HITGuard Release April 2025

Ab diesem Release kann der Einmelder eines Risikos den Verantwortlichen und den Sachbearbeiter zum Risiko selbst vorschlagen. Bisher wurde der Einmelder des Risikos als Sachbearbeiter gesetzt. Erst der Expert bzw. Professional User konnte den Verantwortlichen des Risikos definieren und ggf. den Sachbearbeiter verändern. Der Einmelder wird beim Einreichen eines Risikos sowohl als Verantwortlicher als auch als Sachbearbeiter vorbesetzt. Er kann dies aber auf einen anderen Benutzer ändern. Die Option besteht bis zum ersten Zwischenspeichern bzw. Einreichen des Risikos, dann kann er keine Änderungen mehr durchführen.

Bis das Risiko gemeldet wird, befindet es sich im neuen Status „Einreichung ausstehend“ und ist nur für den Verantwortlichen und den Sachbearbeiter sichtbar. Es ist in diesem Zustand auch mit einem Badge versehen, damit es nicht übersehen und vergessen werden kann.

Eine weitere Neuerung ist, dass auch der Verantwortliche stärker eingebunden wird. Wurde bspw. eine Überprüfung eines Risikos angefordert, so kann der Verantwortliche zu diesem Zeitpunkt nun auch den Sachbearbeiter ändern. Tut er dies, werden sowohl der vorherige wie auch der neue Sachbearbeiter über die Änderung informiert. Sich selbst kann er dabei nicht aus der Verantwortung nehmen. Weiters kann der Sachbearbeiter seine Verantwortung auch nicht selbst abgeben, er muss dazu entweder den Verantwortlichen oder einen Expert/Professional kontaktieren.

Die Strukturanalyse im Risikomanagement wurde um folgende Komfortfeatures erweitert:

• Einerseits kann man die Ansicht nun auch wechseln, in dem man Radiobuttons neben den Optionen der Hauptsichten verwendet. Der bereits bekannte Doppelklick funktioniert aber auch weiterhin.
• Andererseits wurden Link Buttons eingefügt, durch die man aus der Strukturanalyse schnell auf die Indexseiten der jeweiligen Hauptsichten springen kann, also zu Organisationseinheiten, Ressourcen, Datenkategorien und Prozessen. 

Folgende KPIs wurden um Auswahloptionen erweitert, mit denen man konfigurieren kann, ob sie nur Risiken, nur Chancen oder beides in Ihren Auswertungen berücksichtigen sollen:

• Aktive Risiken/Chancen und ihre Behandlung
• Risiken/Chancen nach Kategorie
• Risiken/Chancen nach Status
• Risikomatrix
• Top Risiken/Chancen

Dafür wurden im Filter Checkboxen implementiert, anhand derer man die Auswahl treffen kann.

Für Risiken und Chancen gibt es eine zusätzliche, neue Auswertungsmöglichkeit, indem man in der Übersicht die Schutzziele einblenden kann. Nach diesen kann auch gefiltert und sortiert werden. Damit ist es nun möglich, Risiken und Chancen auf der Ebene der Schutzziele miteinander zu vergleichen.

Eine weitere Komfortfunktion in der Übersicht der Risiken und Chancen ist die neue Möglichkeit, nach deren monetärer Auswirkung zu filtern und zu sortieren. Hier haben wir zusätzlich noch eine Summierung eingebaut, sodass Sie die Gesamtheit der monetären Auswirkungen auf einmal im Blick haben können.

Der Risikomanagement Bericht „Statement of Applicability“, den Sie unter Risikomanagement > Berichte > Standards und Normen > Statement of Applicability finden, wurde um eine neue Berichtsoption „verknüpfte Dokumente“ ergänzt. Diese Option finden Sie nur dann, wenn Sie das Doku-Management Add-on für Ihren Benutzer lizenziert und aktiviert haben. Über diese Option können die Dokumente, die im Doku-Management mit den diversen Standardkapiteln verknüpft sind, im Bericht aufgelistet werden. Dies geschieht in Form der Dateinamen, die bei den jeweiligen Kapiteln angegeben werden.

Für mehr Komfort und Geschwindigkeit beim Planen von Audits und einzelnen Überprüfungen ist es jetzt möglich, Überprüfungen auf Knopfdruck zu kopieren oder einer Neubewertung zu unterziehen. Diese neuen Optionen findet man in den Kalendern des Auditmanagements, im Menüpunkt Auditdurchführung und auch im Risikomanagement im Bereich Schwachstellen vor.

