workflow von mega erm
Contents
1. Der Benutzer Freigabeverantwortlicher wird ber den Antrag den Aktionsplan zu schlie en benachrichtigt Schlie ung des Aktionsplans Nach Aufruf der Berichte ber die Verfolgung des Aktionsplans kann der Benutzer Freigabeverantwortliche e den Aktionsplan schlie en Der Aktionsplan beh lt den Status Geschlossen bei und wird nicht mehr in der Aufgabenliste des Erstellers des Freigabeverantwortlichen und des Eigent mers aufgef hrt e Wieder ffnen um weitere Aktionen durchzuf hren Der Aktionsplan hat nun den Status In Bearbeitung MEGA ERM Risiken bearbeiten Aktionen verwalten AKTIONEN VERWALTEN Der Eigent mer des Aktionsplans muss die Aktionen definieren mit denen der Aktionsplan erfolgreich abgeschlossen werden kann Er kann also Aktionen erstellen und zuweisen Eine Aktion ist in einem Aktionsplan enthalten und stellt eine Umwandlung oder eine Bearbeitung in einer Organisation oder einem System dar Aktionen erstellen Um eine Aktion ab einem Aktionsplan zu erstellen gehen Sie wie folgt vor 1 Klicken Sie auf Home gt Mein Desktop gt Meine Verantwortungsbereiche gt Meine Aktionspl ne 2 W hlen Sie auf der nun ge ffneten Seite den betroffenen Aktionsplan aus und klicken Sie auf Eigenschaften 3 Klicken Sie im Abschnitt Aktionen auf Neu Die Aktion wird in der Liste der Aktionen des Aktionsplans aufgef hrt 4 ffnen Sie das Eigenschaftsfenster der Aktionen und geben Sie den Namen der Ak2. e Ursprung erm glicht den Kontext der Durchf hrung eines Aktionsplans festzulegen Audit Konformit t Ereignis Risiko RFC oder Sonstiges e Kategorie um die eingeleitete Aktion anzugeben wie zum Beispiel Verbesserung der Prozesse e Art um die Art des eingeleiteten Aktionsplans zu definieren Pr ventiv oder Korrektiv e Kommentare erm glicht weitere Informationen zum Aktionsplan und zu seinen Merkmalen anzugeben RACI Der Benutzer der f r den Aktionsplan als Durchf hrungsverantwortlicher definiert wurde ist f r die Festlegung der durchzuf hrenden Aktionen und f r ihre Durchf hrung verantwortlich Dieses Feld wird von dem Benutzer ausgef llt der den Aktionsplan erstellt oder vom Freigabeverantwortlichen des Aktionsplans w Weitere Informationen zur Verwendung von RACI finden Sie im Handbuch HOPEX Solutions Common Features Finanzanalyse e Geplante Kosten gesch tzte Kosten des Aktionsplans die in der W hrung ausgedr ckt werden e Reelle Kosten reelle Kosten des Aktionsplans die in der W hrung ausgedr ckt werden e Geplante Kosten Tage Mann gesch tzte Arbeitslast die in Tagen Mann ausgedr ckt wird und f r die Umsetzung des Aktionsplans notwendig sind e Reelle Kosten Tag Mann gesch tzte Arbeitslast in Tagen Mann f r die Umsetzung des Aktionsplans 74 MEGA ERM Risiken bearbeiten Aktionsplan beantragen Erfolgsfaktoren Im Abschnitt Schl sselfaktor f r den Er
3. we Das ausgew hlte Profil bzw die Rolle definiert die Anwendungen auf die Sie zugreifen k nnen Klicken Sie im Feld Application auf den Pfeil und w hlen Sie die Anwendung aus mit der Sie sich verbinden m chten we Sollten Sie keinen Zugriff auf eine Anwendung mit dem ausgew hlten Profil bzw der Rolle haben wird das Profil die Rolle automatisch ber cksichtigt Das Feld zur Auswahl der Anwendung wird nicht angezeigt Repository MEGA Tutorial z LOGIN Business Role Application v Klicken Sie auf LOGIN we Klicken Sie auf BACK wenn Sie zum Authentifizierungsfenster zur ckkehren m chten Die Home Page der Web Anwendung wird angezeigt und eine Sitzung wird ge ffnet w Weitere Informationen zur Definition der Benutzer und Rollen finden Sie im Handbuch f r den Administrator Kapitel Benutzer verwalten 21 PR SENTATION DER BENUTZEROBERFL CHE Die Men s und Befehle in MEGA ERM h ngen von der Gesch ftsrolle ab mit der Sie verbunden sind w Weitere Informationen zu den Gesch ftsrollen finden Sie unter Die Benutzerrollen Seite 12 w Weitere Informationen zur Verwendung der Web Plattform im Rahmen der HOPEX L sungen finden Sie im Handbuch Hopex Solutions Common Features Bereich f r den funktionalen Administrator der Risiken Der funktionale Administrator verf gt ber drei Desktops e den Desktop Administration e den Desktop Umgebung in dem die Arbeitsumgebung definiert wird Siehe
4. Session d New Session 9 Object Status Project Opened Updating Session Status Attribute Deploy Questionnaires Close amp Validate Questionnaires pdating Session Status Attribute ompute Assessed Values xecute Aggregation ompute Aggregation Yalues Ovalidate Questionnaires Close Questionnaire To be Reassigned lose Questionnaires In Delegation lose Questionnaires To be Completed Closed MEGA ERM Anhang Workflow von MEGA ERM Workflow einer Bewertungssitzung Die Benachrichtigungen im Workflow einer Sitzung F r eine Sitzung werden keine E Mails gesendet Vom Ersteller wird nur eine Benachrichtigung an den Rechenschaftspflichtigen gesendet der f r die Sitzung bestimmt wurde 113 WORKFLOW EINES FRAGEBOGEN Die Schritte im Workflow eines Fragebogens Object Status Created H Transfert Questionnaire Agsessor Send Email for Transfert Request Updating Questionnaire Status Attribute Updating Questionnaire Status Attribute Rejected by respondent OSend Email for questionnaire exec Updating Questionnaire Status Atri tansfert Request E Email for Approval Uy Reassign OSend Notification for Review f pdating Questionnaire Status Attribute Canceled Updating Questionnaire Status Attrib Cancelled In progress Delegate end Email for Delegation Updating Questionnaire Status Attribute Send Email for Submission Questionnaire Assessor Updating Questionnaire S
5. amp Unjustified purchase need Unjustified purchase need Die Liste der Risiken wird unten in der Bearbeitungszone aufgef hrt ww Weitere Informationen zur Funktionsweise der sofortigen Berichte finden Sie im Handbuch MEGA Common Features Identifizierung der Kontrollen Dieser Bericht f hrt die Aufteilung der Kontrollen auf mehrere Achsen auf nach Prozess nach Kontrolltyp nach Entit t und nach Ziel Der Bericht funktioniert genauso wie der Bericht ber die Identifizierung von Risiken wm Weitere Informationen zum Bericht ber die Identifizierung von Risiken finden Sie unter Identifizierung der Risiken Seite 83 86 MEGA ERM Die Berichte MEGA ERM Die Aggregationen DIE AGGREGATIONEN In Berichten ber eine Aggregation Bewertungsmessungen dargestellt die bei den Risiken angegeben wurden wird eine bersicht ber die Bei der Aggregation wird ein aggregierter Wert der Werte berechnet die bei jedem Risiko an den Risikomessungen angegeben wurden Heatmap nach Entitat Risikotyp Prozess Mit diesem Bericht kann die Aufteilung der Risiken abh ngig von folgenden Kriterien angezeigt werden e Auswirkung des Risikos im Vergleich zur Wahrscheinlichkeit dass dieses Risiko eintritt e Auswirkung bezeichnet die Auswirkung des Risikos wenn es eintritt e Wahrscheinlichkeit bezeichnet die Wahrscheinlichkeit dass das Risiko eintritt e Bruttorisiko im Vergleich zur Kontrollebene e Bruttorisiko das
6. bertragen werden In diesem Fall muss oftmals eine neue Untersuchung ber die Risiken durchgef hrt werden da die Einf hrung eines neuen Partners weitere Risiken mit sich bringen k nnen Versicherung Abgesehen von den oben erw hnten Ans tzen muss oftmals eine Versicherung abgeschlossen werden vor allem f r Risiken die nicht h ufig auftreten aber hohe Auswirkungen haben In diesem Fall verlangt MEGA ERM Risiken bearbeiten Beschreiben wie ein Risiko bearbeitet wird die Versicherung im Allgemeinen Pr ventionsma nahmen zur Risikominderung zu ergreifen Die m glichen verschiedenen Szenarios werden sp ter analysiert Dabei werden die positiven und negativen Aspekte verglichen um ein Szenario zu erhalten das sich mit der gew nschten Ebene der Risikokontrolle vereinbaren l sst Je nach gew hlter L sung m ssen ihre Folgen in Bezug auf die H ufigkeit und die Auswirkung sowie die Kosten und Nutzen ber cksichtigt werden Mit einem Kommentar k nnen Sie den Modus der Risikobearbeitung angeben Bei der Bearbeitung muss eine L sung gew hlt werden mit der das Restrisiko unter den von der Gesch ftsleitung gew nschten Toleranzwert sinkt Im Feld Ziel Risiko k nnen Sie die H he des Risikos angeben die von der Organisation akzeptiert wird Umzusetzende Aktionen angeben Das Management arbeitet mehrere Aktionen aus um die H he der Risiken mit dem Toleranzgrenzwert und dem Risiko Appetit des Unternehmens abzustimm
7. e Nettorisiko die Differenz zwischen dem Bruttorisiko und der Kontrollebene Zugriff auf die Risikomessungen Mit einer Risikomessung sollen in einem bestimmten Kontext Werte f r die verschiedenen Ma e erhalten werden wie zum Beispiel die Wahrscheinlichkeit oder die Auswirkung eines Risikos Auf der Eigenschaftsseite eines Risikos k nnen Sie die verschiedenen bereits durchgef hrten Risikomessungen aufrufen Die Werte f r die Ma e k nnen angegeben werden ab der Eigenschaftsseite eines Risikos Weitere Informationen finden Sie unter Kreuztabelle der direkten Bewertung verwenden Seite 51 ab der Kreuztabelle der Risikobewertung Weitere Informationen finden Sie unter Risikomessung erstellen Seite 50 oder ber ein Bewertungsformular Weitere Informationen finden Sie unter Bewertung nach Frageb gen Seite 53 49 50 Um auf die Risikomessungen zuzugreifen gehen Sie wie folgt vor 1 W hlen Sie ein Risiko aus und ffnen Sie die Eigenschaftsseite des Risikos 2 Klicken Sie auf die Registerkarte Bewertung Die Liste der Risikomessungen wird angezeigt Risikomessung erstellen Sie k nnen neue Risikomessungen erstellen um bei mehreren Objekten der Organisation ein Risiko global zu bewerten das mit den Objekten verbunden ist Entit ten und Prozesse Um eine Risikomessung zu erstellen gehen Sie wie folgt vor 1 W hlen Sie ein Risiko aus und ffnen Sie die Eigenschaftsseite des Risikos 2 Klicken Sie
8. Arbeitsumgebung vorbereiten Seite 26 e den Desktop ERM mit sechs Registerkarten die den wichtigsten Schritten im Rahmen des Risikomanagements entsprechen e Home f r einen einfacheren Zugriff auf die verschiedenen Ordner und Objekte f r die der Benutzer verantwortlich ist e Risikobibliothek f r den Zugriff auf die Liste der Risiken und Kontrollen Ab dieser Registerkarte k nnen direkte Bewertungen durchgef hrt werden e Kampagnenmanagement Registerkarte f r die Verwaltung der Risikobewertung anhand von Kampagnen e Bearbeitung um Aktionspl ne und Kontrollen f r die Bearbeitung der Risiken anzugeben und durchzuf hren e Berichte f r den Zugriff auf alle Berichte mit denen Kontrollen und Risiken analysiert und nachverfolgt werden k nnen e Dokumentbibliothek Registerkarte f r den Zugriff auf die Dokumente die mit dem Risikomanagement verbunden sind Bereich f r den Risk Manager Dem Risk Manager stehen zwei Desktops zur Verf gung Umgebung und ERM die identisch zu den Desktops des funktionalen Administrators der Risiken sind Bereich f r den Risikobewerter Neben der Registerkarte Home stehen dem Risikobewerter zwei Registerkarten zur Verf gung Risikobibliothek und Kampagnenmanagement Bereich f r den Gesch ftsbenutzer der L sung Der Gesch ftsbenutzer verf gt ebenfalls Uber die zwei Registerkarten Risikobibliothek und Kampagnenmanagement MEGA ERM Der Arbeitsbereich Pr sentation der Benutzeroberfl c
9. MEGA ERM bietet eine einfache und flexible L sung f r das Management betrieblicher Risiken der Organisation um die Leistung des Unternehmens nachhaltig zu optimieren Das Werkzeug bietet verschiedene Risikomanagementmethoden f r die Einhaltung der Vorschriften im Rahmen von Basel II Solvency II und dem COBIT Framework an Il unterst tzt Verantwortliche und Manager im Bereich Risiko im Risikomanagement eine Methodik einzurichten die sich an die besonderen Anforderungen eines Unternehmens anpassen lassen MEGA ERMMit dem Tool k nnen alle Schritte im Rahmen des Risikomanagements durchgef hrt werden Definition der Risikoumgebung Identifizierung Auswertung und Bearbeitung der Risiken vd Prozess des Risikomanagements Seite 10 Die Benutzerrollen Seite 12 ber dieses Handbuch Seite 14 PROZESS DES RISIKOMANAGEMENTS Zusammen mit den Produkten der MEGA Suite k nnen Sie die Risiken in MEGA ERM identifizieren bewerten und bearbeiten Risiken identifizieren analysieren und kontextualisieren Mit einer Risikoanalyse soll das Risiko gut verstanden werden In der Risikoanalyse m ssen die Risikoquellen sowie die positiven und negativen Folgen bzw Konsequenzen dieses Risikos ber cksichtigt werden Bei einer Analyse werden Ereignistypen Risikofaktoren oder Ursachen Folgen und Ziele mit einem Risiko verbunden Mit der Kontextualisierung eines Risikos werden Risiken nach Typ und nach den betroffenen Objekten klassiert
10. austauscht Beispiel Kunde Lieferant Administration Ein Ereignis ist ein Fakt einer internen oder externen Quelle der sich auf die Organisation auswirkt Er bildet das Grundelement f r die Sammlung von Daten ber ein Betriebsrisiko In einem Fragebogen wird eine Liste von vordefinierten Fragen aufgef hrt die f r einen Ereignistyp eine Kontrolle ein Dokument usw gelten k nnen Eine Fragebogenvorlage entspricht der Definition des Inhaltes eines Fragebogens Fragegruppe Fragen einmalige oder mehrere Antworten und m gliche Antworten Die Fragebogenvorlage kann mit der Pr sentation eines Fragebogens verbunden werden die die Anzeigeoptionen angibt Die an die Bewerter gesendeten Frageb gen werden ab der Definition generiert die in der Fragebogenvorlage geliefert wird Ein Gesch ftsprozess stellt ein System dar das Produkte oder Dienstleistungen an einen internen oder externen Kunden des Unternehmens oder Organisation liefert Auf h herer Ebene definiert ein Gesch ftsprozess eine Strukturierung und Kategorisierung des Gesch ftsbereichs eines Unternehmens Der Gesch ftsprozess kann in weitere Prozesse unterteilt werden Mit der Verbindung zu den organisatorischen Prozessen kann die reelle Implementierung des Gesch ftsprozesses in der Organisation beschrieben werden Ein Gesch ftsprozess kann auch mit einer funktionalen Sicht detailliert werden Eine Gesch ftsrolle definiert die Funktion einer Person im gesch ftli
11. regelm ig aufzufordern den Fortschritt des Plans anhand eines Lenkungskalenders anzugeben Lenkungskalender Sie k nnen mit dem Aktionsplan einen Lenkungskalender verbinden damit regelm ig eine Nachricht an den Verantwortlichen des Aktionsplans gesendet wird damit er den Fortschritt dieses Plans angibt Mit dem Lenkungskalender k nnen wiederholte Aktionen zu vordefinierten Terminen durchgef hrt werden Man kann den Kalender zum Beispiel verwenden um Erinnerungen an die Person zu senden die f r einen Aktionsplan verantwortlich ist damit sie den Fortschritt 75 angibt der bei diesem Aktionsplan erzielt wurde Man kann einen Lenkungskalender auch verwenden um den Start von Bewertungssitzungen zu regelm igen Terminen auszul sen Um einen Lenkungskalender f r einen Aktionsplan zu erstellen gehen Sie wie folgt vor _ NS oe Offnen Sie die Eigenschaftsseite des Aktionsplans Klicken Sie im Abschnitt Merkmale auf den Pfeil rechts neben dem Feld Lenkungskalender Nun erscheint eine Liste der verf gbaren Befehle Wahlen Sie Erstellen aus Daraufhin wird die Seite zum Erstellen eines Lenkungskalenders angezeigt Geben Sie den Namen des Lenkungskalenders an Der Typ des Lenkungskalenders wird automatisch angegeben Klicken Sie im Abschnitt Lenkungsdaten auf Verbinden W hlen Sie die betreffenden Lenkungsdaten aus w Weitere Informationen zur Erstellung eines Lenkungsdatums finden Sie unter Lenkungs
12. Bewertungsvorlage legt den Umfang der Bewertung fest sowie die zu verwendende Fragebogenvorlage und eventuell die Aggregationsschemen die f r die Auslegung der globalen Ergebnisse verwendet werden Bewertung Nach Entit t bersicht ber die verschiedenen angebotenen Modelle Mit diesen Bewertungsvorlagen in MEGA ERM soll eine Bewertung der Risiken bei einer Entit t oder einem Prozess erhalten werden Die Bewertung bezieht sich entweder nur auf Risiken oder auf die Risiken und Kontrollen dieser Risiken In der folgenden Tabelle wird das Modell angegeben das abh ngig vom Bedarf verwendet wird nur von Risiken Bewertung nur von Risiken nach Entit t von Risiken die durch Kontrollen gemindert werden Bewertung der Risiken nach Entit t Bewertung der Kontrollen nach Entit t Nach Prozess Bewertung nur von Risiken nach Entit t nach Prozess Bewertung der Risiken nach Entit t nach Prozess Bewertung der Kontrollen nach Entit t nach Prozess 57 Um die in MEGA ERM angebotenen Bewertungsvorlagen zu beschreiben m ssen folgende Elemente verwendet werden e Die bewerteten Merkmale Die bewerteten Objekte Der Kontext der Objektbewertung Die Beantworter Die Frageb gen Das Aggregationsschema Die bewerteten Merkmale Ein bewertetes Merkmal legt fest was bei einer Bewertung bewertet werden soll Das Merkmal kann mit einer MetaClass verbunden werden vor alle
13. E Mails im Workflow bei der Erstellung eines Risikos Anforderung der Freigabe eines Risikos Workflow eines Risikos Von Eigent mer des Risikos An Risikomanager Gegenstand Risk to be validated Current risk Name Inhalt Please validate the risk Current risk Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Risiko freigeben Von Risikomanager An Eigent mer des Risikos Gegenstand Your risk has been approved Current risk Name Inhalt The risk Current risk Name has been approved by The Risk Management Department Thank you for your collaboration Comment Comment This e mail has been sent automatically by MEGA HOPEX Risiko zur ckweisen Von Risikomanager An Eigent mer des Risikos Gegenstand Your risk has been rejected Current risk Name Inhalt The risk Current risk Name has been rejected by The Risk Management Department Thank you for your collaboration Comment Comment This e mail has been sent automatically by MEGA HOPEX 105 WORKFLOW EINER KONTROLLE Schritte im Workflow bei der Erstellung einer Kontrolle Die Schritte des Freigabeprozesses einer neuen Kontrolle werden im Absatz Kontrolle erstellen Seite 45 beschrieben Object Status Control Created by LRM or DL Create Update control status attribute Created Su
14. Kontextualisierung gt Hierarchische Ansicht aus Rechts und links werden neben der Bearbeitungszone zwei Baumstrukturen einer Kontextualisierung werden 2 W hlen Sie in der rechten Baumstruktur der Kontextualisierung beispielsweise Risiken nach Prozessen aus und klappen Sie die Baumstruktur auf bis die Risiken angezeigt werden die mit dem Prozess verbunden sind der f r Sie von Interesse ist 3 W hlen Sie in der linken Baumstruktur der Kontextualisierung Risiken nach Entit ten aus und klappen Sie die Baumstruktur auf bis die Entit t angezeigt wird die f r Sie von Interesse ist 4 Klicken Sie mit der linken Maustaste auf das gew nschte Risiko halten Sie die Maustaste gedr ckt und verschieben Sie das ausgew hlte Risiko zur Entit t mit der er verbunden werden soll Kreuztabelle f r die Kontextualisierung eines Risikos verwenden Sie k nnen eine Kreuztabelle verwenden um Risiken mit Entit ten oder Prozessen zu verbinden 38 MEGA ERM Risiken verwalten Risiken organisieren Um Risiken mit Entit ten zu verbinden gehen Sie wie folgt vor 1 W hlen Sie Risiko gt Risikobibliothek gt Kontextualisierung gt Kreuztabellenkontextualisierung gt Risiken nach Entit ten aus In der Bearbeitungszone wird ein leerer Bericht angezeigt Klicken Sie in der Bearbeitungszone oben auf den Befehl Zeile hinzuf gen Das Abfragefenster wird angezeigt Klicken Sie auf die Schaltfl che EjAbfragen Im Abfragefenster wird d
