BIC GRC Prozesse

Neues Risiko

Wer ist in diesem Prozess beteiligt?

Anders als in den anderen Risiko-bezogenen Prozessen, sind hier keine speziellen Rollen wie z.b. der Risikoeigner beteiligt. Jeder Benutzer für den in der Ansicht Neue Vorgänge die Kachel Neues Risiko verfügbar ist, kann ein neues Risiko in den Risikokatalog aufnehmen. Jedes über diesen Prozess neu aufgenommene Risiko wird im Risikokatalog als noch Nicht bestätigt The green exclamation mark on the left side of a risk or control means it is not approved yet. :width: 25pt :height: 25pt hervorgehoben.

Welche Aufgaben sind Teil dieses Prozesses?

Im Rahmen des Prozesses Neues Risiko muss nur das initiale Erfassungsformular ausgefüllt werden. Nach abschicken des Formulars, wird das neue Risiko direkt im Risikokatalog aufgeführt.

Das Erfassungformular enthält einige Pflichtfelder, sodass die wichtigsten Informationen zum Risiko direkt erfasst werden. Unter anderem wird der Risikoeigner und der Verantwortliche für Risikokategorie erfasst. Eine erste initiale qualitative Risikobewertung unter Angabe der Schadenshöhe und Eintrittswahrscheinlichkeit wird auch eingefordert. Die eigentliche Risikobewertung wird automatisch ermittelt.

Bemerkung

Um mehr darüber zu erfahren, nach welchen Regeln die Risikobewertung ermittelt wird, lesen Sie bitte hier.

Wann und wie wird das Maßnahmen-Management ausgelöst?

Nachdem das neue Risiko erfasst wurde, startet das System abhängig von den gemachten Angaben ggf. automatisch eine Maßnahme.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • das Datum der Nächsten Risikobewertung mehr als 30 Tage in der Zukunft liegt.

Die automatisch gestartete Maßnahme mit dem Titel „Das Datum der nächsten Risikobewertung ist zu spät.“ enthält einen Link zum betreffenden Risiko und wird dem Risikoeigner zugewiesen. Er muss nun festlegen, was im Rahmen dieser Maßnahme zu tun ist. Um dem Risikoeigner dabei zu unterstützen, werden einige Eigenschaften der Maßnahme wie folgt vorbelegt:

Eigenschaft der Maßnahme

Vorbefüllt mit

Verantwortlich für Umsetzung

Risikoeigner

Eskalationsinstanz

Verantwortlicher für Risikokategorie

Fällig am

Heute + 30 Tage

Review fällig am

Heute + 45 Tage

Die Inhalte der vorbelegten Eigenschaften können im Rahmen der Maßnahmenfestlegung natürlich noch geändert werden.

Risikobewertung

Wer ist in diesem Prozess beteiligt?

Der Risikoeigner und der Verantwortliche für Risikokategorie sind die Nutzer, die in diesem Prozess beteiligt sind. Der Verantwortliche für Risikokategorie ist dabei höher gestellt und überprüft die Angaben des Risikoeigners. Beide Rollen können dem selben Nutzer zugewiesen werden.

Hier können Sie mehr über Gruppenaufgaben erfahren.

Welche Aufgaben sind Teil dieses Prozesses

Dieser Prozess besteht aus zwei unterschiedlichen Aufgaben:

  • Die Primäraufgabe Risikobewertung.

  • Die Sekundäraufgabe Risikoneubewertung, welche durch vordefinierte Regeln gestartet wird.

Nachdem der Prozess manuell oder automatisch gestartet wurde, verlangt die erste Aufgabe, dass der Risikoeigner das Risiko bewertet.

  • Wenn der Risikoeigner das Risiko ohne Änderungen bestätigt, wird der Prozess nach dem Absenden automatisch beendet.

  • Falls Änderungen vorgenommen werden und ein Verantwortlicher für Risikokategorie zugewiesen ist, wechselt der Prozess zur zweiten Aufgabe, um eine Risikoneubewertung durchzuführen.

