Workflow

Der Workflow zur Verwaltung der Risiken kann in die folgenden Phasen eingeteilt werden, wobei ein Risiko in der Regel nur eine der Phasen 2 bis 5 in Abhängigkeit der gewählten Strategie zum Umgang mit dem Risiko durchläuft:

1. Erfassung und Bewertung

2. Reduktion

3. Vermeidung

4. Transfer

5. Akzeptanz

Anhand des Statuswertes eines Risikos wird festgemacht, in welchem Schritt des Workflows sich das Risiko aktuell befindet. Im Folgenden werden für die einzelnen Phasen die Bedeutungen der unterstützten Statuswerte aufgeführt und die möglichen Zustandsübergänge verdeutlicht.

Erfassung und Bewertung

Ein Risiko kann durch einen beliebigen Mitarbeiter erfasst werden. Es erhält anschließend den Status Neu und wird einem IT-Risikomanager zur Prüfung und Ergänzung von Informationen vorgelegt. Hierbei wird zunächst entschieden, ob das erfasste Risiko tatsächlich ein relevantes Risiko darstellt. Ist dies nicht der Fall, erhält das Risiko den Status Nicht relevant und der Workflow für dieses Risiko ist beendet.

Der IT-Risikomanager überprüft die Zuordnung des Risikos zur ausgewählten Aggregation und ob der zugewiesene Feldverantwortliche korrekt ist. Anschließend leitet er das Risiko an den Feldverantwortlichen zur Bewertung weiter, wobei das Risiko den Status Bewertung erhält.

Der Feldverantwortliche ermittelt die Schadenshöhe und Eintrittswahrscheinlichkeit des Risikos und legt eine Strategie zum Umgang mit dem Risiko fest. Sind Maßnahmen zur Behandlung des Risikos erforderlich, werden diese ebenfalls definiert und mit dem Risiko verknüpft. Abschließend leitet der Feldverantwortlich das Risiko zur Freigabe weiter.

Wurde durch den Erfasser des Risikos angegeben, dass er in die Behandlung des Risikos mit einbezogen werden möchte, erhält das Risiko den Status Erfasser-Freigabe und es wird dem Erfasser zur Bewertung der Maßnahmen vorgelegt. Sind diese aus Sicht des Erfassers nicht ausreichend, wechselt das Risiko zurück in den Status Bewertung und der Feldverantwortliche muss dieses erneut bewerten. Sind die Maßnahmen aus Sicht des Erfassers ausreichend, leitet er es zur Freigabe an den IT-Risikomanager weiter, wobei das Risiko den Status Bewertet erhält.

Wurde vom Erfasser nicht angegeben, dass er in die Behandlung des Risikos mit einbezogen werden möchte, erhält das Risiko nach Bewertung durch den Feldverantwortlichen direkt den Status Bewertet und wird dem IT-Risikomanager zur Freigabe vorgelegt. Der IT-Risikomanager hat in diesem Schritt nochmals die Möglichkeit, das Risiko an den Feldverantwortlichen in den Zustand Bewertung zurückzugeben, falls dessen Bewertung dem IT-Risikomanager nicht angemessen erscheint. In der Regel leitet der IT-Risikomanager das Risiko jedoch in eine der Phasen zur Risikobehandlung weiter.

Die Statusübergänge für die Phase Erfassung und Bewertung sind in er obigen Abbildung dargestellt. Die Bedeutung der einzelnen Zustände lässt sich wie folgt zusammenfassen:

• Neu: Das Risiko ist neu erfasst und wartet auf initiale Bearbeitung durch einen IT-Risikomanager.

• Nicht relevant: Das Risiko wurde von einem IT-Risikomanager als nicht relevant gekennzeichnet und ist inaktiv.

• Bewertung: Das Risiko liegt zur Bewertung von Schaden, Eintrittswahrscheinlichkeit, Strategie und Maßnahmen beim Feldverantwortlichen.

• Ersteller-Freigabe: Das Risiko wurde vom Feldverantwortlichen bewertet und wartet auf Freigabe durch den Erfasser.

• Bewertet: Das Risiko wurde vom Feldverantwortlichen bewertet und ggf. vom Erfasser freigegeben und wartet auf Freigabe durch einen IT-Risikomanager.

Reduktion

Diese Phase wird für Risiken mit der Behandlungsstategie Reduktion angestoßen, sobald der IT-Risikomanager die Risikobewertung freigibt. Es liegt nun im Status Reduktion beim Maßnahmenverantwortlichen, der für die fristgerechte und effektive Umsetzung der Maßnahmen verantwortlich ist.

Sobald alle geplanten Maßnahmen umgesetzt sind und der Maßnahmenverantwortliche dies in der IRM-App dokumentiert hat, wechselt das Risiko in den Zustand Reduktion abgeschlossen und es wird automatisch geprüft, ob im Risiko hinterlegt wurde, dass die effektive Umsetzung der Maßnahmen bestätigt werden muss. Dies ist z. B. der Fall, wenn der Erfasser angegeben hat, dass er in die Behandlung des Risikos mit einbezogen werden möchte. Sobald einer der hinterlegten Personen der erfolgreichen Umsetzung nicht zustimmt, wechselt das Risiko wieder in den Zustand Reduktion und es liegt wieder in der Verantwortung des Maßnahmenverantwortlichen. Solange es Personen gibt, die sich noch nicht zur erfolgreichen Maßnahmenumsetzung geäußert haben, verbleibt das Risiko im Zustand Reduktion abgeschlossen.