Überprüfungen können in jedem Status kopiert werden. Die Stammdaten werden dabei übernommen und die Prüfobjekte, die in der zu kopierende Überprüfung enthalten waren, werden als leere, unbeantwortete Objekte (nach dem Schema der alten Überprüfung) in der Kopie angelegt. Die dadurch erstellten neuen Überprüfungen befinden sich dann im Status „Entwurf“.

Abgeschlossene Überprüfungen können auf Knopfdruck neubewertet werden. Auch hier werden die Stammdaten der ursprünglichen Überprüfung übernommen und zusätzlich werden die Prüfobjekte entsprechend der bereits bekannten Konfigurationseinstellungen zur Neubewertung vorbereitet. D.h. dass Sie die Prüfobjekte z.B. schon mit den positiven Antworten der Vorjahre vorbesetzen können, um beispielsweise nur die negativen Erkenntnisse bzw. neuen Fragen nach aktualisierten Fragekatalogen wieder einer Bewertung zu unterziehen.

Hinweis: In beiden Fällen hat man die Möglichkeit, die aktuelle Wissensdatenbank zur Erstellung der Prüfobjekte zu verwenden. D.h. dass in diesem Fall die bevorzugte Version der Wissensdatenbank als Quelle der Erstellung der Prüfobjekte verwendet wird. Es werden also neue Prüffragen ergänzt, signifikant veränderte Prüffragen zu neuerlicher Bewertung aufgeworfen und gelöschte Prüffragen entfernt. Wählt man diese Option nicht, so wird die Version verwendet, die auch in der Original-Überprüfung verwendet wurde.

Wir haben die Darstellung der direkten (verknüpften) und indirekten (verwandten) Norm-Mappings bei Prüffragen übersichtlicher gestaltet. Vor allem bei Fragen mit sehr vielen Mappings ist dies von großer Hilfe. Die Bezeichnungen der Standards und Normen sind jetzt unterstrichen und die einzelnen Kapitel werden alphabetisch aufgelistet.

Wird eine Überprüfung als Self Assessment erstellt, so heißt das Enddatum ab sofort Beantwortungsfrist. Damit ist es einfacher, den Überblick darüber zu behalten, wo man etwas zu tun hat und wo nicht. Auch in Übersichtstabellen und Berichten wird diese Unterscheidung gemacht.

Im Sinne der Barrierefreiheit haben wir für den Einstieg zum Hinweisgeberportal eine weitere Hilfe eingebaut. Es ist hier nun möglich, sich das Captcha auf Deutsch oder Englisch vorlesen zu lassen.

Mehr zum Captcha und was es auf technischer Seite dafür braucht, finden Sie hier.

Ein Einmelder eines Risikos kann nun auch Maßnahmen und Kontrollen zum Risiko verknüpfen bzw. dort auch direkt einreichen. Ab dem ersten Zwischenspeichern und vor dem Einreichen, also im Status „Einreichung ausstehend“, kann ein Einmelder eines Risikos auf den Tab Maßnahmen und Kontrollen zugreifen. Dort werden ihm zwei Möglichkeiten angeboten:

Einerseits kann er Maßnahmen und Kontrollen, die bereits existieren, mit dem Risiko verknüpfen. Dafür stehen ihm all jene Maßnahmen und Kontrollen des gewählten Managementsystems zur Verfügung, in die er persönlich involviert ist (als Verantwortlicher, Umsetzer oder Prüfer; direkt, als Teammitglied oder als Teamleiter). Die Bewertung der Ability to Control bleibt jedoch den Experten und Professionals des Managementsystems vorbehalten.

Andererseits hat er auch die Option, neue Maßnahmen für die Behandlung des aktuellen Risikos direkt aus dem Risiko heraus einzureichen, die dann gleich mit diesem verknüpft sind. Das Einreichen funktioniert genau wie das Einreichen über den „Maßnahme einreichen“ Button unter Meine Aufgaben > Maßnahmen.

In Berichten, die Maßnahmenfortschritte enthalten, wird nun zum einfacheren Verständnis der diversen Begriffe wie folgt unterschieden:

• der Fortschritt in der Maßnahmenübersicht heißt jetzt Akzeptierter Fortschritt
• der Fortschritt in der Statistik heißt jetzt Gemeldeter Fortschritt

Ist keine Fortschrittsmeldung vorhanden, ist der Fortschritt im Bericht 0%. Ist die Maßnahme jedoch im Status „Erledigt“, ihre Implementierung also abgeschlossen, so wird der Fortschritt im Bericht als 100% dargestellt. Dies ist unabhängig von etwaigen Fortschrittsmeldungen (d.h. egal, was gemeldet oder nicht gemeldet wurde, fertige Maßnahmen werden im Bericht mit 100% dargestellt).