Risiko-Assessment Übersicht
Die Assessoren bewerten im Risiko-Assessment die aufgelisteten Risiken für die ihnen zugewiesene Einheiten / OEs.
Um die Bewertung zu starten navigiert der Assessor zum Menü «ERM - Risikomanagement → Risiko Assessments» und klickt auf das Bearbeiten-Icon des entsprechenden Assessments in der Übersicht:
Nach dem Klick auf das Bleistift-Zeichen in der Risiko-Assessment Übersicht werden alle beteiligten Einheiten aufgelistet mit einem kurzen Überblick:
- Hauptassessor für das Risiko-Assessment
- Fortschritt (abgeschlossene Bewertungen in %)
- Gesamteinschätzung (Inhärent / Residual) über alle bereits vorgenommenen Bewertungen
- Bei Klick auf das Bleistift-Zeichen wird ein bestehendes Risiko Assessment einer bestimmten Einheit / OE bearbeitet
Risikoidentifizierung
In der Risikoidentifizierung werden Fragen gestellt, die beantwortet werden müssen. Die Risiken werden durch den Assessor identifiziert und beschrieben.
Hinweise:
- Dieser Schritt ist optional (abhängig vom Assessment Typ Setup, Checkbox "Inklusive Identifizierung") und wird, wenn nicht relevant, einfach nicht angezeigt
Risikobewertung
In der Risikobewertung bewertet der Assessor jedes Risiko, das heisst:
- Angeben ob das Risiko für die Einheit / OE zutrifft
- Kommentare / Begründungen erfassen
- Einschätzung des Risikos vornehmen
- Optional: Angaben in den allenfalls konfigurierten Zusatzfeldern erfassen
Hinweise:
- Unter «Bewertungshilfen» werden die zum Risiko verknüpften Elemente (Prozesse, Kontrollen, auffällige Kontroll-Tasks und Actions) angezeigt
- je nach Konfiguration des Risiko-Assessments gibt es verschiedene Arten von geforderten Eingaben:
- Einschätzung des inhärenten / Brutto Risikos mittels manueller Eingabe von Eintrittswahrscheinlichkeit und Schadensausmass
- Einschätzung des inhärenten / Brutto Risikos pro Schadenstyp
Einschätzung des inhärenten / Brutto Risikos mittels Beantwortung von angezeigten Fragen
Einschätzung des residualen / Netto Risikos mittels manueller Eingabe von Eintrittswahrscheinlichkeit und Schadensausmass (keine Angabe der Kontroll-Effektivität)
- Einschätzung des residualen / Netto Risikos mittels Angabe der mitigierenden Massnahmen (z.B. Kontroll-Effektivität). Das System leitet die die residuale Einschätzung ab.
Der Assessor kann die Bewertung abschliessen mit «Speichern und als assessiert markieren» oder seine Angaben mit „Zwischenspeichern“ sichern.
Massnahmen / Bewertungshilfen
Im Risiko Assessment werden unter «Massnahmen / Bewertungshilfen» die zum Risiko verknüpften Elemente (Prozesse, Kontrollen, auffällige Kontroll-Tasks, operationelle Ereignisse und Actions) angezeigt. Dies soll den Assessoren nach der Brutto-Einschätzung des Risikos einen Überblick über bereits getroffene Massnahmen und allfällig entdeckte Probleme gebn und ihnen so die Netto-Einschätzung erleichtern.
Mehr Details zur Frage welche Massnahmen und Bewertungshilfen angezeigt werden siehe Seite "Sichtbarkeiten im Risiko Assessment"
Oben ein Beispiel mit:
- Einschätzung des inhärenten / Brutto Risikos mittels manueller Eingabe von Eintrittswahrscheinlichkeit und Schadensausmass
- Einschätzung des residualen / Netto Risikos mittels manueller Eingabe von Eintrittswahrscheinlichkeit und Schadensausmass (keine Angabe der Kontroll-Effektivität)
Unten eine Alternative mit:
- Einschätzung des inhärenten / Brutto Risikos pro Schadenstyp
- Einschätzung des residualen / Netto Risikos mittels Angabe der mitigierenden Massnahmen (z.B. Kontroll-Effektivität). Das System leitet die die residuale Einschätzung ab.
Unten eine Alternative mit:
- Einschätzung des inhärenten / Brutto Risikos mittels Beantwortung von angezeigten Fragen
