Risiko-Cockpit
In der Übersicht werden alle in ForumOSM erfassten Risiken angezeigt. Standardmäßig wird diese Übersicht in zuklappbaren Bereichen untereinander angezeigt. Die Risiken können in der Matrixdarstellung sowie in der klassischen Übersicht eingesehen werden. Über die Dreieckssymbole können die beiden Ansichten auf- bzw. zugeklappt werden.
In den Vorschlägen finden Sie eine Vielzahl von Risiken, die Sie in den Produktivbereich übernehmen können. Weitere Informationen zu diesem Vorgehen finden Sie im Abschnitt „Übernehmen von Vorschlägen“.
Die Risikoerfassung kann global in ForumOSM abgeschaltet werden. Weitere Informationen finden Sie zu diesem Thema unter Anpassung der Einstellungen.
Zu den allgemeinen Funktionalitäten wird Ihnen im Risiko-Cockpit über Extras die Möglichkeit des direkten Ausdruckens der Ansicht über den Browser geboten. Bitte achten Sie gegebenenfalls auf die Aktivierung von Hintergrundfarben direkt im Browser.
Zudem besteht die Möglichkeit für den Export über Extras als PDF-Datei oder als CSV-Datei zur weiteren Bearbeitung.
Matrixdarstellung
In dieser Ansicht bekommen Sie alle Risiken(1) und Restrisiken(2), welche Sie in ForumOSM erfasst haben, in der Matrix und einer Tabelle mit Risikoklasse und der Risikoanzahl angezeigt.
Um zu den jeweiligen Risiken ohne weiteres Suchen zu gelangen, können Sie die Zeile der betreffende Risikoklasse bzw. Anzahl durch einen Mausklick links markieren. Sie bekommen hinter der markierten Risikoklasse das Symbol einer Pinnnadel angezeigt(1) und erhalten in der Übersicht(2) weitere Informationen zu den in dieser gewählten Risikoklasse zugeordneten Risiken.
Die getroffene Auswahl kann durch einen wiederholten Mausklick links der zuvor gewählten Risikoklasse oder eine erneute Auswahl aufgehoben werden.
Haben Sie in den Risiken oder Restrisiken eine Risikoklasse gewählt, bekommen Sie auch nur die gewählten Risiken in der Übersicht angezeigt.
Übersicht
In der Übersicht werden die Risiken nach Risikokategorien akzeptabel, meldepflichtig und genehmigungspflichtig eingeteilt. Sie bekommen die Bezeichnung des jeweiligen Risikos, der Leistung, die Risiko- und Restrisikoklasse, deren Verantwortung sowie den Umgang mit dem Restrisiko angezeigt. Die Risiken sind unterhalb der jeweiligen Risikokategorie angeordnet.
Die Kategorien der Risiken können über die Schaltflächen + und - auf/eingeklappt(2) werden bzw. zusätzlich über die Schaltflächen + und - der jeweiligen Risikokategorie(1) einzeln geschlossen oder geöffnet werden.
Über das Lupensymbol am oberen rechten Rand steht Ihnen eine schlagwortbasierte Suchfunktion(3) innerhalb der Risiken zur Verfügung.
Das Werkzeugsymbol öffnet zwei Checkboxfelder(4), über welches Sie sich zu jeder Kategorie die Anzahl der Risiken(5) sowie die Sortiernummer(6) des jeweiligen Risikos anzeigen lassen können.
Anlegen eines Risikos
Allgemein
Zum Anlegen eines Risikos nutzen Sie bitte die Schaltfläche Risiko anlegen. Zusätzlich stehen Ihnen in diesem Bereich Vorschläge zur Übernahme zur Verfügung. Weitere Informationen zu diesem Vorgehen finden Sie im Abschnitt „Übernehmen von Vorschlägen“.