Bemerkung

Nachdem ein Risiko als Nicht mehr relevant bewertet wurde, erscheint neben dem Risiko das The hourglass mark on the left side of a risk means it has been rated as Obsolete during a previous *Risk Assessment* process. :width: 25pt :height: 25pt Symbol.

Während der Risikoneubewertung muss der zugewiesene Nutzer dem Ergebnis der Risikobewertung eine der zwei möglichen Ergebnisse zuweisen:

  • Ich bestätige die Risikobewertung: Die geänderten Werte des bewerteten Risikos werden im Katalog aktualisiert und können in den Risikodetails visualisiert werden.

  • Ich weise die Risikobewertung zur Korrektur an den Risikoverantwortlichen zurück: Die geänderten Werte des bewerteten Risikos werden nicht angenommen. Der Prozess wechselt zurück zur ersten Aufgabe, welche vom Risikoeigner eine neue Bewertung des Risikos fordert. Sobald das Formular abgesendet wurde, muss die Risikobewertung erneut erledigt werden.

Hinweis

Nachdem ein Risiko im Risikokatalog aktualisiert wurde, aktualisiert das System dieses auch in BIC Process Design, sofern das Risiko initial über den Connector importiert wurde.

Wie wird die Risikobewertung berechnet?

Sobald den Feldern Schadenshöhe und Eintrittswahrscheinlichkeit ein Wert zugewiesen wird, berechnet das System auf Basis von Geschäftsregeln und mit Hilfe von Entscheidungstabellen die Risikobewertung.

In dieser Tabelle finden Sie die Standarddefinition der Entscheidungstabelle:

Eintrittswahrscheinlichkeit

Schadenshöhe

Risikobewertung

Sehr gering

Sehr gering, Gering

Sehr gering

Sehr gering

Mittel

Gering

Sehr gering

Hoch

Mittel

Gering

Sehr gering

Sehr gering

Gering

Gering

Gering

Gering

Mittel

Gering

Gering

Hoch

Mittel

Mittel

Sehr gering, Gering

Gering

Mittel

Mittel

Mittel

Mittel

Hoch

Hoch

Hoch

Sehr gering, Gering

Mittel

Hoch

Mittel, Hoch

Hoch

Die Risikobewertung bietet zusätzlich die Möglichkeit eine quantitative Bewertung des Risikos mittels der folgenden Felder vorzunehmen:

  • Schadenshöhe (EUR)

  • Eintrittswahrscheinlichkeit (%)

  • Risikoerwartungswert (EUR)

Der Risikoerwartungswert wird automatisch auf Basis der beiden anderen Felder berechnet. Die quantitative Risikobewertung ist in BIC GRC optional.

Wann und wie wird das Maßnahmen-Management ausgelöst?

Nachdem der Risikobewertungsprozess abgeschlossen ist, startet das System in Abhängigkeit der erfolgten Angaben automatisch den Maßnahmen-Management Prozess.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • sich die Risikobewertung ändert.

  • sich der Risikoverantwortliche ändert.

  • das Risiko als Nicht mehr relevant bewertet wurde.

Der Maßnahmen-Management Prozess fordert vom Risikoeigner gewisse Maßnahmen, die von einem Nutzer mit einer höheren Rolle überprüft werden müssen.

Unabhängig davon wann oder wie der Prozess gestartet wurde, beinhaltet die erste Aufgabe des neuen Prozesses einen Link zum zugehörigen Risiko und vier Felder, die auf Basis vordefinierte Geschäftslogiken vorbelegt sind.

Die hier aufgelisteten Felder des Maßnahmen-Management Prozess sind standardmäßig mit folgenden Werten belegt:

Maßnahmen-Management Feld

Vorgefüllt mit

Verantwortlich für Umsetzung

Risikoeigner

Prüfer

Verantwortlicher für Risikokategorie

Fällig am

Siehe Tabelle

Review fällig am

Siehe Tabelle

Die Inhalte der oben aufgelisteten, vorbefüllten Felder, können in der erzeugten Maßnahmen-Management Aufgabe geändert werden.

