In dieser Übersicht werden alle Risiken und Chancen aus den unterschiedlichen Managementsystemen angezeigt. Es ist zudem möglich nur die Risiken und Chancen des aktuellen Managementsystems anzuzeigen. Weiters können Risiken und Chancen auf privat gestellt werden, sodass sie nur mehr in jenem Managementsystem angezeigt werden, in dem sie angelegt wurden.

Wird ein Risiko oder eine Chance angeklickt, können Sie dieses bearbeiten oder ansehen. Dann ist es möglich anzusehen welche Abweichungen, Bedrohungen, Maßnahmen oder Kontrollen diesem Risiko zugewiesen sind.

Achtung:

• Ein Risiko/Chance, das nicht "privat" ist, kann für jedes Managementsystem, das andere Klassifikationen von Schadensausmaß oder Nutzen verwendet, separat bewertet werden. Das heißt: Bewertungen gelten nur für Managementsysteme, die die selben Klassifikationen verwenden.

Ein Risiko kann eine Sammlung aus negativen Abweichungen sein, die eine konkrete Gefahr für die verknüpften Entitäten bilden. Eine Chance kann eine Sammlung aus positiven Abweichungen sein, die ein konkretes Potenzial für die verknüpften Entitäten bilden.

Abweichungen entstehen im Zuge einer Überprüfung. Das ist dann der Fall, wenn z.B. Prüffragen von Prüfobjekten "negativ" oder unter Target Score beantwortet werden. Anschließend können die Abweichungen Risiken zugewiesen werden. Positive Abweichungen werden "positiv" oder entsprechend bzw. über dem Target Score beantwortet.

Die Prüfobjekte, in denen sich die Prüffragen befinden, können mit Entitäten (Ressourcen, Datenkategorien, Prozessen und/oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten ein konkretes Risiko oder eine konkrete Chance, das in der Strukturanalyse ersichtlich ist.

Risiken und Chancen können auch frei erfasst werden.

Frei erfasste Risiken/Chancen haben im Normalfall keine verknüpften Abweichungen, solche können ihnen aber zugewiesen werden. Bei frei erfassten Risiken kann es sich z.B. um eine Liste an Risiken handeln, die schon vor der Verwendung von HITGuard, z.B. mit Excel, gepflegt wurde. Solche Listen können mit Hilfe des Datenimporters eingeholt werden. Das gleiche gilt für Chancen.

Risiken und Chancen können im Anschluss bewertet werden, indem eine Eintrittswahrscheinlichkeit und ein Schadensausmaß oder ein Nutzen ausgewählt werden. Dadurch ergibt sich die Risikokennzahl, nach der das Risiko oder die Chance z.B. im Risikomanagement Dashboard angezeigt wird. Diese Bewertung erfolgt nach der Klassifikation von Schadensausmaß und Nutzen. Das heißt: wurde ein Risiko/Chance in einem Managementsystem mit der Klassifikation "Standard" bewertet, kann es in einem anderen Managementsystem mit der Klassifikation "Datenschutz" anders bewertet werden (solange es nicht als "Privat" gekennzeichnet ist).

Die Bewertung/Überprüfung von Risiken und Chancen kann an die eingetragen Sachbearbeiter delegiert werden (siehe Workflow Button). Diese finden die Risiken und Chancen dann unter ihren Aufgaben zum Bewerten/Überprüfen.

Im Risiko/Chance selbst werden:

• die Eckdaten dargestellt.
• alle Abweichungen, die dem Risiko oder der Chance zugewiesen sind, angezeigt.
• die Maßnahmen/Kontrollen, die den Abweichungen zugewiesen sind, aufgelistet.
• die Maßnahmen/Kontrollen, die dem Risiko oder der Chance manuell zugewiesen sind, aufgelistet.

Weiters wird jede Änderung der Bewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitliche Entwicklung" zu finden.

Wichtig: Diese sollten für Risiken die vor HITGuard Release Oktober 2020 erstellt wurden, nachdokumentiert werden. Mehr dazu findet sich unter Zeitliche Entwicklung.

Kürzel:

• Beim Kürzel tragen Sie den abgekürzten Titel des Risikos/der Chance ein.