Bei der Erstellung bzw. der Bearbeitung eines Risikos können verschiedene Verknüpfungen vorgenommen werden. Ein Risiko wird üblicherweise mit der Leistung(2) und der Bedrohung(3) verknüpft, auf welchen es aufbaut. Der Dienstleisterwird nach der Zuordnung einer Leistung automatisch zugeordnet. Bitte geben Sie eine aussagekräftige Bezeichnung für das Risiko an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern. Achten Sie auch auf die Vergabe einer Verantwortung.
Die übrigen Felder sind zur besseren Übersicht in Reitern(4) zusammengefasst. In der Abbildung ist der Reiter Allgemein aufgeklappt. Der aktive Reiter wird durch einen farbigen Balken hervorgehoben.
Details
Unter dem Reiter Details können viele Details wie zum Beispiel eine Gesamtbeurteilung, die betroffene Organisationseinheit oder betroffene Schutzziele für das Risiko hinterlegt werden.
Bewertung und Maßnahmen an Risiken
Zu jedem Risiko kann eine Bewertung hinterlegt werden. Die Bewertung bietet die Möglichkeit, verschiedene Kenngrößen des Risikos zu klassifizieren. Beim Erstellen einer Bewertung können Sie verschiedene Einstufungen vergeben.
Die Eintrittswahrscheinlichkeit sowohl des Risikos als auch des Restrisikos kann im Reiter Bewertung nach Auswahl der Bedrohungseinstufung(1) und der Schwachstelleneinstufung(1) berechnet(2) werden.
Die Einstufung kann in 4 verschiedenen Stufen(1) gesetzt werden (sehr gering, gering, hoch und sehr hoch).
Die Werte für Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß sollten dabei als Kern-Indikatoren dienen.
Zum Anlegen einer Maßnahme nutzen Sie bitte die Schaltfläche Maßnahme anlegen...(3). Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.
Die Berechnung der Eintrittswahrscheinlichkeit erfolgt gemäß der nachfolgend abgebildeten Matrix aus Bedrohungs- und Schwachstelleneinstufung.
Für die Einstufungen des Schadenpotentials bei Risikobewertungen stehen folgende Einstufung zur Verfügung:
1 - niedrig (Die Schadenswirkung ist minimal)
2 - mittel (Die Schadenswirkung ist gering)
3 - hoch (Die Schadenswirkung ist beträchtlich)
4 - sehr hoch (Die Schadenswirkung ist geschäftskritisch)
Umgang mit dem Risiko / Restrisiko
Wurde eine Bewertung des Risikos durchgeführt, bestehen verschiedene Option im Umgang mit dem Risiko. Diese Auswahl hat einen Einfluss auf die Bewertung das Restrisikos.
Auch für das verbleibende Restrisiko kann eine Handlungsempfehlung ausgesprochen werden, wenn sich beispielsweise zu einem Risiko keine (wirtschaftlich / organisatorisch) sinnvollen Maßnahmen zur Minimierung festlegen lassen oder das Restrisiko trotz getroffener Maßnahmen noch sehr hoch ist.
| Risiko | |
|---|---|
| nicht bearbeitet | Es ist kein Umgang mit dem Risiko definiert. |
| akzeptieren | Die Risikobewertung wird automatisch in die Restrisikobewertung übernommen. Es sind keine sinnvollen Maßnahmen umsetzbar. |
| behandeln | Durch verschiedene Maßnahmen können die Risikowerte minimiert werden. |
| vermeiden | Das Risiko kann durch das Herabsetzen der Gefahr/Eintrittswahrscheinlichkeit vermieden werden. |
| übertragen | Risiken können zum Beispiel an eine Versicherung übertragen werden. |
Maßnahme
Maßnahmen, welche zur Minderung des Risikos führen, können aus dem Sicherheitskonzept des Auslagerungsnehmers stammen oder vom Bearbeiter festgelegt werden. Es können Maßnahmen in beliebiger Anzahl angelegt werden. Welche oder wie viele Maßnahmen empfohlen werden, hängt von den Anforderungen des Objekts ab.
Bei Anlage einer neuen Maßnahme ist die Nennung des Risikos bzw. der Risiken notwendig.