Die folgende Tabelle zeigt, wie die Felder Fällig am und Review fällig am ermittelt werden:

Regel

Fällig am

Review fällig am

Wenn die Risikobewertung erhöht wurde

Heute + 30 Tage

Heute + 45 Tage

Wenn die Risikobewertung verringert wurde

Heute + 90 Tage

Heute + 105 Tage

Wenn die Risikobehandlung auf Akzeptanz geändert wurde

Heute + 90 Tage

Nicht vorbelegt

Wenn die Risikobehandlung auf Transfer, Vermeidung oder Verminderung geändert wurde

Heute + 30 Tage

Heute + 45 Tage

Bemerkung

Die erste zutreffende Regel definiert die Werte für Fällig am und Review fällig am für den Maßnahmen-Management Prozess.

Wie wird das Datum für die „nächste Risikobewertung“ ermittelt?

Wurde die Risikobwertung automatisch gestartet, errechnet BIC GRC das Datum für die nächste Risikobewertung auf Basis des angegebenen Intervall für Risikobewertung und aktualisiert das Risiko im Risikokatalog mit dem neu ermittelten Datum. In der Historie des Risikos entsteht dadurch ein neuer Eintrag.

Wurde die Risikobewertung dagegen manuell im Risikokatalog gestartet, erfolgt keine automatische Neuberechnung. Manuell gestartete Risikobewertungen werden als zusätzliche Bewertungen außerhalb des für das Risiko angedachten Prüfintervals betrachtet.

Vollständigkeitsprüfung

Wer ist an diesem Prozess beteiligt?

An der Vollständigkeitsprüfung ist nur der Risikoeigner beteiligt. Es kann entweder ein einzelner Nutzer oder eine Benutzergruppe als Risikoeigner festgelegt sein.

Welche Aufgaben sind Teil dieses Prozesses?

Dieser Prozess besteht aus der Aufgabe Überprüfen Sie die Vollständigkeit der Abdeckung des Risikos „<Risiko-Name>“ durch Kontrollen..

Nachdem der Prozess manuell oder automatisch gestartet wurde, muss der Risikoeigner überprüfen, ob das Risiko vollständig durch Kontrollen abgedeckt ist.

Zur Ergebnisdokumentation bietet das Feld Ergebnis der Vollständigkeitsprüfung folgende Optionen zur Auswahl: Kontrollen sind vollständig oder Kontrollen sind unvollständig.

Wenn der Risikoeigner Kontrollen sind vollständig auswählt und die Risikobehandlung ist nicht Verminderung, wird der Prozess nach dem Absenden des Formulars sofort abgeschlossen.

Hinweis

Nachdem ein Risiko im Risikokatalog aktualisiert wurde, aktualisiert das System dieses auch in BIC Process Design, sofern das Risiko initial über den Connector importiert wurde.

Wann und wie wird der Maßnahmen-Management Prozess gestartet?

Nachdem die Vollständigkeitsprüfung abgeschlossen wurde, startet das System in Abhängigkeit der erfolgten Angaben automatisch den Maßnahmen-Management Prozess.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • als Ergebnis der Vollständigkeitsprüfung Kontrollen sind vollständig gewählt wurde und die Art der Risikobehandlung Verminderung ist.

  • als Ergebnis der Vollständigkeitsprüfung Kontrollen sind unvollständig gewählt wurde.

Der Maßnahmen-Management Prozess fordert vom Risikoeigner gewisse Maßnahmen, die von einem Nutzer mit einer höheren Rolle überprüft werden.

Unabhängig davon wann oder wie der Prozess gestartet wurde, beinhaltet die erste Aufgabe des neuen Prozesses einen Link zum zugehörigen Risiko und vier Felder, die mittels vordefinierter Geschäftslogiken vorbefüllt werden.

