Risikomanagement Dashboard/de: Unterschied zwischen den Versionen

Experten, Professionals und Beobachter bekommen im Risikomanagement Dashboard Auskunft über Risiken, Compliance Deckung etc. des Managementsystems. Dafür stehen im Dashboard Key-Performance-Indikatoren (KPIs) zur Verfügung, mit denen das Dashboard beliebig angepasst werden kann.

Achtung: Es werden nur Risiken angezeigt, die für die Schadensausmaßklassifikation des ausgewähltem Managementsystems bewertet wurden.

Für das Risikomanagement stehen die folgenden KPIs zur Verfügung. Wie Dashboards angepasst und erstellt werden, wird unter Dashboards erstellen und bearbeiten beschrieben.

Dieser KPI gibt Auskunft über den Status der Schwachstellenanalysen in den selektierten Analysezeiträumen. Dabei kann eingeschränkt werden, ob alle Analysen, nur Prüfergebnisse oder nur Abweichungsanalysen angezeigt werden sollen.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Durch Doppelklicken auf ein Kreissegment öffnet sich ein Auswahldialog, in dem die jeweiligen Analysen aufgelistet werden. Die Analysen können auch mittels Doppelklick geöffnet werden.

Soll ein Sub-Kapitel eines Spinnendiagramms analysiert werden, kann dies durch einen Klick auf den Punkt des jeweiligen übergeordneten Kapitel in der Spinne geschehen. Dadurch wird das Kapitel selektiert und alle Sub-Kapitel mit ihrer jeweiligen Abdeckung dargestellt: die Spinne "zoomt" eine Ebene tiefer. Um die Selektion wieder rückgängig zu machen, kann auf den Zurück-Pfeil geklickt werden: die Spinne "zoomt" wieder heraus.

Mit Rechtsklick kann bei der Compliance Erfüllung und Fragen Deckung (Total) ein Auswahldialog geöffnet werden, in dem die Prüffragen/Prüfergebnisse aufgelistet werden. Es werden auch Kapitel, Überprüfung und die Beantwortung angezeigt. Durch Doppelklick auf eine Prüffrage/Prüfergebnis öffnet sich die Überprüfung mit der Prüffrage.

Wie viel Text rund um die Spinne angezeigt wird, hängt von der Anzahl der angezeigten Kapitel und dem verfügbaren Platz ab sowie davon, ob der KPI in Bearbeitung ist. Mit einer Checkbox kann eine Übersicht der aktuell angezeigten Kapitel eingeblendet werden.

Diese KPI gibt Auskunft, inwiefern die Compliance Anforderungen an einen Standard/eine Norm erfüllt werden. Die grüne Linie repräsentiert dabei den Target Score des aktuellen Analysezeitraumes. Durch dies kann herausgefunden werden, welche Themen/Kapitel eines Standards oder einer Norm noch genauer behandelt werden sollten.

Als Berechnungsbasis werden die beantworteten Fragen eines Normkapitel verwendet. Hier werden weder Strukturfragen noch als entbehrlich gekennzeichnete Fragen für die Berechnung berücksichtigt. Angezeigt wird der durchschnittliche Score der beantworteten Fragen eines Normkapitels.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Die Fragen Deckung (Prozentuell) zeigt das Verhältnis der Gesamtzahl an Prüffragen einer gewählten Wissensdatenbank, die mit einem Normkapitel verknüpft sind. D.h. wie viele der vorhandenen Fragen beantwortet worden sind. Jedes Kapitel kann maximal 100% erreichen, auch wenn eine Frage mehrmals beantwortet wird. Strukturfragen sind ebenfalls aus der Berechnung ausgenommen. Hier wird also die Prüffragenabdeckung eines Standards/Norm je Wissensdatenbank ausgewertet.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Die Fragenabdeckung (Total) soll verdeutlichen, wie viele Fragen UND Prüfergebnisse zum Normkapitel beantwortet bzw. als entbehrlich gekennzeichnet wurden. D.h es wird die Deckung der Prüffragen aus allen Prüffragen von Wissensdatenbanken, die auf diese Norm mappen aufsummiert dargestellt. Strukturfragen sind aus dieser Berechnung ausgenommen. Wird ein Normkapitel mehrmals als Prüfobjekt angelegt und dieselben Prüffragen mehrfach beantwortet erhöht sich die Anzahl der beantworteten entsprechend.

