In dieser Anleitung werden die Schritte zur Parametrierung einer Berechnungsmethodik für das Restrisiko durch eine korrekte Implementierung der Kontrollmethodik erklärt.
Die erste Phase in Bezug auf die Risikoanalysen des Unternehmens besteht darin, das inhärente Risiko in Bezug auf Prozesse, Vermögenswerte, Elemente… letztendlich das Risiko all dessen, was berücksichtigt werden muss, zu bestimmen.
Die zweite Phase besteht darin, die Auswirkungen von Aktionsplänen oder Kontrollen zu kennen oder anzuwenden, um das inhärente Risiko zu mindern und so das sogenannte Restrisiko zu erhalten.
Risikomethodik. Inhärentes Risiko.
Das inhärente Risiko, obwohl seine Berechnungsmethodik von jeder Organisation individuell abhängt, ist regelmäßig das Ergebnis der Interaktion zwischen der „ Wahrscheinlichkeit“ und der „ Auswirkung“.
Im folgenden Bild ist ein Beispiel für eine Risikoanalyse in GlobalSuite® zu sehen:
Zur Erinnerung: Die Konfiguration der Risikomethodik erfolgt im Abschnitt Einstellungen, genauer gesagt im Bereich Methodiken > Risiken .
Im Bild rechts ist die Risikomethodik zu sehen, die der zuvor gezeigten Risikoanalyse zugrunde liegt, bei der die „ Auswirkung“ etwas stärker gewichtet wird.
Das inhärente Risiko kann durch eine Formel zwischen Auswirkung und Wahrscheinlichkeit wie im obigen Beispiel berechnet werden:
oder alternativ durch die Konfiguration eines kartesischen Produkts:
Methodik und Bewertung von Kontrollen.
Nach der Bestimmung des inhärenten Risikos sollte man über die definierten Aktionspläne oder Kontrollen nachdenken, die darauf abzielen, Risiken zu mindern, die die ARL oder Risikobereitschaft überschreiten. Letztendlich geht es darum, die Wirksamkeit der angewandten Kontrollen auf das inhärente Risiko zu kennen. Über Einstellungen > Methodiken > Kontrollen wird die Dimension zur Kontrollwirksamkeit konfiguriert. Im Beispiel wird die Kontrollreife basierend auf anderen Dimensionen, Eigenschaften und/oder spezifischen Bedingungen der jeweiligen Kontrolle berechnet.
Für eine detailliertere Diagnose der Kontrollwirksamkeit kann die Art der Kontrolle identifiziert werden, d. h., ob sie „präventiv“ oder „korrektiv“ ist.
Das Ziel ist es, zu wissen, ob die Minderung die Wahrscheinlichkeit oder die Auswirkung beeinflusst. Dazu werden die Dimensionen „ Wahrscheinlichkeitsreduktion“ und „ Auswirkungsreduktion“ erstellt.
Im Folgenden wird die Berechnung der Dimensionen „Wahrscheinlichkeitsreduktion“ und „Auswirkungsreduktion“ erläutert.
1. Für die Berechnung der Dimension „ Wahrscheinlichkeitsreduktion“ wurde die folgende Formel verwendet:
Dabei ist C1 = „Kontrolltyp“ und C7 = „Kontrollwirksamkeit“.
Mit dieser Formulierung wird die Kontrollwirksamkeit in der Dimension „Wahrscheinlichkeitsreduktion“ gespeichert, sofern die Kontrolle präventiv ist. Daher wird in der Bedingung der Formel diese Eigenschaft überprüft, C1 = 1.
-
Für die Berechnung der Dimension „Auswirkungsreduktion“ wurde die folgende Formel verwendet:
Dabei ist C1 = „Kontrolltyp“ und C7 = „Kontrollwirksamkeit“.
In diesem Fall wird in der Dimension „Auswirkungsreduktion“ der Wert der Kontrollwirksamkeit gespeichert, sofern die Kontrolle korrektiv ist, C1 = 2.
