IT-Risikomanager

Dieser Bereich beschreibt die Aktionen, die ein IT-Risikomanager (IRM) im Rahmen des Risiko-Workflows gemäß dem Abschnitt Workflow durchzuführen hat.

Prüfen und Ergänzen

Nachdem ein neues Risiko erfasst wurde, wird es dem IT-Risikomanager zur initialen Prüfung und Ergänzung vorgelegt. Diese werden per E-Mail darüber informiert, dass ein neues Risiko vorliegt.

Das betroffene Risiko ist für die IT-Risikomanager in der Liste Aktiv aufgeführt; die rote Hintergrundfarbe kennzeichnet es als umgehend zu bearbeiten. Durch Klick auf den Listeneintrag öffnet sich ein Dialog zur Bearbeitung des Risikos.

Aus den vom Erfasser gemachten Angaben sind bereits eine Reihe von Feldern vorausgefüllt:

(1) CI-Nummer: Automatisch vergebene laufende Nummer.

(2) Anzeigename: Zusammengesetzt aus der laufenden Nummer und der erfassten Beschreibung.

(3) Status: Die aktuelle Klassifizierung des Risikos.

(4) Name: Entspricht der erfassten Beschreibung.

(5) Aggregation: Link auf die vom Erfasser ausgewählte Aggregation.

(6) OpRisk: Automatisch gesetzt anhand der im Aggregation-Asset hinterlegten Verlinkung auf ein OpRisk-Asset.

(7) Verantwortlichkeit: Automatisch gesetzt anhand des im Aggregation-Asset hinterlegten Feldverantwortlichen.

(8) Erfassungsdatum: Zeitpunkt, an dem das Risiko erfasst wurde.

(9) Erfasser (Benutzername): Benutzername des Erfassers.

(10) Erfasser: Automatisch gesetzte Verknüpfung auf das Mitarbeiter-Asset des Erfassers.

(11) Erfasser befragen: In Abhängigkeit der im Erfassungsdialog gesetzten Checkbox, ob der Erfasser im weiteren Workflow involviert sein möchte.

(12) Strategie zum Umgang: Auswahl der anzuwendenden Strategie.

(13) Aktuelle Frist: Gibt die derzeit hinterlegte Frist an.  

(14) Prolongation: Gibt an wann das Risiko spätestens verlängert werden kann.

(15) Maßnahmenverantwortlichkeit: Zuweisung der für die Maßnahme verantwortlichen Person.

(16) Nicht relevant: Es können Ausnahmen für das Risiko angegeben werden.

(17) Beschreibung: Die vom Erfasser hinterlegte Beschreibung.

(18) Erläuterung: Die vom Erfasser hinterlegte Erläuterung.

(19) Bemerkungen: Die vom Erfasser hinterlegte weitere Bemerkungen.

Zunächst sollte überprüft werden, ob die Meldung ein relevantes Risiko beinhaltet. Ist dies nicht der Fall, kann der Status auf Nicht relevant gesetzt werden und dies durch Auswahl des Buttons Risiko ist vollständig bestätigt werden.

Der Workflow des Risikos ist damit beendet und es wird in der Liste der inaktiven Risiken archiviert.

Wird das Risiko als relevant angesehen, kann der IT-Risikomanager die Eigenschaften des Risikos bearbeiten. Hierfür können sämtliche Felder des Risko-Assets frei editiert werden. In der Regel sollte eine treffende Kurzbezeichnung des Risikos als Name gesetzt werden (im Beispiel z. B. Fehlender Brandschutz). Der Name sollte möglichst kurz ausfallen, da diese Information u. a. in Listen von Risiken verwendet wird, die bei sehr langen Bezeichnungen aufgrund von dann notwendigen Zeilenumbrüchen unübersichtlich werden. Des Weiteren sollte überprüft werden, ob die Zuordnung zur vom Erfasser gewählten Aggregation korrekt ist und diese bei Bedarf angepasst werden. Hierbei müssen ggf. auch die Zuordnungen OpRisk und Verantwortlichkeit manuell angepasst werden.

An dieser Stelle des Workflows kann zudem angegeben werden, welche Mitarbeiter dem Schließen des Risikos zustimmen müssen. Hierzu kann die Liste Bestätigungen auf dem Tab Schließen, um beliebig viele Einträge ergänzt werden. Hat der Erfasser angegeben, in den Workflow involviert zu werden, so wird der Erfasser automatisch in die Bestätigungsliste eingetragen.

Liegen einige Informationen noch nicht vor und müssen zunächst ermittelt werden, kann die Bearbeitung des Assets jederzeit durch Klick auf Zwischenspeichern unterbrochen und später fortgeführt werden.

Sobald alle Informationen ergänzt wurden, wird das Risiko durch Klick auf Risiko ist vollständig an den im Attribut Verantwortlichkeit hinterlegten Mitarbeiter (Feldverantwortlicher) zur weiteren Bearbeitung übergeben. Dieser wird hierüber per E-Mail informiert.