Damit gewinnt man die Information, ob man gewisse Themen mehr oder weniger stark in den Überprüfungen beleuchtet hat und ob es ggf. Sinn macht, in zukünftigen Audits auf bestimmte Themenstellungen einen Fokus zu legen.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Dieses KPI gibt einen Überblick darüber, wie gefährlich die einzelnen Risiken des Managementsystems sein können. Je weiter rechts oben sich eine Risiko befindet, desto gefährlicher ist sie. Wird der Mauszeiger auf einen der Punkte im Diagramm bewegt, wird ersichtlich, um welche Risiken es sich handelt. Standardmäßig werden keine akzeptierten oder verworfenen Risiken angezeigt.

• Risiken: Durch diese Option werden die Risiken angezeigt.

• Chancen: Durch diese Option werden die Chancen angezeigt.

• Mit akzeptierten Risiken: Durch diese Option werden auch Risiken, die bereits akzeptiert wurden und sich deswegen im Status "Akzeptiert" befinden, angezeigt.

• Nur Risiken dieses Managementsystems anzeigen: Diese Option sorgt dafür, dass nur die Risiken des aktuellen Managementsystems angezeigt werden. Öffentliche (d.h. nicht als "privat" markierte) Risiken aus anderen Managementsystemen werden dadurch nicht mehr angezeigt.

• Risikokategorien: Hier kann die Risikomatrix so eingeschränkt werden, dass nur noch Risiken angezeigt werden, die mit den ausgewählten Risikokategorien in Verbindung stehen. Eine Risikokategorie kann direkt in der Risiken mit dieser verknüpft werden.

• OrgEh: Hier kann die Risikomatrix so eingeschränkt werden, dass nur noch Risiken angezeigt werden, die mit den ausgewählten Organisationseinheiten in Verbindung stehen. Eine Organisationseinheit kann über die "Strukturelemente" des Risikos mit diesem in Verbindung gebracht werden.

Mit der Zeitspanne unter der Risikomatrix lässt sich nachverfolgen, wie sich Risiken über einen Zeitraum entwickelt haben. Dafür muss lediglich auf einen der Punkte in der Zeitspanne geklickt werden. Mit den Pfeilen links und rechts kann die Zeitspanne angepasst werden.

Dieser KPI gibt eine Übersicht der Risiken und Chancen anhand ihres Status sowie Vollständigkeit der Bewertung der Risiken/Chancen.

Die äußere Ebene stellt sämtliche Risiken und Chancen anhand ihrer Status dar. Die innere Ebene stellt nicht oder nicht vollständig bewertete Risiken/Chancen (ohne Eintrittswahrscheinlichkeit oder Schadensausmaß/Nutzen) im Verhältnis zur Gesamtzahl der vorhanden Risiken und Chancen dar. In der Mitte des Diagramms ist die Gesamtanzahl der vorhanden Risiken und Chancen anhand des gesetzten Filters dargestellt.

Es ist möglich, die angezeigten Risiken/Chancen auf das aktuelle Managementsystem einzuschränken.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Durch Doppelklicken auf ein Kreissegment öffnet sich ein Auswahldialog, in dem die jeweiligen Risiken aufgelistet werden. Die Risiken können auch mittels Doppelklick geöffnet werden.

Dieser KPI gibt Auskunft über die Kategorien, denen Risiken und Chancen zugeteilt sind.

Es ist möglich, die berücksichtigten Risiken/Chancen auf nur aktuelle Risiken/Chancen und/oder auf das aktuelle Managementsystem einzuschränken.

Da Risiken sowie Chancen mehreren Kategorien zugeteilt sein können, können sie auch mehrmals in diesem KPI vorkommen (oder auch gar nicht, wenn sie nicht kategorisiert sind). Die Anzahl der Risiken/Chancen muss also nicht der Anzahl der Risiken/Chancen in der Risikomatrix entsprechen. Ein Doppelklick auf ein Balkensegment öffnet einen Auswahldialog, in dem die jeweiligen Risiken und Chancen aufgelistet werden. Die Risiken und Chancen können auch mittels Doppelklick geöffnet werden.

