Kontrolldefinitionen

Eine Kontrolldefinition legt fest, in welchen Intervallen eine Kontrolle durchzuführen ist. Dabei werden für diese Kontrollen Umsetzer sowie Prüfer und Prüfverhalten definiert. Kontrolldefinitionen können dabei den Status "aktiv", "ausgesetzt" oder "deaktiviert" haben. Nur eine aktive Kontrolldefinition löst in den definierten Abständen, sofern sie als sich wiederholende Kontrolle konfiguriert wurde, Kontrollen aus.

Kontrollen durchlaufen, nachdem sie zum jeweiligen Termin ausgelöst werden, mehrere Phasen von der Durchführung der Kontrolle selbst, über die Prüfung der Kontrolle bis zur abgeschlossenen oder fehlgeschlagenen Kontrolle.

Experten und Professionals sehen unter "Kontrollen → Kontrolldefinitionen" alle Kontrolldefinitionen, die im aktuellen Managementsystem angelegt wurden.

Beim Anlegen einer Kontrolldefinition ist zu beachten, dass das richtige Managementsystem ausgewählt wurde, da Kontrolldefinitionen nur für das aktuelle Managementsystem angelegt werden.

Um eine neue Kontrolldefinition anzulegen, klicken Sie auf den "Plus" Button.

Zum Bearbeiten einer existierenden Kontrolldefinition doppelklicken Sie auf die gewünschte Kontrolldefinition.

Um eine bereits existierende Kontrolldefinition zu kopieren, klicken Sie auf den "Kopieren" Button neben dem Plus. Die Kontrolldefinition wird dadurch 1:1 kopiert, es werden aber keine Kontrolldurchführungen und Verknüpfungen kopiert!

OrgEh: Hier tragen Sie die Organisationseinheit ein, in der die Kontrolle durchzuführen ist.

Kürzel: Das ist das Kürzel, unter dem die Kontrolldefinition bzw. die Kontrolle zu finden ist (z.B. Orgeh + laufende Nummer Per_K_001).

Status:

• Aktiv: Die Kontrolle ist durchzuführen sobald sie anfällt.
• Ausgesetzt: Die Kontrolle ist aus einem bestimmten Anlass nicht durchzuführen, kann aber wieder aktiviert werden.
• Deaktiviert: Die Kontrolldefinition wird im Normalfall nicht mehr aktiv. Dieser Status steht für Kontrolldefinitionen, die aus Archivierungszwecken nicht mehr gelöscht werden sollen, da bereits Kontrollen durchgeführt wurden.

Bezeichnung: Hier sollten Sie kurz beschreiben, mit welcher Thematik sich die Kontrolldefinition beschäftigt.

Kontrollmaßnahme: Bei der Kontrollmaßnahme beschreiben Sie die Kontrolle und erklären, worauf bei der Durchführung zu achten ist. Dieses Feld unterstützt HTML Formatierung. Diese Formatierung wird auch in Berichten dargestellt.

Anmerkung: Hier tragen Sie weitere Informationen ein, die bei der Kontrolldurchführung zu beachten sind.

Norm-Mapping: Hier können Sie die Kontrolldefinition auf eine Norm mappen. Vorbefüllung:

• Beim Erstellen einer Kontrolldefinition aus einer Vorlage wird das Mapping der Vorlage übernommen.
• Beim Erstellen einer Kontrolldefinition im Zuge einer Überprüfung wird das Mapping der Prüffrage/des Prüfergebnisses übernommen, sofern gesetzt.
• Beim Erstellen einer Kontrolldefinition innerhalb eines Risikos (Tab Maßnahmen & Kontrollen) wird das Mapping des Risikos übernommen, sofern gesetzt.
• Hinweis: Mappings aus der Prüffrage/dem Prüfergebnis oder dem Risiko werden beim Erstellen überschrieben, wenn eine Vorlage verwendet wird.

Kontrolltypen:

• Organisatorisch: Es werden organisatorische Abläufe geprüft.
• Technisch: Es werden technische Abläufe geprüft.
• Vorbeugend: Die Kontrolle dient zur Vorbeugung eines Risikos/Schadens (z.B. Überprüfen eines Feuerlöschers).
• Korrigierend: Die Kontrolle dient zur Überprüfung eines bekannten Problems und beurteilt, ob besagtes Problem verringert wurde.
• Detektiv: Die Kontrolle dient dazu, Probleme aufzudecken, die dann verringert bzw. beseitigt werden können.