Damit wird die Kontrollwirksamkeit je nach Typologie in zwei verschiedene Dimensionen aufgeteilt.
Parallel dazu wird ein Zähler registriert, der die Kontrollen ebenfalls in präventive und korrektive unterteilt, um die Anzahl der Kontrollen jedes Typs in zwei weiteren Dimensionen zu speichern und zu unterscheiden.
Dazu wurden die Dimensionen „ Wendet Wahrscheinlichkeit an“ für präventive Kontrollen ( C1 = 1)
Und ebenso die Dimension „ Wendet Auswirkung an“, für korrektive Kontrollen (C1 = 2):
Der nächste Schritt besteht darin, die in der Kontrollmethodik konfigurierten Dimensionen zu bewerten. Dazu wird auf Kontrollmanagement zugegriffen, wobei die manuellen Dimensionen direkt auf dem Bildschirm bewertet werden können, wodurch der Wert der automatischen Dimensionen erhalten wird.
Restrisiko.
Die letzte Phase, nach der Konfiguration und Anwendung der Kontrollmethodik in der Analyse, besteht darin, die Dimension Restrisiko zu konfigurieren, wobei die Auswirkungen der Kontrollwirksamkeit auf das inhärente Risiko berücksichtigt werden. Über Einstellungen > Methodiken > Risiken werden die Residualdimensionen „Residualwahrscheinlichkeit“, „Residualauswirkung“ und „Restrisiko“ wie im folgenden Bild gezeigt erstellt:
Die Residualdimensionen haben die gleichen Designeigenschaften wie ihre inhärenten Gegenstücke (qualitativ mit denselben definierten Ebenen), mit dem Unterschied, dass ihre Berechnung in diesem Fall automatisch durch eine Formulierung erfolgt, die die inhärenten Dimensionen mit der Kontrollwirksamkeit verknüpft.
Im folgenden Bild ist die Wirkung der implementierten Kontrollen auf die inhärente Wahrscheinlichkeit und die inhärente Auswirkung der Risiken sowie folglich auf das inhärente Risiko zu sehen:
Im Beispiel: Residualwahrscheinlichkeit = Inhärente Wahrscheinlichkeit – Durchschnitt der Kontrollwirksamkeit (Wahrscheinlichkeit).
C8 = Wahrscheinlichkeitsreduktion (Wirksamkeit der Kontrollen, die die Wahrscheinlichkeit mindern).
C10 = Wendet Wahrscheinlichkeit an (Kontrollen, die auf die Wahrscheinlichkeit angewendet werden).
Ebenso: Residualauswirkung = Inhärente Auswirkung – Durchschnitt der Kontrollwirksamkeit (Auswirkung).
C9 = Auswirkungsreduktion (Wirksamkeit der Kontrollen, die die Auswirkung mindern).
C11 = Wendet Auswirkung an (Kontrollen, die auf die Wahrscheinlichkeit angewendet werden).
Schließlich: Restrisiko = Gewichtete Summe von Residualwahrscheinlichkeit und Residualauswirkung.
Über die Risikoanalyse kann die Auswirkung der Kontrollen auf das inhärente Risiko festgestellt werden.
Nach der Zuordnung einer oder mehrerer Kontrollen zu den Risiken können diese auf das inhärente Risiko einwirken, wobei dieser Effekt im Restrisiko sichtbar wird, wie im Bild gezeigt.
Schließlich kann über Risikobewertung / Risikokarte anzeigen zusätzlich zu allen Informationen zu den Analysen ein visueller Vergleich zwischen den Heatmaps von inhärentem Risiko und Restrisiko erstellt werden, der eine sehr klare Sicht auf die Wirksamkeit der implementierten Kontrollen bietet, wie im folgenden Bild gezeigt:
Um diesen Vergleich zu erhalten, genügt es, auf die Schaltfläche „Dimensionen auswählen“ zu klicken und die beiden Dimensionen auszuwählen, die verglichen werden sollen, in diesem Fall „Inhärentes Risiko“ (links) und „Restrisiko“ (rechts).