Beim Erstellen einer Maßnahme aus einem Risiko, wird das betreffende Risiko sofort in diese Maßnahme mit übernommen(1). Die Verknüpfung mit einem Risiko ist bei Anlage einer Maßnahme erforderlich. Bitte geben Sie eine aussagekräftige Bezeichnung(2) für die Maßnahme an, um Ihnen die spätere Zuordnung bzw. Suche zu erleichtern.
Möchten Sie die die Auswahl der Risiken bearbeiten, nutzen Sie bitte die Schaltfläche Auswahl bearbeiten(3), um ein Risiko über das Symbol des Mülleimers(4) zu entfernen. Achten Sie auch auf die Vergabe einer Verantwortung.
Status
Jede Änderung am Objekt kann verschiedene Status-Zustände annehmen. Für den Status stehen Ihnen folgende Staus zur Verfügung:
| Status | Bedeutung |
|---|---|
| vorgesehen | Die verfahrensspezifische Maßnahme ist vorgesehen. |
| in Bearbeitung | Die verfahrensspezifische Maßnahme ist in Bearbeitung. |
| in Prüfung | Die verfahrensspezifische Maßnahme ist in Prüfung. |
| implementiert | Die verfahrensspezifische Maßnahme ist fertig bearbeitet. |
| verworfen | Die verfahrensspezifische Maßnahme wurde verworfen. |
Die neue Maßnahme können Sie zum Abschluss freigeben und es wird automatisch eine Wiedervorlage erstellt.
Kopierfunktion von Risiken
Über die Schaltfläche Duplizieren kann eine Kopie eines bereits bestehenden Risikos angelegt werden werden.
Sofern ein Risiko gewählt wurde, wird die Kopie gleich im Bearbeiten-Modus für die weitere Bearbeitung geöffnet.
Risiken - Hinweise auf Änderungen
In den Einstellungen wurde der Hinweis auf die Konsequenzen von Änderungen der Parameter zur Risikobewertung deutlicher hervorgehoben, da Änderungen in diesem Bereich alle Anwendungen der ForumSuite betreffen und zudem eine Neubewertung sämtlicher bereits erfasster Risiken zur Folge hat.
Sofern hier trotzdem Änderungen vorgenommen werden, müssen diese individuell für jedes einzelne, bereits erfasst Risiko bestätigt und übernommen werden.
In der Risiko-Maske wird ein entsprechender Hinweis auf geänderte Parameter nun gut sichtbar im oberen Bereich angezeigt und kann dadurch nicht mehr übersehen werden. Wechseln Sie in den Bearbeitungsmodus, müssen die aktualisierten Schwellwerte über die Schaltfläche aktualisieren aktualisiert werden, bevor am Objekt weiter gearbeitet werden kann.
Risiken - Anzeige von Abweichungen
Werden in den Einstellungen für die Risikobewertung Änderungen an der Matrix durchgeführt und diese Änderungen nicht an den einzelnen erfassten Änderungen aktualisiert, werden diese im Risiko-Cockpit gesondert tabellarisch dargestellt. So ist nach einer Änderung in den Einstellungen die Anzahl der zu bearbeitenden Objekte schnell ersichtlich.
Änderungen in den Einstellungen der Risikokriterien wirken sich auf alle aktiven Anwendungen der ForumSuite aus. Bereits erfasste Risiken müssen nach Anpassungen an der Risikomatrix erneut bearbeitet werden.
Hinweis: Es sind Risiken vorhanden, deren Parameter für die Risikobewertung von den aktuellen Einstellungen abweichen. Dies kann zu inkorrekten oder unvollständigen Darstellungen in den Risikomatrizen sowie in den Risiko- und Restrisikoklassen führen. Bitte bearbeiten und aktualisieren Sie die Risiken in der nachfolgenden Liste.
Standardmäßig sind diese Meldungen zugeklappt und müssen aktiv über das Dreieckssymbol geöffnet werden.
Die Massen-Aktualisierung der Risiken mit abweichendem Bewertungsschema kann nur der Anwendungsadministrator der betreffenden Anwendung durchführen.