Die hier aufgelisteten Felder des Maßnahmen-Management Prozesses sind standardmäßig mit folgenden Werten belegt:

Maßnahmen-Management Feld

Vorgefüllt mit

Verantwortlich für Umsetzung

Risikoeigner

Prüfer

Verantwortlicher für Risikokategorie

Eskalationsinstanz

Verantwortlicher für Risikokategorie

Fällig am

Heute + 30 Tage

Review fällig am

Heute + 45 Tage

Die Inhalte der oben aufgelisteten, vorbefüllten Felder, können in der erzeugten Maßnahmen-Management Aufgabe geändert werden.

Wie wird das Datum für die „nächste Vollständigkeitsprüfung“ ermittelt?

Wurde die Vollständigkeitsprüfung automatisch gestartet, errechnet BIC GRC das Datum für die nächste Vollständigkeitsprüfung auf Basis des angegebenen Intervall für Vollständigkeitsprüfung und aktualisiert das Risiko im Risikokatalog mit dem neu ermittelten Datum. In der Historie des Risikos entsteht dadurch ein neuer Eintrag.

Wurde die Vollständigkeitsprüfung dagegen manuell im Risikokatalog gestartet, erfolgt keine automatische Neuberechnung. Manuell gestartete Vollständigkeitsprüfungen werden als zusätzliche Bewertungen außerhalb des für das Risiko angedachten Prüfintervals betrachtet.

Neue Kontrolle

Wer ist in diesem Prozess beteiligt?

Anders als in den anderen Kontroll-bezogenen Prozessen, sind hier keine speziellen Rollen wie z.b. der Kontrolleigner beteiligt. Jeder Benutzer für den in der Ansicht Neue Vorgänge die Kachel Neue Kontrolle verfügbar ist, kann eine neue Kontrolle in den Kontrollkatalog aufnehmen. Jede über diesen Prozess neu aufgenommene Kontrolle wird im Kontrollkatalog als noch Nicht bestätigt The green exclamation mark on the left side of a risk or control means it is not approved yet. :width: 25pt :height: 25pt hervorgehoben.

Welche Aufgaben sind Teil dieses Prozesses?

Im Rahmen des Prozesses Neue Kontrolle muss nur das initiale Erfassungsformular ausgefüllt werden. Nach abschicken des Formulars, wird die neue Kontrolle direkt im Kontrollkatalog aufgeführt.

Das Erfassungformular enthält einige Pflichtfelder, sodass die wichtigsten Informationen zur Kontrolle direkt erfasst werden. Unter anderem wird der Kontrolleigner und der Kontrolltester erfragt. Es werden auch Angaben zur Kontrollwirkung, zur Durchführungsart und zum Durchführungsintervall eingefordert.

Um die Erfassung der Kontrolle abschließen zu können, muss die neue Kontrolle einem Risiko zugeordnet werden.

Wann und wie wird das Maßnahmen-Management ausgelöst?

Nachdem die neue Kontrolle erfasst wurde, startet das System abhängig von den gemachten Angaben ggf. automatisch eine Maßnahme.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • das Datum der Nächsten Angemessenheitsprüfung mehr als 30 Tage in der Zukunft liegt.

Die automatisch gestartete Maßnahme mit dem Titel „Das Datum der nächsten Angemessenheitsprüfung ist zu spät.“ enthält einen Link zur betreffenden Kontrolle und wird dem Kontrolleigner zugewiesen. Er muss nun festlegen, was im Rahmen dieser Maßnahme zu tun ist. Um dem Risikoeigner dabei zu unterstützen, werden einige Eigenschaften der Maßnahme wie folgt vorbelegt:

Eigenschaft der Maßnahme

Vorbefüllt mit

Verantwortlich für Umsetzung

Kontrolleigner

Eskalationsinstanz

Risikoeigner (des kontrollierten Risikos)

Fällig am

Heute + 30 Tage

Review fällig am

Heute + 45 Tage

Die Inhalte der vorbelegten Eigenschaften können im Rahmen der Maßnahmenfestlegung natürlich noch geändert werden.

Angemessenheitsprüfung

Wer ist an diesem Prozess beteiligt?

An der Angemessenheitsprüfung ist nur der Kontrolleigner beteiligt. Es kann entweder ein einzelner Nutzer oder eine Benutzergruppe als Kontrolleigner festgelegt sein.