Bewertung freigeben

Nachdem das Risiko vom Feldverantwortlichen bewertet und die Bewertung ggf. vom Erfasser bestätigt wurde, muss die gewählte Risikobehandlung von einem IT-Risikomanager freigegeben werden. Hierzu wird das Risiko wieder in der Liste der aktiven Risiken geführt und durch Klick auf das Risiko öffnet sich der Dialog zum Editieren des Risiko-Assets. Dieser ist analog zum Dialog Risiko prüfen und vervollständigen aufgebaut.

Bewertung zurückgeben

Ist der IT-Risikomanager mit der Bewertung bzw. Behandlung des Risikos nicht einverstanden, kann das Risiko an den Feldverantwortlichen zurückgegeben werden. Hierzu muss für das Attribut Status der Wert Bewertung ausgewählt und anschließend der Button Speichern und weiterreichen betätigt werden.

Bewertung freigeben

Um das Risiko zur Behandlung freizugeben, muss der IT-Risikomanager lediglich auf Speichern und weiterreichen klicken. Sind Maßnahmen definiert, die umgesetzt werden müssen, wird das Risiko an den Maßnahmenverantwortlichen weitergeleitet. Ist dabei Reduktion als Strategie gewählt, erhält das Risiko den Status Reduktion, ist Vermeidung als Strategie gewählt, erhält das Risiko den Status Vermeidung und falls als Strategie Transfer ausgewählt ist, erhält das Risiko den Status Transfer. Soll das Risiko hingegen akzeptiert werden, wechselt der Status des Risikos in Warte auf Akzeptanz und der IT-Risikomanager bleibt für das Risiko zuständig.

Prolongation beantragt

Hat ein Maßnahmenverantwortlicher eine Fristverlängerung beantragt, muss diese von einem IT-Risikomanager genehmigt werden. Beim Öffnen von Risiken in diesem Zustand erhält der IT-Risikomanager die Möglichkeit, den Antrag anzunehmen oder abzulehnen.

Details zu allen beantragten Prolongationen werden auf einem dedizierten Reiter im unteren Bereich der Asset-Darstellung aufgeführt.

Nachdem die Fristverlängerung entweder genehmigt oder abgelehnt wurde, wechselt das Risiko zurück in den Zustand aus dem heraus die Fristverlängerung beantragt wurde und liegt erneut in der Verantwortung des Maßnahmenverantwortlichen.

Genehmigung durch Dritte

Für den Fall, dass nicht der IT-Risikomanager, sondern ein anderer Mitarbeiter die Fristverlängerung genehmigen muss, besteht die Möglichkeit, diesem Mitarbeiter eine Einmal-URL zukommen zu lassen, über die auch ohne Zugang zum VASGARD/IAN eine Genehmigung oder Ablehnung erteilt werden kann. Hierzu ist in der oberen linken Ecke des Dialogs ein Link eingeblendet, der vom IT-Risikomanager an den Mitarbeiter verschickt werden kann.

Wird dieser Link aufgerufen, kann über die dargestellte Seite die Verlängerung genehmigt oder abgelehnt werden, ohne dass sich der Aufrufer des Links explizit im VASGARD/IAN anmelden muss. Der Link wird dediziert für das bestehende Risiko mit einer Zufallskomponente versehen, sodass er von einem Dritten nicht erratbar ist. Nachdem die Genehmigung durchgeführt wurde, verliert der Link seine Gültigkeit.

Warten auf Akzeptanz

Ist für ein Risiko als Strategie Risikoakzeptanz eingetragen, wechselt der Zustand des Risikos nach Warten auf Akzeptanz, sobald die Risikobewertung von einem IT-Risikomanager freigegeben wurde. Ein IT-Risikomanager ist nun aufgefordert, das Risiko als Restrisiko zu akzeptieren.

Wird die Akzeptanz verweigert, wird das Risiko dem zuständigen Feldverantwortlichen zur erneuten Bewertung vorgelegt. Wird das Risiko akzeptiert, wechselt es in den Zustand Akzeptiert und wird in der Liste Wiedervorlage geführt. Als Datum zur Wiedervorlage wird das aktuelle Datum plus 1 Jahr eingesetzt. Ist die Frist zur Wiedervorlage abgelaufen, wird das Risiko zur erneuten Prüfung an die IT-Risikomanager gegeben und durchläuft anschließend den normalen Workflow.

Risikoakzeptanz durch Dritte

Für den Fall, dass nicht der IT-Risikomanager selbst, sondern ein anderer Mitarbeiter das Risiko akzeptieren muss, besteht die Möglichkeit, diesem Mitarbeiter eine Einmal-URL zukommen zu lassen, über die auch ohne Zugang zum VASGARD/IAN das Risiko akzeptiert oder die Risikoakzeptanz abgelehnt werden kann. Hierzu ist in der oberen linken Ecke des Dialogs ein Link eingeblendet, der vom IT-Risikomanager an den Mitarbeiter verschickt werden kann.

Wird dieser Link aufgerufen, kann über die Risikoakzeptanz entschieden werden, ohne dass sich der Aufrufer des Links explizit an VASGARD/IAN anmelden muss. Der Link wird dediziert für das bestehende Risiko mit einer Zufallskomponente versehen, sodass er von einem Dritten nicht erratbar ist. Nachdem die Akzeptanz durchgeführt wurde, verliert der Link seine Gültigkeit.