Status:

• Aktiv: Das Risiko/die Chance besteht noch.
• Geschlossen: Das Risiko/die Chance wurde behoben.
• Akzeptiert: Sie sind sich des Risikos/der Chance bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben/verfolgen.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Privat:

• Stellen Sie das Risiko/die Chance auf privat, so wird das Risiko/die Chance nur noch im aktuellen Managementsystem angezeigt. Andernfalls ist es in jedem Managementsystem sichtbar und kann für jede Klassifikation von Schadensausmaß und Nutzen bewertet werden.
• Maßnahmen, Kontrollen, Bedrohungen und Abweichungen sind allerdings nur in den jeweiligen Managementsystemen zu sehen, in denen diese erstellt wurden, unabhängig davon, ob das Risiko oder die Chance als privat gekennzeichnet wurde.

Workflow Button:

• Überprüfung anfordern

Damit kann von den Sachbearbeitern eine Überprüfung/Neubewertung des Risikos/der Chance angefordert werden. Die Sachbearbeiter finden angeforderte Überprüfungen unter ihren Aufgaben in "Meine Aufgaben → Risiken & Chancen".

• Überprüfung akzeptieren

Wird die Überprüfung vom Sachbearbeiter retourniert, kann sie hier akzeptiert werden. Sollten die Überprüfung nicht passen, kann sie auch erneut angefordert werden.

Bezeichnung und Beschreibung:

• Bei der Bezeichnung muss eingetragen werden wie das Risiko oder die Chance benannt werden soll.
• Bei der Beschreibung sollten Sie das Risiko oder die Chance beschreiben/erklären.

Anmerkungen:

• Hier kann erklärt werden wie es zu der Bewertung des Risikos/der Chance gekommen ist.

Strategie

• Bewältigungsstrategien: diese Optionen beschreiben, wie mit der Gefahrensituation umgegangen werden soll.
  • Undefiniert (es wurde noch nicht festgelegt, wie damit umzugehen ist)
  • Risikovermeidung (Verzicht auf die Tätigkeit; eigentlich sollte das Risiko dann auch geschlossen werden)
  • Risikoverminderung (Eintrittswahrscheinlichkeit wird durch Maßnahmen reduziert)
  • Transfer (Auslagerung des Risikos; zB durch Überwälzung des Risikos)
  • Akzeptanz
• Behandlungsstrategien: diese Optionen beschreiben, wie mit dem Potenzial umgegangen werden soll.
  • Ausnutzen
  • Ignorieren
  • Teilen
  • Verstärken

Eintrittswahrscheinlichkeit:

• Hier können Sie eintragen, wie wahrscheinlich es ist, dass das Risiko das Unternehmen trifft oder sich dem Unternehmen die Chance bietet.
  Mehr Information finden Sie unter Eintrittswahrscheinlichkeit.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Schadensausmaß/Nutzen:

• Hier können Sie eintragen wie groß der potenzielle Schaden ist, der durch das Risiko entstehen kann. Hier können Sie auch eintragen, wie groß der potenzielle Nutzen ist, der durch die Chance entstehen kann.
• Es stehen nur Schadensausmaße und Nutzen der Klassifikation des aktuellen Managementsystems zur Verfügung.
• Änderungen hier werden protokolliert (Zeitliche Entwicklung).

Kategorien von Risiken und Chancen:

• Hier können Sie erfassen, in welche Kategorien Sie das Risiko oder die Chance eingliedern.
  Mehr Information finden Sie unter Kategorien von Risiken und Chancen.

Verantwortlichkeit und Sachbearbeiter:

• Die verantwortliche Person ist der primäre Ansprechpartner für das Risiko/die Chance.
• Die Sachbearbeiter sind für die Behandlung zuständig. Wird eine Überprüfung des Risikos/der Chance angefordert, sind die Sachbearbeiter für die Überprüfung zuständig.

Zugewiesene Schutzziele und Gewichtungen:

• Hier können Sie festhalten welche Schutzziele wie stark betroffen sind, wenn das Risiko eintritt oder die Chance ausgenutzt wird.
  Beispiel:

Risiko: Einbruch in den Serverraum

Schutzziel	Gewichtung	Erklärung
Vertraulichkeit	4	Einbruch zum Diebstahl einer Festplatte
Verfügbarkeit	4	Der Einbrecher könnte etwas zerstören
Integrität	3	Er könnte auch am System etwas ändern

Norm-Mapping:

• Beschäftigt sich das Risiko/die Chance mit einem oder mehreren Normkapiteln, sollten diese hier eingetragen werden.