Welche Aufgaben sind Teil dieses Prozesses?

Dieser Prozess besteht aus der Aufgabe Überprüfung der Angemessenheit.

Nachdem der Prozess manuell oder automatisch gestartet wurde, muss der Kontrolleigner überprüfen, ob die Kontrolle angemessen ist, dem Risiko zu begegnen.

Zur Ergebnisdokumentation bietet das Feld Ergebnis der Angemessenheitsprüfung folgende Optionen zur Auswahl: Kontrolle nicht angemessen oder Kontrolle angemessen.

Wenn Kontrolle angemessen gewählt wird, wird der Prozess nach dem Absenden des Formulars sofort abgeschlossen und die Kontrolldetails aktualisiert.

Unterhalb dieses Feldes bietet das Formular die Möglichkeit, die Kontrolle als Obsolet zu bewerten.

Bemerkung

Nachdem eine Kontrolle als Nicht mehr relevant bewertet wurde, erscheint neben der Kontrolle das The hourglass mark on the left side of a control means it has been rated as Obsolete during a previous *Test of Design* process. :width: 25pt :height: 25pt Symbol.

Wenn die Checkbox selektiert ist, ist nur noch das Feld Kommentar zum Ergebnis der Angemessenheitsprüfung verpflichtend. Wird die Checkbox wieder deselektiert, gelten wieder die bisherigen Pflichtfelder.

Hinweis

Nachdem eine Kontrolle im Kontrollkatalog aktualisiert wurde, aktualisiert das System diese auch in BIC Process Design, sofern die Kontrolle initial über den Connector importiert wurde.

Wann und wie wird der Maßnahmen-Management Prozess gestartet?

Nachdem die Angemessenheitsprüfung abgeschlossen wurde, startet das System in Abhängigkeit der erfolgten Angaben automatisch den Maßnahmen-Management Prozess.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • das Ergebnis der Angemessenheitsprüfung Kontrolle nicht angemessen ist oder

  • die Kontrolle als Obsolet markiert wurde.

Der Maßnahmen-Management Prozess fordert vom Kontrolleigner gewisse Maßnahmen, die von einem Nutzer mit einer höheren Rolle überprüft werden.

Unabhängig davon wann oder wie der Prozess gestartet wurde, beinhaltet die erste Aufgabe des neuen Prozesses einen Link zur zugehörigen Kontrolle und fünf Felder, die auf Basis vordefinierter Geschäftslogiken vorbelegt werden.

Die folgende Tabelle zeigt die Vorbelegung im Maßnahmen-Management Prozess:

Maßnahmen-Management Feld

Vorgefüllt mit

Verantwortlich für Umsetzung

Kontrolleigner

Prüfer

Risikoeigner

Eskalationsinstanz

Risikoeigner

Fällig am

Heute + 30 Tage

Review fällig am

Heute + 45 Tage

Die Inhalte der oben aufgelisteten, vorbefüllten Felder, können in der erzeugten Maßnahmen-Management Aufgabe geändert werden.

Wie wird das Datum für die „nächste Angemessenheitsprüfung“ ermittelt?

Wurde die Angemessenheitsprüfung automatisch gestartet, errechnet BIC GRC das Datum für die nächste Angemessenheitsprüfung auf Basis des angegebenen Intervall für Angemessenheitsprüfung und aktualisiert die Kontrolle im Kontrollkatalog mit dem neu ermittelten Datum. In der Historie der Kontrolle entsteht dadurch ein neuer Eintrag.

Wurde die Angemessenheitsprüfung dagegen manuell im Kontrollkatalog gestartet, erfolgt keine automatische Neuberechnung. Manuell gestartete Angemessenheitsprüfungen werden als zusätzliche Bewertungen außerhalb des für die Kontrolle angedachten Prüfintervals betrachtet.

Wirksamkeitsprüfung

Wer ist an diesem Prozess beteiligt?

