Grundlagen Risikomanagement und integrierte Kontrollsysteme
Begriffe des Risikomanagements
Risikoidentifikation: Die Risikoidentifikation umfasst alles, was dazu führt, dass Sie ein Risiko für die Bewertung und Steuerung erfassen müssen. Dazu haben Sie folgende Möglichkeiten:
Vorgang Neues Risiko: Damit können Sie das Risiko in einem Schritt erfassen. Es erscheint dann unmittelbar im Risikokatalog und wird als noch unbewertetes Risiko hervorgehoben. Für ein neues Risiko müssen der Name des Risikos und der Risikoeigner angegeben werden, damit eine Risikobewertung möglich ist. Alle weiteren Eingabefelder hängen von den Einstellungen Ihres Systems ab. Wenn nicht jeder Benutzer Risiken erfassen soll, können Sie berechtigen, wer den Vorgang Neues Risiko starten darf.
Vorgang Risikoerfassung: Wenn Sie möchten, dass neue Risiken erst von den Verantwortlichen bestätigt werden, bevor sie im Risikokatalog auftauchen, steht eine mehrstufige Erfassung und Freigabe zur Verfügung. Dabei muss zunächst der Risikoeigner das neue Risiko bestätigen und danach eine weitere übergeordnete Rolle, z.B. ein zentraler Risikomanager. Beide Rollen können das Risiko auch ablehnen oder an den vorherigen Bearbeiter zurückweisen, wenn die Informationen unvollständig oder fehlerhaft sind. Wenn nicht jeder Benutzer Risiken erfassen soll, können Sie berechtigen, wer den Vorgang Risikoerfassung starten darf.
Übernahme von Risiken aus Diagrammen in BIC Process Design: Bei der Veröffentlichung von Diagrammen in BIC Process Design können Risiken automatisch übernommen werden.
Risikosteuerung: Die Risikosteuerung umfasst alle Aktivitäten zur Verminderung der Eintrittswahrscheinlichkeit und der Schadenshöhe.
Bei Akzeptanz eines Risikos folgen Aktivitäten erst, wenn das Risiko tatsächlich eingetreten ist.
Bei Transfer eines Risikos übernimmt eine andere Organisation (z.B. eine Versicherung) den Schaden. Daraus folgt eine zumindest einmalige Aktivität, um einen Vertrag zur Übernahme des Schadens zu vereinbaren. Zur Planung und Nachverfolgung dieser Aktivität steht der Vorgang Maßnahmen-Management zur Verfügung.
Bei Vermeidung sollen Auswirkungen des Risikos auf das eigene Unternehmen gänzlich vermieden werden (nicht nur vermindert). Da Geschäftstätigkeiten mit Risiken verbunden sind, müssen zur Vermeidung die entsprechenden Geschäftstätigkeiten vermieden bzw. aufgegeben werden. Daher ist die Vermeidung von Risiken nur selten möglich.
Bei Verminderung müssen Sie Aktivitäten planen und umsetzen, die Eintrittswahrscheinlichkeit oder Schadenshöhe günstig beeinflussen. Für einmalige Aktivitäten steht der Vorgang Maßnahmen-Management zur Verfügung. Im Allgemeinen sind zur dauerhaften Verminderung aber regelmäßige Aktivitäten notwendig und dafür bieten sich Kontrollen an.
Risikobewertung: Die Risikobewertung umfasst die Einschätzung der Eintrittswahrscheinlichkeit und der dabei erwarteten Schadenshöhe sowie die Entscheidung, wie das Risiko behandelt werden soll (Akzeptanz, Transfer, Vermeidung, Verminderung), durch den Risikoeigner. Zur Überprüfung der Risikobewertung kann eine übergeordnete Rolle einbezogen werden, z.B. ein zentraler Risikomanager.
Vollständigkeitsprüfung: Der Risikoeigner sollte regelmäßig prüfen, ob das Risiko vollständig durch angemessene Aktivitäten gesteuert wird. Wenn Sie ein Risiko vermindern wollen, soll der Risikoeigner beurteilen, ob die Eintrittswahrscheinlichkeit und Schadenshöhe des Risikos durch die zugeordneten Kontrollen ausreichend gemindert werden oder ob Lücken bestehen, die bisher nicht vollständig durch Kontrollen bzw. Maßnahmen abgedeckt werden.