15. Objekte der Kontrolle Im Allgemeinen sollten zuerst die existierenden Kontrollen erfasst werden bevor neue erstellt eingerichtet werden 42 MEGA ERM berwachung der Kontrollpolitik Kontrollen verwalten Vor diesem Hintergrund k nnen die Kontrollen auf verschiedene Weisen identifiziert werden e ab Risiken Einige Kontrollen werden f r ein bestimmtes Risiko eingerichtet e ab Listen von Kontrolltypen Die Listen der Kontrolltypen werden mit bestimmten Vorschriften verbunden Beispiel Cobit e ab einer Kartografie der existierenden Prozesse wenn diese Kartografie verf gbar ist kann genau wie bei der Identifizierung von Risiken gepr ft werden wie die einzelnen Schritte eines Prozesses funktionieren um die eingerichteten Kontrollen zu entdecken e ab der Expertise eines Spezialisten Ein Fachmann oder Spezialist eines bestimmten Bereichs kann oft die Kontrollen beschreiben die eingerichtet sind oder eingerichtet werden m ssen e USW Sie k nnen eine Kontrolle genauer definieren und den Kontrolltyp die Anforderungen die Risiken und Risikofaktoren angeben die mit der Kontrolle verbunden sind Dazu gehen Sie wie folgt vor 1 W hlen Sie die Kontrolle in der Liste aus und ffnen Sie die Eigenschaftsseite der Kontrolle 2 Klappen Sie den Abschnitt Umfang auf e In den Registerkarten Gesch ftsprozess und organisatorischer Prozess k nnen Sie die Prozesse angeben mit denen die Kontrolle durchgef hrt wird Ein
16. Objekts Risiko oder Kontrolle angegebenen Wert in einem genauen Kontext beschreibt der mit einer Entit t einem Beantworter und eventuell einem Prozess definiert wurde Die Bewertungsknoten k nnen als Baumstruktur bis zum Stammknoten dargestellt werden Der Stammknoten kann sein e ein Risiko e eine Entit t e ein Prozess e ein Risikotyp Jeder Aggregationsknoten bezieht sich auf die Werte der Ma e die in den bewerteten Merkmalen definiert wurden Mit den Ergebnissen der Aggregation dieser Werte k nnen Aggregationsberichte erhalten werden 1 Aggregation Risk Level per Process erm GeERMAvg ERMAg ERM GERM ERM Avg Impact Inherent Risk Likelihood Impact Inherent Risk Likelihood Operations L Very Low B Low L Probable i rap in AY Counterparty rlaks L High L High B Probable E Natural catastrophy E A Fraude B Very B Low Probable Corruption Low i Security leaks B vay p o jj Possible i AN Work accidents ay B Very Low B Rare Ein Aggregationsschema ist eine Reihe von Schritten mit denen die Ergebnisse einer Bewertung nach festgelegten Bewertungsregeln konsolidiert werden Die Aggregationsschemen der Bewertungsvorlagen in MEGA ERM definieren den Berechnungsmodus e der Bruttowerte der einzelnen Risiken Im Beispiel des Aggregationsberichts handelt es sich bei den dargestellten Werten um die Auswirkung die Wahrscheinlichkeit und das inh rente Risiko e der berechneten Werte maximaler und d
17. PReRPRPRERPE Fraud amp Corruotion Impact Likelihood Inherent Risk Mitigation Design Mitigation Efficiency Mitigation Level Net Risk B Medium Rare Ww Low m Weak D Very Strong Strong Low F Very Low B Possible Ww Low a Medium m Medium Medium Mediur B High Likely VW High B Strong B Strong B Strong Mediur 3 High B Probable Ww High B Very Strong B Very Strong B Very Strong p Low Medium Likely Medium Medium Medium m Medium Mediur High m Probable m High L Medium L Very Weak L Weak B High D verv Low E Probable D tow E weak D very weak D very Weak E Hich Ma e der Risikomessungen e Auswirkung bezeichnet die Auswirkung des Risikos wenn es eintritt e Wahrscheinlichkeit bezeichnet die Wahrscheinlichkeit dass das Risiko eintritt e Bruttorisiko das Ergebnis des Auswirkunsgwerts multipliziert mit dem Wert der Wahrscheinlichkeit Dieses Merkmal gibt Aufschluss ber die Folgen des Risikos e Design der Kontrollen bezeichnet die Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden e Wirksamkeit der Kontrollen bezeichnet die Effizienz der eingeleiteten Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden sollen e Kontrollebene ist das Ergebnis des Werts des Designs der Kontrollen multipliziert mit dem Wert der Auswirkung der Kontrollen Dieses Merkmal gibt einen globalen Aufschluss dar ber inwieweit das Risiko unter Kontrolle ist
18. Prozess ist eine Wertekette die einem internen oder externen Kunden G ter oder Services bereitstellt Diese Wertekette wird durch eine Folge von Aktivit tsumwandlungen beschrieben Sie wird von den Abl ufen implementiert e In der Registerkarte Entit t k nnen Sie die Entit ten angeben mit denen die Kontrolle durchgef hrt wird Eine Entit t kann unternehmensintern oder extern sein Eine Entit t stellt ein Element der Struktur eines Unternehmens dar wie beispielsweise eine Direktion eine Abteilung oder einen Arbeitsplatz Sie wird auf einer mehr oder weniger genauen Ebene definiert je nachdem wie pr zise die Angaben ber die Organisation sein m ssen siehe Organisationseinheitstyp Beispiel Finanzdirektion Vertrieb Marketingabteilung Vertriebsmitarbeiter Eine externe Entit t stellt eine Einrichtung dar die Fl sse mit dem Unternehmen austauscht Beispiel Kunde Lieferant Administration e In der Registerkarte Risiken k nnen Sie angeben welche Risiken durch die Kontrolle vermieden werden Ein Risikotyp definiert die Typologie eines normalisierten Risikos im Rahmen einer Organisation Ein Risikofaktor ist ein Element das zum Auftreten eines Risikos beitr gt oder ein Risiko ausl st F r verschiedene Risiken kann ein und derselbe Risikofaktor verantwortlich sein Beispiele Die Verwendung eines gef hrlichen chemischen Produkts eine komplexe Anwendung die Gr e eines Projekts die Anzahl der Mitwirkenden eine n
19. Regelung stellt mehrere Richtlinien mit oder ohne Bedingungen auf die von der Regierung im Rahmen eines Gesetzes von einem Berufsverband in Form von Best Practices oder intern von einer Organisation festgelegt werden Ein Ziel ist ein Ergebnis das erreicht werden soll oder das angestrebte Resultat eines Prozesses oder eines Arbeitsschritts Mit einem Ziel k nnen die Punkte hervorgehoben werden die f r diesen Prozess oder diesen Arbeitsschritt verbessert werden sollen MEGA ERM ANHANG WORKFLOW VON MEGA ERM In diesem Kapitel werden die Workflow Diagramme von MEGA ERM aufgef hrt Workflow eines Risikos Seite 104 Workflow einer Kontrolle Seite 106 Workflow eines Aktionsplans Seite 108 Workflow einer Bewertungssitzung Seite 112 Workflow eines Fragebogen Seite 114 KHN 103 WORKFLOW EINES RISIKOS Schritte im Workflow bei der Erstellung einer Kontrolle Die Schritte des Freigabeprozesses einer neuen Kontrolle werden im Absatz Prozess der Erstellung eines Risikos Seite 35 beschrieben Risk Created by LRM or D I Object Status Create All Users Updating Risk Status Attribute Created Submit Send Submit mail Submitter OQUpdating Risk Status Attribute nn To be validate Submitted Risk Manager Send Reject Mail Updating Risk Status Attribute Rejected Rejected Send Validate mail updating Risk Status Attribute Validated Validated 104 MEGA ERM Anhang Workflow von MEGA ERM
20. Risiko eintritt e Bruttorisiko das Ergebnis des Auswirkunsgwerts multipliziert mit dem Wert der Wahrscheinlichkeit Dieses Merkmal gibt Aufschluss ber die Folgen des Risikos e Design der Kontrollen bezeichnet die Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden e Wirksamkeit der Kontrollen bezeichnet die Effizienz der eingeleiteten Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden sollen e Kontrollebene ist das Ergebnis des Werts des Designs der Kontrollen multipliziert mit dem Wert der Auswirkung der Kontrollen Dieses Merkmal gibt einen globalen Aufschluss dar ber inwieweit das Risiko unter Kontrolle ist e Nettorisiko die Differenz zwischen dem Bruttorisiko und der Kontrollebene Die Fragebogenvorlagen Eine Fragebogenvorlage entspricht der Definition des Inhaltes eines Fragebogens Fragegruppe Fragen einmalige oder mehrere Antworten und m gliche Antworten Die Fragebogenvorlage kann mit der Pr sentation eines Fragebogens verbunden werden die die Anzeigeoptionen angibt Die an die Bewerter gesendeten Frageb gen werden ab der Definition generiert die in der Fragebogenvorlage geliefert wird Um auf die Liste der Fragebogenvorlagen zuzugreifen die standardm ig von MEGA ERM angeboten werden gehen Sie wie folgt vor Klicken Sie auf Risiko gt Kampagnenmanagement gt Leitung der Kampagnen gt Vorbereitung gt Fragebogenvorlagen Im Bearbeitungsfenste
21. Sie k nnen auf die verschiedenen Ordner und Objekte f r die Sie verantwortlich sind einfach zugreifen wenn Sie auf Risiko gt Home gt Mein Desktop klicken Im Desktop k nnen Sie zugreifen auf e Thre Verantwortungsbereiche Bewertungsfrageb gen Risiken Kontrollen Aktionspl ne Kampagnen e Ihren Umfang e Risiken e Kontrollen e Aktionspl ne e Ihre Benachrichtigungen e nicht gelesene Benachrichtigungen e gelesene Benachrichtigungen MEGA ERM Risiken verwalten Risiken identifizieren RISIKEN IDENTIFIZIEREN Auf die Liste der Risiken zugreifen Die Liste der Risiken kann mit dem Befehl Risiko gt Risikobibliothek gt Risiken ge ffnet werden Im Ordner Risiken k nnen Sie auf die verschiedenen Listen der Risiken zugreifen e Alle Risiken e Hauptrisiken d h die h chsten Risiken e Risiken ohne Kontrolle la New x Delete B Generate Report MS Word gt Workflow Properties PDF Excel toca na a Nome ie E Ongoing purchase budget not under c RSK15 Audit Ongoing purchase bud Internal Fraud Risk A Invoice approved without valid justific RSK09 Audit Invoice approved witho External Fraud Risk EI amp Delays R0342 Audit Delays Human and Process EI A Unjustified purchase need R 2324 Audit Unjustified purchase ne Knowledge and Skills EI amp Duplicate invoice paid P R12 Audit Duplicate invoice paid External Fraud Risk Eigenschaften eines Risikos Um auf die Merkmale eines Risikos zuzug
22. auf die Registerkarte Bewertung des Risikos 3 Klicken Sie auf die Schaltfl che Neu Create risk measure Enter the following fields a Risk characteristics Impact Likelihood Mitigation Design Mitigation Efficiency Measure date Effective end date 2013 03 28 pa MEGA ERM gt Bewertungen mit MEGA ERM Direkte Bewertung der Risiken Geben Sie die Werte an Auswirkung bezeichnet die Auswirkung des Risikos wenn es eintritt Sehr schwach Schwach Mittel Sehr hoch Erh ht Wahrscheinlichkeit bezeichnet die Wahrscheinlichkeit dass das Risiko eintritt Schwach M glich Vermutlich Wahrscheinlich Bestimmt Design der Kontrollen bezeichnet die Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden Sehr stark Stark Mittel Schwach Sehr schwach Wirksamkeit der Kontrollen bezeichnet die Effizienz der eingeleiteten Aktionen Sehr stark Stark Mittel Schwach Sehr schwach Geben Sie das Datum der Risikomessung an Klicken Sie auf OK Kreuztabelle der direkten Bewertung verwenden Sie k nnen die Werte f r die Risikomessung direkt in einer Kreuztabelle ndern Um die Werte f r die Risikomessung anzugeben gehen Sie wie folgt vor 1 Klicken Sie auf den Befehl Risiko gt Risikobibliothek gt Direkte Bewertung gt Mehrfachbewertungstabelle In der Bearbeitungszone wird eine leere Tabelle angezeigt Klicken S
23. beantragen Seite 73 Aktionen verwalten Seite 79 69 70 BESCHREIBEN WIE EIN RISIKO BEARBEITET WIRD Modus der Risikobearbeitung Um die Wahl der Bearbeitungen eines Risikos anzugeben gehen Sie wie folgt vor ffnen Sie das Eigenschaftsfenster des Risikos und klicken Sie auf die Registerkarte Bearbeitung Baumstruktur von Risiken EL Risiken nach Typen EI N External Fraud Risk EN 2 N Inadequate Execution of tasks EN E N Information security risks EN 2 N Internal Fraud Risk EN Knowledge and Skills EN EI N Technology Risks EN Risiken nach Prozess Risiken nach Entit t Risiken nach Ziel Bearbeitungsmodi Zum Bearbeiten von Risiken stehen mehrere L sungen zur Verf gung Akzeptanz Die Strategie im Risikomanagement mit einer fundierten Entscheidung das Risiko zu akzeptieren Solange nicht die Absicht gezeigt wird das Risiko zu bearbeiten kann die Organisation mit dieser Strategie nicht gegen das Risiko gesch tzt werden Reduzierung Die H ufigkeit des Risikos kann reduziert werden wenn weitere Kontrollen eingerichtet oder die Auswirkung der Folgen reduziert wird sollte dieses Risiko auftreten Verlagern Zulieferer Das Risiko kann auch mit anderen Partnern geteilt werden vor allem wenn die Partner kompetenter sind um das Risiko unter Kontrolle zu halten So kann beispielsweise eine gef hrliche Aktivit t an einen auf den betreffenden Bereich spezialisierten Partner
24. des Berichts wird die Aufteilung der Risiken nach folgenden Kriterien aufgef hrt e Aufteilung der Risiken nach Status e Aufteilung der Risiken bei denen eine Bearbeitung definiert wurde e Aufteilung der bewerteten und nicht bewerteten Risiken e Anzahl der Risiken die in den letzten zehn Jahren erstellt wurden wm Weitere Informationen zur Kontextualisierung der Risiken finden Sie unter Risiken organisieren Seite 37 MEGA ERM Die Berichte MEGA ERM Die Berichte ber die Identifizierung Risks per Status Risk Declaration per Month 40 E Created 0 DO Not D Rejected 0 20 Evaluated 2 E Submitted 11 E Evaluated 32 E Validated 12 DEENEN o E No status EE ER d Ee assigned 11 ORCS OTN CH MP MC RF SLI PSF PSE FES Risk Evaluation Risk Mitigation Not Evaluated E Risks with 2 Control 9 E Evaluated 32 Risks without Control 25 94 85 Um eine Liste der Risiken zu erhalten die einen Sektor oder einen Histogrammbalken bilden gehen Sie wie folgt vor Klicken Sie auf den betreffenden Sektor bzw Histogrammbalken 38 63 be B x Droe Excel EH Nom E amp Favoritism in selection of suppliers Favoritism in selection of suppliers Forged invoice purchase Forged invoice purchase amp Ongoing purchase budget not under control Ongoing purchase budget not under control amp Supplier invoice miscontrolled Supplier invoice miscontrolled
25. die Auslegung der globalen Ergebnisse verwendet werden Alle Sitzungen einer Kampagne beziehen sich also auf einen global identischen Umfang w Der Verantwortliche der Sitzung kann weiterhin Elemente aus dem speziellen Umfang einer Sitzung entfernen bzw hinzuf gen MEGA ERM Bewertungen mit MEGA ERM Bewertung nach Frageb gen Zugriff auf Bewertungsvorlagen Standardm ig werden in MEGA ERM mehrere Bewertungsvorlagen angeboten Mit diesen Bewertungsvorlagen soll eine Bewertung der Risiken bei einer Entit t oder einem Prozess erhalten werden Die Bewertung bezieht sich entweder nur auf Risiken oder auf die Risiken und Kontrollen dieser Risiken Um auf die Liste der Bewertungsvorlagen zuzugreifen gehen Sie wie folgt vor Klicken Sie auf Risiko gt Kampagnenmanagement gt Leitung der Kampagnen gt Vorbereitung gt Bewertungsvorlagen Die Liste der Bewertungsvorlagen wird im Bearbeitungsfenster angezeigt Bewertung nur von Risiken nach Entit t Bewertung nur von Risiken nach Entit t nach Prozess Bewertung der Risiken nach Entit t Bewertung der Risiken nach Entit t nach Prozess Bewertung der Kontrollen nach Entit t Bewertung der Kontrollen nach Entit t nach Prozess w Weitere Informationen zur Verwendung der Bewertungsvorlagen finden Sie unter Details der Bewertungsvorlagen von MEGA ERM Seite 57 Die angebotenen Bewertungsvorlagen verwenden e Bewertete Merkmale e Vorlagen von Frageb gen Die be
26. die in den Parametern angegeben wurden Parameter Parametertyp Einschr nkungen Anfangsdatum Datum Auswahlkriterium der Aktionspl ne Nicht obligatorisch Enddatum Datum Auswahlkriterium der Aktionspl ne auf das aktuelle Datum festgelegt Entit ten Entit t Auswahlkriterium der Aktionspl ne Nicht obligatorisch Prozess Prozesse Auswahlkriterium der Aktionspl ne Nicht obligatorisch MEGA ERM Die Berichte MEGA ERM Die Uberwachungsberichte Beispiel eines Berichts Im oberen Teil des Berichts wird die Aufteilung der Aktionspl ne nach folgenden Kriterien aufgef hrt e Aufteilung abh ngig von der Art e Aufteilung abh ngig vom Fortschritt e Aufteilung abh ngig von den Kategorien e Aufteilung abh ngig von den Priorit ten Action plans by status Action plans per Progress O No Data Action plans by Priority Action plans by category E Critical 1 E High 2 D Medium 1 E Low 1 E Audit Recommandati on 1 D Control Performance Improvement 0 E Control Relevance Improvement 0 D Impact Reducing 0 E Event Likelihood Reducing 0 E Generic 2 E IT Improvement 20 20 E KRI threshold Limits 1 D Objective Management O Process Im unteren Teil des Berichts wird die Aufteilung der Aktionsplane nach folgenden Kriterien aufgef hrt e Aufteilung nach Art e Aufteilung nach Prozessen e Aufteilung nach Entit ten be Um die Lis
27. eine Bewertungssitzung ab einer Kampagne zu erstellen gehen Sie wie folgt vor 1 ffnen Sie das Eigenschaftsfenster der Kampagne und klicken Sie auf die Registerkarte Sitzungen Im oberen Bereich der Bearbeitungszone wird ein Bericht ber die Planung der aktuellen Sitzungen angezeigt Klicken Sie im Abschnitt Bewertungssitzung auf Neu Die neue Sitzung wird in der Liste der Kampagnensitzungen aufgef hrt ffnen Sie das Eigenschaftsfenster der neuen Sitzung und klicken Sie auf die Registerkarte Merkmale Geben Sie den Namen der Sitzung an Der Durchf hrungsverantwortliche der Sitzung wird mit dem Namen des Benutzers initialisiert der die Sitzung erstellt hat Dieser Wert kann aber ge ndert werden W hlen Sie eine Fragebogenvorlage aus Das f r den Beginn der Bewertung geplante Datum wird auf das aktuelle Datum festgelegt Das f r das Ende der Bewertung geplante Datum wird auf das Enddatum der Kampagne festgelegt W hlen Sie die Registerkarte Vorschau und Parameter aus 63 64 10 W hlen Sie eventuell den Namen eines anderen Bewertungsparameters Entit t oder Prozess je nach verwendeter Bewertungsvorlage aus ab dem die Liste der Risiken erstellt werden soll 11 Klicken Sie auf die Schaltfl che Bericht auffrischen In dem ge ffneten Bericht kann der berechnete Umfang f r die Sitzung angezeigt werden w Ausf hrliche Informationen zu diesem Bericht finden Sie unter Vorschau der Sitzung vor dem Start S
28. Auswirkung eines Risikos wird nur mit Begriffen beschrieben die einer vordefinierten Skala entsprechen zum Beispiel von 1 bis 4 So kann eine Risikokartografie erstellt werden mit der die kritischsten Risiken schnell identifiziert werden k nnen MEGA ERM bietet zwei Bewertungsm glichkeiten an e die direkte Bewertung mit der ein Experte die globale Bewertung eines Risikos zu einem bestimmten Datum aufstellen kann e die Bewertung nach Kampagnen mit der Risiken und Kontrollen nach Entit ten und nach Prozessen ab Standardfrageb gen bewertet werden k nnen In diesem Kapitel werden folgende Punkte behandelt Direkte Bewertung der Risiken Seite 48 Bewertung nach Frageb gen Seite 53 Bewertungssitzung verwalten Seite 62 Frageb gen ausf llen Seite 68 SEH 47 48 DIREKTE BEWERTUNG DER RISIKEN Die Bewertung der Risiken und Kontrollen erfolgt qualitativ die Potenzialit t und Auswirkung eines Risikos werden nur mit Begriffen beschrieben Beispiel sehr gering gering mittel sehr hoch hoch Bei diesen Bewertungen wird das Konzept der Risikobemessung genutzt Risikomessungen werden erstellt um zu einem bestimmten Datum die Risikobewertung einer Entit t oder eines Prozesses der Organisation zu liefern Auf der Eigenschaftsseite eines Risikos k nnen Sie die verschiedenen bereits durchgef hrten Risikomessungen aufrufen Diese Messungen werden zum Erstellen von Standardberichten verwendet mit denen sich Risike
