenheitsprüfung durchzuführen.

Ergebnis

  • Der Mitarbeiter aus der IT-Abteilung erhält eine Benachrichtigung per E-Mail und ist in der Lage, zur Aktualisierung der Definition des Verfahrens beizutragen.
  • Sie sind in der Lage, dem Aufsichtsrat mitzuteilen, wer der Eigentümer der Beilegung R&B-01 ist.

Berechtigungen

Nur Benutzer mit den Rollen „Fachmanager“ und „Fachbenutzer“ können Risiken und Verfahren definieren und verbinden.

Risiken und Verfahren definieren

Hinweise

  • Begriffe der Benutzeroberfläche können angepasst werden, und auch Felder sowie Registerkarten sind einstellbar. In Ihrer Instanz von Diligent One können einige Begriffe, Felder und Registerkarten unterschiedlich sein.
  • Wenn ein erforderliches Feld leer bleibt, wird Ihnen eine Warnmeldung angezeigt: Dieses Feld ist obligatorisch. Einige benutzerdefinierte Felder verfügen möglicherweise über Standardwerte.
  1. Führen Sie einen der folgenden Schritte aus:
    • So definieren Sie Risiken und Verfahren in einem Projekt:

      1. Wählen Sie auf der Launchpad-Startseite (www.highbond.com) die Projekte-App aus, um sie zu öffnen.

        Wenn Sie sich bereits in Diligent One befinden, können Sie über das linke Navigationsmenü zur Projekte-App wechseln.

      2. Klicken Sie innerhalb eines Projekts auf die Registerkarte Einsatz vor Ort.
    • So definieren Sie Risiken und Verfahren in einem Framework:
      1. Öffnen Sie die Frameworks-App.
      2. Öffnen Sie ein Framework und klicken Sie auf die Registerkarte Abschnitte .
  2. Machen Sie das entsprechende Ziel ausfindig, klicken Sie auf Nach und wählen Sie Projektplan.
  3. Führen Sie einen der folgenden Schritte aus:
    • Um ein Risiko zu definieren, klicken Sie auf Risiko hinzufügen, geben Sie die erforderlichen Informationen ein und klicken Sie auf Speichern.
    • Um ein Verfahren zu definieren, klicken Sie auf Verfahren neben der Bezeichnung Anzeige nach, klicken Sie auf Verfahren hinzufügen, geben Sie die erforderlichen Informationen ein und klicken Sie auf Speichern.
  4. Gehen Sie wie folgt vor, um Risiken und Verfahren zu verbinden:
    1. Sorgen Sie dafür, dass Sie wenigstens ein Risiko und ein Verfahren angelegt haben.
    2. Klicken Sie neben dem Risiko oder Verfahren auf Risiko zuordnen oder Verfahren zuordnen, definieren Sie die entsprechenden Zuordnungen und klicken Sie auf Speichern.

Risikofelder

Hinweis

Rich-Text-Felder dürfen maximal 524.288 Zeichen lang sein.

Tipp

Gehen Sie wie folgt vor, um die Rechtschreibprüfung in Rich-Text-Feldern zu aktivieren:

  • Chrome, Firefox oder Safari STRG + Rechtsklicken innerhalb des Feldes unter Windows oder Command + Rechtsklicken bei einem Mac
  • Internet Explorer oder Microsoft Edge öffnen Sie die Browser-Einstellungen und aktivieren Sie die Rechtsschreibprüfung / Hervorhebung falsch geschriebener Wörter
Feld Beschreibung

Titel

Optional

ein aussagekräftiger Titel für das Risiko

Die maximale Länge beträgt 255 Zeichen.
Beschreibung

Eine Aussage über das Risiko

Risiko ID

Optional

Die Identifizierungsnummer des Risikos

Die maximale Länge beträgt 255 Zeichen.

Auswirkung

Optional

 Eine Bewertung der Auswirkungen, falls das Risiko auftreten sollte

Wahrscheinlichkeit

Optional

 Eine Bewertung der Wahrscheinlichkeit, dass das Risiko auftreten wird

Benutzerdefinierte Risikoeinstufungsfaktoren

Optional

Bestimmt die benutzerdefinierten Risikoeinstufungsfaktoren, die mit dem Risiko verbunden sind.

Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Risiken unter Projekttypen verwalten definieren.

Tipp

Sie können die Risikobewertungen nach Auswirkung, Wahrscheinlichkeit und benutzerdefinierte Risikoeinstufungsfaktoren automatisieren. Weitere Informationen finden Sie unter Betriebliche Risikobewertungen automatisieren.

Attribute

Optional

Gibt die Attribute an, die mit dem Risiko verbunden sind.

Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Risiken unter Projekttypen verwalten definieren.

Unterstützende Nachweise

Optional

Ermöglicht Ihnen, im Anschluss an die Beilegung Daten aus der Ergebnisse-App mit Ihrer Dokumentation in der Projekte-App verknüpfen, um Informationen zu konsolidieren, Abzeichnungen ohne großen Aufwand durchzuführen und über Bewertungen zu informieren.

Hinweis

Diese Option ist nur verfügbar, wenn Ihre Organisation die Ergebnisse-App verwendet.