Technisch und organisatorisch sowie vorbeugend, korrigierend und detektiv schließen sich jeweils gegenseitig aus, es kann also immer nur eine der jeweiligen Optionen gewählt werden.

Priorität:

• Es gibt keine offizielle Definition für eine Schlüsselkontrolle. Eine Unterscheidung kann jedoch Zeit bei der Dokumentation und Prüfung von nicht wichtigen Kontrollen sparen.
  Als Entscheidungshilfe können folgende Merkmale dienen:
  
  • Sie ist erforderlich, um eine angemessene Sicherheit dafür zu bieten, dass wesentliche Fehler vermieden oder rechtzeitig erkannt werden.
  • Sie ist die einzige Kontrolle, die das Risiko wesentlicher, falscher Angaben abdeckt.
  • Wenn sie fehlschlägt, ist es höchst unwahrscheinlich, dass eine andere Kontrolle die Abwesenheit der Kontrolle erkennen könnte.
  • Es handelt sich um eine Kontrolle, die mehr als ein Risiko abdeckt oder eine gesamte Prozessausführung unterstützt.

Hinweis: Wurde für eine Schlüsselkontrolle kein Schwellwert definiert, eskaliert jedes Scheitern der Kontrolle bis zum Managementsystem-Verantwortlichen!

Schwellwert:

• Alarmiert, falls der Schwellwert überschritten wurde:
  
  • Managementsystem Verantwortliche(n)
  • sowie Personen und Teamleiter, die im Eingabefeld "Funktionale Eskalation zu" eingetragen sind
  Abhängig vom gewählten Zeitraum ist der Prüfungszeitraum von Schwellwertverletzungen:
  • Jahr: Seit Jahresbeginn,
  • Quartal: Seit letztem Quartalsbeginn,
  • Monat: Seit Monatsbeginn,
  • Woche: Seit Wochenbeginn,
  • Tag: Seit Tagesbeginn,
  • Stunde: Seit Stundenbeginn.
  Hinweis: Wird ein bereits verletzter Schwellwert innerhalb des Zeitraums erneut verletzt, so kommt es bei jeder neuerlichen Verletzung zu einer Eskalation.

Umsetzer: Hier tragen Sie die Personen ein, die für die Durchführung der Kontrolle zuständig sind.

Prüfverhalten: Hier definieren Sie, wann entschieden wird, ob eine Kontrolle als durchgeführt zählt, wenn mehrere Prüfer existieren.

• Alle müssen akzeptieren
• Erste Rückmeldung entscheidet
• Die Mehrheit entscheidet
• Alle müssen der Reihe nach akzeptieren

Prüfer: Hier tragen Sie die Personen ein, die die Durchführung der Kontrolle prüfen.

Nächste Kontrolle: Hier stellen Sie das Datum der nächsten durchzuführenden Kontrolle ein. Weiters können Sie entscheiden, ob die Kontrolle wiederkehrend ist und wenn ja, in welchem Intervall die Kontrolle durchgeführt werden soll. Für das Intervall kann eine simple Wiederholung eingestellt werden, z.B. alle 6 Monate, oder auch eine wochentagsgebundene Wiederholung, z.B. jeden letzten Freitag im Quartal.

Deadline: Soll die Kontrolle eine Deadline haben, müssen Sie diese angeben und definieren. Zudem wird vermerkt welche Personen beim Überschreiten der Deadline informiert werden.

E-Mail Benachrichtigungen sobald anhängig: Ist dieser Punkt aktiviert, wird, sobald eine Kontrolle durchgeführt wurde, der Umsetzer benachrichtigt. Dies kann unerwünscht sein, wenn eine Kontrolle beispielsweise täglich durchzuführen ist.

Erinnerungen: Hier können Sie mehrere E-Mail Erinnerungen für den Umsetzer konfigurieren.