29. Die Berichte MEGA ERM Seite 81 pr sentiert die Berichte in MEGA ERM f r die Analyse der Risiken Glossar Seite 97 fasst die Definitionen der wichtigsten Konzepte zusammen die im Handbuch MEGA ERM erw hnt werden Anhang Workflow von MEGA ERM Seite 103 beschreibt die Workflows die standardm ig in MEGA ERM enthalten sind Dieses Handbuch wird erg nzt durch das Handbuch HOPEX Solutions Common Features in dem die spezifische Web Benutzeroberfl che der MEGA L sungen beschrieben wird we Es kann n tzlich sein dieses Handbuch aufzurufen um eine allgemeine Darstellung der Benutzeroberfl che zu erhalten das Administrationshandbuch MEGA Administration Supervisor MEGA ERM Einleitung ber dieses Handbuch Weitere Ressourcen Dieses Handbuch wird erg nzt durch e das Handbuch HOPEX Solutions Common Features in dem die Web Benutzeroberfl che und die spezifischen Tools der MEGA L sungen beschrieben werden we Es kann n tzlich sein dieses Handbuch aufzurufen um eine allgemeine Darstellung der Benutzeroberfl che zu erhalten e das Administrationshandbuch MEGA Administration Supervisor Schreibkonventionen in diesem Handbuch Stil und Formatierung we Anmerkung zu den vorherigen Punkten LH Definition der verwendeten Begriffe Tipp der dem Benutzer das Leben erleichtern kann M Kompatibilit t mit vorherigen Versionen e Zu vermeiden Wichtiger Hinweis zur Vermeidung von Bedienun
30. Ein Risiko kann mehrere Typen von Komponenten betreffen eine Entit t einen Prozess eine Gesch ftssparte oder einen Standort Risiken bewerten Nach der Identifizierung und Analyse der Risiken f r ein Unternehmen wird ihre Bedeutung bewertet um die wichtigsten Risiken herauszustellen die bearbeitet werden m ssen Besonders wichtig ist es die Ursachen der Risiken zu identifizieren damit diese Risiken und nicht nur ihre Symptome bearbeitet werden Die Risiken werden auf Grundlage ihrer H ufigkeit ihrer Auswirkung Kontrollstufe und Effizienz bewertet Diese Bewertung dient als Grundlage zur Bestimmung der Art und Weise wie die Risiken gemanagt werden Um die Risikoanalyse nach der Bewertung einfacher zu gestalten werden Standardberichte geliefert e Die Aggregationen Seite 87 e Effizienz des Risikomanagements Seite 95 e Trendanalyse Seite 96 F r die Bewertung gibt es zwei M glichkeiten e die direkte Bewertung mit der ein Experte die globale Bewertung eines Risikos zu einem bestimmten Datum aufstellen kann e die Bewertung nach Kampagnen mit der Risiken und Kontrollen nach Entit ten und nach Prozessen ab Standardfrageb gen bewertet werden k nnen Risiken bearbeiten Risiken zu bearbeiten beinhaltet verschiedene m gliche Optionen zu identifizieren diese Optionen zu beurteilen und Pl ne zur Bearbeitung bzw Reaktion vorzubereiten und umzusetzen Der Konzeption von Aktionen zur Risikobearbeitung liegt eine fund
31. Ergebnis des Auswirkunsgwerts multipliziert mit dem Wert der Wahrscheinlichkeit Dieses Merkmal gibt Aufschluss ber die Folgen des Risikos e Kontrollebene ist das Ergebnis des Werts des Designs der Kontrollen multipliziert mit dem Wert der Auswirkung der Kontrollen Dieses Merkmal gibt einen globalen Aufschluss dar ber inwieweit das Risiko unter Kontrolle ist w Weitere Informationen zur Bewertung von Risiken finden Sie unter Bewertungen mit MEGA ERM Seite 47 Berichtparameter Hier werden die Eingabedaten des Berichts definiert Kontextes Parameter Parametertyp Einschr nkungen Anfangsdatum Datum Auswahlkriterium der Risiken Nicht obligatorisch Enddatum Datum Auswahlkriterium der Risiken auf das aktuelle Datum festgelegt Risikotyp des Risikotyp Auswahlkriterium der Risiken Nicht obligatorisch 87 88 Parameter Parametertyp Einschr nkungen Entit ten des Entit t Auswahlkriterium der Risiken Nicht Kontextes obligatorisch Kontextprozess Prozesse Auswahlkriterium der Risiken Nicht obligatorisch Kontextziele Ziele Auswahlkriterium der Risiken Nicht obligatorisch Beispiel eines Berichts Im folgenden Beispiel wurde kein Risiko bewertet Impact Likelihood ERM Control Level ERM Inherent Risk Very High Rare Possible Likely Probable Certain Very Low Low Medium High vers a o Medium Strong mem Die Berichte ber eine Aggregati
32. Geben Sie auf der Verbindungsseite im Feld Login Ihre ID ein Wenn Sie ein Kennwort besitzen Geben Sie im Feld Password Ihr Kennwort ein w Wenn Sie Ihr Kennwort vergessen haben klicken Sie auf Lost password unter dem Verbindungsfenster Klicken Sie im Feld Environment auf den Pfeil und w hlen Sie die Arbeitsumgebung aus we Sollten Sie keinen Zugriff auf eine Umgebung haben wird die Umgebung automatisch ber cksichtigt Das Feld zur Auswahl der Umgebung wird nicht angezeigt Klicken Sie auf LOGIN Wenn Sie authentifiziert wurden wird ein neues Fenster angezeigt Klicken Sie im Feld Repository auf den Pfeil und w hlen Sie das Arbeits Repository aus w Sollten Sie nur auf ein Repository Zugriff haben wird das Repository automatisch ber cksichtigt Das Feld zur Auswahl des Repositorys wird nicht angezeigt Klicken Sie im Feld Profile oder Role auf den Pfeil und w hlen Sie das Profil oder die Rolle aus mit der bzw dem Sie arbeiten m chten w Sollten Sie keinen Zugriff auf ein Profil oder eine Rolle haben wird das Profil oder die Rolle automatisch ber cksichtigt Das Feld zur Auswahl des Profils oder der Rolle wird nicht angezeigt w In MEGA Administration wird das Feld Role statt Profile angezeigt wenn in den Optionen der Umgebung Optionen Installation MEGA ERM Der Arbeitsbereich Verbindung zu MEGA ERM Benutzerverwaltung die Option Verwaltung der Zuweisung von Gesch ftsrollen an Personen ausgew hlt wurde
33. MEGA ERM Benutzerhandbuch MEGA HOPEX V1R1 1 Ausgabe luglio 2013 Die in diesem Dokument enthaltenen Informationen k nnen jederzeit ohne vorherige Ank ndigung ge ndert werden und stellen in keinem Fall eine Verpflichtung f r MEGA International dar Diese Ver ffentlichung darf weder ganz noch teilweise ohne vorherige schriftliche Erlaubnis von MEGA International f r irgendwelche Zwecke reproduziert gespeichert bersetzt oder bertragen werden unabh ngig davon mit welchen Mitteln dies geschieht MEGA International Paris 1996 2013 Alle Rechte vorbehalten MEGA ERM e MEGA sono marchi registrati di MEGA International Windows ist eine registrierte Marke von Microsoft Die anderen Marken geh ren den jeweiligen Eigent mern SOMMAIRE Einleitung EE EE 9 Prozess des Risikomanagements 0000 eee eee ee 10 Risiken identifizieren analysieren und kontextualisieren 10 EE e EE 10 Risiken bearbeiten criari ew Ea hy sak edd da cas we WS EEN AE A E 10 Die Benutzerrollen 2 0000 c eee nn 12 Funktionaler Risikoadministrator 1 0 te 12 RISIKOMANAGE ee a a RE RED ER EEE eee aR EE 12 Branchenspezifischer Benutzer der L sung 00s 13 Risik bewerter ica ee DEN ba ann er Den eR hae eee a ee oe 13 Risiko Int reSSCENSGruPPe 1 e ku iu a k a Ran i e e Epa ia ph AREP 13 ber dieses Handbuch 2 NEN NIE N IER NN EN rn 14 Struktur des Handbuchs 00 ea tiari naad a tad dianed 14 Weitere RESSOU
34. MEGA HOPEX 107 108 WORKFLOW EINES AKTIONSPLANS Schritte im Workflow eines Aktionsplans Die Schritte des Verwaltungsprozesses eines Aktionsplans werden im Absatz Ablauf eines Aktionsplans in Schritten Seite 77 beschrieben Das Workflow Diagramm f hrt auf e die mitwirkenden Personen e der Ersteller der auch die SchlieBung des Aktionsplans freigibt der Rechenschaftspflichtige der f r die Durchf hrung der Aktionen des Aktionsplans ist der Freigabeverantwortliche der f r den Umfang verantwortlich der vom Aktionsplan abgedeckt wird die Statusangaben des Workflows des Aktionsplans sowie die geplanten Transitionen von einem Status zum anderen die geplanten Benachrichtigungen bei bestimmten Transitionen Workflow des Aktionsplans Creator Top down Action Plan Workflow Obaction Plan Status Updating Mail send Action plan To be Sent action plan Status Updating To be reviewed Mail Reject action plan To be Started Reject OM4ction Plan Status Updating Automatic Assignation for actions Action Plan Mail start action plan Action Plan Progress Update Reminder Owner Complete i C4ction Plan Status Updating Action Plan Mail complete action plan In Progress Action Plan Status Updating action Plan Mail Reopen Action Plan Reopen Action Plan Status Updating iClose all actions Created close all actions Draft lose all actions In p
35. Management auf das Risiko reagiert d h bearbeitet Ein Risiko ist eine mehr oder weniger wahrscheinliche Gefahr der einer Organisation ausgesetzt ist Ein Kontrollsystem besteht aus mehreren Kontrollen mit denen Risiken f r ein Unternehmen verh tet und Risiken unter Kontrolle gehalten werden k nnen sowie interne Betriebsregeln angewendet Gesetze oder Vorschriften eingehalten oder strategische Ziele des Unternehmens erreicht werden k nnen Glossar 101 102 Risikofaktor Risikofolge Risikotyp Server Vorschriften oder interne Regelung Ziel Ein Risikofaktor ist ein Element das zum Auftreten eines Risikos beitr gt oder ein Risiko ausl st F r verschiedene Risiken kann ein und derselbe Risikofaktor verantwortlich sein Beispiele Die Verwendung eines gef hrlichen chemischen Produkts eine komplexe Anwendung die Gr e eines Projekts die Anzahl der Mitwirkenden eine neue Technik mangelnde Qualit tssicherung mangelnde Sorgfalt bei der Festlegung der Anforderungen usw Die Folge eines Risikos kann positiv oder negativ sein Sie wird mit einem Typ verbunden mit dem sich die Folge charakterisieren l sst Beispiel Bild Umgebung Angestellte Ein Risikotyp definiert die Typologie eines normalisierten Risikos im Rahmen einer Organisation Ein Server ist eine Hardware Ressource die ber eine Datenbank verf gen kann auf der eine Anwendung ausgef hrt werden kann Eine Vorschrift oder eine interne
36. Nachrichten an die als Benachrichtigung und E Mail gesendet werden sollen W hlen Sie die Registerkarte Planung aus MEGA ERM Risiken bearbeiten Aktionsplan beantragen Geben Sie das Relative Referenzdatum an das im Vergleich zum Effektiven Anfangsdatum des Aktionsplans festgelegt wurde Geben Sie den Intervalltyp an das angibt in welchen Intervall die Erinnerungen gesendet werden t glich w chentlich monatlich ein Mal Legen Sie das Ende der Wiederholung mit kein Ende fest Klicken Sie auf der Eigenschaftsseite des Lenkungsdatums auf OK Fortschrittsstatus eines Aktionsplans angeben Um den Fortschrittsstatus eines Aktionsplans anzugeben gehen Sie wie folgt vor 1 oo seen 0 11 Klicken Sie auf Home gt Mein Desktop gt Meine Verantwortungsbereiche gt Meine Aktionspl ne Die Liste der Aktionspl ne wird angezeigt W hlen Sie einen Aktionsplan aus und klicken Sie auf die Schaltfl che Eigenschaften Klappen Sie den Abschnitt Fortschritt des Aktionsplans auf Sie k nnen die Prozente im Feld Letzter Fortschritt Prozent manuell aktualisieren Geben Sie den Kommentar zum letzten Fortschritt an Klicken Sie in der Tabelle Fortschritt auf Neu Daraufhin wird die Seite zum Erstellen eines Fortschritts angezeigt Geben Sie den Namen des Fortschritts an Geben Sie den Aktualisierten Fortschritt in Prozenten an berpr fen Sie das Fortschrittsdatum Geben Sie die Bewertung des Fortschritts an e V
37. RCEN nin ted a a a a en 15 Schreibkonventionen in diesem Handbuch 15 Stil und Formatierung 222 22 au ee er aha 15 Formulierung einer Befehlsfolge 16 Der Arbeitsbereich aw eg Kerg Eege 1a ann a 17 Grundvoraussetzungen f r die Verwendung von MEGA ERM 00000e enue 18 Spezifische Bibliotheken importieren 18 Verbindung zu MEGA ERM ee ee 20 Pr sentation der Benutzeroberflache 000 cece eee 22 Funktionale Administration e nn 25 Arbeitsumgebung vorbereiten 0 000 cece ee 26 Organisation definieren sasa cerasi ardas dea idake kinda e EA a a 26 Umgebung der Vorschriften beschreiben 26 Die Vorschriften i sees su sata he a E ee EN Pe E E E 26 Die Anforderungen sverre cen ren ee Bo PRR Ea ER ENE E E E E Ee 27 DIE ZIEIE aa an un a a ee ee E ok E Ea ee en A 27 Ressourcen des Unternehmens beschreiben 2 22 2 28 Risiken beschreibe 7 4 vas u sn ana nase naked ana ae 28 Kontrollen beschreiben 2 zu ee nn 28 Risiken verwalten N S sun eer a na 29 Einfacher Zugriff auf die Aufgaben znunuun nun es 30 Risiken identifizieren unuum nm nn nn nn 31 Auf die Liste der Risiken zugreifen 31 Eigenschaften eines Risikos 1 20 0 0 nadu i iaa nene 31 RISIKO analysieren aie ake ed E nee a heed ae es e 33 DIE RISIKOLY PON s saos sls ada ka be Oe PERE EN PE Ee EE ae 33 Risikofaktoren ee nea PRE 44 samen naeh 34 Die Folgen eines RISIKOS is ee pa an ka e
38. Sie mit der rechten Maustaste auf das Repository und w hlen Sie Verwaltung der Objekte gt Solution Pack importieren aus Dann wird das Fenster zur Auswahl des Solution Packs angezeigt 4 W hlen Sie ERM Technical aus und klicken Sie auf OK Sie haben ein leeres Repository erstellt 5 Beenden Sie die Anwendung Administration MEGA ERM Der Arbeitsbereich Grundvoraussetzungen f r die Verwendung von MEGA ERM Beispielbibliothek importieren Wenn Sie ein Repository mit einem Beispiel verwenden m chten gehen Sie wie folgt vor 1 2 DP Starten Sie Administration exe und verbinden Sie sich mit einem Benutzer der ber die Administrationsberechtigung f r Daten verf gt W hlen Sie die Umgebung und anschlie end das Repository aus mit dem Sie arbeiten m chten Klicken Sie mit der rechten Maustaste auf das Repository und w hlen Sie Verwaltung der Objekte gt Solution Pack importieren aus Dann wird das Fenster zur Auswahl des Solution Packs angezeigt Wahlen Sie ERM Sample aus und klicken Sie auf OK Beenden Sie die Anwendung Administration 19 VERBINDUNG ZU MEGA ERM Um sich mit einer MEGA Anwendung im Web zu verbinden gehen Sie wie folgt vor 1 N Starten Sie die Anwendung MEGA unter ihrer HTTP Adresse w Wenn Sie die Adresse nicht kennen wenden Sie sich an Ihren Administrator Daraufhin wird die Verbindungsseite ge ffnet Login Password Environment Demonstration k LOGIN
39. Sie wie folgt vor 1 W hlen Sie Risiko gt Risikobibliothek gt Risiken gt Kontrollen gt Alle Risiken aus Daraufhin wird die Liste aller Kontrollen angezeigt 2 Klicken Sie auf die Schaltfl che Neu Die erstellte Kontrolle wird in der Liste der Kontrollen mit dem Status Erstellt aufgef hrt 3 ffnen Sie das Eigenschaftsfenster der Kontrolle 4 Geben Sie den Eigent mer der Kontrolle an der die weiteren Informationen zur neuen Kontrolle eingeben muss bevor er die Kontrolle zur Freigabe einreicht Kontrolle freigeben Schritte des Freigabeprozesses einer neuen Kontrolle e Nachdem er die Merkmale einer neuen Kontrolle angegeben hat kann der Eigent mer der Kontrolle e die Kontrolle einreichen Die neue Kontrolle wird mit dem Status eingereicht angezeigt Der Risikomanager erh lt eine Benachrichtigung per E Mail e Wenn eine Kontrolle vom Eigent mer eingereicht wurde kann der Risikomanager e die Kontrolle freigeben Die Kontrolle bernimmt den Status Freigegeben Der Benutzer Eigent mer erh lt per E Mail eine Benachrichtigung e die Kontrolle zur ckweisen In diesem Fall bernimmt die Kontrolle den Status Zur ckgewiesen wird aber nicht gel scht 45 MEGA ERM BEWERTUNGEN MIT MEGA ERM Nach der Identifizierung und Analyse der Risiken f r ein Unternehmen m ssen die wichtigsten Risiken herausgestellt werden um sie bearbeiten zu k nnen In MEGA ERM werden Risiken qualitativ bewertet die
40. achungsberichte Wenn eine Antwort aufgeklappt wird werden der Name des Bewerters sowie die Risiken aufgef hrt auf die sich die Antwort bezieht 93 Da T r Number 0 Al Soaps pia a E ES spending fon eats budget novating or negociation SR account Led 12 45 Vv v Vv MEGA ERM Die Berichte MEGA ERM Effizienz des Risikomanagements EFFIZIENZ DES RISIKOMANAGEMENTS Risikominderung In diesem Bericht wird die Entwicklung des Nettorisikos zwischen zwei Daten aufgef hrt um die Vorteile der durchgef hrten Aktionspl ne zu analysieren w Weitere Informationen zur Verwendung der Risikobewertung finden Sie unter Bewertungen mit MEGA ERM Seite 47 Berichtparameter Hier werden Kontextelemente definiert um die im Bericht aufgef hrten Risiken auszuw hlen Die Risiken beziehen sich nur auf die Entit ten und Prozesse die in den Parametern angegeben wurden Parameter Parametertyp Einschr nkungen Anfangsdatum Datum Anfangsdatum Obligatorisch Enddatum Datum Enddatum Obligatorisch Entit ten Entit t Auswahlkriterium der berpr ften Risiken Nicht obligatorisch Prozess Prozesse Auswahlkriterium der berpr ften Risiken Nicht obligatorisch Beispiel eines Berichts Context Risk ERM Avg Net Risk Action plans 2012 Application Hack Risk of dependency Unprecise measurement of the procurement department Insufficient market analysis Purcha
41. analyse erg nzt Eine Bewertung beruht auf dem Konzept der Bewertungssitzung Eine Bewertungssitzung ist eine Bewertung die zu einem bestimmten Zeitpunkt gestartet wird Mit der Ver ffentlichung der Bewertungssitzung soll ein Bewertungsfragebogen gesendet werden in dem die Fragen gezielt an die Bewerter gerichtet werden Eine Bewertungssitzung wird mit einem Umfang und einer Fragebogenvorlage definiert Der Umfang einer Bewertungssitzung wird mit den zu bewertenden Objekten dem Kontext der Bewertung und der Liste der Beantworter definiert Ein Beantworter ist eine Person in einem Unternehmen der im Kontext der Bewertung befragt wird Diese Person muss den Bewertungsfragebogen ausf llen und zur cksenden Bewertungsfrageb gen werden an die entsprechenden Beantworter nach dem gew hlten Bereitstellungsmodus gesendet LU In einem Fragebogen wird eine Liste von vordefinierten Fragen aufgefuhrt die fur einen Ereignistyp eine Kontrolle ein Dokument usw gelten k nnen Die Frageb gen werden auf Grundlage einer Vorlage erstellt die bei einer anderen Bewertungssitzung wieder verwendet werden kann Diese Vorlage ist eine Fragebogenvorlage In MEGA ERM kann eine Bewertungssitzung nur im Kontext einer Bewertungskampagne gestartet werden In einer Kampagne k nnen mehrere Bewertungssitzungen gruppiert werden 53 Zugriff auf die Bewertungsfunktionen Ka nach Benutzerprofil k nnen Sie in unterschiedliichen Men s auf die Bewertung
42. ans Risiko Interessensgruppe Eine Interessengruppe bei einem Risiko ist ein Zusammenschluss von Personen bzw hier eine Person die von einem Risiko betroffen ist wenn es eintritt Dabei beschr nkt sich die Interessengruppe in ihrer Funktion darauf Berichte der Unternehmensf hrung einzusehen die vom Risikomanager erstellt wurden und ihn im Fall eines nicht identifizierten oder eines best tigten Risikos zu warnen 13 LA BER DIESES HANDBUCH n diesem Handbuch wird erkl rt wie Sie mit MEGA ERM f r ein effizientes Risikomanagement sorgen k nnen Struktur des Handbuchs Das Handbuch MEGA ERM setzt sich aus folgenden Kapiteln zusammen Der Arbeitsbereich Seite 15 beschreibt die Schritte vor der Nutzung dieser L sung und stellt die Benutzeroberfl che abh ngig vom verbundenen Benutzer vor Funktionale Administration Seite 25 beschreibt die Initialisierungen der Referenzdaten die implementiert werden m ssen bevor mit dem Risikomanagement begonnen wird Risiken verwalten Seite 29 pr sentiert die Funktionalit ten in MEGA ERM um die Risiken zu charakterisieren berwachung der Kontrollpolitik Seite 41 pr sentiert die Funktionalit ten in MEGA ERM um die Kontrollen zu charakterisieren Bewertungen mit MEGA ERM Seite 47 erkl rt wie die verschiedenen Tools zur Risikobewertung funktionieren die in MEGA ERM enthalten sind Risiken bearbeiten Seite 69 erkl rt wie Aktionspl ne funktionieren
