040 6969 85-0

Risikomanagement –

> GRC-Lösungen > Risiko-Regelwerke > Risikomanagement

Zur Beurteilung der Kritikalität eines Risikos werden in unseren Risiko-Regelwerken die jeweils individuell im System hinterlegten Risiken, Sachverhalte, Zielsetzungen, Vorgaben und mögliche Risikobehandlungen nachvollziehbar aufgezeigt. Ziel ist die fachlich fundierte Einbindung der Regelwerke in das bestehende interne Kontrollsystem des Unternehmens.

Daher sind die Funktionstrennungen so aufgebaut, dass sie in Ihr unternehmenseigenes Risikomanagement eingebunden werden können. Jede Funktionstrennung enthält, neben der eigentlichen technischen Abfrage zur Auswertung, folgende Informationen:

 

Risikobeschreibung

Der mit der Auslieferung vorgegebene Text beschreibt die durch die Vergabe der Berechtigung entstehenden Risiken. Hierbei wird zwischen

  • betriebswirtschaftlichen
  • handelsrechtlichen
  • IT-sicherheitsspezifischen und
  • datenschutzrechtlichen

Risiken unterschieden.

 

Auswirkungen

Hier wird die Risikostufe angegeben. Unsere ECS Risiko-Regelwerke enthalten 7 Risikostufen. Die Einstufung des individuellen Risikopotenzials der kritischen Berechtigungskombinationen erfolgt über die Bildung einer jeweils individuellen Kritikalitätskennzahl. Diese wird einzeln für die Bereiche

  • Ordnungsmäßigkeit
  • Sicherheit und
  • sonstige Kriterien

berechnet. Jede Risikoeinstufung ist transparent nachvollziehbar, so dass Risk-Manager und insbesondere auch Fachbereiche das jeweilige Risiko unternehmensspezifisch bewerten können.

 

Definition „organisatorische kompensierende Kontrolle“

Optional kann jedem Risiko auch eine unternehmensspezifische kompensierende Kontrolle zugeordnet werden, welche das Risiko reduziert.

 

Anwendungsbereich

Inhaltlich wird hier die Herleitung der Risiken nachvollziehbar dokumentiert (wer kann was, mit welchen Auswirkungen?). Die entsprechenden Auswirkungen sind detailliert (z. B.: Reputationsschaden, fehlerhafte Darstellung der Aufwände und Verbindlichkeiten, Datenschutz, etc.) benannt. Dies ist Bestandteil der qualitativen Schadensbeschreibung.

 

Zielsetzung

Hier wird inhaltlich die Zielsetzung der durchzuführenden Kontrollhandlung beschrieben. Die „Vorgaben“ beschreiben den „idealen“ Zustand des beschriebenen risikobehafteten Szenarios und dienen somit als „Soll-Vorgabe“ für die Einhaltung der Kriterien zur Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit der Rechnungslegung. Der Verweis auf einen vorhandene, oder noch zu erstellenden Vorgang, bzw. Prozessbeschreibung ist ebenfalls Bestandteil.

 

Es wird zwischen einer aktiven und einer passiven Risikomanagementstrategie unterschieden:

  • Aktive Risikomanagementstrategien
    • Risikovermeidung
    • Risikoreduktion
  • Passive Risikomanagementstrategien
    • Risikotransfer
    • Risikoübernahme

Die Risikobehandlung ist bereits vorformuliert und kann entsprechend dem Konzept des unternehmensspezifischen Risikobehandlungsplans individuell angepasst werden.