An der Wirksamkeitsprüfung ist nur der Kontrolltester beteiligt. Es kann entweder ein einzelner Nutzer oder eine Benutzergruppe als Kontrolltester festgelegt sein.

Welche Aufgaben sind Teil dieses Prozesses?

Dieser Prozess besteht aus der Aufgabe Überprüfen Sie die Wirksamkeit der Kontrolle.

Nachdem der Prozess manuell oder automatisch gestartet wurde, muss der Kontrolltester überprüfen, ob die Kontrolle wirksam durchgeführt wird.

Zur Ergebnisdokumentation bietet das Feld Ergebnis der Wirksamkeitsprüfung folgende Optionen zur Auswahl: Unwirksam, Teilweise wirksam und Wirksam.

Wenn Wirksam gewählt wird, wird der Prozess nach dem Absenden des Formulars sofort abgeschlossen und die Kontrolldetails aktualisiert.

Hinweis

Nachdem eine Kontrolle im Kontrollkatalog aktualisiert wurde, aktualisiert das System diese auch in BIC Process Design, sofern die Kontrolle initial über den Connector importiert wurde.

Wann und wie wird der Maßnahmen-Management Prozess gestartet?

Nachdem die Wirksamkeitsprüfung abgeschlossen wurde, startet das System in Abhängigkeit der erfolgten Angaben automatisch den Maßnahmen-Management Prozess.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • das Ergebnis der Wirksamkeitsprüfung Unwirksam oder Teilweise wirksam ist.

Der Maßnahmen-Management Prozess fordert vom Kontrolleigner gewisse Maßnahmen, die von einem Nutzer mit einer höheren Rolle überprüft werden.

Unabhängig davon wann oder wie der Prozess gestartet wurde, beinhaltet die erste Aufgabe des neuen Prozesses einen Link zur zugehörigen Kontrolle und fünf Felder, die auf Basis vordefinierter Geschäftslogiken vorbelegt werden.

Die folgende Tabelle zeigt wie die Regeln auf den Maßnahmen-Management Prozess angewandt werden:

Maßnahmen-Management Feld

Vorgefüllt mit

Verantwortlich für Umsetzung

Kontrolleigner

Prüfer

Kontrolltester

Eskalationsinstanz

Risikoeigner

Fällig am

  • Wenn Teilweise wirksam: Heute + 90 Tage

  • Wenn Unwirksam: Heute + 30 Tage

Review fällig am

  • Wenn Teilweise wirksam: Heute + 105 Tage

  • Wenn Unwirksam: Heute + 45 Tage

Die Inhalte der oben aufgelisteten, vorbefüllten Felder, können in der erzeugten Maßnahmen-Management Aufgabe geändert werden.

Wie wird das Datum für die „nächste Wirksamkeitsprüfung“ ermittelt?

Wurde die Wirksamkeitsprüfung automatisch gestartet, errechnet BIC GRC das Datum für die nächste Wirksamkeitsprüfung auf Basis des angegebenen Intervall für Wirksamkeitsprüfung und aktualisiert die Kontrolle im Kontrollkatalog mit dem neu ermittelten Datum. In der Historie der Kontrolle entsteht dadurch ein neuer Eintrag.

Wurde die Wirksamkeitsprüfung dagegen manuell im Kontrollkatalog gestartet, erfolgt keine automatische Neuberechnung. Manuell gestartete Wirksamkeitsprüfungen werden als zusätzliche Bewertungen außerhalb des für die Kontrolle angedachten Prüfintervals betrachtet.

Kontrolldurchführung

Wer ist an diesem Prozess beteiligt?

An der Kontrolldurchführung ist nur der Kontrolldurchführende beteiligt. Es kann entweder ein einzelner Nutzer oder eine Benutzergruppe als Kontrolldurchführender festgelegt sein.

Welche Aufgaben sind Teil dieses Prozesses?

Dieser Prozess besteht aus der Aufgabe Führen Sie die Kontrolle durch.

Nachdem der Prozess manuell oder automatisch gestartet wurde, muss der Kontrolldurchführende die Durchführung der Kontrolle bestätigen.