43. auf die von der Regierung im Rahmen 26 MEGA ERM Funktionale Administration Arbeitsumgebung vorbereiten eines Gesetzes von einem Berufsverband in Form von Best Practices oder intern von einer Organisation festgelegt werden F r den Zugriff auf die Liste der Vorschriften gehen Sie wie folgt vor W hlen Sie Umgebung gt Umgebung der Vorschriften gt Vorschriften aus Die Anforderungen Die Ziele Um sicherzustellen dass Ihre Organisation die strategischen Erwartungen des Unternehmens erf llen k nnen die wichtigsten MEGA Konzepte mit Anforderungen verbunden werden Eine Anforderung ist ein explizit ausgedr ckter Bedarf oder eine Erwartung die wie eine Einschr nkung vorgeschrieben und im Rahmen eines Zertifikations Organisations oder Modifikationsprojekts f r das Informationssystem des Unternehmens erf llt werden muss Um auf die Baumstruktur der Anforderungen zuzugreifen gehen Sie wie folgt vor W hlen Sie Umgebung gt Umgebung der Vorschriften gt Anforderungen aus Daraufhin werden die Anforderungen der Organisation hierarchisch angezeigt Ein Ziel ist ein Ergebnis das erreicht werden soll oder das angestrebte Resultat eines Prozesses oder eines Arbeitsschritts Mit einem Ziel k nnen die Punkte hervorgehoben werden die f r diesen Prozess oder diesen Arbeitsschritt verbessert werden sollen Ein Ziel kann quantitativ das hei t direkt messbar oder qualitativ sein e Die Frist zwischen Bestellung
44. bmit end Submit Mail pdate control status attribute Submitted Risk Manager Send Reject Mail Update control status attribute Rejected Rejected OSend Validate Mail Update control status attribute Validated Validated 106 MEGA ERM Anhang Workflow von MEGA ERM Workflow einer Kontrolle E Mails im Workflow bei der Erstellung einer Kontrolle Anforderung der Freigabe einer Kontrolle Von Eigent mer der Kontrolle An Risikomanager Gegenstand Control to be validated Current control Name Inhalt Please validate the control Current control Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Kontrolle freigeben Von Risikomanager An Eigent mer der Kontrolle Gegenstand Your control has been approved Current control Name Inhalt The control Current control Name has been approved by The control Management Department Thank you for your collaboration Comment Comment This e mail has been sent automatically by MEGA HOPEX Kontrolle zur ckweisen Von Risikomanager An Eigent mer der Kontrolle Gegenstand Your control has been rejected Current control Name Inhalt The control Current control Name has been rejected by The Risk Management Department Thank you for your collaboration Comment Comment This e mail has been sent automatically by
45. chema ist eine Reihe von Schritten mit denen die Ergebnisse einer Bewertung nach festgelegten Bewertungsregeln konsolidiert werden Eine Aktion ist in einem Aktionsplan enthalten und stellt eine Umwandlung oder eine Bearbeitung in einer Organisation oder einem System dar Ein Aktionsplan besteht aus einer Reihe von Aktionen Der Aktionsplan soll die Risiken oder Ereignisse reduzieren die sich auf die Aktivit ten des Unternehmens negativ auswirken bzw die Effizienz eines Prozesses oder einer Organisation verbessern k nnen Eine Anforderung ist ein explizit ausgedr ckter Bedarf oder eine Erwartung die wie eine Einschr nkung vorgeschrieben und im Rahmen eines Zertifikations Organisations oder Modifikationsprojekts f r das Informationssystem des Unternehmens erf llt werden muss Eine Anwendung besteht aus Software Komponenten die im Rahmen der IT Entwicklungen eine konsistente Einheit bilden Ein Arbeitsschritt ist eine Etappe eines Ablaufs bei der eine Organisationseinheit der Organisation im Rahmen einer der Aktivit ten des Unternehmens handelt Es kann sich hier um einen industriellen Arbeitsschritt handeln wie ein Teil fertigen um einen logistischen Arbeitsschritt wie eine Lieferung annehmen oder auch um eine Informationsverarbeitung wie eine Bestellung speichern Ein Arbeitsschritt kann in elementare Aufgaben aufgeteilt werden 97 Benutzer Bewertetes Merkmal Bewertung Bewertungssitz
46. chen Bereich Eine Person kann mehrere Gesch ftsrollen bernehmen Gesch ftsrollen werden nur verwendet wenn die Option Verwaltung der Zuweisung von Gesch ftsrollen an Personen aktiviert wurde Ein Profil kann mit einer Gesch ftsrolle verbunden sein Wenn eine Person einer Gesch ftsrolle zugewiesen wird die mit einem Profil verkn pft ist wird dieser Person indirekt ein Profil zugewiesen Glossar 99 Gesch ftssparte Gesellschaft Indikator Kampagne Kontrolle Kontrolltyp Lenkungsdatum Lenkungskalende r Ma 100 Eine Gesch ftssparte ist eine hohe Klassierungsebene der wichtigsten Gesch ftst tigkeiten eines Unternehmens Sie entspricht zum Beispiel gro en Produktsegmenten oder Distributionskan len Sie erm glicht Prozesse eines Unternehmens organisatorische Einheiten oder Anwendungen f r ein bestimmtes Produkt und oder einen bestimmten Markt zu klassieren Regelwerke bestimmter Industrien schreiben ihre eigene Liste von Gesch ftssparten vor Eine Gesellschaft ist eine juristische Person Ein Indikator ist eine messbare Gr e die Angaben ber das erreichte oder nicht erreichte Ziel die Auswirkung eines Risikofaktors die H ufigkeit oder die Auswirkung eines Risikos die Wirksamkeit einer Kontrolle usw liefert In einer Kampagne k nnen mehrere Bewertungssitzungen gruppiert werden Eine Kontrolle ist ein Mittel ein oder mehrere Risiken unter Kontrolle zu haben und sicherzustellen da
47. ction plan to be closed Current Action plan Name Inhalt The following action plan has been submitted for closure Action Plan Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Geschlossener Aktionsplan Von Freigabeverantwortlicher An Rechenschaftspflichtiger Gegenstand Action plan closed Current Action plan Name Inhalt Dear Sir Madam The action plan Action Plan Name has been closed Thank you for your collaboration Comment Comment This e mail has been sent automatically by MEGA HOPEX 110 MEGA ERM Schritte im Workflow einer Aktion Creation Draft Updating Attribute Status of the Action Close Automatically Updating Attribute Status of the Action Updating Attribute Status of the Action om ze Close Automatically Updating Attribute Status of the Action Complete To be closed Clase Creators Return to Owner Benachrichtigungen im Workflow einer Aktion Fur Aktionen werden keine E Mails vorgesehen Object Status Anhang Workflow von MEGA ERM Workflow eines Aktionsplans Vom Ersteller werden nur Benachrichtigungen an den Rechenschaftspflichtigen gesendet e wenn die Aktion einem Benutzer zugewiesen wird e wenn die Aktion geschlossen wird 111 112 WORKFLOW EINER BEWERTUNGSSITZUNG Die Schritte im Workflow einer Sitzung
48. datum erstellen Seite 76 Klicken Sie auf OK Lenkungsdatum erstellen Ein Lenkungsdatum ist ein Datum das in einem Lenkungskalender festgelegt wird und an dem der verantwortlichen Person eines Elements eine Erinnerung gesendet wird Ein Anfangsdatum ein Erinnerungsdatum oder ein Termin Enddatum Um ein Lenkungsdatum f r einen existierenden Lenkungskalender zu erstellen gehen Sie wie folgt vor 1 2 ffnen Sie die Eigenschaftsseite des Aktionsplans Klicken Sie im Abschnitt Merkmale auf den Pfeil rechts neben dem Feld Lenkungskalender Nun erscheint eine Liste der verf gbaren Befehle Klicken Sie mit der rechten Maustaste auf den betreffenden Lenkungskalender und w hlen Sie Eigenschaften aus Dann wird die Eigenschaftsseite des Kalenders angezeigt Klicken Sie im Abschnitt Lenkungsdaten auf die Schaltfl che Neu Das neue Lenkungsdatum wird in der Liste angezeigt Um die Merkmale des Lenkungsdatums zu definieren gehen Sie wie folgt vor 1 2 76 ffnen Sie die Eigenschaftsseite des Lenkungsdatums und w hlen Sie die Registerkarte Merkmale aus Geben Sie den Namen des Datums an um das Datum wieder eventuell in einem anderen Lenkungskalender zu verwenden Geben Sie den Datumstyp an e Anfang um den Beginn des Aktionsplans anzugeben e Erinnerung um den Verantwortlichen an die Aktualisierung des Fortschritts zu erinnern e Letzter um den Abschluss des Aktionsplans anzugeben Geben Sie die
49. e Neu Der neue Aktionsplan wird in der Liste der Aktionspl ne des Risikos erstellt Der Aktionsplan wird mit dem Status Ge ffnet erstellt we Sie k nnen die weiteren Felder sp ter ausf llen Aktionsplan charakterisieren Bevor der Aktionsplan zur Zustimmung vorgelegt wird kann der Antragsteller weitere Informationen im Aktionsplan angeben Um die Felder zu aktualisieren die einen Aktionsplan charakterisieren gehen Sie wie folgt vor 1 Klicken Sie auf Home gt Mein Desktop gt Meine Verantwortungsbereiche gt Meine Aktionspl ne 2 W hlen Sie auf der nun ge ffneten Seite den betroffenen Aktionsplan aus und klicken Sie auf Eigenschaften 73 Allgemeine Merkmale Im Abschnitt Merkmale k nnen Sie die Felder des Aktionsplans ausf llen zum Beispiel e Name Name des Aktionsplans e Eigent mer Dieses Feld wird standardm ig von dem Benutzer ausgef llt der den Aktionsplan erstellt e Entit tseigent mer Erm glicht die Liste der Benutzer als Eigent mer einzugrenzen e Freigabeverantwortlicher Benutzer der f r die Freigabe des Aktionsplans verantwortlich ist wenn alle Aktionen abgeschlossen sind e Mittel Text als Beschreibung der notwendigen gew nschten Mittel f r die Ausf hrung des Aktionsplans e Priorit t um eine Stufe anzugeben Die Priorit t kann verschiedene Stufen haben niedrig mittel hoch oder kritisch e Organisatorischer Level endg ltiges Ziel des Plans Global oder Lokal
50. e angezeigt Fragebogen bearbeiten Wenn er den Inhalt eines Fragebogens aufgerufen hat kann der Beantworter e den Fragebogen schlie en ohne ihn zu beantworten e die bertragung des Fragebogens an einen anderen Beantworter anfordern w In diesem Fall wird der Verantwortliche der Sitzung per E Mail benachrichtigt Er muss einen anderen Beantworter w hlen e die Antwort im Fragebogen an eine andere Person delegieren w In diesem Fall wird die ausgew hlte Person per E Mail benachrichtigt e Den Fragebogen akzeptieren und beantworten Fragen beantworten Wenn Sie die entsprechenden K stchen markiert haben hat der Beantworter mehrere M glichkeiten e Speichern Um die Antworten zu speichern ohne sie sofort zu senden So kann der Fragebogen auch sp ter erg nzt werden e Die Antwort zur Freigabe durch den Verantwortlichen der Sitzung einreichen 68 MEGA ERM RISIKEN BEARBEITEN Besonders wichtig ist es die Ursachen der Risiken zu identifizieren damit diese Risiken und nicht nur ihre Symptome bearbeitet werden Durch die Bewertung der Risiken wurden Elemente eingebracht mit denen die besten Strategien einer Bearbeitung mit dem besten Kosten Leistungsverh ltnis gew hlt werden k nnen In MEGA ERM k nnen Sie festgelegte Aktionspl ne angeben umsetzen und verfolgen um Risiken zu bearbeiten In diesem Kapitel werden folgende Punkte behandelt Beschreiben wie ein Risiko bearbeitet wird Seite 70 d Aktionsplan
51. e der Folge angeben Die erstellte Folge wird in der Liste der Folgen des betreffenden Risikos aufgef hrt Verantwortungsbereich eines Risikos festlegen Sie k nnen den oder die Verantwortlichen f r das Risikomanagement im Abschnitt Verantwortung angeben w Weitere Informationen zur Verwaltung der Verantwortung im Rahmen von RACI finden Sie im Handbuch HOPEX Solutions Common Features Prozess der Erstellung eines Risikos Der Prozess einer Risikoerstellung wird von einem Workflow verwaltet Nur bestimmte Profile d rfen ein Risiko erstellen einreichen freigeben oder zur ckweisen w Weitere Informationen zum Workflow beim Erstellen eines Risikos und zu den entsprechenden E Mails zur Benachrichtigung finden Sie unter Workflow eines Risikos Seite 104 Risiko erstellen Nur Risikomanager und funktionale Administratoren d rfen Risiken erstellen Um ein Risiko zu erstellen gehen Sie wie folgt vor 1 W hlen Sie Risiko gt Risikobibliothek gt Risiken gt Risiken gt Alle Risiken aus Daraufhin wird die Liste aller Risiken angezeigt 2 Klicken Sie auf die Schaltfl che Neu Daraufhin wird die Seite zum Erstellen eines Risikos angezeigt 35 36 3 Geben Sie den Namen des Risikos an und klicken Sie auf OK Das erstellte Risiko wird in der Liste der Risiken mit dem Status Erstellt aufgef hrt 4 ffnen Sie die Eigenschaftsseite des Risikos 5 Geben Sie den Eigent mer des Risikos an der die weiteren Informati
52. ee ae ee 73 Aktionsplan charakterisieren 1 0 ee 73 Fortschrittsverfolgung des Aktionsplans vorbereiten 1 0 75 Lenkungskalender AE ek a EE EN ee 75 Sommaire Lenkungsdatum erstellen ee he LR ERR LER ENEE 76 Fortschrittsstatus eines Aktionsplans angeben 0c cs 77 Ablauf eines Aktionsplans in Schritten ua saaa a 77 Aktionen verwalten cee ee 79 Aktionen erstellen 2 000 ee EE ee a 79 Umfang der Aktion festlegen 79 Schritte in der Verwaltung einer Aktion 80 Vorgeschlagener Befehl f r den Ersteller 2 vo cm aana een nennen 80 Befehl der f r Entit ten vorgeschlagen wird die von einer Aktion mit dem Status Entwurf betroffen SINE aus eee eee han ra nn nern 80 Vorgeschlagene Befehle f r den Verantwortlichen einer Aktion Gedffnet 80 Befehle die dem Eigent mer und Freigabeverantwortlichen des Aktionsplans einer beende teten Aktion vorgeschlagen werden 80 Die Berichte MEGA ERM uuumuu nn nn nn nn nn nn 81 Die Berichte ber die Identifizierung zn nnunn nn nn nn nn ee 82 Kreuztabelle einer Aufteilung 22 nun een 82 Identifizierung der Risiken ce nn 83 Identifizierung der Kontrollen 86 Die Aggregationen 0 cee nn 87 Heatmap nach Entit t Risikotyp Prozess 87 Die Berichte ber eine Aggregation ssas aaa aaa nen 88 Die berwachungsberichte 0c cece eee eee eens 90 berwachung der Aktionspl ne 1 ee et ee eens 90 Statistiken
53. einer Organisation verbessern k nnen e In der Registerkarte Kontrolle wird die Liste der Kontrollen aufgef hrt die zur Reduzierung des Risikos geplant wurden Eine Kontrolle ist ein Mittel ein oder mehrere Risiken unter Kontrolle zu haben und sicherzustellen dass eine gesetzliche 71 EE oder interne Anforderung des Unternehmens erf llt wird MEGA ERM Risiken bearbeiten Aktionsplan beantragen AKTIONSPLAN BEANTRAGEN Ein Aktionsplan kann eingerichtet werden zum Beispiel zum Erstellen oder Verbessern einer Kontrolle f r das Krisenmanagement bei einem Zwischenfall oder f r einen vollkommen berarbeiteten Prozess um ihn zu verbessern Ein Aktionsplan besteht aus einer Reihe von Aktionen Der Aktionsplan soll die Risiken oder Ereignisse reduzieren die sich auf die Aktivit ten des Unternehmens negativ auswirken bzw die Effizienz eines Prozesses oder einer Organisation verbessern k nnen Der Aktionsplan wird entweder separat erstellt und mit verschiedenen Objekten verbunden Risiken Prozesse Kontrollen Entit ten usw oder direkt ab einem dieser Objekte erstellt Aktionsplan erstellen Um einen Aktionsplan ab einem Risiko zu erstellen gehen Sie wie folgt vor 1 ffnen Sie die Eigenschaftsseite eines Risikos und klicken Sie auf die Registerkarte Bearbeitung 2 Klappen Sie den Abschnitt Kontrollen und Aktionspl ne auf und klicken Sie auf die Registerkarte Aktionsplan 3 Klicken Sie auf die Schaltfl ch
54. einer Sitzung NEEN NENNEN ENEE Ee ee ee EEN E 92 Effizienz des Risikomanagements 0 000 cee es 95 Risikominder ng soacra ni NEEN ee ee ee ea ee wee eee eee ae 95 Trendanalyse 2 0 0 cee ee 96 Irendanalyse gee a a was d E er an EE eo be ae oe oe he a er Pe ee a 96 EL DEE EE 97 Anhang Workflow von MEGA ERM 2 000 cece nun nn nn nn nn nn 103 Workflow eines Risikos E 104 Schritte im Workflow bei der Erstellung einer Kontrolle 104 E Mails im Workflow bei der Erstellung eines Risikos 222er nennen 105 Anforderung der Freigabe eines RiSikOS cm Herrn 105 Workflow einer Kontrolle 00 000 nun nun nn nn 106 Schritte im Workflow bei der Erstellung einer Kontrolle 106 E Mails im Workflow bei der Erstellung einer Kontrolle 2 2 cn u nenn 107 Anforderung der Freigabe einer Kontrolle 107 MEGA ERM Workflow eines Aktionsplans e ee 108 Schritte im Workflow eines AktionsplanS sasaaa aaa 108 E Mails im Workflow eines Aktionsplans 109 Schritte im Workflow einer Aktion sasaaa aaa 111 Benachrichtigungen im Workflow einer Aktion 111 Workflow einer Bewertungssitzung 2 znnun nn nn nn nn nn nn 112 Die Schritte im Workflow einer Sitzung 112 Die Benachrichtigungen im Workflow einer Sitzung ee 113 Workflow eines Fragebogen E 114 Die Schritte im Workflow eines Fragebogens 22m nummer nn 114 Die E Mails im Workflow eines Fragebogens 115 Sommaire MEGA ERM EINLEITUNG
55. eite 64 12 Klicken Sie auf OK Bereitstellung einer Bewertungssitzung vorbereiten Bei der Bereitstellung einer Bewertungssitzung wird der Versand der Frageb gen an die Benutzer vorbereitet die als Beantworter der zu bewertenden Risiken definiert wurden Vorschau der Sitzung vor dem Start Vor dem Start der Sitzung wird eine Zusammenfassung ber diese Sitzung als Bericht generiert Um die Vorschau des Sitzungsberichts anzuzeigen gehen Sie wie folgt vor ffnen Sie das Eigenschaftsfenster der Bewertungssitzung und klicken Sie auf die Registerkarte Vorschau und Parameter Im Bericht werden aufgef hrt e die Kampagne die Sitzung das Anfangs und das Enddatum die Liste der bewerteten Merkmale die Liste der zu bewertenden Objekte die Liste der Elemente im Bewertungskontext Entit ten und Prozesse die Liste der Beantworter die Liste der Bewertungsknoten Eine Bewertungssitzung bereitstellen Mit einem Befehl k nnen Sie alle Bewertungsknoten f r die Sitzung berechnen Anschlie end kann der Verantwortliche der Sitzung die Liste dieser Knoten berarbeiten und Knoten entfernen oder bestimmte Parameter ndern Um die Liste der Bewertungsknoten einer Sitzung zu erstellen gehen Sie wie folgt vor 1 ffnen Sie das Eigenschaftsfenster der Kampagne und klicken Sie auf die Registerkarte Sitzung 2 Klicken Sie im Abschnitt Bewertungssitzung mit der rechten Maustaste auf die betroffene Sitzung und w hlen Sie den Befehl Bereitste
56. en Von Ersteller An Beantworter Gegenstand Answers Approved Parent Session Name Inhalt Dear Sir Madam Your answers to the questionnaire on Parent Session Name have been approved Thank you for your collaboration Comment Comment This e mail has been sent automatically by MEGA HOPEX 117 MEGA ERM
57. en Bei jedem Risiko wird das gew hlte Szenario ausf hrlich beschrieben Dabei werden die verschiedenen Risikofaktoren und eingesetzten Kontrollen beschrieben Zudem wird angegeben welche Kontrollen eingerichtet werden um das Risiko zu verhindern und welche kurativen Abl ufe durchgef hrt werden sollte das Risiko auftreten Bei einer Verlagerung des Risikos auf einen Partner oder eine Versicherung werden die Vertr ge angegeben die zwischen den Parteien abgeschlossen werden m ssen Auch die voraussehbare Auswirkung auf die Prozesse innerhalb des Unternehmens wird aufgef hrt Pr ventive Kontrollen zur Reduzierung der H ufigkeit und der Auswirkung des Risikos k nnen eine L sung f r die Risikominderung sein Um die Kontrolle n und Aktionspl ne f r die Risikoverh tung anzugeben gehen Sie wie folgt vor Klappen Sie auf der Eigenschaftsseite eines Risikos in der Registerkarte Bearbeitung den Abschnitt Kontrollen und Aktionspl ne auf e Inder Registerkarte Aktionsplan wird die Liste der eingerichteten Aktionspl ne aufgef hrt Zum Beispiel zum Erstellen oder Verbessern einer Kontrolle f r das Krisenmanagement bei einem Zwischenfall oder f r einen vollkommen berarbeiteten Prozess um ihn zu verbessern Ein Aktionsplan besteht aus einer Reihe von Aktionen Der Aktionsplan soll die Risiken oder Ereignisse reduzieren die sich auf die Aktivit ten des Unternehmens negativ auswirken bzw die Effizienz eines Prozesses oder