Mit diesem Risiko verbundenes Verfahren

Optional

Ermöglicht Ihnen, ein Verfahren mit dem Risiko zu verbinden.

Entitätserfassungsbereich

Optional

Ermöglicht Ihnen, eine oder mehrere Entitäten zu Berichtszwecken mit dem Risiko zu markieren.

Hinweis

Nur „Fachmanager“ und „Fachbenutzer“ können ein Verfahren mit einer Entität markieren, indem sie auf Inhalt anzeigen klicken und jede Entität auswählen, die dem Verfahren zugeordnet werden soll. Änderungen werden automatisch gespeichert.
Verlauf

Sie können einen kompletten Verlauf der Änderungen, die an dem Risiko auf Feldebene vorgenommen wurden, anzeigen.

Felder für Verfahren

Hinweis

Rich-Text-Felder dürfen maximal 524.288 Zeichen lang sein.

Tipp

Gehen Sie wie folgt vor, um die Rechtschreibprüfung in Rich-Text-Feldern zu aktivieren:

  • Chrome, Firefox oder Safari STRG + Rechtsklicken innerhalb des Feldes unter Windows oder Command + Rechtsklicken bei einem Mac
  • Internet Explorer oder Microsoft Edge öffnen Sie die Browser-Einstellungen und aktivieren Sie die Rechtsschreibprüfung / Hervorhebung falsch geschriebener Wörter
Feld Beschreibung

Titel

Optional

ein aussagekräftiger Titel für das Verfahren

Die maximale Länge beträgt 255 Zeichen.
Beschreibung

Eine Aussage über das Verfahren.
Verfahrensreferenznummer

Die Identifizierungsnummer des Verfahrens

Die maximale Länge beträgt 255 Zeichen.

Hinweis

Diese Nummer wird an den Zielpräfix angehängt.

Eigentümer

Optional

Ermöglicht Ihnen, einen lizenzierten oder nicht lizenzierten Benutzer als Eigentümer des Verfahrens zum Zweck der Überwachung oder Berichterstellung zuzuweisen.

Benutzer, denen die Rolle „Mitwirkender Tester” oder „Mitwirkender Benutzer“ zugewiesen wurde, werden normalerweise als ein Eigentümer eines Verfahrens festgelegt.

Eigentümer können auf Grundlage regionaler oder die Geschäftseinheit bzw. das Projekt betreffende Frameworks zugewiesen werden. Sobald eine Person als Eigentümer eines Verfahrens festgelegt wurde, erhält sie eine Benachrichtigung per E-Mail mit einem Link auf das Verfahren. Auf diese Weise erhält die Person Schreibzugriff auf das zugewiesene Verfahren und Lesezugriff auf Ziele und Risiken. Von Projekten gesendete E-Mail-Benachrichtigungen leiten Diligent One-Benutzer zur Bewertungen-App um. Jede Karte innerhalb der Bewertungen-App enthält einen Link, der Sie zurück zur Projekte-App führt. Benutzer, die nicht bei Diligent One registriert sind, erhalten eine öffentliche URL.

Hinweis

Wenn Sie einen Massen-Upload von Verfahren durchführen und im Feld „Eigentümer“ eine Person angeben, wird der Name dieser Person in der Projekte-App erscheinen. Ihr wird jedoch nicht automatisch das Verfahren zugeteilt und sie erhält auch keine Benachrichtigung per E-Mail.

Benutzerdefinierte Verfahrensattribute

Optional

Gibt die Attribute an, die mit dem Verfahren verbunden sind.

Projekt- und Projekttyp-Administratoren können benutzerdefinierte Attribute für Verfahren unter Projekttypen verwalten definieren.

Relevante Aussagen

Optional

Ermöglicht Ihnen, eine oder mehrere relevante Aussagen mit dem Verfahren zu markieren.

COSO-Grundsätze

Optional

Ermöglicht Ihnen, das Verfahren mit einem oder mehreren COSO-Grundsätzen zu markieren.

Hinweis

Die Projekte-App unterstützt das 2013 COSO Framework mit 17 COSO-Grundsätzen.

Mit diesem Verfahren verbundenes Risiko

Optional

Ermöglicht Ihnen, ein Risiko mit dem Verfahren zu verbinden.

Gewichtung von Verfahren

Optional

Drückt den Prozentsatz aus, mit dem das Verfahren das Risiko beilegt.

Die Standardeinstellung für die Gewichtung des Verfahrens ist 100 %. Sie können eine Gewichtung des Verfahrens zwischen 0 % und 100 % eingeben. Die Summe der Verfahrensgewichtungen muss nicht 100 ergeben.

Weitere Informationen finden Sie unter Komponenten der Absicherung.

Entitätserfassungsbereich

Optional

Ermöglicht Ihnen, eine oder mehrere Entitäten zu Berichtszwecken mit dem Verfahren zu markieren.

Hinweis

Nur „Fachmanager“ und „Fachbenutzer“ können ein Verfahren mit einer Entität markieren, indem sie auf Inhalt anzeigen klicken und jede Entität auswählen, die dem Verfahren zugeordnet werden soll. Änderungen werden automatisch gespeichert.
Verlauf

Sie können einen kompletten Verlauf der Änderungen, die am Verfahren auf Feldebene vorgenommen wurden, anzeigen.