Zur Ergebnisdokumentation bietet das Feld Ergebnis der Kontrolldurchführung folgende Optionen zur Auswahl: Ok, Geringfügige Abweichung und Erhebliche Abweichung.

Wenn Ok gewählt wird, wird der Prozess nach dem Absenden des Formulars sofort abgeschlossen und die Kontrolldetails aktualisiert.

Hinweis

Nachdem eine Kontrolle im Kontrollkatalog aktualisiert wurde, aktualisiert das System diese auch in BIC Process Design, sofern die Kontrolle initial über den Connector importiert wurde.

Wann und wie wird der Maßnahmen-Management Prozess gestartet?

Nachdem die Kontrolldurchführung abgeschlossen wurde, startet das System in Abhängigkeit der erfolgten Angaben automatisch den Maßnahmen-Management Prozess.

Der Maßnahmen-Management Prozess wird automatisch gestartet, wenn:

  • das Ergebnis der Kontrolldurchführung Geringfügige Abweichung oder Erhebliche Abweichung ist.

Der Maßnahmen-Management Prozess fordert vom Kontrolleigner gewisse Maßnahmen, die von einem Nutzer mit einer höheren Rolle überprüft werden.

Unabhängig davon wann oder wie der Prozess gestartet wurde, beinhaltet die erste Aufgabe des neuen Prozesses einen Link zur zugehörigen Kontrolle und fünf Felder, die auf Basis vordefinierter Geschäftslogiken vorbelegt werden.

Maßnahmen-Management Feld

Vorgefüllt mit

Verantwortlich für Umsetzung

Kontrolleigner

Prüfer

Kontrolltester

Eskalationsinstanz

Risikoeigner

Fällig am

  • Wenn Geringfügige Abweichung: Heute + 90 Tage

  • Wenn Erhebliche Abweichung: Heute + 30 Tage

Review fällig am

  • Wenn Geringfügige Abweichung: Heute + 105 Tage

  • Wenn Erhebliche Abweichung: Heute + 45 Tage

Die Inhalte der oben aufgelisteten, vorbefüllten Felder, können in der erzeugten Maßnahmen-Management Aufgabe geändert werden.

Wie wird das Datum für die „nächste Kontrolldurchführung“ ermittelt?

Wurde die Kontrolldurchführung automatisch gestartet, errechnet BIC GRC das Datum für die nächste Kontrolldurchführung auf Basis des angegebenen Durchführungsintervall und aktualisiert die Kontrolle im Kontrollkatalog mit dem neu ermittelten Datum. In der Historie der Kontrolle entsteht dadurch ein neuer Eintrag.

Wurde die Kontrolldurchführung dagegen manuell im Kontrollkatalog gestartet, erfolgt keine automatische Neuberechnung. Manuell gestartete Kontrolldurchführungen werden als zusätzliche Durchführungen außerhalb des für die Kontrolle angedachten Intervalls betrachtet.

Maßnahmen-Management

Wer ist an diesem Prozess beteiligt?

Am Maßnahmen-Management sind die folgenden Rollen beteiligt: Verantwortlich für Umsetzung, Prüfer und Eskalationsinstanz.

Diese Rollen können einem einzelnen Nutzer oder aber einer Gruppe zugewiesen werden.

Der Benutzer oder die Benutzergruppe, die als Prüfer oder Eskalationsinstanz zugewiesen sind, müssen sich von dem Benutzer bzw. der Benutzergruppe im Feld Verantwortlich für Umsetzung unterscheiden.

Welche Aufgaben sind Teil dieses Prozesses?

Diese drei Aufgaben sind Teil dieses Prozesses:

  • Maßnahme festlegen

  • Maßnahme umsetzen

  • Maßnahmenumsetzung überprüfen

Zusätzlich zu diesen drei Aufgaben gibt es die Eskalation behandeln Aufgabe, die unter bestimmten Umständen ausgelöst wird.