58. en zur cksenden um zus tzliche Aktionen durchzuf hren MEGA ERM DIE BERICHTE MEGA ERM MEGA ERM bietet Funktionen f r die Analyse und Verfolgung der Durchf hrung von Kontrollen und Risiken Mit der MEGA Suite k nnen Objekt Sets aus dem Repository in Berichten gruppiert werden und die Interaktion dieser Objekte gepr ft werden w Weitere Informationen zum Funktionsprinzip der Berichte finden Sie im Handbuch MEGA Common Features im Kapitel Berichte generieren Mit den standardm ig von MEGA ERM angebotenen Berichtsvorlagen sollen die Kontrollen und Risiken analysiert werden Mit den Berichtsvorlagen lassen sich die Analysen auf verschiedene Weisen darstellen In diesem Kapitel werden folgende Punkte behandelt Die Berichte ber die Identifizierung Seite 82 Die Aggregationen Seite 87 Die berwachungsberichte Seite 90 Effizienz des Risikomanagements Seite 95 Trendanalyse Seite 96 sz SS 81 82 DIE BERICHTE BER DIE IDENTIFIZIERUNG Kreuztabelle einer Aufteilung In dieser Kreuztabelle werden die Verbindungen zwischen einer Liste von Risiken und Objekten eines bestimmten Typs angezeigt Risikotyp Entit t Prozess oder Ziel w Weitere Informationen zur Kontextualisierung der Risiken finden Sie unter Risiken organisieren Seite 37 Berichtparameter Hier werden die Eingabedaten des Berichts definiert Parameter Parametertyp Einschr nkungen Anfangsdatum Datum Auswahlkr
59. ener Berufsverb nde oder im Unternehmen selbst definiert Ein Risikofaktor ist ein Element das zum Auftreten eines Risikos beitr gt oder ein Risiko ausl st F r verschiedene Risiken kann ein und derselbe Risikofaktor verantwortlich sein Beispiele Die Verwendung eines gef hrlichen chemischen Produkts eine komplexe Anwendung die Gr e eines Projekts die Anzahl der Mitwirkenden eine neue Technik mangelnde Qualit tssicherung mangelnde Sorgfalt bei der Festlegung der Anforderungen usw Jedem Risiko k nnen ein oder mehrere Risikofaktoren zugeordnet werden die Risikoquellen oder Gefahren darstellen die den Betrieb der Organisation potenziell MEGA ERM Risiken verwalten Risiken identifizieren gef hrden k nnen Beispiel gef hrliche chemische Produkte Konkurrenten Regierungen usw Die Folgen eines Risikos Die Folge eines Risikos kann positiv oder negativ sein Sie wird mit einem Typ verbunden mit dem sich die Folge charakterisieren l sst Beispiel Bild Umgebung Angestellte Um die Folgen eines Risikos zu definieren gehen Sie wie folgt vor Klicken Sie auf der Seite eines Risikos im Abschnitt Analyse Registerkarte Risikofolgen auf die Schaltfl che Neu Daraufhin wird die Seite zum Erstellen einer Folge ge ffnet we Eine Risikofolge kann sich nur auf ein einziges Risiko beziehen Daher ist das aktuelle Risiko im Feld Risiko bereits angegeben Im Abschnitt Risikofolgen k nnen Sie den Identifizierungscod
60. erspatet e On Line Klicken Sie auf der Eigenschaftsseite des Fortschrittsstatus auf OK Der Status des Fortschritts wird in der Liste angezeigt Ablauf eines Aktionsplans in Schritten w Weitere Informationen zum Workflow finden Sie unter Schritte im Workflow eines Aktionsplans Seite 108 Erstellung eines Aktionsplans Sobald der Aktionsplan erstellt wird hat er den Status Zu senden Standardm ig ist der Ersteller eines Aktionsplans auch der Eigent mer des Plans Nachdem er die Merkmale des neuen Aktionsplans angegeben hat kann der Ersteller den Aktionsplan senden In diesem Fall erh lt der Benutzer der als Freigabeverantwortlicher definiert wurde per E Mail eine Benachrichtigung Der neue Aktionsplan wird in der Aufgabenliste des Freigabeverantwortlichen mit dem Status Zu starten aufgef hrt 77 78 Vorbereitung eines Aktionsplans Der Benutzer Rechenschaftspflichtig des Aktionsplans kann e den Aktionsplan Starten Der Aktionsplan hat nun den Status In Bearbeitung Jetzt k nnen Aktionen erstellt werden Weitere Informationen finden Sie unter Aktionen verwalten Seite 79 Ausf hrung des Aktionsplans Nach Ausf hrung der Aktionen des Aktionsplans kann der Benutzer Verantwortlicher e den Aktionsplan beenden Der Aktionsplan hat bernimmt den Status Geschlossen aber alle Aktionen des Aktionsplans m ssen beendet sein Weitere Informationen finden Sie unter Aktionen verwalten Seite 79
61. eue Technik 43 mangelnde Qualit tssicherung mangelnde Sorgfalt bei der Festlegung der Anforderungen usw e In der Registerkarte Anforderungen k nnen Sie angeben welcher vorschriftsm igen oder gesetzlichen Anforderung die Kontrolle entspricht Eine Anforderung ist ein explizit ausgedr ckter Bedarf oder eine Erwartung die wie eine Einschr nkung vorgeschrieben und im Rahmen eines Zertifikations Organisations oder Modifikationsprojekts f r das Informationssystem des Unternehmens erf llt werden muss e In der Registerkarte Kontrolltyp k nnen Sie angeben auf welche Kontrolltypen die Kontrolle verweist Mit einem Kontrolltyp lassen sich die Kontrollen klassieren die im Unternehmen entsprechend des Standards bzw Normen der betreffenden Sektoren oder Vorschriften Reglementierungen Cobit usw implementiert sind Kontrolle analysieren Mit dem oder den Kontrolltypen werden die Vorschriften angegeben die f r eine Kontrolle gelten Mit einem Kontrolltyp lassen sich die Kontrollen klassieren die im Unternehmen entsprechend des Standards bzw Normen der betreffenden Sektoren oder Vorschriften Reglementierungen Cobit usw implementiert sind Diese Kontrollen k nnen definiert werden indem die Kontrolltypen ber cksichtigt werden die im Rahmen des betroffenen Kontroll und Risikosystems festgelegt wurden Ein Kontrollsystem besteht aus mehreren Kontrollen mit denen Risiken f r ein Unternehmen verh tet und Risiken u
62. folg k nnen Sie Erfolgsindikatoren als Text eingeben mit denen der Erfolg des Aktionsplans beurteilt werden kann e Schl sselfaktoren f r den Erfolg Textinformationen zu den Erfolgsfaktoren des Aktionsplans e Erfolg Informationen zum endg ltigen Erfolg des Aktionsplans Keiner Erfolg oder Misserfolg e Kommentare zum Erfolg Textinformationen zu den Ergebnissen des Aktionsplans Umfang Um einen Aktionsplan in seiner Umgebung zu positionieren k nnen Sie im Abschnitt Umfang mit dem Aktionsplan Objekte verbinden Sie k nnen Objekte wie Risiken Gesch ftsprozesse und organisatorische Prozesse Kontrollen Entit ten oder Anwendungen verbinden Meilensteine Meilensteine sind wichtige Daten des Aktionsplans Sie k nnen diese Daten auch sp ter angeben e Effektives Anfangsdatum und Geplantes Anfangsdatum e Effektives Enddatum und Geplantes Enddatum Anlagen Sie k nnen Gesch ftsdokumente als Anlage an einen Aktionsplan anh ngen w Weitere Informationen zur Verwendung von Gesch ftsdokumenten finden Sie im Handbuch HOPEX Solutions Common Features Fortschrittsverfolgung des Aktionsplans vorbereiten Der Verantwortliche des Aktionsplans kann den Fortschritt eines Aktionsplans regelm ig in Prozenten angeben we Weitere Informationen zur Erstellung eines Lenkungsdatums finden Sie unter Fortschrittsstatus eines Aktionsplans angeben Seite 77 MEGA ERM bietet die M glichkeit den Verantwortlichen des Aktionsplans
63. gnen wird in der Bearbeitungszone angezeigt 2 Klicken Sie auf Neu Daraufhin wird das Fenster zum Erstellen einer Kampagne ge ffnet 62 MEGA ERM Bewertungen mit MEGA ERM Bewertungssitzung verwalten 3 Geben sie auf der Seite Folgendes an e den Eigent mer der Kampagne e die Bewertungsvorlage e einen Kampagnenkalender we Ein Kalender besteht aus Kalenderperioden die zum Erstellen des Kampagnenumfangs notwendig sind Dieser Kalender muss also verwendet werden wenn Sie einen Kampagnenumfang f r die Selbstbewertung der Kontrollen festlegen m chten e ein Anfangsdatum e ein Enddatum Klicken Sie auf die Schaltflache Weiter Wahlen Sie den Namen der Entit t oder des Prozesses je nach verwendeter Bewertungsvorlage aus ab der die Liste der Risiken erstellt werden soll Klicken Sie auf die Schaltflache Bericht auffrischen In dem ge ffneten Bericht kann der berechnete Umfang f r die Kampagne angezeigt werden we Auf dieses Fenster mit der Liste der Parameter der Bewertungskampagne kann weiterhin in der Registerkarte Vorschau und Parameter des Eigenschaftsfensters einer Bewertungskampagne zugegriffen werden we Ausf hrliche Informationen zu diesem Bericht finden Sie unter Vorschau der Sitzung vor dem Start Seite 64 Klicken Sie auf OK Bewertungssitzung erstellen Ab der erstellten Kampagne erstellen Sie nun eine Bewertungssitzung In einer Kampagne k nnen mehrere Bewertungssitzungen gruppiert werden U m
64. gsfehlern Befehle werden wie folgt dargestellt Datei gt Offnen Namen von Produkten und technischen Modulen werden wie folgt dargestellt MEGA 15 Introduction Formulierung einer Befehlsfolge Um eine Befehlsfolge zu beschreiben wird in desem Handbuch der Einfachheit halber folgende Formulierung verwendet Befehl der Anwendung Formulierung im Handbuch Klicken Sie im Desktop Umgebung auf Risikouniversum gt Kontrollen gt Risk Universe Kontrolltypen Controls Q9 Control Types Q9 All Controls Beispiel eines Befehls mit Formulierung im Handbuch 16 MEGA ERM DER ARBEITSBEREICH Dieses Kapitel macht Sie mit der Verwendung von MEGA ERM vertraut und stellt die einzelnen Schritte vor die vor der Nutzung der L sung durchzuf hren sind be Ausf hrliche Informationen zu den Funktionalit ten von MEGAfinden Sie in den Handb chern MEGA Common Features und HOPEX Solutions Common Features in denen die Funktionalit ten SE werden die von allen Produkten der MEGA Suite angeboten werden Hier werden die folgenden Punkte er rtert vd Grundvoraussetzungen f r die Verwendung von MEGA ERM Seite 18 vd Verbindung zu MEGA ERM Seite 20 vd Pr sentation der Benutzeroberfl che Seite 22 17 18 GRUNDVORAUSSETZUNGEN F R DIE VERWENDUNG VON MEGA ERM Um MEGA ERM zu verwenden muss der Administrator zuvor einige Schritte durchf hren Spezifische Bibliotheken importieren MEGA i
65. he Bereich f r den Benutzer Risiko Interessensgruppe Dieser Benutzer verf gt lediglich ber die Registerkarte Home in der die Objekte aufgef hrt werden f r die er zust ndig ist 23 MEGA ERM FUNKTIONALE ADMINISTRATION Damit die verschiedenen Teilnehmer ihre Gesch ftsrollen erf llen k nnen muss der funktionale Administrator zuvor die Arbeitsumgebung vorbereiten Es handelt sich KH um folgende Aufgaben Organisation definieren Seite 26 Umgebung der Vorschriften beschreiben Seite 26 Ressourcen des Unternehmens beschreiben Seite 28 Risiken beschreiben Seite 28 Kontrollen beschreiben Seite 28 25 ARBEITSUMGEBUNG VORBEREITEN Folgende Punkte erkl ren wie die Elemente erstellt werden die Ihre Arbeitsumgebung bilden Dieser Schritt muss vom funktionalen Administrator durchgef hrt werden w Weitere Informationen zu den Komponenten der funktionalen Umgebung finden Sie im Handbuch HOPEX Solutions Common Features Organisation definieren Die Organisation eines Unternehmens ist in gro e Komponenten unterteilt Prozesse Entit ten und Gesch ftssparten Ein Prozess ist eine Wertekette die einem internen oder externen Kunden G ter oder Services bereitstellt Diese Wertekette wird durch eine Folge von Aktivit tsumwandlungen beschrieben Sie wird von den Abl ufen implementiert J Eine Entit t kann unternehmensintern oder extern sein Eine Entit t stellt ein Element der Stru
66. ible L3 Medium D Likely B Very Low B Possible 4 Medium 3 Likely Wenn eine Entit t aufgeklappt wird kann die Aggregation der Werte bei den einzelnen Risiken angezeigt werden die mit der Entit t verbunden sind MM Corporate Headquater H D MM Logistics Department i D i fi Marketing Department m Catalog Manager m Designer m Marketing Manager EN overdue contractual delivery date amp S ongoing purchase budget not under control amp IT Access to Purchase Order is impossible amp Purchase not financially validated Purchase order not conforming to intemal management rules ERM Avg GERMAvg GERM ERM Eu Max f ERM Max Impact Likelihood Impact Likelihood Impact Likelihood Bow BB Rare D Lon Br Bow E Probable Lon E Probable L Low e Probable im Very High B Possible Low 3 Rare GB ver Hign Likely po 3 Probabie 89 90 DIE BERWACHUNGSBERICHTE Die berwachungsberichte beziehen sich auf die Bewertungen und Aktionspl ne berwachung der Aktionspl ne In diesem Bericht wird die Aufteilung von Aktionspl nen nach Kriterien wie Prozessen und Entit ten sowie Art und Status der Prozesse aufgef hrt w Weitere Informationen zur Verwendung der Aktionspl ne finden Sie unter Aktionsplan beantragen Seite 73 Berichtparameter Hier werden Kontextelemente definiert um die aufgef hrten Aktionspl ne auszuw hlen Die Aktionspl ne beziehen sich nur auf die Entit ten und Prozesse
67. ie wird auf einer mehr oder weniger genauen Ebene definiert je nachdem wie pr zise die Angaben ber die Organisation sein m ssen siehe Organisationseinheitstyp Beispiel Finanzdirektion Vertrieb Marketingabteilung Vertriebsmitarbeiter Eine externe Entit t stellt eine Einrichtung dar die Fl sse mit dem Unternehmen austauscht Beispiel Kunde Lieferant Administration Gesch ftsprozesse und organisatorische Prozesse bei denen Risiken bestehen Ein Gesch ftsprozess stellt ein System dar das Produkte oder Dienstleistungen an einen internen oder externen Kunden des Unternehmens oder Organisation liefert Auf h herer Ebene definiert ein Gesch ftsprozess eine Strukturierung und Kategorisierung des Gesch ftsbereichs eines Unternehmens Der Gesch ftsprozess kann in weitere Prozesse unterteilt werden Mit der Verbindung zu den organisatorischen Prozessen kann die reelle Implementierung des Gesch ftsprozesses in der Organisation beschrieben werden Ein MEGA ERM Risiken verwalten Risiken identifizieren Gesch ftsprozess kann auch mit einer funktionalen Sicht detailliert werden Ein organisatorischer Prozess beschreibt die Schritte die durchgef hrt werden m ssen um den Prozess zur Herstellung eines Produkts oder Flusses insgesamt oder teilweise umzusetzen e Ziele und Anforderungen die gegen ber dem Risikomanagement erwartet werden Ein Ziel ist ein Ergebnis das erreicht werden soll oder das angestrebte Resultat ei
68. ie Liste der Risiken aufgef hrt W hlen Sie die gew nschten Risiken aus und klicken Sie auf OK Die ausgew hlten Risiken werden in der Bearbeitungszone in Zeilen angezeigt Gehen Sie genauso vor um die Entit ten auszuw hlen und klicken Sie auf den Befehl Spalte hinzuf gen Die ausgew hlten Entit ten werden in der Bearbeitungszone in Spalten angezeigt Wenn Sie am Schnittpunkt eines Risikos und einer Entit t auf das leere K stchen klicken wird das Risiko mit der Entit t verbunden Im K stchen wird das Symbol q angezeigt w Gehen Sie genauso vor um die Verbindung eines Risikos mit einer Entit t zu trennen 39 MEGA ERM BERWACHUNG DER KONTROLLPOLITIK Die Kontrollaktivit ten bestehen aus Strategien und Abl ufen mit denen sichergestellt wird dass die von der Gesch ftsleitung gew nschten Risikoreaktionen tats chlich eingerichtet wurden Die berwachung erfolgt durch permanente Aktivit ten des Managements oder durch unabh ngige Beurteilungen oder aber auch durch eine Kombination beider Modalit ten Kontrollen verwalten Seite 42 vd Kontrolle erstellen Seite 45 Standardm ig sind Berichte ber die Kontextualisierung der Kontrollen verf gbar Weitere Informationen finden Sie unter Identifizierung der Kontrollen Seite 86 41 KONTROLLEN VERWALTEN Mit der Risikoidentifikation und analyse konnte eine Reihe von Risiken ermittelt werden gegen die man sich nun wappnen muss Kontrollt
69. ie auf den Befehl Zu bewertende Risiken verbinden Die Liste der Risiken wird in einem neuen Fenster aufgef hrt W hlen Sie die gew nschten Risiken aus und klicken Sie auf Verbinden Die ausgew hlten Risiken werden in der Bearbeitungszone in Zeilen angezeigt Die Ma e der Risikomessungen werden in Spalten angezeigt 51 ER A Klicken Sie auf das K stchen das f r ein bestimmtes Risiko einem Ma entspricht zum Beispiel auf Auswirkung Nun wird die Liste der m glichen Werte angezeigt W hlen Sie den gew nschten Wert aus Klicken Sie anschlie end auf den Befehl Bewertung freigeben Geben Sie das Datum der Bewertung ein und klicken Sie auf OK Die neue Risikomessung ist nun erstellt MEGA ERM Bewertungen mit MEGA ERM Bewertung nach Frageb gen BEWERTUNG NACH FRAGEB GEN In MEGA ERM k nnen Sie ab Standardfrageb gen Risiken und Kontrollen bewerten Dadurch k nnen Sie die Leistung interner Kontrollsysteme steigern und Risiken minimieren Die Bewertungsfrageb gen werden an die entsprechenden Empf nger mithilfe der pers nlich anpassbaren Modi f r die Bereitstellung gesendet Konzepte Einf hrung Die Bewertungen beziehen sich auf die Risiken und Kontrollen Die Bewertung ist ein Mechanismus mit dem einer identifizierten Population Frageb gen zugesendet werden um qualitative oder quantitative Einsch tzungen von identifizierten Objekten zu erhalten Die Bewertung wird durch Werkzeuge f r die Ergebnis
70. ieren mit denen die Risiken und Kontrollen charakterisiert werden k nnen w Weitere Informationen zur Verwendung erwarteter Informationen f r die Risikoanalyse finden Sie unter Risiken identifizieren Seite 31 Kontrollen beschreiben Der funktionale Administrator besitzt die Rechte Informationen zu aktualisieren mit denen die Kontrollen charakterisiert werden k nnen w Weitere Informationen zur Verwendung von Informationen f r die Risikoanalyse finden Sie unter Kontrollen verwalten Seite 42 MEGA ERM RISIKEN VERWALTEN Um die Risiken unter Kontrolle zu halten m ssen die Risiken im Ablauf eines Prozesses erkannt und eingestuft werden Ein Risiko ist eine mehr oder weniger wahrscheinliche Gefahr der einer Organisation ausgesetzt ist Wenn die Risiken analysiert und bewertet sind legt das Management die Bearbeitungen fest die f r die jeweiligen Risiken in Frage kommen MEGA ERM bietet Werkzeuge mit denen die Risiken einfacher erstellt und analysiert werden k nnen um dann die wichtigsten Risiken zu identifizieren und geeignete korrektive oder pr ventive Ma nahmen zu treffen Hier werden die folgenden Punkte er rtert vd Einfacher Zugriff auf die Aufgaben Seite 30 Risiken identifizieren Seite 31 Risiken organisieren Seite 37 w Weitere Informationen zur Verwendung der Analyseberichte ber Risiken finden Sie unter Die Berichte MEGA ERM Seite 81 29 30 EINFACHER ZUGRIFF AUF DIE AUFGABEN
71. ierte Kenntnis der betroffenen Risiken zu Grunde diese Kenntnis oder dieses Verst ndnis ist darauf zur ckzuf hren dass die Risikoanalyse auf einer angemessenen Ebene durchgef hrt wird MEGA ERM Prozess des Risikomanagements Allgemein ist es nicht rentabel oder sogar w nschenswert alle m glichen Bearbeitungen des Risikos durchzuf hren Es ist jedoch notwendig eine Kombination der Risikobearbeitungen zu w hlen und umzusetzen die sich am besten eignet Die Bewertung von Risiken ist also ein wichtiger Schritt um eine Liste von Risiken zu erhalten die eventuell mit gewissen Priorit ten bearbeitet werden m ssen Einleitung 11 DIE BENUTZERROLLEN In MEGA ERM sind standardm ig Benutzerrollen enthalten denen Zugriffsrechte zugewiesen werden Verf gbare Rollen Funktionaler Risikoadministrator Risk Manager und lokaler Risk Manager Branchenspezifischer Benutzer der L sung Risikobewerter Risiko Interessensgruppe Funktionaler Risikoadministrator Der funktionale Administrator hat Rechte f r alle Objekte und Workflows Er bereitet die Arbeitsumgebung vor und erstellt die f r das Risikomanagement notwendigen Elemente Er verwaltet die Beschreibung der Umgebung e organisatorische Einheiten und Prozesse e die Umgebung der Vorschriften e die IT Ressourcen w Weitere Informationen zur Beschreibung der Umgebung finden Sie im Handbuch HOPEX Solutions Common Features die Benutzer und Zuweisung der R