Maßnahmen-Management: Um die Auswirkungen von eintretenden Risiken zu minimieren, ist es notwendig gewisse Maßnahmen einzuleiten. Diese können mit dem Maßnahmen-Management erfasst werden.
Hinweis
Es ist möglich zu verwalten wer die Rechte hat einen bestimmten Prozesstyp zu starten. Siehe Prozesse.
Begriffe Integrierter Kontrollsysteme
Kontrollidentifikation: Die Kontrollidentifikation umfasst alles, was dazu führt, dass Sie eine Kontrolle zur Verminderung eines Risikos erfassen müssen. Dazu haben Sie folgende Möglichkeiten:
Vorgang Neue Kontrolle: Damit können Sie die Kontrolle in einem Schritt erfassen. Sie erscheint dann unmittelbar im Kontrollkatalog und wird als noch ungeprüfte Kontrolle hervorgehoben. Für eine neue Kontrolle müssen auf jeden Fall der Name der Kontrolle, zugeordnetes Risiko und der Kontroll-Eigner angegeben werden, damit eine Prüfung möglich ist. Alle weiteren Eingabefelder hängen von den Einstellungen Ihres Systems ab. Wenn nicht jeder Benutzer Kontrollen erfassen soll, können Sie berechtigen, wer den Vorgang Neue Kontrolle starten darf.
Vorgang Kontrollerfassung: Wenn Sie möchten, dass neue Kontrollen erst von den Verantwortlichen bestätigt werden, bevor sie im Kontrollkatalog auftauchen, steht eine mehrstufige Erfassung und Freigabe zur Verfügung. Dabei muss zunächst der Kontroll-Eigner die Kontrolle bestätigen und danach der Risikoeigner des zugeordneten Risikos. Beide Rollen können die Kontrolle auch ablehnen oder an den vorherigen Bearbeiter zurückweisen, wenn die Informationen unvollständig oder fehlerhaft sind. Wenn nicht jeder Benutzer Kontrollen erfassen soll, können Sie berechtigen, wer den Vorgang Kontrollerfassung starten darf.
Übernahme von Kontrollen aus Diagrammen in BIC Process Design: Bei der Veröffentlichung von Diagrammen in BIC Process Design können Kontrollen, die bereits Risiken zugeordnet sind, automatisch übernommen werden.
Kontrolldurchführung: Die Durchführung der als Kontrolle beschriebenen Aktivität können Sie im System mit dem Vorgang Kontrolldurchführung dokumentieren. Für Kontrollen mit einem festgelegten Durchführungsintervall wird der Vorgang regelmäßig gestartet. Für Kontrollen ohne Durchführungsintervall können Sie den Vorgang im Kontrollkatalog starten. Der Vorgang wird immer der Person zugeordnet, die als Kontrolldurchführender eingetragen ist. Wenn bei der Kontrolldurchführung Abweichungen entdeckt werden, wird der Vorgang Maßnahmen-Management gestartet, um die Reaktion auf Abweichung zu planen und nachzuverfolgen.
Angemessenheitsprüfung: Der Kontrolleigner muss regelmäßig prüfen, ob die Kontrollaktivität und das Durchführungsintervall geeignet sind, um das Risiko angemessen zu vermindern. Sofern der Kontrolleigner die Kontrolle nicht für angemessen hält, wird der Vorgang Maßnahmen-Management gestartet, um die Aktivitäten zur Wiederherstellung der Angemessenheit zu planen und nachzuverfolgen.
Wirksamkeitsprüfung: Der Kontrolltester muss regelmäßig prüfen, ob die Kontrolle tatsächlich und wirksam durchgeführt wird. Sofern der Kontrolltester die Kontrolle nicht für angemessen hält, wird der Vorgang Maßnahmen-Management gestartet, um die Aktivitäten zur Wiederherstellung der Wirksamkeit zu planen und nachzuverfolgen.
Maßnahmen-Management: Die Steuerung des Kontrollsystems besteht daraus, die Bearbeitung aller Vorgänge zu planen und zu überwachen. Die Planung erfolgt durch Festlegung von Terminen und Intervallen für alle Vorgänge. Den Start der Vorgänge, sowie die Überwachung der Fristen für diese Vorgänge, übernimmt die Software, so dass Sie sich voll darauf fokussieren können, das Kontrollsystem weiterzuentwickeln und Abweichungen zu korrigieren.
Hinweis
Es ist möglich zu bestimmen wer die Rechte hat, bestimmte Prozesse zu starten. Siehe Prozesse.