Sobald alle die Effektivität der Maßnahmen bestätigt haben, wechselt das Risiko in den Status Reduziert und wird archiviert. Gleichzeitig wird jedoch ein neues Risiko erstellt, das als Restrisiko aus dem alten Risiko abgeleitet und mit dem alten Risiko verknüpft wird. Dieses erhält den Zustand Bewertung und wird an den Feldverantwortlichen zur Bewertung gegeben und durchläuft damit den Workflow als eigenständiges Risiko. In der Regel ist der Risikowert des neuen Risikos so gering, sodass es über die Strategie Akzeptanz akzeptiert werden kann.

Die Statusübergänge für diese Phase sind in obiger Abbildung dargestellt und die Bedeutung der einzelnen Statuswerte lässt sich wie folgt zusammenfassen:

• Reduktion: Das Risiko liegt beim Maßnahmenverantwortlichen zur Umsetzung von Maßnahmen zur Risikoreduktion.

• Reduktion abgeschlossen: Die Maßnahmen zur Risikoreduktion wurden umgesetzt und die Effektivität der Umsetzung muss noch bestätigt werden.

• Reduziert: Das Risiko wurde reduziert und ist nun archiviert.

Vermeidung

Der Workflow zur Vermeidung von Risiken verläuft analog zum Workflow zur Reduktion von Risiken. Nach Freigabe der Bewertung durch einen IT-Risikomanager wechselt das Risiko in den Status Vermeidung und liegt beim Maßnahmenverantwortlichen zur Umsetzung von Maßnahmen zur Risikovermeidung. Auch hier kann im Risiko hinterlegt werden, dass die Umsetzung der Maßnahmen überprüft werden muss, was durch den Zustand Vermeidung abgeschlossen gekennzeichnet ist. Sind alle erforderlichen Zustimmungen vorhanden, wechselt das Risiko in den Zustand Vermieden und wird archiviert.

Die Statusübergänge für diese Phase sind in obiger Abbildung dargestellt und die Bedeutung der einzelnen Statuswerte lässt sich wie folgt zusammenfassen:

• Vermeidung: Das Risiko liegt beim Maßnahmenverantwortlichen zur Umsetzung von Maßnahmen zur Risikovermeidung.

• Vermeidung abgeschlossen: Die Maßnahmen zur Risikovermeidung wurden umgesetzt und müssen bestätigt werden.

• Vermieden: Das Risiko wurde vermieden und ist nun archiviert.

Transfer

Der Workflow zum Transfer von Risiken verläuft analog zu Workflows zur Reduktion und zur Vermeidung von Risiken. Nach Freigabe der Bewertung durch einen IT-Risikomanager wechselt das Risiko in den Status Transfer und liegt beim Maßnahmenverantwortlichen zur Umsetzung von Maßnahmen zum Risikotransfer.

Auch hier kann im Risiko hinterlegt werden, dass die Umsetzung der Maßnahmen überprüft werden muss, was durch den Zustand Transfer abgeschlossen gekennzeichnet ist. Sind alle erforderlichen Zustimmungen vorhanden, wechselt das Risiko in den Zustand Transferiert und wird auf Wiedervorlage gelegt. Das Risiko erhält den Status Neu, sobald die Frist abgelaufen ist, bis wann die Maßnahmen zum Risikotransfer gültig sind.

Die Statusübergänge für diese Phase sind in der obigen Abbildung dargestellt. Die Bedeutung der einzelnen Statuswerte lässt sich wie folgt zusammenfassen:

• Transfer: Das Risiko liegt beim Maßnahmenverantwortlichen zur Umsetzung von Maßnahmen zum Risikotransfer.

• Transfer abgeschlossen: Die Maßnahmen zum Risikotransfer wurden umgesetzt und müssen bestätigt werden.

• Transferiert: Das Risiko wurde transferiert und ist auf Wiedervorlage.

Akzeptanz

Eine Risikoakzeptanz wird für Risiken mit der gesetzten Strategie Akzeptanz angestoßen, sobald der IT-Risikomanager die Risikobewertung freigibt. Das Risiko erhält hierzu den Status Warte auf Akzeptanz.

Verantwortlich für diesen Schritt ist ein IT-Risikomanager. In Abhängigkeit der Höhe des Risikowertes kann der IT-Risikomanager das Risiko direkt akzeptieren oder muss die Zustimmung von einem Dritten einholen. Wird die Akzeptanz verweigert, wird das Risiko erneut dem Feldverantwortlichen zur Bewertung vorgelegt und wechselt in den Status Bewertung. Wird das Risiko akzeptiert, erhält es den Status Akzeptiert und wird auf Wiedervorlage in einem Jahr gesetzt. Nach Ablauf der Wiedervorlagefrist erhält das Risiko automatisch den Status Neu und muss erneut begutachtet werden.

Die Statusübergänge für diese Phase sind in der obigen Abbildung dargestellt. Die Bedeutung der einzelnen Statuswerte lässt sich wie folgt zusammenfassen:

• Warte auf Akzeptanz: Es wurde die Akzeptanz des Risikos beantragt, eine Bestätigung der Akzeptanz ist noch nicht erfolgt.

• Akzeptiert: Das Risiko wurde akzeptiert und liegt auf Wiedervorlage.

Prolongation

In den Zuständen Reduktion, Vermeidung und Transfer hat der zuständige Maßnahmenverantwortliche jeweils die Möglichkeit, eine Verlängerung der Umsetzungsfrist zu beantragen. Hierfür wechselt das Risiko in den Zustand Prolongation beantragt und ein IT-Risikomanager ist dafür verantwortlich, die notwendige Zustimmung zur Prolongation einzuholen. Unabhängig vom Ergebnis des Antrags wechselt das Risiko in den vorherigen Zustand zurück, ggf. mit einer geänderten Umsetzungsfrist.

Die Bedeutung des hierfür verwendeten Status lässt sich wie folgt zusammenfassen:

• Prolongation beantragt: Für das Risiko wurde eine Prolongation beantragt, die auf Bestätigung wartet.