72. ine Person wird mit ihrem Namen und ihrer E Mail Adresse definiert Um auf MEGA zuzugreifen kann eine Person auf das Produkt zugreifen sobald sie eine ID Login zur Verbindung erhalten hat Auch eine oder mehrere Gesch ftsrollen k nnen der Person zugewiesen werden Diese Personenliste kann zum Beispiel von einem LDAP Server stammen Ein Produkt stellt einen oder mehrere Artikel Objekte Produkte oder Dienstleistungen als Ergebnis einer Aktivit t in der Landwirtschaft der Industrie oder des Dienstleistungsbereichs dar die von einem Unternehmen angeboten werden Ein Profil definiert was eine Person sehen bzw in den Tools machen darf oder nicht und wie er es sieht und machen darf In einem Profil werden die Optionen die Zugriffsrechte f r Repositorys und Produkte und die Rechte f r den Schreibschutz bzw zum Einlesen der Objekte definiert Alle Benutzer mit demselben Profil haben dieselben Optionen und Rechte Ein Prozess ist eine Wertekette die einem internen oder externen Kunden G ter oder Services bereitstellt Diese Wertekette wird durch eine Folge von Aktivit tsumwandlungen beschrieben Sie wird von den Abl ufen implementiert Eine Redundanz der Kontrollen formalisiert die Tatsache dass sich mehrere Kontrollen wiederholen Zum Beispiel weil sie nacheinander eingerichtet wurden um ein Risiko im Rahmen unterschiedlicher Vorschriften zu decken Ein Restrisiko ist ein Risiko das f r ein Unternehmen besteht wenn das
73. iterium der Risiken Nicht obligatorisch Enddatum Datum Auswahlkriterium der Risiken auf das aktuelle Datum festgelegt Vererbter Risikotyp Entit t Stamm der in Spalten aufgef hrten Kontext Prozess oder Ziel Objekte Obligatorisch Zu verteilende Risiken Liste der Risiken ab einer Auswahl mit einem Risikotyp einer Entit t einem Prozess oder einem Ziel Auswahlkriterium der Risiken Obligatorisch w Die zu verteilenden Risiken k nnen auch definiert werden wenn Sie eine der folgenden Registerkarten ausw hlen Risiken verbinden Nach Entit t verbinden Nach Prozess verbinden Nach Risikotyp verbinden oder Nach Ziel verbinden Beispiel eines Berichts Im folgenden Beispiel werden di einer Risikoliste und einer List Verbindungen zwischen der Unterentit ten der MEGA ERM Stammentit t angezeigt wurde fin Logistics fin Marketing fin Regional Department Department Headquaters A Application Hack amp Change risks Contractual risks A Counterparty risks Cut off Default of payment 4 Lack of anticipation Identifizierung der Risiken Die Berichte MEGA ERM Die Berichte ber die Identifizierung die im vererbten Kontext angegeben fin Purchasing fl Finance ll Customer amp Legal Department Satisfaction Department v v v v lt Dieser Bericht f hrt die Aufteilung der Risiken auf mehrere Achsen auf nach Prozess nach Risikotyp nach Entit t und nach Zie
74. ktop gt Meine Verantwortungsbereiche gt Meine Bewertungsfrageb gen Die Liste der ausgef llten Frageb gen wird angezeigt Der Status des Workflows hat nun den Wert Freizugeben angenommen 2 W hlen Sie den betroffenen Fragebogen aus und klicken Sie auf die Schaltfl che Frageb gen anzeigen Der Inhalt des Fragebogens wird in einer neuen Registerkarte angezeigt Sie k nnen die Antworten freigeben wenn der Fragebogen Ihrer Meinung nach richtig ausgef llt wurde Der Fragebogen wird geschlossen und die Ergebnisse werden automatisch berechnet f r den Fragebogen die berarbeitung beantragen Der Beantworter erh lt eine Nachricht mit der Mitteilung dass er den Fragebogen erneut ausf llen muss MEGA ERM Bewertungen mit MEGA ERM Bewertungssitzung verwalten Erstellung eines Aktionsplans hervorrufen Wenn sich aus den Antworten eines Fragebogens ergibt dass der Wert Nettorisiko f r ein in einem bestimmten Kontext bewertetes Risiko Erh ht oder Sehr hoch ist wird automatisch ein Aktionsplan mit folgenden Merkmalen erstellt Name Proposed action plan for Risk Rx Eigent mer Eigent mer des bewerteten Risikos Kommentare wird automatisch mit folgenden Informationen eingegeben Datum Name der Kampagne und der Sitzung Name des Beantworters Name der Entit t die den Kontext definiert Name des Prozesses der den Kontext definiert Der Abschnitt Umfang wird automatisch mit den Elementen aktualisiert die den Bewer
75. ktur eines Unternehmens dar wie beispielsweise eine Direktion eine Abteilung oder einen Arbeitsplatz Sie wird auf einer mehr oder weniger genauen Ebene definiert je nachdem wie pr zise die Angaben ber die Organisation sein m ssen siehe Organisationseinheitstyp Beispiel Finanzdirektion Vertrieb Marketingabteilung Vertriebsmitarbeiter Eine externe Entit t stellt eine Einrichtung dar die Fl sse mit dem Unternehmen austauscht Beispiel Kunde Lieferant Administration Eine Gesch ftssparte ist eine hohe Klassierungsebene der wichtigsten Gesch ftst tigkeiten eines Unternehmens Sie entspricht zum Beispiel gro en Produktsegmenten oder Distributionskan len Sie erm glicht Prozesse eines Unternehmens organisatorische Einheiten oder Anwendungen f r ein bestimmtes Produkt und oder einen bestimmten Markt zu klassieren Regelwerke bestimmter Industrien schreiben ihre eigene Liste von Gesch ftssparten vor Diese Komponenten werden in Form einer Baumstruktur aufgef hrt F r den Zugriff gehen Sie wie folgt vor Wahlen Sie Umgebung gt Organisation gt Hierarchische Ansichten aus Umgebung der Vorschriften beschreiben Die Vorschriften Die zu ber cksichtigenden Vorschriften k nnen finanzieller SOX LSF usw und sektorieller Basel II Solvency II Seveso II usw Art sein sich auf den Personenschutz beziehen usw Eine Vorschrift oder eine interne Regelung stellt mehrere Richtlinien mit oder ohne Bedingungen
76. l Berichtparameter Hier werden die Risiken ausgew hlt die aufgef hrt werden Dabei werden die Elemente angegeben die den Umfang der Risiken festlegen Risikotypen Entit ten Prozesse oder Ziele Parameter Parametertyp Einschr nkungen Anfangsdatum Datum Auswahlkriterium der Risiken Nicht obligatorisch Enddatum Datum Auswahlkriterium der Risiken auf das aktuelle Datum festgelegt Risikotypen des Risikotyp Auswahlkriterium der Risiken Nicht Umfangs obligatorisch Entit ten des Entit t Auswahlkriterium der Risiken Nicht Umfangs obligatorisch Prozess des Prozesse Auswahlkriterium der Risiken Nicht Umfangs obligatorisch Ziele des Ziele Auswahlkriterium der Risiken Nicht Umfangs obligatorisch 83 84 Beispiel eines Berichts Im oberen Teil des Berichts wird die Aufteilung der Risiken nach folgenden Kriterien aufgef hrt e Aufteilung der Risiken nach Prozessen e Aufteilung der Risiken nach Risikotypen e Aufteilung der Risiken nach Entit ten e Aufteilung der Risiken nach Zielen Risks per Sub process Risks per Risk Type 10 O Not O Not Evaluated 1 5 Evaluated 0 B Evaluated 28 E Evaluated 11 0 2 EN Sa S Z Ki S x Z d Ke E S P Risks per Org unit Risks per Objective 10 O Not o Not Evalusted D 5 Evaluated 0 E Evaluated 10 E Evaluated 10 i 7 Ei E E e 2 S G ZS Za S Fa Z PZ Z A 4 ge Z Im unteren Teil
77. l ein Bewertungsfragebogen gesendet werden in dem die Fragen gezielt an die Bewerter gerichtet werden Eine Bewertungsvorlage dient als Vorlage zur Erstellung von Bewertungskampagnen und sitzungen Die Bewertungsvorlage legt den Umfang der Bewertung fest sowie die zu verwendende Fragebogenvorlage und eventuell die Aggregationsschemen die f r die Auslegung der globalen Ergebnisse verwendet werden Ein Bruttorisiko bezeichnet ein Risiko f r ein Unternehmen wenn keine Ma nahmen getroffen werden die Wahrscheinlichkeit oder Auswirkung dieses Risikos zu ndern Eine Datenbank erm glicht die logische oder physische Speicherungsstruktur der Daten anzugeben Eine Empfehlung beschreibt was zur Behebung von nicht konformen Fakten durchgef hrt werden muss die w hrend eines Audits festgestellt wurden MEGA ERM Entit t Ereignis Fragebogen Fragebogenvorla ge Gesch ftsprozess Gesch ftsrollen Eine Entit t kann unternehmensintern oder extern sein Eine Entit t stellt ein Element der Struktur eines Unternehmens dar wie beispielsweise eine Direktion eine Abteilung oder einen Arbeitsplatz Sie wird auf einer mehr oder weniger genauen Ebene definiert je nachdem wie pr zise die Angaben ber die Organisation sein m ssen siehe Organisationseinheitstyp Beispiel Finanzdirektion Vertrieb Marketingabteilung Vertriebsmitarbeiter Eine externe Entit t stellt eine Einrichtung dar die Fl sse mit dem Unternehmen
78. llen aus Dieser Vorgang kann einige Minuten in Anspruch nehmen MEGA ERM Bewertungen mit MEGA ERM Bewertungssitzung verwalten Um auf die Liste der berechneten Bewertungsknoten zuzugreifen gehen Sie wie folgt vor ffnen Sie das Eigenschaftsfenster der Bewertungssitzung und klicken Sie auf die Registerkarte Effektiver Umfang Nun wird die Liste der berechneten Knoten angezeigt In dieser Liste k nnen Sie e Knoten l schen e den f r einen Knoten festgelegten Beantworter ndern Bewertungssitzung freigeben Bei diesem Schritt k nnen Sie die Frageb gen generieren ohne sie an die Empf nger zu senden In einem Fragebogen wird eine Liste von vordefinierten Fragen aufgef hrt die f r einen Ereignistyp eine Kontrolle ein Dokument usw gelten k nnen Um eine Bewertungssitzung freizugeben gehen Sie wie folgt vor 1 ffnen Sie das Eigenschaftsfenster der Kampagne und klicken Sie auf die Registerkarte Sitzung 2 Klicken Sie im Abschnitt Bewertungssitzung mit der rechten Maustaste auf die betroffene Sitzung und w hlen Sie den Befehl Freigeben aus Alle Frageb gen werden mit dem Status Zu senden erstellt Dieser Vorgang kann einige Minuten in Anspruch nehmen Um auf die Liste der generierten Frageb gen zuzugreifen gehen Sie wie folgt vor 1 ffnen Sie das Eigenschaftsfenster der Sitzung und klicken Sie auf die Registerkarte Frageb gen Nun erscheint eine Liste der Beantworter 2 W hlen Sie einen Beantworter aus u
79. m mit einem der MetaAttributs zum Beispiel Metaclasse Risiko MetaAttribut Wahrscheinlichkeit SR von Risiken die durch Kontrollen Bewertung nur von Risiken 7 gemindert werden Nach Entit t Auswirkung F r die Risiken Nach Prozess Wahrscheinlichkeit Auswirkung Bruttorisiko Wahrscheinlichkeit Design der Kontrollen Bruttorisiko Wirksamkeit der Kontrollen Nettorisiko Kontrollebene F r die Kontrollen Design der Kontrolle Kontrollwirksamkeit Kontrollebene Die bewerteten Objekte Die Objekte sind Risiken und Kontrollen e Die Liste der Risiken wird abh ngig des Bewertungsgegenstands erstellt Entit t oder Prozess e Die Liste der Kontrollen wird von der Liste der Risiken abgeleitet MEGA ERM Bewertungen mit MEGA ERM Bewertung nach Frageb gen Bewertung Nach Entit t von Risiken die durch Kontrollen Di Sau ale gemindert werden Die Liste der zu bewertenden Risiken setzt sich aus allen Risiken bei der Entit t Objekt der Bewertung und ihren Unterentit ten zusammen Die Liste der zu bewertenden Kontrollen setzt sich aus den Kontrollen der zu bewertenden Risiken zusammen Nach Prozess Die Liste der zu bewertenden Risiken setzt sich aus allen Risiken beim Prozess Objekt der Bewertung und seinen Unterprozessen zusammen Die Liste der zu bewertenden Kontrollen setzt sich aus den Kontrollen der zu bewertenden Risiken zusammen Der Bewertung
80. n nach der Bewertung einfacher analysieren lassen Zugriff auf die Ergebnisse der Risikobewertung Die Ergebnisse der Risikobewertung k nnen in angepassten Berichten aufgef hrt werden mit denen sich die bewerteten Risiken einfacher analysieren lassen e Die Aggregationen Seite 87 e Effizienz des Risikomanagements Seite 95 e Trendanalyse Seite 96 Die Kreuztabelle der direkten Bewertung ist ein einfaches Mittel die Bewertungsergebnisse spezieller Risiken aufzurufen Zugriff auf die Kreuztabelle einer direkten Bewertung der Risiken Um auf die Kreuztabelle einer direkten Bewertung der Risiken zuzugreifen gehen Sie wie folgt vor 1 Klicken Sie auf den Befehl Risiko gt Risikobibliothek gt Direkte Bewertung gt Mehrfachbewertungstabelle In der Bearbeitungszone wird eine leere Tabelle angezeigt 2 Klicken Sie auf den Befehl Zu bewertende Risiken verbinden Die Liste der Risiken wird in einem neuen Fenster aufgef hrt MEGA ERM Bewertungen mit MEGA ERM Direkte Bewertung der Risiken W hlen Sie die gew nschten Risiken aus und klicken Sie auf Verbinden Die ausgew hlten Risiken werden in der Bearbeitungszone in Zeilen angezeigt Die Ma e der letzten Risikomessung werden in Spalten angezeigt Risk Multiple Evaluation e Connect risks to be evaluated a Disconnect S Validate Evaluation Properties Local name Application Hack Change risks Contractual risks Counterparty risks Cut off Default of payment
81. n ra a ra ar bee 34 Verantwortungsbereich eines Risikos festlegen 2 0 a 35 Prozess der Erstellung eines Risikos 1 22 22 aaa nn 35 Risiko erstellen eine PE aR ESS Le eR eR Re BE a ae Eo 35 Risiko QUpIizieren to daa ik eg an Pe a a NN Ee ea e Ok AE TE os e eier A 36 RisiK freigeben zu 2 0 EE ee Rd Ee Back wk und ts Gt Se 36 Risiken organisieren E 37 Auf Risiken ab Kontext zugreifen 37 Risiken kontextualisieren 22 2 2a u 000 aan na ann nn 37 Listen f r die Kontextualisierung eines Risikos verwenden 38 Baumstrukturen f r die Kontextualisierung eines Risikos verwenden 38 Kreuztabelle f r die Kontextualisierung eines Risikos verwenden 38 berwachung der Kontrollpolitik anne 41 Kontrollen verwalten 2 munuu nn nn nn a a a nn 42 Zugriff auf die Kontrollen 42 Objekte der K ntr lle orca measg za Bad mu ae na Een Raa ae nu 42 Kontrolle analysieren 2 2 0a a 000 0a ee 44 MEGA ERM Verantwortungsbereiche von Kontrollen festlegen 44 Kontrolle erstellen 22mm uuu nn nn nn nn nn 45 Kontrolle erstellen u raner cae a ek rpg ana ana Heer 45 Kontrolle freigeben e eae gee ba a ra ee EEN ne E 45 Bewertungen mit MEGA ERM EE nn nn 47 Direkte Bewertung der Risiken unnun nm u nn nn ee 48 Zugriff auf die Ergebnisse der Risikobewertung 22cm a 48 Zugriff auf die Risikomessungen 49 Risikomessung erstellen EEN eee 50 Kreuztabelle der direkten Bewertung verwenden 51 Be
82. nd klicken Sie auf die Schaltfl che Frageb gen anzeigen Im Fenster wird die Liste der Fragen angezeigt die an den Beantworter gesendet werden In einem Fragebogen wird eine Liste von vordefinierten Fragen aufgef hrt die f r einen Ereignistyp eine Kontrolle ein Dokument usw gelten k nnen Bewertungssitzung starten Um die Sitzung zu starten gehen Sie wie folgt vor 1 Klicken Sie auf Risiko gt Kampagnenmanagement gt Leitung der Kampagnen gt Ausf hrung gt Kampagnen Die Liste der Kampagnen wird in der Bearbeitungszone angezeigt 2 W hlen Sie die Kampagne in der Liste aus und ffnen Sie das Eigenschaftsfenster der Kampagne 3 Klicken Sie im Abschnitt Sitzung mit der rechten Maustaste auf die betroffene Sitzung und w hlen Sie den Befehl Aktivieren aus Daraufhin wird das Fenster zum Aktivieren der Sitzung ge ffnet 65 66 4 Klicken Sie auf OK Die Bewertungsfrageb gen werden an die Empf nger gesendet Sie k nnen die Sitzung ggf jederzeit abbrechen Fortschritt der Sitzung verfolgen Ergebnis der Sitzung aufrufen Um den Fortschritt einer Bewertungssitzung aufzurufen gehen Sie wie folgt vor ffnen Sie die Eigenschaftsseite der Bewertungssitzung und klicken Sie auf die Registerkarte Bericht Bewertungsfrageb gen freigeben Um auf die Liste der Frageb gen zuzugreifen die von den Beantwortern ausgef llt wurden gehen Sie wie folgt vor 1 Klicken Sie auf Risiko gt Home gt Mein Des
83. nes Prozesses oder eines Arbeitsschritts Mit einem Ziel k nnen die Punkte hervorgehoben werden die f r diesen Prozess oder diesen Arbeitsschritt verbessert werden sollen Eine Anforderung ist ein explizit ausgedr ckter Bedarf oder eine Erwartung die wie eine Einschr nkung vorgeschrieben und im Rahmen eines Zertifikations Organisations oder Modifikationsprojekts f r das Informationssystem des Unternehmens erf llt werden muss Risiko analysieren Mit einer Risikoanalyse soll das Risiko gut verstanden werden In der Risikoanalyse m ssen die Risikoquellen sowie die positiven und negativen Folgen bzw Konsequenzen dieses Risikos ber cksichtigt werden Bei einer Analyse werden Ursachen Ereignistypen Risikofaktoren und Folgen mit einem Risiko verbunden Um ein Risiko zu analysieren gehen Sie wie folgt vor 1 W hlen Sie ein Risiko aus und ffnen Sie die Eigenschaftsseite des Risikos 2 Klappen Sie in der Registerkarte Merkmale auf der Seite des Risikos den Abschnitt Analyse auf Ein Risiko zeichnet sich wie folgt aus e durch Risikotypen Weitere Informationen finden Sie unter Die Risikotypen Seite 33 Ein Risikotyp definiert die Typologie eines normalisierten Risikos im Rahmen einer Organisation e durch Risikofaktoren Weitere Informationen finden Sie unter Risikofaktoren Seite 34 Ein Risikofaktor ist ein Element das zum Auftreten eines Risikos beitr gt oder ein Risiko ausl st F r verschiedene Risiken kann ein
84. nsetzen Es ist wichtig einen Risikotyp so zu definieren dass er sich identifizieren messen und verwalten l sst Ebenso muss die Anzahl der verschiedenen Risikostufen begrenzt werden um eine n tzliche Nomenklatur zu erhalten Mit der Freigabe der Nomenklatur muss sichergestellt werden dass ein Risikotyp der in zwei verschiedenen Entit ten oder Aktivit ten definiert wurde dieselbe Definition und dieselbe Bedeutung hat um ein koh rentes System zu erhalten Da dieses System ebenfalls den Vorschriften gen gen muss muss eine zweite Nomenklatur definiert werden um die deklarativen Aspekte zu ber cksichtigen und um dem Informationsaustausch mit den Kontrollsystemen zu gen gen Beispielsweise wurden im Bankenbereich die Risikotypen im Rahmen der Empfehlungen von Basel II definiert Weiter Informationen finden Sie unter http www bis org bcbs Um eigene Risikotypen zu erstellen gehen Sie wie folgt vor 1 W hlen Sie im Navigationsfenster Umgebung gt Risikouniversum gt Risiken gt Risikotypen aus 2 Klicken Sie im Kontextmen des Ordners Risikotyp auf den Befehl Neu 3 Geben Sie den Namen des Risikotyps ein und klicken Sie auf OK In der Baumstruktur des Navigators wird der neue Risikotyp angezeigt we Auf gleiche Weise k nnen Sie ab einem Risikotyp einen Risikountertyp erstellen Risikofaktoren Viele Risikofaktoren werden im Rahmen internationaler nationaler Bestimmungen Vorschriften innerhalb verschied
85. nter Kontrolle gehalten werden k nnen sowie interne Betriebsregeln angewendet Gesetze oder Vorschriften eingehalten oder strategische Ziele des Unternehmens erreicht werden k nnen Dieses Kontrollsystem entspricht der Umsetzung einer Vorschrift in einem der Gesch ftsbereiche des Unternehmens wie beispielsweise die Anwendung einer Finanzpolitik im Unternehmen im Bereich Einkauf Um auf die Kontrolltypen zuzugreifen gehen Sie wie folgt vor W hlen Sie Risiko gt Risikobibliothek gt Risiken gt Kategorien gt Kontrolltypen aus Es wird eine Liste der Kontrolltypen angezeigt Verantwortungsbereiche von Kontrollen festlegen Sie k nnen den oder die Verantwortlichen f r die Umsetzung der Kontrolle im Abschnitt RACI angeben w Weitere Informationen zur Verwaltung der Verantwortung im Rahmen von RACI finden Sie im Handbuch HOPEX Solutions Common Features 44 MEGA ERM berwachung der Kontrollpolitik Kontrolle erstellen KONTROLLE ERSTELLEN Der Prozess der Erstellung einer Kontrolle wird von einem Workflow verwaltet Nur bestimmte Profile d rfen eine Kontrolle erstellen einreichen freigeben oder zur ckweisen w Weitere Informationen zum Workflow beim Erstellen eines Risikos und zu den entsprechenden Benachrichtigungen finden Sie unter Workflow einer Kontrolle Seite 106 Kontrolle erstellen Nur Risikomanager und funktionale Administratoren d rfen Kontrollen erstellen Um eine Kontrolle zu erstellen gehen