Dieser KPI gibt Auskunft über die Bedrohungen, denen Risiken zugeteilt sind.

Es ist möglich, die berücksichtigten Risiken auf nur aktive Risiken und/oder auf das aktuelle Managementsystem einzuschränken. Weiters kann man auch alle Bedrohungen einblenden und erhält so eine vollständige Liste, die auch jene Bedrohungen enthält, die keinem Risiko zugewiesen sind.

Da Risiken mehreren Bedrohungen zugeteilt sein können, können Risiken auch mehrmals in diesem KPI vorkommen (oder auch gar nicht, wenn sie nicht verknküpft sind). Die Anzahl der Risiken muss also nicht der Anzahl der Risiken in der Risikomatrix entsprechen. Ein Doppelklick auf ein Balkensegment öffnet einen Auswahldialog, in dem die jeweiligen Risiken aufgelistet werden. Die Risiken können auch mittels Doppelklick geöffnet werden.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Dieser KPI gibt Auskunft zur Risikobehandlung hinsichtlich der verknüpften offenen und erledigten Maßnahmen sowie Kontrollen zu aktiven Risiken und Chancen.

Dazu werden Informationen wie, ob Behandlungsmaßnahmen/-kontrollen überfällig sind oder ob aktive Risiken existieren, die noch mit keiner Maßnahme oder Kontrolle zur Behandlung verknüpft sind, angezeigt. Geplante, ausgesetzte und abgebrochene Maßnahmen werden in diesem KPI nicht berücksichtigt. Eingereichte, akzeptierte, geschlossene und verworfene Risiken werden ebenfalls nicht berücksichtigt.

Das KPI ist in einen äußeren und einen inneren Ring aufgeteilt. Dabei zeigt der äußere Ring, wie viele Risiken eine Behandlung, Komplikationen in der Behandlung oder keine Behandlung haben. Die Risiken mit Behandlung werden im inneren Ring weiter aufgeschlüsselt und in abgeschlossene und in Durchführung befindliche Behandlungen aufgeteilt. Gibt es keine Risiken mit Behandlung, wird der innere Ring nicht dargestellt. Es ist möglich, die berücksichtigten Risiken und Chancen auf das aktuelle Managementsystem einzuschränken. Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert. Ein Doppelklick auf ein Kreissegment öffnet einen Auswahldialog, in dem die jeweiligen Risiken aufgelistet werden. Die Risiken können auch mittels Doppelklick geöffnet werden.

Dieser KPI gibt Auskunft über den Status der Schutzbedarfsanalysen in den selektierten Analysezeiträumen. Dabei kann eingeschränkt werden, ob alle Analysen, nur Analysen von Organisationseinheiten oder nur Analysen von Prozessen angezeigt werden sollen.

• Historische Analysen inkludieren: Standardmäßig werden die aktuellsten Versionen von mehrfach geführten Schutzbedarfsanalysen zu Organisationseinheiten und Prozessen angezeigt. Durch diese Checkbox können aber auch ältere Schutzbedarfsanalysen zu den Organisationseinheiten und Prozessen angezeigt werden.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Durch Doppelklicken auf ein Kreissegment öffnet sich ein Auswahldialog, in dem die jeweiligen Schutzbedarfsanalysen aufgelistet werden. Die Schutzbedarfsanalysen können auch mittels Doppelklick geöffnet werden.

Dieser KPI liefert die Überprüfungen mit der höchsten Summe an Abweichungen nach Target Score Gewichtung zu dem gewählten Schutzziel und den gewählten Audits.

Die Summe an Abweichungen nach Target Score Gewichtung in den Überprüfungen, die den Audits zugeordnet sind, bezieht sich immer auf den aktuellen Target Score. Das bedeutet, dass auch wenn die Abweichungen auf einen bestimmten Analysezeitraum eingeschränkt werden, diese mit dem Target Score des aktuellem Analysezeitraumes betrachtet werden.

Es kann zudem konfiguriert werden, welche Überprüfungen angezeigt werden:

• Unterfüllung: Nur Überprüfungen, die eine Summe größer 0 haben. Je größer die Summe, umso schlechter.
• Überfüllung: Nur Überprüfungen, die eine negative Summe haben. Je kleiner die Summe, umso besser.
• Alle: Alle Überprüfungen, egal ob die Summe der Abweichungen positiv oder negativ ist.