Anlagen: Hier können Sie Dateien hochladen oder Links verknüpfen, die für den Umsetzer bei jeder Kontrolle ersichtlich sind. Dies kann beispielsweise eine Prüfprotokollvorlage sein, die der Umsetzer bei jeder Kontrolle herunterladen sowie ausfüllen und anschließend als Evidenz retournieren kann. Zu beachten ist, dass der Umsetzer die hier hochgeladenen Dateien nicht verändern kann.

Durch klicken des Buttons "Kopie dieser Kontrolldefinition erstellen" kann die Kontrolldefinition kopiert werden. Die Kopie enthält alle Daten des Originals, also Beschreibung, Umsetzer, Mappings, Anhänge, etc. Das einzige, was nicht kopiert wird, sind die bereits durchgeführten Kontrollen des Originals.

Professionals und Experten des Doku-Managements haben die Möglichkeit, zusätzlich zu regulären Kontrolldefintionen auch Prüf- und Freigabeworkflows anzulegen.

Mehr zur Freigabe von Dokumenten und Links finden Sie hier.

Wechseln Sie auf den Tab "Durchgeführte Kontrollen", bekommen Sie einen Überblick über die bereits durchgeführten Kontrollen.

Klicken Sie anschließend auf eine Kontrolle, öffnet sich ein Dialog, in dem Sie die Details zur Kontrolldurchführung sehen.

Eine Kontrolle kann sich in verschiedenen Status befinden:

• Ausstehend: Die Durchführung der Kontrolle durch den Umsetzer ist ausgelöst aber noch nicht passiert.
• Ausgesetzt: Die Kontrolle ist zur Zeit nicht durchzuführen.
• Prüfung ausstehend: Die Kontrolle wurde vom Umsetzer durchgeführt und an den/die Prüfer weitergegeben.
• Abgeschlossen: Die Kontrolle wurde in der Prüfung akzeptiert.
• Fehlgeschlagen: Die Kontrolle wurde in der Prüfung nicht akzeptiert oder die Deadline wurde überschritten.
• Irrelevant: Kontrollen dürfen nicht gelöscht werden. Sollen sie nicht in KPIs oder Berichten berücksichtigt werden, können sie stattdessen als irrelevant markiert werden.

Der Status einer Kontrolle kann von Experts und Professionals auf dieser Seite manuell angepasst werden. Dies kann nützlich sein, wenn beispielsweise eine Deadline verpasst wurde und man dem Umsetzer oder Prüfer eine Nachfrist einräumen möchte, indem man den Status von "Fehlgeschlagen" wieder auf "Ausstehend" oder "Prüfung ausstehend" ändert. Jede manuelle Änderung des Status scheint ebenfalls im Änderungsprotokoll auf.

Achtung: Durch Ändern des Status auf "Ausstehend" oder "Prüfung ausstehend" wird die Kontrolle dem Umsetzer oder Prüfer zur erneuten Durchführung/Bewertung zugewiesen.

Wird eine Kontrolldefinition z.B. einem Risiko oder einer Verarbeitungstätigkeit zugeordnet, so wird diese Verknüpfung in diesem Reiter angezeigt.

Wichtig: Dieser Reiter ist nur ersichtlich, wenn die Kontrolldefinition mit Entitäten verknüpft ist.

Durch Klick auf den blauen Link wird die jeweilige Entität geöffnet.

Hinweis: Wird die Entität nicht in blau dargestellt, dann fehlt Ihnen die Berechtigung, diese einzusehen bzw. befindet sie sich in einem anderen Managementsystem.

Achten Sie beim Erstellen einer wochentagsgebundenen Kontrollfrequenz darauf, dass Sie für die erste Kontrolle selbst den richtigen Tag auswählen! Beim Setzen des Datumswerts haben Sie eine Monatsansicht zur Verfügung, in der Sie leicht die ersten/zweiten/dritten/letzten Wochentage erkennen können.

Beispiel: Soll eine Kontrolle wöchentlich am Donnerstag stattfinden, wäre das Intervall "jeden ersten Donnerstag alle 1 Woche(n)". Da bei einer wöchentlichen Frequenz Wochentage nicht mehrmals vorkommen können, wird das Feld "ersten/zweiten/dritten/letzten" automatisch deaktiviert.