86. ollen Er kann einwirken auf Risikomanager die ermittelten Risiken die Bewertungskampagnen die Aktionspl ne und Aktionen Um sich an ein zentrales oder dezentrales Risikomanagement anzupassen unterscheidet MEGA ERM zwischen einem Risikomanager und lokalen Risikomanagern Der Risk Manager ist f r die Ausf hrung folgender Aufgaben im Zusammenhang mit den Risiken in seinem Verantwortungsbereich zust ndig 12 Risikoidentifizierung Direkte Bewertung Management von Bewertungskampagnen Definition von Aktionspl nen Erstellen und Aktualisierung von Analyseberichten und Berichten von Folgema nahmen MEGA ERM Einleitung Die Benutzerrollen Branchenspezifischer Benutzer der L sung Der Endbenutzer der L sung ist f r die Identifizierung und Charakterisierung der Risiken und Kontrollen in seinem Wirkungskreis zust ndig Er kann die Umsetzung der Aktionspl ne f r diese Risiken vorschlagen Der branchenspezifische Benutzer ist f r folgende Aufgaben zust ndig e Risikoidentifizierung e Beantwortung der Fragen der Frageb gen e Festlegung und Umsetzung der Aktionspl ne e Aufrufen und Erstellen von Berichten Risikobewerter Der Risikoexperte ist f r die Bewertung der Risiken in seinem Wirkungskreis zust ndig Er ist ebenfalls f r die Umsetzung der Aktionspl ne f r diese Risiken zust ndig Er ist f r folgende Aufgaben verantwortlich e Beantwortung der Fragen der Frageb gen e Ausf hrung der Aktionen eines Aktionspl
87. on Ei Standardm ig werden drei Typen von Aggregationsberichten angeboten e Aggregation der Risiken nach Entitaten e Aggregation der Risiken nach Prozessen e Aggregation der Risiken nach Risikotypen w Weitere Informationen zur Bewertung von Risiken finden Sie unter Bewertungen mit MEGA ERM Seite 47 Berichtparameter Hier werden die Eingabedaten des Berichts definiert Parametertyp Einschr nkungen Anfangsdatum Datum Auswahlkriterium der Risiken Nicht obligatorisch MEGA ERM Die Berichte MEGA ERM Die Aggregationen Parameter Parametertyp Einschr nkungen Enddatum Datum Auswahlkriterium der Risiken auf das aktuelle Datum festgelegt Stammobjekt Je nach Berichttyp kann Im Bericht in Zeilen angezeigte es sich beim Stammobjekte Obligatorisch Stammobjekt um eine Entit t einen Prozess oder einen Risikotyp handeln Bewertete Bewertungsmerkmale Liste der Ma e die im Bericht in Merkmale Spalten angezeigt werden Obligatorisch Beispiel eines Berichts MM Corporate Headquater 3 D i i D I Logistics Department i D fl Marketing Department m Catalog Manager MM Designer Im folgenden Beispiel werden die aggregierten Werte der g p ggreg Risiken bei Entit ten aufgef hrt S ERM Avg GERM Avg serm GERM PERM Max ERM Max Impact Likelihood Impact Likelihood Impact Likelihood Low B Possible L Medium E Likely B Very Low Rare 2 Medium D Likely 3 Low Poss
88. onen zu dem neuen Risiko eingeben muss bevor er das Risiko zur Freigabe einreicht Risiko duplizieren Wenn ein Risiko dupliziert wird k nnen alle Eigenschaften eines existierenden Risikos kopiert werden Um ein Risiko zu duplizieren gehen Sie wie folgt vor Klicken Sie auf das zu duplizierende Risiko und klicken Sie w hlen Sie den Befehl Duplizieren aus In der Liste der Risiken wird ein neues Risiko mit demselben Namen wie das urspr ngliche Risiko aufgef hrt Das duplizierte Risiko ist mit dem urspr nglichen Risiko identisch Alle Merkmale und Verbindungen zu den anderen Objekten im Repository sind identisch Die Aktionspl ne wurden dupliziert Nur eventuelle Bewertungsma nahmen f r das Risiko wurden nicht dupliziert Risiko freigeben Schritte des Freigabeprozesses eines neuen Risikos e Nachdem er die Merkmale eines neuen Risikos angegeben hat kann der Ersteller eines Risikos der ebenfalls der Eigent mer ist e das Risiko einreichen Der Risikomanager erh lt per E Mail eine Benachrichtigung Das neue Risiko wird mit dem Status Eingereicht aufgef hrt e Wenn das Risiko vom Eigent mer eingereicht wird kann der Risikomanager e das Risiko freigeben Das Risiko bernimmt den Status Freigegeben Der Benutzer Eigent mer erh lt per E Mail eine Benachrichtigung e das Risiko zur ckweisen In diesem Fall bernimmt das Risiko den Status Zur ckgewiesen wird aber nicht gel scht MEGA ERM Risiken ver
89. r Liste verwenden e eine Darstellung in Form einer Baumstruktur verwenden e eine Darstellung in Form einer Kreuztabelle verwenden Listen f r die Kontextualisierung eines Risikos verwenden Um eine Liste der Risiken mit einem Objekt zu verbinden gehen Sie wie folgt vor 1 W hlen Sie Risiko gt Risikobibliothek gt Kontextualisierung gt Listenansicht aus Die Liste der Risiken wird links neben der Bearbeitungszone angezeigt die Baumstrukturen der Kontextualisierung rechts 2 W hlen Sie einen Bereich von Objekttypen aus zum Beispiel Risiken nach Entit ten und klappen Sie die Baumstruktur auf bis die Entit t angezeigt wird die f r Sie von Interesse ist 3 W hlen Sie im linken Teil der Bearbeitungszone die relevanten Risiken aus 4 Halten Sie die rechte Maustaste gedr ckt und verschieben Sie die ausgew hlten Risiken unter die Entit t mit der sie verbunden werden sollen Die Liste der ausgew hlten Risiken wird rechts unter der gew hlten Entit t angezeigt Baumstrukturen f r die Kontextualisierung eines Risikos verwenden Mit den Baumstrukturen f r die Kontextualisierung k nnen Sie eine gewisse Koh renz zwischen den Risiken sicherstellen die mit verschiedenen Objekttypen verbunden sind Sie k nnen zum Beispiel Risiken bei einem organisatorischen Prozess mit der Entit t verbinden die f r die Umsetzung dieses Prozesses verantwortlich ist 1 W hlen Sie Risiko gt Risikobibliothek gt Kontextualisierung gt
90. r wird die Liste der Fragebogenvorlagen f r jede Bewertungsvorlage angezeigt der standardm ig angeboten wird MEGA ERM Bewertungen mit MEGA ERM Bewertung nach Frageb gen Diese Fragebogenvorlagen beziehen sich auf e die Bewertung nur von Risiken ab folgenden Merkmalen e Auswirkung bezeichnet die Auswirkung des Risikos wenn es eintritt e Wahrscheinlichkeit bezeichnet die Wahrscheinlichkeit dass das Risiko eintritt e Design der Kontrollen bezeichnet die Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden e Wirksamkeit der Kontrollen bezeichnet die Effizienz der eingeleiteten Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden sollen e die Bewertung der Risiken die mit Kontrollen verbunden sind ab folgenden Merkmalen e Auswirkung bezeichnet die Auswirkung des Risikos wenn es eintritt e Wahrscheinlichkeit bezeichnet die Wahrscheinlichkeit dass das Risiko eintritt e die Bewertung von Kontrollen ab folgenden Merkmalen e Design der Kontrolle bezeichnet die Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden e Kontrollwirksamkeit bezeichnet die Effizienz der eingeleiteten Aktionen mit denen der Eintritt eines Risikos oder seine Folgen reduziert werden sollen Details der Bewertungsvorlagen von MEGA ERM Eine Bewertungsvorlage dient als Vorlage zur Erstellung von Bewertungskampagnen und sitzungen Die
91. re reassignment request has been approved Comment Comment This e mail has been sent automatically by MEGA HOPEX 115 Anforderung einer Delegation Von Beantworter An Delegierter Beantworter Gegenstand End of delegation Parent Session Name Inhalt Dear Sir Madam A questionnaire from Risk Management has been delegated ti you by Respondent s Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Akzeptierte Anforderung einer Delegation Von Delegierter Beantworter An Beantworter Gegenstand End of delegation Parent Session Name Inhalt Dear Sir Madam The questionnaire you have delegated to Delegate Name has been answered Please analyze the answers and send to the Risk Management department To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Fragebogen einreichen Von Beantworter An Ersteller Gegenstand Questionnaire to be validated Parent Session Name Inhalt Please validate the questionnaire submitted by Respondent s Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX 116 MEGA ERM Anhang Workflow von MEGA ERM Freigegebener Fragebogen Workflow eines Fragebog
92. reifen gehen Sie wie folgt vor W hlen Sie in einer Liste der Risiken ein Risiko aus und klicken Sie auf die Schaltfl che Eigenschaften Das Eigenschaftsfenster des Risikos wird in der Bearbeitungszone angezeigt 31 Im Abschnitt Merkmale k nnen Sie angeben e den Identifizierungscode des Risikos den Namen des Risikos die hohe Risikostufe wenn Sie das K stchen Hauptrisiko markieren den Eigent mer des Risikos den Identifizierungsmodus des Risikos Das Risiko kann identifiziert werden durch Frageb gen ein Ereignis Repository einen Workshop eine Expertise durch einen unternehmensinternen oder externen Experten einen Workshop eine Stichprobe ein Audit e die Beschreibung des Risikos we Der Status des Risikos wird abgeblendet angezeigt weil er vom Workflow des Risikos verwaltet wird Weitere Informationen finden Sie unter Prozess der Erstellung eines Risikos Seite 35 Der Umfang eines Risikos Mit dem Umfang eines Risikos kann die Lokalisierung eines Risikos im Unternehmen bestimmt werden we Die Organisation wird ausf hrlich im Handbuch HOPEX SolutionsCommon Features beschrieben Der Umfang wird bei mehreren Komponententypen angegeben 32 Entit ten die vom Risiko betroffen sind Eine Entit t kann unternehmensintern oder extern sein Eine Entit t stellt ein Element der Struktur eines Unternehmens dar wie beispielsweise eine Direktion eine Abteilung oder einen Arbeitsplatz S
93. rogress lose Children Actions A ction Plan Mail close action plan Approver Closed MEGA ERM Anhang Workflow von MEGA ERM Workflow eines Aktionsplans E Mails im Workflow eines Aktionsplans Freizugebender Aktionsplan Von Ersteller An Freigabeverantwortlicher Gegenstand Action plan to be validated Current Action plan Name Inhalt Please validate the action plan submitted by Action Plan Creator Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Freigegebener Aktionsplan Von Freigabeverantwortlicher An Ersteller Gegenstand Action plan validated Current Action plan Name Inhalt Dear Sir Madam The action plan Action Plan Name has been validated Thank you for your collaboration Comment Comment This e mail has been sent automatically by MEGA HOPEX Begonnener Aktionsplan Von Freigabeverantwortlicher An Rechenschaftspflichtiger Gegenstand Action plan started Current Action plan Name Inhalt Dear Sir Madam The following action plan has been assigned to you Action Plan Name To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX 109 Zu schlie ender Aktionsplan Von Rechenschaftspflichtiger An Freigabeverantwortlicher Gegenstand A
94. se from unathorized providers Supplier financial health Risk of non payment Small but innovating suppliers not taking into account Fraud unregistered call for tender Lack of anticipation Wrong or unprecise definition of needs Insufficient budget Inputation on wrong budget lines Purchase of unauthorized material Non optimal cost negociation Non compliance with legal context ERM Avg Net Risk 2013 95 TRENDANALYSE Trendanalyse In diesem Bericht wird die Entwicklung des Nettorisikos der letzten drei Jahre sowie des kommenden Jahrs aufgef hrt Dazu werden der Durchschnittswert und der maximale Wert des Nettorisikos verwendet wm Weitere Informationen zur Verwendung der Risikobewertung finden Sie unter Bewertungen mit MEGA ERM Seite 47 Berichtparameter Hier wird der Kontext der aufgef hrten Risiken definiert Parametertyp Einschr nkungen Kontext des Risikotyp Entit t Auswahlkriterium der in Zeilen Berichts Prozess oder Ziele angezeigten Risiken Nicht obligatorisch Beispiel eines Berichts Net Risk ERM Avg Net Risk ERM Avg Net Risk ERM Avg Net Risk ERM Avg Net Risk Average Action Forecast Evolution plans 2014 vendency Ng budget No n wrong budget lines No f unauthorized material SS l cost negociation Ho iance with legal context Wo 96 MEGA ERM Aggregationssch ema Aktion Aktionsplan Anforderung Anwendung Arbeitsschritt GLOSSAR Ein Aggregationss
95. sfunktion zugreifen Profil Funktionaler Administrator Aktion Rollen Personen im Unternehmen zuweisen Organisation definieren Entit ten Prozesse usw Beantworter festlegen die die Bewerter der Risiken f r jede Entit t sind Men Umgebung Administration Risikomanager Bewertungskampagnen erstellen Bewertungssitzungen erstellen Bewertungssitzungen verfolgen Risiko gt Kampagnenmanagement Risikobewerter Fragebogen akzeptieren oder ablehnen Fragebogen beantworten Risiko gt Home gt Mein Desktop gt Meine Verantwortungsbereiche gt Meine Bewertungsfrageb gen Die Bewertungsvorlagen von MEGA ERM Bevor Sie eine Bewertungssitzung erstellen m ssen Sie zuvor eine Bewertungskampagne und den Umfang der Kampagne erstellen Der Umfang einer Bewertungssitzung wird mit folgenden Angaben definiert e Die Liste der zu bewertenden Objekte mit den jeweils zu bewertenden Merkmalen e Der Bewertungskontext welche Entit ten welche Prozesse usw e Die Profile der befragten Personen e Die Bewertungsperiode Dieser Umfang wird auf der Ebene einer Bewertungskampagne mit einer Bewertungsvorlage generisch definiert Eine Bewertungsvorlage dient als Vorlage zur Erstellung von Bewertungskampagnen und sitzungen Die Bewertungsvorlage legt den Umfang der Bewertung fest sowie die zu verwendende Fragebogenvorlage und eventuell die Aggregationsschemen die f r
96. skontext Der Bewertungskontext wird mit dem Umfang der zu bewertenden Risiken beschrieben Bei den Bewertungsvorlagen in MEGA ERM wird dieser Umfang mit den Entit ten und Prozessen beschrieben die f r die Sitzung als Parameter angegeben wurden Die Beantworter Bei den Bewertungsvorlagen in MEGA ERM sind Beantworter Personen die f r die Entit t als Risikobewerter definiert wurden w Weitere Informationen zu den Merkmalen der Entit ten einer Organisation finden Sie unter Organisation definieren Seite 26 Die Frageb gen In einem Fragebogen wird eine Liste von vordefinierten Fragen aufgef hrt die f r einen Ereignistyp eine Kontrolle ein Dokument usw gelten k nnen w Weitere Informationen zu den Fragebogenvorlagen finden Sie unter Die Fragebogenvorlagen Seite 56 Die Frageb gen beziehen sich auf die zu bewertenden Merkmale aller Risiken oder Kontrollen die als Objekt der Bewertung festgelegt wurden Bewertung Nach Entit t Nach Prozess von Risiken die durch Kontrollen nur von Risiken A gemindert werden Auswirkung Fur die Risiken Wahrscheinlichkeit Auswirkung Design der Kontrollen Wahrscheinlichkeit Wirksamkeit der Kontrollen Fur die Kontrollen Design der Kontrolle Kontrollwirksamkeit 59 Das Aggregationsschema Mit den Bewertungsvorlagen in MEGA ERM st tzt sich jeder angegebene Bewertungswert auf einen Bewertungsknoten der den f r ein Merkmal eines
97. ss eine gesetzliche vorschriftsm ige oder interne Anforderung des Unternehmens erf llt wird Mit einem Kontrolltyp lassen sich die Kontrollen klassieren die im Unternehmen entsprechend des Standards bzw Normen der betreffenden Sektoren oder Vorschriften Reglementierungen Cobit usw implementiert sind Ein Lenkungsdatum ist ein Datum das in einem Lenkungskalender festgelegt wird und an dem der verantwortlichen Person eines Elements eine Erinnerung gesendet wird Ein Anfangsdatum ein Erinnerungsdatum oder ein Termin Enddatum Mit dem Lenkungskalender k nnen wiederholte Aktionen zu vordefinierten Terminen durchgef hrt werden Man kann den Kalender zum Beispiel verwenden um Erinnerungen an die Person zu senden die f r einen Aktionsplan verantwortlich ist damit sie den Fortschritt angibt der bei diesem Aktionsplan erzielt wurde Man kann einen Lenkungskalender auch verwenden um den Start von Bewertungssitzungen zu regelm igen Terminen auszul sen Ein Ma liefert mengenbezogene Angaben ber den Wert einer Gr e zum Beispiel die H he einer Risikopr vention MEGA ERM Organisatorische r Prozess Person Produkt Profil Prozesse Redundanz der Kontrollen Restrisiko Risiko Risiko und Kontrollsystem Ein organisatorischer Prozess beschreibt die Schritte die durchgef hrt werden m ssen um den Prozess zur Herstellung eines Produkts oder Flusses insgesamt oder teilweise umzusetzen E
98. st installiert Um auf die MEGA ERM spezifischen Funktionen zuzugreifen die in diesem Handbuch beschrieben werden m ssen Sie sicherstellen dass der Administrator folgende Prozeduren durchgef hrt hat Importe vorbereiten Die zu importierenden Dateien werden als komprimierte Dateien mitgeliefert die dekomprimiert werden m ssen bevor sie in ein Repository importiert werden Um die MEGA ERM spezifischen Dateien zu dekomprimieren gehen Sie wie folgt vor 1 ffnen Sie im Ordner in dem MEGA installiert wurde den Ordner Dienstprogramme und anschlie end den Ordner MEGA FrameWork 2 Doppelklicken Sie auf die Datei ERM exe 3 Klicken Sie in dem nun ge ffneten Dialogfenster auf Installieren Es werden zwei neue Verzeichnisse erstellt ERM Sample und ERM Technical Dateien zur Nutzung von MEGA ERM importieren Um MEGA ERM Spezifische Objekte zu importieren gehen Sie wie folgt vor 1 Starten Sie Administration exe und verbinden Sie sich mit einem Benutzer der ber die Administrationsberechtigung f r Daten verf gt w Mit der ID System k nnen Sie sich mit Administrator als Benutzer verbinden Dieser Benutzer wird standardm ig mit den Rechten zur Administration der Repositorys erstellt Er besitzt weder Profil er hatte alle Berechtigungen noch ein Kennwort das ihm bei der Installation zugewiesen wurde 2 W hlen Sie die Umgebung und anschlie end das Repository aus mit dem Sie arbeiten m chten 3 Klicken
99. t und akzeptiert wurden kann der Aktionsplan umgesetzt werden Vorgeschlagener Befehl f r den Ersteller Wenn er die Merkmale einer neuen Aktion angegeben hat kann der Eigent mer oder Freigabeverantwortliche des Aktionsplans folgenden Befehl verwenden e Entwurf In diesem Fall erh lt der Benutzer Verantwortliche eine Benachrichtigung Die neue Aktion hat dann den Status Entwurf Befehl der f r Entit ten vorgeschlagen wird die von einer Aktion mit dem Status Entwurf betroffen sind Wenn vom Benutzer eine Aktion vorgeschlagen wird k nnen der Eigent mer und der Freigabeverantwortliche des Aktionsplans und der Benutzer Verantwortlicher e die Aktion ffnen Die Aktion bernimmt den Status Ge ffnet Vorgeschlagene Befehle f r den Verantwortlichen einer Aktion Ge ffnet Nach berpr fung der M glichkeiten eine Aktion durchzuf hren kann der Benutzer Verantwortliche e die Aktion beenden Der Benutzer Eigent mer und der Freigabeverantwortlicher des Aktionsplans erh lt eine Benachrichtigung Befehle die dem Eigent mer und Freigabeverantwortlichen des Aktionsplans einer beendeteten Aktion vorgeschlagen werden Nach berpr fung der Merkmale der erstellten Aktion kann der der Eigent mer und der Freigabeverantwortliche des Aktionsplans e Schlie en In diesem Fall erh lt der Benutzer Verantwortlicher eine Benachrichtigung Die Aktion hat dann den Status Geschlossen e An Verantwortlich
