Grundbegriffe
Ein Issue entspricht (genau) einer Schwachstelle, also einem Thema, bei dem Massnahmen oder Ausnahmen nötig sind. Es bündelt sowohl die Beschreibung der Schwachstelle als auch alle Actions (Massnahmen), die zu deren Behebung durchzuführen sind. Auch Ausnahmen werden im Issue festgehalten.
→ Ein Beispiel für ein Issue ist eine Security-Lücke, zu deren Schliessung mehrere Teilschritte (Actions), ggfs. von mehreren Personen in der Organisation notwendig sind.
Im Unterschied dazu bündelt der Bericht mehrere Feststellungen sowie die Massnahmen, die zu deren Behebung notwendig sind. Wie beim Issue können auch zu einem Bericht Ausnahmen hinzugefügt werden.
→ Berichte kommen vor allem aus dem Bereich Internal Audit. Zum Tracking der Feststellungen der Internal Auditors und der notwendigen Massnahmen werden die Grunddaten des Word-Dokuments im Tool erfasst.
Eine Action entspricht einer von einem Endbenutzer durchzuführenden, einmaligen Massnahme. Eine Action kann
- Teil eines Berichts sein,
- Teil eines Issues sein
- oder unabhängig von einem Bericht bzw. einem Issue existieren (sog. Standalone-Action).
Üblicherweise werden Actions von einem Action Experten erfasst. Standalone-Actions können aber, abhängig vom Actiontyp, auch von einem Endbenutzer erfasst werden. Implementiert werden Actions vom Action Owner.
Wichtigstes Kennzeichen von Actions ist der Actiontyp. Der Actiontyp steuert:
- ob es sich bei diesen Actions um Standalone-Actions handelt oder ob sie Teil eines Issues oder Berichts sind,
- ob die Action/das Issue auch von einem Endbenutzer erfasst werden darf,
- welche Zusatzfelder für diese Actions/Issues zur Verfügung stehen,
- welchen Workflow diese Actions/Issues durchlaufen.
Falls es sich um einen Actiontyp für Issue- oder Bericht-Actions handelt, bestimmt der Actiontyp auch die zur Verfügung stehenden Zusatzfelder des Issues bzw. Berichts. Es gibt zwei Arten von Zusatzfeldern: Prüfbereiche und Klassifizierungen. Diese werden folgendermassen verwendet:
- Prüfbereiche bei einem Bericht geben an, welche Bereiche geprüft wurden.
- Prüfbereiche bei einer Action / einem Issue geben an, in welchem Bereich der Mangel gefunden wurde.
- Klassifizierungen bei einer Action / einem Issue geben an, wie sie beurteilt wird.
Übersichtsdiagramm Bericht/Action
Übersichtsdiagramm Issue/Action