Betroffene Strukturelemente:

• Hier werden alle Strukturelemente angeführt, die durch die Abweichungen mit dem Risiko oder der Chance in Beziehung stehen.
• Durch Öffnen des Dropdown-Menüs können Strukturelemente mit dem Risiko/der Chance verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
• Beispiel:

Das Risiko "Temperaturprobleme in Serverräumen" wird z.B. über eine Abweichung beim Überprüfen der Serverräume mit dem Strukturelement "Serverraum" verknüpft.

ID in Drittsystemen:

Durch diese ID kann das Risiko/die Chance durch einen Import aktualisiert werden. Dafür muss die ID mit der ID des Risikos/der Chance des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls das Risiko/die Chance eigentlich aus einem Drittsystem stammt, aber das Risiko/die Chance vor einem Import bereits manuell angelegt wurde und in Zukunft durch Imports aktualisiert werden soll.

In diesem Reiter werden alle Abweichungen gelistet, die dem Risiko/der Chance zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zum Risiko oder der Chance zuweisen.

Target Score Gewichtung:

• Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles desto größer ist die Target Score Gewichtung. Mehr zur Target Score Gewichtung finden Sie hier.

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil das Risiko oder die Chance in diesem Managementsystem keine Abweichungen hat, heißt das nicht, dass keine existieren.

Darstellung der Abweichungen:

• Schwarz: Abweichungen, die diesem Risiko/dieser Chance zugewiesen sind und nicht behoben wurden.
• Grün: Abweichungen, die diesem Risiko/dieser Chance zugewiesen sind und behoben oder mit mindestens dem Target Score angegeben wurden.
• Grau: Hier handelt es sich um historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und dem Risiko/der Chance zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
• Zu Risiko xx verschoben: Die Abweichung wurde ursprünglich dem aktuell dargestellten Risiko/Chance zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einem anderen Risiko/Chance, dem Risiko/Chance xx.

Klicken Sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum Zuordnen von Abweichungen.

In diesem Reiter werden alle Maßnahmen und Kontrollen gelistet, die dem Risiko/der Chance zugewiesen sind un damit der Behandlung dienen. Je nach Status werden sie in der oberen oder unteren Tabelle angezeigt, mehr dazu weiter unten. Die Maßnahmen und Kontrollen kommen entweder aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (Link Button) oder werden hier speziell für das Risiko/die Chance erstellt ("Plus" Button).

Mehr zum Erstellen von Maßnahmen finden Sie hier und mehr zum Erstellen von Kontrollen hier.

Kommen Maßnahmen und Kontrollen von einer Abweichung, kann die Verknüpfung zum Risiko/zur Chance nur aufgehoben werden, indem die Verknüpfung zur entsprechenden Abweichung aufgehoben wird. Die Verknüpfung zu aus der Liste zugewiesenen oder neu erstellten Maßnahmen oder Kontrolle kann mit dem Button rechts von der Maßnahme oder Kontrolle aufgehoben werden.

Achtung: Es werden nur Maßnahmen und Kontrollen des aktuellen Managementsystems angezeigt. Dass das Risiko/die Chance in diesem Managementsystem keine Maßnahmen oder Kontrollen hat, bedeutet nicht, dass sie in anderen Managementsystemen auch keine Maßnahmen oder Kontrollen zugewiesen hat.

Brutto ist die Bewertung, bevor jedwede Maßnahmen und Kontrollen zur Behandlung umgesetzt wurden. Das Bruttorisiko/die Bruttochance wird im Reiter Zeitliche Entwicklung mit einem Badge markiert, wenn es erstmals festgehalten wird. Die Information im Reiter Maßnahmen und Kontrollen reflektiert dies und kann nicht manuell geändert werden.

Mit dem Button rechts kann eine Matrix ausgeklappt werden, die das Bruttorisiko/-chance grafisch darstellt.

Diese Maßnahmen und Kontrollen wurden zur Behandlung des ursprünglichen Bruttorisikos/-chance eingeführt. Durch sie entwickelt sich das Risiko/die Chance von Brutto zum aktuellen Risiko bzw. der aktuellen Chance. Es handelt sich dabei um umgesetzte und/oder abgebrochene Maßnahmen, sowie aktive Kontrolldefinitionen mit erfolgreichen Durchführungen.