100. tatus Attribut R Session KL end Email for Delegation Ending End Delegation pdating Questionnaire Status Attribyte amp Delegation Delegated Assessor Ask for Review Closed without validation Closed with validation Close Questionnaire 114 MEGA ERM Anhang Workflow von MEGA ERM Workflow eines Fragebogen Die E Mails im Workflow eines Fragebogens Auszuf lllender Fragebogen Von Ersteller An F r einen Fragebogen konsultiert Gegenstand Questionnaire to be completed Parent Session Name Inhalt Dear Sir Madam A questionnaire has been sent to you by the risk management depertment To enter the application and complete your questionnaire Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Neu zuzuweisender Fragebogen Von F r einen Fragebogen konsultiert An Rechenschaftspflichtiger einer Sitzung Gegenstand Questionnaire to be reassigned Parent Session Name Inhalt Respondent s Name has been requested that his her questionnaire be reassigned To enter the application and perform your task Click here Comment Comment This e mail has been sent automatically by MEGA HOPEX Demande de r assignation accept e Von Rechenschaftspflichtiger einer Sitzung An Fur einen Fragebogen konsultiert Gegenstand Questionnaire Transfer approved Parent Session Name Inhalt Dear Sir Madam A questionnai
101. te der Risiken zu erhalten die einen Sektor oder einen Histogrammbalken bilden klicken Sie auf den betreffenden Sektor bzw Histogrammbalken 91 92 Statistiken einer Sitzung In diesem Bericht wird die Aufteilung der Antworten einer Bewertungssitzung analysiert w Weitere Informationen zur Verwendung der Aktionspl ne finden Sie unter Bewertungssitzung verwalten Seite 62 Berichtparameter Hier wird die Sitzung ausgew hlt auf die sich die Analyse bezieht Parameter Parametertyp Einschr nkungen Kampagne Kampagne Obligatorisch Sitzung Sitzung Obligatorisch Beispiel eines Berichts Im folgenden Beispiel wird die Aufteilung der Antworten bei zwei Merkmalen einer Risikobewertung aufgef hrt Auswirkung und Periodizit t MEGA ERM Assessment Campaign W Risk Assessment 2013 Assessment Session ES onen Number of Assessed Objects 25 Number of Respondents 2 Effective Begin Date 06 02 2013 Effective End Date Number Ay ANon A Small of Unauthorized optimal Inputation put Wrong Answers spending cost on wrong innovating OF negociation budget suppliers unprecise lines not taking definition into of needs account 1 Be imp act 24 100 L 3 12 Medium L a 1 45 D Low i very 9 37 f Low 1 very High k a 1 4 DI High 24 100 Likelihood L 1 4 DI Likely Bee 8 33 DI Possible L 15 62 Rare l a b Certain iL a Probable Die Berichte MEGA ERM Die Uberw
102. tigkeiten m ssen definiert werden mit denen diese Risiken und ihre m glichen Folgen vermieden werden k nnen Diese Kontrollen m ssen formell festgelegt werden um Vorschriften zu erf llen wie beispielsweise das Gesetz Sarbanes Oxley oder die Empfehlungen von Basel II f r das Bankwesen Eine Kontrolle ist ein Mittel ein oder mehrere Risiken unter Kontrolle zu haben und sicherzustellen dass eine gesetzliche vorscnricemapige oder interne Anforderung des Unternehmens erf llt In MEGA ERM existieren verschiedene Objekttypen die mit Kontrollen verbunden sind e Objekttypen mit denen angegeben wird in welchem Rahmen diese Kontrolle eingerichtet wird Kontrolleinrichtung Kontrolltyp Anforderung oder verbundenes Risiko e Objekttypen mit denen die Mittel zur Umsetzung dieser Kontrolle angegeben werden organisatorischer Prozess Anwendung usw e Objekttypen mit denen die Verantwortungen bei der Umsetzung dieser Kontrolle angegeben werden Entit ten Benutzer Zugriff auf die Kontrollen Genauso wie die Risiken k nnen auch die Kontrollen die mit diesen Risiken verbunden sind sehr zahlreich sein Um die Verwaltung dieser Kontrollen besser zu handhaben bietet MEGA ERM mehrere M glichkeiten f r den Zugriff auf die Liste der Kontrollen e Entweder w hlen Sie Risiko gt Risikobibliothek gt Risiken gt Kontrollen gt Alle Kontrollen aus oder e Sie w hlen Risiko gt Bearbeitung gt Kontrollen gt Alle Kontrollen aus
103. tion ein 5 Geben Sie folgende Felder an e Priorit t um eine Stufe anzugeben Die Priorit t kann verschiedene Stufen haben niedrig mittel hoch oder kritisch e Verantwortlicher einer Aktion f r die Aktion verantwortlich so wie er vom Ersteller der Aktion bestimmt wurde e Entit tseigent mer mit der Abteilung als Eigent mer kann die Liste der Eigent mer der Aktion eingegrenzt werden 6 Geben Sie die Meilensteine an Sie sind die wichtigen Daten der Aktion e Effektives Anfangsdatum und Geplantes Anfangsdatum e Effektives Enddatum und Geplantes Enddatum 7 Klicken Sie auf OK Die Aktion wird mit dem Status Erstellt erstellt Umfang der Aktion festlegen Eine Aktion kann ein oder mehrere Objekte wie Kontrollen Risiken oder Anwendungen betreffen Um zum Beispiel eine oder mehrere Kontrollen festzulegen die im Rahmen der Aktion durchgef hrt werden sollen gehen Sie wie folgt vor 1 ffnen Sie die Eigenschaftsseite der Aktion 2 Klappen Sie den Abschnitt Umfang auf 3 Kontrollen verbinden die eingerichtet werden sollen w Auf diese Felder k nnen Sie zugreifen sobald die Aktion den Status Ge ffnet hat 79 Schritte in der Verwaltung einer Aktion w Weitere Informationen zum Workflow finden Sie unter Schritte im Workflow einer Aktion Seite 111 Wenn eine Aktion erstellt wurde muss sie vom Ersteller der Aktion als Entwurf angegeben werden Wenn alle Aktionen eines Aktionsplans ver ffentlich
104. tungsknoten Ri Ej werden mit dem Durchschnittswert der Werte erhalten die f r die Kontrollen Ck angegeben wurden welche mit dem Risiko Ri verbunden sind Design der Kontrollen von Ri Ej Max und Durchschn Design der Kontrollen Ri Ej Ck bei allen k Wirksamkeit der Kontrollen von Ri Ej Max und Durchschn Wirksamkeit der Kontrollen Ri Ej Ck bei allen k Kontrollebene von Ri Ej Max und Durchschn Kontrollebene Ri Ej Ck bei allen k Nach Prozess Die Werte sind mit dem Risiko RU verbunden und werden ab den Werten berechnet die f r dieses Risiko bei jedem betroffenen Prozess DI angegeben wurden Die ber cksichtigten Bewertungsknoten die mit den Paaren Ri Pj verbunden sind Auswirkung von Ri Max und Durchschn Auswirkung der Ri Pj f r alle j Wahrscheinlichkeit von Ri Max und Durchschn Wahrscheinlichkeit der Ri Pj f r alle jt Bruttorisiko von Ri Max und Durchschn Bruttorisiko der Ri Pj fur alle j Die Kontrollwerte bei jedem Bewertungsknoten Ri Pj werden mit dem Durchschnittswert der Werte erhalten die f r die Kontrollen Ck angegeben wurden welche mit dem Risiko Ri verbunden sind 61 BEWERTUNGSSITZUNG VERWALTEN F r den Versand von Bewertungsfrageb gen wird eine Bewertungssitzung erstellt Eine Bewertungssitzung ist eine Bewertung die zu einem bestimmten Zeitpunkt gestartet wird Mit der Ver ffentlichung der Bewertungssi
105. tungskontext definieren Prozesse und Entit ten w Weitere Informationen zu den Aktionspl nen finden Sie unter Aktionsplan erstellen Seite 73 Bewertungssitzung schlie en Sie k nnen die Sitzung jederzeit schlie en auch wenn die Frageb gen von den Beantwortern nicht ausgef llt wurden Um eine Bewertungssitzung zu schlie en gehen Sie wie folgt vor 1 2 ffnen Sie das Eigenschaftsfenster der Kampagne und klicken Sie auf die Registerkarte Sitzung Klicken Sie im Abschnitt Bewertungssitzung mit der rechten Maustaste auf die betroffene Sitzung und w hlen Sie den Befehl Schlie en aus Alle Sitzungen werden automatisch geschlossen Dieser Vorgang kann einige Minuten in Anspruch nehmen 67 FRAGEB GEN AUSF LLEN Die hier beschriebenen Schritte betreffen die Beantworter w Weitere Informationen zu den Schritten der Bearbeitung eines Fragebogens finden Sie unter Workflow eines Fragebogen Seite 114 Zugriff auf Bewertungsfrageb gen Nach dem Start einer Bewertungssitzung erhalten die Empf nger des Fragebogens eine Benachrichtigung Um auf die Liste der Bewertungsfrageb gen zuzugreifen gehen Sie wie folgt vor 1 Klicken Sie auf Home gt Home Frageb gen gt Meine Bewertungsfrageb gen Die Liste der auszuf llenden Frageb gen wird angezeigt 2 W hlen Sie den betroffenen Fragebogen aus und klicken Sie auf die Schaltfl che Frageb gen anzeigen Der Inhalt des Fragebogens wird in einer neuen Registerkart
106. tzung soll ein Bewertungsfragebogen gesendet werden in dem die Fragen gezielt an die Bewerter gerichtet werden bersicht ber die einzelnen Schritte einer Bewertung mit einem Fragebogen Im Folgenden finden Sie eine bersicht ber die Schritte die f r den Start einer Bewertungskampagne durchgef hrt werden m ssen 1 Sicherstellen dass die notwendigen Objekte f r den Start der Bewertungssitzungen existieren Lenkungskalender Bewertungsvorlagen und Frageb gen 2 Eine Bewertungskampagne erstellen und den Umfang dieser Kampagne definieren In einer Kampagne k nnen mehrere Bewertungssitzungen gruppiert werden 3 Eine Bewertungssitzung erstellen 4 Die Bewertungssitzung starten Bewertungsfrageb gen werden an die entsprechenden Benutzer nach dem gew hlten Bereitstellungsmodus gesendet In einem Fragebogen wird eine Liste von vordefinierten Fragen aufgef hrt die f r einen Ereignistyp eine Kontrolle ein Dokument usw gelten k nnen 5 Die Ergebnisse der Bewertungskampagne analysieren w Weitere Informationen zu den Schritten der Bearbeitung einer Bewertungssitzung finden Sie unter Workflow einer Bewertungssitzung Seite 112 Bewertungskampagne erstellen In einer Kampagne k nnen mehrere Bewertungssitzungen gruppiert werden Um eine Kampagne zu erstellen gehen Sie wie folgt vor 1 Klicken Sie auf Risiko gt Kampagnenmanagement gt Leitung der Kampagnen gt Ausf hrung gt Kampagnen Die Liste der Kampa
107. u ng Bewertungsvorla ge Bruttorisiko Datenbank Empfehlung 98 Ein Benutzer ist eine Person oder eine Personengruppe mit einem Login Ein Benutzer verf gt ber eine gewisse Anzahl von Zugriffsrechten f r die Produktfunktionalit ten und Repositorys Der Benutzer verf gt insbesondere in jedem Repository ber einen eigenen Arbeitsbereich mit dem er sich ab jedem beliebigen Arbeitsplatz einer gegebenen Umgebung verbinden kann Der mit dem Benutzer w hrend seiner Erstellung verkn pfte Code wird zum Erstellen verschiedener Dateinamen und insbesondere f r sein Arbeitsverzeichnis verwendet Standardm ig k nnen bei der Installation mit den Personen Administrator Login System und Mega Login Mega die Repositorys so administriert werden dass neue Benutzer erstellt werden Ein bewertetes Merkmal legt fest was bei einer Bewertung bewertet werden soll Das Merkmal kann mit einer MetaClass verbunden werden vor allem mit einem der MetaAttributs zum Beispiel Metaclasse Risiko MetaAttribut Wahrscheinlichkeit Die Bewertung ist ein Mechanismus mit dem einer identifizierten Population Frageb gen zugesendet werden um qualitative oder quantitative Einsch tzungen von identifizierten Objekten zu erhalten Die Bewertung wird durch Werkzeuge f r die Ergebnisanalyse erg nzt Eine Bewertungssitzung ist eine Bewertung die zu einem bestimmten Zeitpunkt gestartet wird Mit der Ver ffentlichung der Bewertungssitzung sol
108. und derselbe Risikofaktor verantwortlich sein Beispiele Die Verwendung eines gef hrlichen chemischen Produkts eine komplexe Anwendung die Gr e eines Projekts die Anzahl der Mitwirkenden eine neue Technik mangelnde Qualit tssicherung mangelnde Sorgfalt bei der Festlegung der Anforderungen usw e durch Folgen eines Risikos Ausf hrliche Informationen finden Sie unter Die Folgen eines Risikos Seite 34 EL Die Folge eines Risikos kann positiv oder negativ sein Sie wird mit einem Typ verbunden mit dem sich die Folge charakterisieren l sst Beispiel Bild Umgebung Angestellte 33 Die Risikotypen Unternehmen sind oft zahlreichen Risikotypen ausgesetzt Finanzwesen Recht Umwelt IT Technik Vertrieb usw Ein Risikotyp definiert die Typologie eines normalisierten Risikos im Rahmen einer Organisation Diese Risiken lassen sich durch die zunehmend komplexen Systemstrukturen Ausfallrisiken durch die Globalisierung des Welthandels keine Kontrolle mehr ber die Mitwirkenden durch den Wettbewerb schnelle Reaktion auf Ereignisse notwendig usw erkl ren Eine Risikotyp charakterisiert ein Risiko Risikotypen k nnen vorschriftsm iger rechtlicher technischer Art sein Die Zusammensetzung eines Risikotyps h ngt von den verschiedenen Aktivit ten und den Gesch ftssparten oder besonderen Aktivit ten des Unternehmens ab Die allgemeinen Risikotypen k nnen sich mehr oder weniger aus spezifischen Risikotypen zusamme
109. und Lieferung verk rzen quantitatives Ziel e Die Qualit t des Produkts verbessern qualitatives Ziel e Die Kundenzufriedenheit erh hen qualitatives Ziel Um auf die Baumstruktur der Ziele zuzugreifen gehen Sie wie folgt vor W hlen Sie Umgebung gt Umgebung der Vorschriften gt Ziele aus Daraufhin werden die Ziele der Organisation hierarchisch angezeigt Wenn Sie den Ordner eines Ziels aufklappen kann die Baumstruktur der Unterziele eines aktuellen Ziels angezeigt werden we Die Liste der Ziele im Besitz eines Ziels kann in der Eigenschaftsseite des Ziels in der Registerkarte Merkmale im Abschnitt Unterziele ge ffnet werden 27 28 Ressourcen des Unternehmens beschreiben Die Beschreibung eines Kontextes in dem ein Risikomanagementprojekt abgewickelt wird kann auch mit der Beschreibung von IT Anwendungen Datenbanken und Servern als Host erg nzt werden Eine Anwendung besteht aus Software Komponenten die im Rahmen der IT Entwicklungen eine konsistente Einheit bilden Eine Datenbank erm glicht die logische oder physische Speicherungsstruktur der Daten anzugeben Ein Server ist eine Hardware Ressource die ber eine Datenbank verf gen kann auf der eine Anwendung ausgef hrt werden kann F r den Zugriff auf die Liste der IT Ressourcen gehen Sie wie folgt vor W hlen Sie Umgebung gt Ressourcen aus Risiken beschreiben Der funktionale Administrator besitzt die Rechte alle Informationen zu aktualis
110. urchschnittlicher Wert der Entit ten Prozesse und Risikotypen Im Beispiel des Aggregationsberichts handelt es sich bei den dargestellten Werten um die berechneten durchschnittlichen Werte bei allen Risiken eines Prozesses in Bezug auf die Auswirkung die Wahrscheinlichkeit und das inh rente Risiko Das Prinzip der Rechenregeln die bei den Bewertungsvorlagen in MEGA ERM verwendet werden wird in der folgenden Tabelle beschrieben MEGA ERM Bewertung Nach Entit t Bewertungen mit MEGA ERM Bewertung nach Frageb gen von Risiken die durch Kontrollen gemindert nur von Risiken Bye ae werden Die Werte sind mit dem Risiko Ri verbunden und werden ab den Werten berechnet die f r dieses Risiko bei jeder betroffenen Einheit Ej angegeben wurden Die ber cksichtigten Bewertungsknoten die mit den Paaren Ri Ej verbunden sind Auswirkung von Ri Max und Durchschn Auswirkung der Ri Ej f r alle j Wahrscheinlichkeit von Ri Max und Durchschn Wahrscheinlichkeit der Ri Ej f r alle jt Bruttorisiko von Ri Max und Durchschn Bruttorisiko der Ri Ej f r alle j Design der Kontrollen von Ri Max und Durchschn Design der Kontrollen der Ri Ej f r alle j Wirksamkeit der Kontrollen von Ri Max und Durchschn Wirksamkeit der Kontrollen der Ri Ej f r alle j Kontrollebene von Ri Max und Durchschn Kontrollebene der Ri Ej f r alle j Die Minderungswerte bei jedem Bewer
111. walten Risiken organisieren RISIKEN ORGANISIEREN Mit der Kontextualisierung eines Risikos werden Risiken nach Typ und nach den betroffenen Objekten klassiert Ein Risiko kann mehrere Typen von Komponenten betreffen e Entit ten e Prozesse Gesch ftsprozesse und organisatorische Prozesse e Ziele In MEGA ERM k nnen Risiken und die entsprechenden Objekte einfach verbunden werden Standardm ig sind Berichte ber die Kontextualisierung der Risiken verf gbar Weitere Informationen finden Sie unter Kreuztabelle einer Aufteilung Seite 82 Auf Risiken ab Kontext zugreifen Um die Liste der Risiken abh ngig von ihrem Kontext zu erhalten gehen Sie wie folgt vor 1 W hlen Sie Risiko gt Risikobibliothek gt Baumstruktur von Risiken aus Daraufhin wird die Liste der Ordner mit den Klassierungen der Risiken angezeigt 2 Sie k nnen die Baumstruktur aufklappen um die Liste der Risiken eines Objekts anzuzeigen n Risks per Type 3 N External Fraud Risk 2 N Inadequate Execution of tasks 2 N Information security risks E N Internal Fraud Risk EI N Knowledge and Skills EI N Technology Risks 071 Risks per Process iJ Risks per Entity PJ Risks per Objective Risiken kontextualisieren In MEGA ERM k nnen Risiken und die entsprechenden Objekte einfach verbunden werden eine Entit t ein Prozess oder ein Ziel 37 Um die Risiken zu kontextualisieren gibt es drei M glichkeiten e eine Darstellung in Form eine
112. werteten Merkmale Ein bewertetes Merkmal legt fest was bei einer Bewertung bewertet werden soll Das Merkmal kann mit einer MetaClass verbunden werden vor allem mit einem der MetaAttributs zum Beispiel Metaclasse Risiko MetaAttribut Wahrscheinlichkeit Um auf die Liste der bewerteten Merkmale zuzugreifen die standardm ig von MEGA ERM angeboten werden gehen Sie wie folgt vor Klicken Sie auf Risiko gt Kampagnenmanagement gt Leitung der Kampagnen gt Vorbereitung gt Bewertete Merkmale Die Liste der Merkmale wird im Bearbeitungsfenster angezeigt Diese Merkmale beziehen sich auf den Wert der Attribute der Kontrollen oder den Wert der Attribute der Risiken Liste der Merkmale die mit den Attributen der Kontrolle verbunden sind e Design der Kontrolle bezeichnet die genauen Aktionen die f r die Kontrolle eingeleitet werden e Kontrollwirksamkeit bezeichnet die Effizienz der eingeleiteten Aktionen e Kontrollebene das Ergebnis des Wertes der Spezifizierung multipliziert mit dem Wert der Wirkung Dieses Merkmal gibt Aufschluss ber die Effizienz der Kontrolle 55 56 Liste der Merkmale die mit den Attributen der Risiken verbunden sind we Bei den einzelnen Attributen kann sich das bewertete Merkmal auf den Bruttowert den maximalen Wert oder den durchschnittlichen Wert beziehen e Auswirkung bezeichnet die Auswirkung des Risikos wenn es eintritt e Wahrscheinlichkeit bezeichnet die Wahrscheinlichkeit dass das
113. wertung nach Frageb gen E nn 53 Konzepte Einf hrung e 244 20 2 2 ah E Ne IN EN A a oe en 53 Zugriff auf die Bewertungsfunktionen 1 nn 54 Die Bewertungsvorlagen von MEGA ERM 2 nn aaa 54 Zugriff auf Bewertungsvorlagen nr es 55 Die bewerteten Merkmale 0 00 ccc nn 55 Die Fragebogenvorlagen 2er nennn nennen 56 Details der Bewertungsvorlagen von MEGA ERM none nern 57 Bewertungssitzung verwalten E nn 62 bersicht ber die einzelnen Schritte einer Bewertung mit einem Fragebogen 62 Bewertungskampagne erstellen 62 Bewertungssitzung erstellen 63 Eine Bewertungssitzung bereitstellen 2 Hour nn 64 Bewertungssitzung freigeben 65 Fortschritt der Sitzung verfolgen 66 Ergebnis der Sitzung aufrufen 0 00 nnn 66 Bewertungsfrageb gen freigeben or Herren ern 66 Erstellung eines Aktionsplans hervorrufen 67 Bewertungssitzung schlie en 2 2 mon 67 Frageb gen ausf llen E 68 Zugriff auf BewertungsfragebOgen 1 aeaa a 68 Fragebogen bearbeiten 00 wu au m a0 ann RE RG RR EE eS a a 68 Fragen beantworten ss etss 2 pud E a ANERE EN 68 Risiken bearbeiten eee ice NN KEEN NEEN ann en 69 Beschreiben wie ein Risiko bearbeitet wird sun cece eee nn 70 Modus der Risikobearbeitung 2 2 2 2 nun ee 70 Umzusetzende Aktionen angeben ssaa aa aa 71 Aktionsplan beantragen 00 00 cee ee 73 Aktionsplan erstellen EE oa a u a EE a Dk e
Download Pdf Manuals
Related Search