Aufsetzen des Assessment Typs

Beim Aufsetzen eines Assessment Typs (Admin → Modulkonfigurationen → ERM - Risikomanagement → Assessmenttypen) müssen die folgenden zentralen Punkte festgelegt werden:

  • auf welchem Risiko-Baum soll das Assessment basieren
  • welche Zusatzfelder sollen im Assessment und bei der Risikobewertung angezeigt werden
  • welche Risikodimensionen / Bewertungsmöglichkeiten zur Verfügung stehen sollen
  • ob Bulk-Bearbeiungen erlaubt sind
  • ob die Risikoauswahl pro Einheit individuell gesteuert werden soll oder alle Einheiten alle Risiken bewerten sollen


Des weiteren können viele verschiedene Einstellungen gewählt werden, hier werden nur die wichtigsten erklärt, denn die initialen Setups werden meist anhand des konkreten Bedarfs besprochen und erklärt.

KonfigurationselementErklärungAnwendungsbeispiels

Anzeige Zusatzfelder

Es können beliebige Zusatzfelder definiert werden, für:

  • Assessment Felder
  • Assessment Bereich Felder
  • Zusatzfelder Bewertung, diese können auch als Pflichtfelder für die Risikobewertung definiert werden

Im Assessment Typ kann nun angegeben werden, welche Felder zur Verfügung stehen sollen. Die Felder müssen vorgängig als Zusatzfelder definiert worden sein.

  • Management Summary (Assessment Feld)
  • Zusammenfassung der spezifischen Einheit (Assessment Bereich Feld)
  • Weitere Massnahmen (Zusatzfeld Bewertung)


"Trifft zu" anzeigenGibt dem Assessor die Möglichkeit auszudrücken, dass ein Risiko für seine OE nicht zutrifft. In dem Fall ist ein erklärender Komentar zwingend.
Kontrollpläne anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren zum Risiko verknüpfte Kontrollpläne ein, sofern der Kontrollplan für seine OE relevant ist.
Potentielle Kontrollen anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren zum Risiko verknüpfte Kontrollen ein, sofern die Kontrolle für seine OE relevant ist und noch kein entsprechender Kontrollplan vorhanden ist.
Tasks anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren zum Risiko verknüpfte Kontroll-Tasks eim, sofern der Task für seine OE relevant ist.
Actions anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren zum Risiko verknüpfte Actions ein, sofern die Action für seine OE relevant ist.
Ereignisse anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren zum Risiko verknüpfte Ereignisse ein, sofern das Ereigniss für seine OE relevant ist.
Prozesse anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren zum Risiko verknüpfte Prozesse ein, sofern der Prozess für seine OE relevant ist.
Dokumente anzeigenMassnahmen / Bewertungshilfen: Blendet dem Assessoren verknüpfte Dokumente ein und ermöglicht das Hochladen und Ablegen von weiteren relevanten Dokumenten zur Risikobewertung.

Ermöglicht dem Assessoren das öffnen aller noch nicht abgeschlossenen Risiko-Bewertungen in komprimierter Form.
Ermöglicht dem Assessoren das abschliessen aller bereits ausgefüllten Risiko-Bewertungen mit einem einzigen Klick.
EintrittswahrscheinlichkeitBestimmt die für die Bewertung zur Verfügung stehende Liste der Eintrittswahrscheinlichkeiten (zur Auswahl stehen die im System verfügbaren Risikodimensionen vom Typ Eintrittswahrscheinlichkeit).
SchadensausmassBestimmt die für die Bewertung zur Verfügung stehende Liste der Schadensausmass(zur Auswahl stehen die im System verfügbaren Risikodimensionen vom Typ Schadensausmass).

Residual-Risiko ableiten

Einschätzung des residualen / Netto Risikos mittels Angabe der mitigierenden Massnahmen (z.B. Kontroll-Effektivität). Das System leitet die die residuale Einschätzung ab.
Residual-Risiko Vorgabe

Zur Verfügung stehen folgende Optionen:

  • Pflichteingabe:        Einschätzung des residualen / Netto Risikos ist Pflicht, das Assessment kann nicht abgeschlossen werden ohne eine Netto-Einschätzung.
  • Optional:                 Einschätzung des residualen / Netto Risikos ist optional, das Assessment kann abgeschlossen werden ohne eine Netto-Einschätzung.
  • Ausgeblendet:        Einschätzung des residualen / Netto Risikos wird nicht angezeigt im Assessment.

Vor der Risikobewertung werden in der Risikoidentifizierung Fragen gestellt, die beantwortet werden müssen. Die Risiken werden durch den Assessor identifiziert und beschrieben.
Risikoauswahl pro Einheit individuell

Eine Individuelle Risikoauswahl wird ermöglicht. Dies kann genutzt werden, wenn nicht alle Risiken von jeder OE bewertet werden sollen, eine Erstellung eines gemeinsamen Risikoberichts aber angestrebt wird. Der Ersteller des Assessments bestimmt welche OE welche Risiken zu bewerten hat. Eine mehrfachbewertung der Risiken ist selbstverständlich möglich. 


Materialitätsschwellen

Dienen zur Definition welche Scores als "tief", "mittel" oder "hoch" gelten
Diverse Einstellungen zur AggregationslogikEs kann z.B. definiert werden ob ein Durchschnitt gerechnet oder die Maximale Einschätzung berücksichtigt werden soll in der Aggregation. 
Auch ob Abgerundet oder kaufmännisch gerundet werden soll, kann eingestellt werden.

Mitigierende FaktorenBestimmt die für die Bewertung zur Verfügung stehende Liste der mitigierenden Faktoren.Kontrolleffektivität (Stark, Mittel, Schwach, Keine)

Report Typen

Hier kann definiert werden, welche Reporttypen gefordert sind und inwiefern diese aufeinander aufbauen.Top30-Risks, Top10-Risks, Top3-Risks
TexteEs können Labels, Texte und Hinweise zur Erklärung folgender Felder hinterlegt werden:
  • Eintrittswahrscheinlichkeit
  • Schadensausmass
  • Chancen
  • Mitigierende Faktoren

Hilfetexte für die Bewertungsangaben
  • Keine Stichwörter