Die Sortierung beeinflusst, ob man die schlechtesten Ergebnisse (höchste positive Summe an Abweichungen) oder die besten Abweichungen (niedrigste positive Summe an Abweichungen, aber keine Übererfüllungen) präsentiert bekommt.

• Nur abgeschlossene Überprüfungen: Durch diese Option werden nur abgeschlossene Überprüfungen berücksichtigt.

• Historische Abweichungen inkludieren: Standardmäßig werden die aktuellsten Versionen von mehrfach geführten Überprüfungen berücksichtigt. Durch diese Checkbox können aber auch ältere Versionen von Überprüfungen berücksichtigt werden.

Wird kein Analysezeitraum ausgewählt, werden alle Abweichungen aus allen Analysezeiträumen dargestellt. Es kann auch eingeschränkt werden, aus welchen Organisationseinheiten die Überprüfungen kommen müssen.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Mit einem Doppelklick auf eine Abweichung wird die entsprechende Analyse mit der Abweichung geöffnet.

Dieser KPI ist eine Auflistung der Top Risiken und Chancen des Managementsystems. Die angezeigten Risiken und Chancen werden also anhand ihrer Risikokennzahl gereiht. Je weiter oben, umso größer das Risiko. Je weiter unten, umso größer die Chance.

Alternativ kann auch auf Entitäten umgeschaltet werden. Dadurch werden jene Entitäten angezeigt, die am gefährdetsten sind.

Die Dreiecke geben Auskunft darüber, wie gefährlich ein Risiko ist und wie gefährdet eine Entität ist. Die Würfel geben Auskunft darüber, wie gut eine Chance ist. Bewegen Sie den Mauszeiger darüber, wird die jeweilige Risikokennzahl angezeigt.

Mit einem Doppelklick auf ein Risiko/eine Chance/eine Entität werden Sie zum entsprechenden Risiko/Chance/Entität weitergeleitet.

Dieser KPI liefert die Prüfobjekte mit der höchsten Abweichungssummen nach Target Score Gewichtung zu dem gewählten Schutzziel und den gewählten Audits.

Die Summe an Abweichungen nach Target Score Gewichtung der Prüfobjekte, die den Audits zugeordnet sind, bezieht sich immer auf den aktuellen Target Score. Das bedeutet, dass auch wenn die Abweichungen auf einen bestimmten Analysezeitraum eingeschränkt werden, diese mit dem Target Score des aktuellem Analysezeitraumes betrachtet werden.

Es kann zudem konfiguriert werden, welche Prüfobjekte angezeigt werden:

• Unterfüllung: Nur Prüfobjekte, die eine Summe größer 0 haben. Je größer die Summe, umso schlechter.
• Überfüllung: Nur Prüfobjekte, die eine negative Summe haben. Je kleiner die Summe, umso besser.
• Alle: Alle Prüfobjekte, egal ob die Summe der Abweichungen positiv oder negativ ist.

Die Sortierung beeinflusst, ob man die schlechtesten Ergebnisse (höchste positive Summe an Abweichungen) oder die besten Abweichungen (niedrigste positive Summe an Abweichungen, aber keine Übererfüllungen) präsentiert bekommt.

• Nur abgeschlossene Überprüfungen: Durch diese Option werden nur Prüfobjekte aus abgeschlossene Überprüfungen berücksichtigt.

• Historische Prüfobjekte inkludieren: Standardmäßig werden die aktuellsten Versionen von mehrfach bewerteten Prüfobjekten berücksichtigt. Durch diese Checkbox können aber auch ältere Versionen der Prüfobjekte berücksichtigt werden.

Wird kein Analysezeitraum ausgewählt, werden alle Prüfobjekte aus allen Analysezeiträumen dargestellt. Es kann auch eingeschränkt werden aus welchen Organisationseinheiten die Überprüfungen der Prüfobjekte kommen.

Die Datenselektion erfolgt entweder im Bearbeitungsmodus, über das Dialogfenster oder es wird die Datenselektion im Ansichtsmodus aktiviert.

Mit einem Doppelklick auf ein Prüfobjekt wird die entsprechende Analyse mit dem Prüfobjekt geöffnet.