Wird eine neue Maßnahme oder Kontrolle umgesetzt und dadurch in diese Tabelle eingefügt, wird empfohlen, das Risiko/die Chance neu zu bewerten. Das Risiko/die Chance und die auslösende Maßnahme oder Kontrolle ist dann mit "Neubewertung empfohlen" gekennzeichnet. Durch die Neubewertung wird erkennbar, ob sich das aktuelle Risiko/die aktuelle Chance dadurch verändert hat. Bei Maßnahmen passiert dies nur, wenn das "Erledigt am" Datum gesetzt ist und nicht am selben Tag wie die letzte relevante Neubewertung liegt (als relevante Neubewertung in diesem Kontext gilt ein Änderungseintrag in der Zeitlichen Entwicklung, bei dem Schadensausmaß/Nutzen oder Eintrittswahrscheinlichkeit geändert wurden).

Wenn Maßnahmen umgesetzt oder Kontrollen durchgeführt wurden, die sich zwar auf das Risiko/die Chance auswirken, aber nicht genug um tatsächlich die Eintrittswahrscheinlichkeit oder das Schadensausmaß/den Nutzen zu verändern, kann die Neubewertung auch darstellen, dass keine ausreichend signifikante Änderung bewirkt wurde. Dazu erstellt man mit dem "Plus" Button einen neuen Eintrag in der Zeitlichen Entwicklung, in dem dieselben Werte gesetzt werden, die bisher gegolten haben. Das aktuelle Risiko oder die aktuelle Chance wird also nicht verändert. In der Begründung kann man dokumentieren, warum sich eine Maßnahme und/oder Kontrolle nicht stärker auf das Risiko/die Chance ausgewirkt hat.

Ability to Control:

• Das ist die Bewertung der Qualität des bereits implementierten Maßnahmen- und Kontrollensets zur Steuerung des Risikos/der Chance.
• Die zur Auswahl stehenden Abilities to Control können in der Risikopolitik konfiguriert werden.

Aktuelles Risiko/Chance:

• Aktuell ist die Bewertung, nachdem alle bereits umgesetzten Maßnahmen und implementierten Kontrollen zur Behandlung ergriffen wurden, und bevor die noch geplanten Maßnahmen und Kontrollen umgesetzt wurden.
• Auch hier kann mit dem Button rechts die Position des aktuellen Risikos/Chance in der Risikomatrix eingesehen werden.

Diese Maßnahmen und Kontrollen sind zur Behandlung des aktuellen Risikos bzw. der aktuellen Chance geplant und sollen es auf das geplante Nettorisiko/die geplante Nettochance reduzieren. Es handelt sich dabei um offene, geplante und/oder ausgesetzte Maßnahmen (nicht durchgeführte), sowie ausgesetzte, deaktivierte und/oder aktive Kontrolldefinitionen ohne Durchführung.

Nettorisiko/-chance:

• Netto ist die Bewertung im folgenden Szenario: 1) alle umgesetzten und geplanten noch umzusetzenden Maßnahmen sind ergriffen UND 2) alle implementierten und noch zu implementierenden Kontrollen sind umgesetzt. Da es sich dabei um eine Zukunftsprognose handelt, sind davon drei Varianten zu erfassen: Best Case, Most Likely Case, Worst Case.
• Die Bewertung des Nettorisiko/der Nettochance kann entweder über die Dropdownboxes geschehen, oder aber direkt über die angezeigten Matrizen. Ein Klick auf ein Feld in einer Matrix setzt die entsprechende Eintrittswahrscheinlichkeit und das entsprechende Schadensausmaß/den entsprechenden Nutzen.

Bei jeder Änderung der Eintrittswahrscheinlichkeit, des Schadensausmaßes/Nutzens und/oder Status, muss derjenige, der die Änderung durchführt, einen Eintrag zum Änderungsprotokoll mit Begründung und Datum für seine Änderung angeben. Nur wenn dies eingetragen wird, kann die Änderung durchgeführt werden. Ein Protokoll scheint anschließend in der zeitlichen Entwicklung des Risikos bzw. der Chance auf. Veränderungen an der Schadensausmaßbeurteilung/dem Nutzen scheinen nur in den Managementsystemen auf, die dieselbe Klassifikation von Schadensausmaß und Nutzen verwenden.

Der erste Eintrag, in dem Eintrittswahrscheinlichkeit und Schadensausmaß/Nutzen definiert sind, wird hier mit "Bruttorisiko"/"Bruttochance" markiert und im Reiter Maßnahmen und Kontrollen beim Bruttorisiko/bei der Bruttochance angeführt.

Wichtig: Zeitliche Entwicklungen können auch manuell nachgetragen werden. Dafür in der Übersicht auf den "Plus" Button klicken.

Einträge in dieser Übersicht können mit Doppelklick auf den jeweiligen Eintrag bearbeitet werden.