Im Rahmen der Maßnahmen festlegen Aufgabe ist es erforderlich die durchzuführende Korrektur-Maßnahme zu benennen, sowie ihre Art und Priorität festzulegen. Im Bereich der Verantwortlichkeiten gilt es die an der Maßnahme beteiligten Benutzer bzw. Benutzergruppen zu definieren. Es muss festgelegt werden, wer für die Umsetzung der Maßnahme verantwortlich ist und wer als Eskalationsinstanz im Falle einer Eskalation beteiligt werden soll. Zusätzlich kann ein Prüfer zur Überprüfung Maßnahmenumsetzung festgelegt werden.

Mittels des Feldes Fällig am muss definiert werden, bis wann die Maßnahme umzusetzen ist. Sofern auch ein Review gewünscht ist, muss auch ein Review fällig am Datum angegeben werden.

Abhängig davon wie der Maßnahmen-Management Prozess gestartet wurde, sind ggf. einige Eingabefelder schon vorbelegt.

Hinweis

Mehr Informationen dazu finden Sie hier.

Nachdem die Maßnahme festgelegt wurde, wechselt der Maßnahmen-Management Prozess in den zweiten Schritt Maßnahme umsetzen. Er wird demjenigen zugewiesen, der vorher im Feld Verantwortlich für Umsetzung festgelegt wurde.

Bevor die Aufgabe zur Umsetzung abgeschlossen werden kann, muss der Benutzer den Status der Umsetzung und einen Kommentar zum Status der Umsetzung angeben. Folgende Statuswerte stehen zur Verfügung: Offen, Umgesetzt, Duplikat, Ungültig und Obsolet.

Nach Abschluss der Maßnahme umsetzen Aufgabe wird die dritte Aufgabe Maßnahmenumsetzung überprüfen gestartet, sofern zu Beginn der Maßnahme ein Prüfer hinterlegt wurde.

Zur Ergebnisdokumentation bietet das Feld Maßnahmenfreigabe folgende Optionen zur Auswahl:

  • Umsetzung freigeben. Hierbei wird der Prozess direkt nach dem Absenden des Formulars beendet.

  • Umsetzung ablehnen. Hierbei wird der Prozess zurück zum Schritt Maßnahme umsetzen gelenkt und der Verantwortliche für die Umsetzung erhält entsprechend eine Aufgabe.

Die vierte Aufgabe Eskalation behandeln wird automatisch gestarted, wenn entweder das Fällig am Datum der Umsetzung oder das Review fällig am Datum erreicht wird. Die Aufgabe wird dem Benutzer bzw. der Benutzergruppe zugewiesen, die im Feld Eskalationsinstanz angegeben wurden.

Wann und wie kann der Maßnahmen-Management Prozess gestartet werden?

Der Prozess kann entweder manuell oder automatisch gestarted werden.

Ein manueller Start erfolgt:

  • Wenn Sie in der Ansicht Neue Vorgänge den Eintrag Maßnahmen-Management auswählen und das sich öffnende Formular ausfüllen und abschicken.

  • Wenn Sie im Risikokatalog für ein Risiko ein Maßnahmen-Management starten.

  • Wenn Sie im Kontrollkatalog für eine Kontrolle ein Maßnahmen-Management starten.

Hinweis

Im Administrationsbereich ist es möglich für jeden Prozess festzulegen, wer ihn manuell starten darf.

Ein automatischer Start kann als Ergebnis einer der folgenden Prozesse angestoßen werden:

Falls das Maßnahmen-Management automatisch gestarted wurde, sind in der Aufgabe Maßnahme festlegen in der Regel die folgenden Felder schon vorbefüllt: Verantwortlich für Umsetzung, Prüfer, Eskalationsinstanz, Fällig am und Review fällig am.

Abhängig vom Prozess, von dem aus das Maßnahmen-Management gestartet wurde, unterscheided sich die Vorbefüllung. Für weitere Details, werfen Sie doch einen Blick in die Kapitel der einzelnen Prozesse. Dort finden Sie jeweils eine Antwort auf die Frage: Wann und wie wird der Maßnahmen-Management Prozess gestartet?