Übersetzungen exportieren

Einstellungen

Gruppe

Sprache

Format

Für die Offline-Übersetzung exportieren

Im systemeigenen Format exportieren

Im CSV-Format exportieren

=Bewertung von Risiken und Chancen=

In dieser Übersicht werden alle Risiken und Chancen aus den unterschiedlichen Managementsystemen angezeigt. Es ist zudem möglich nur die Risiken und Chancen des aktuellen Managementsystems anzuzeigen. Weiters können Risiken und Chancen auf privat gestellt werden, sodass sie nur mehr in jenem Managementsystem angezeigt werden, in dem sie angelegt wurden.

Wird ein Risiko oder eine Chance angeklickt, können Sie dieses bearbeiten oder ansehen. Dann ist es möglich anzusehen welche Abweichungen, Bedrohungen, Maßnahmen oder Kontrollen diesem Risiko zugewiesen sind.

Achtung:
* Ein Risiko/Chance, das nicht "privat" ist, kann für jedes Managementsystem, das andere Klassifikationen von Schadensausmaß oder Nutzen verwendet, separat bewertet werden. Das heißt: Bewertungen gelten nur für Managementsysteme, die die selben Klassifikationen verwenden.

__TOC__

== Risiko oder Chance ==

Ein Risiko kann eine Sammlung aus negativen Abweichungen sein, die eine konkrete Gefahr für die verknüpften Entitäten bilden. Eine Chance kann eine Sammlung aus positiven Abweichungen sein, die ein konkretes Potenzial für die verknüpften Entitäten bilden.

Abweichungen entstehen im Zuge einer Überprüfung. Das ist dann der Fall, wenn z.B. Prüffragen von Prüfobjekten "negativ" oder unter Target Score beantwortet werden. Anschließend können die Abweichungen Risiken zugewiesen werden. Positive Abweichungen werden "positiv" oder entsprechend bzw. über dem Target Score beantwortet.

Die Prüfobjekte, in denen sich die Prüffragen befinden, können mit Entitäten (Ressourcen, Datenkategorien, Prozessen und/oder Organisationseinheiten) verknüpft werden. Durch diese Zuweisung entsteht bei den betroffenen Entitäten ein konkretes Risiko oder eine konkrete Chance, das in der Strukturanalyse ersichtlich ist.

Risiken und Chancen können auch frei erfasst werden.

Frei erfasste Risiken/Chancen haben im Normalfall keine verknüpften Abweichungen, solche können ihnen aber zugewiesen werden. Bei frei erfassten Risiken kann es sich z.B. um eine Liste an Risiken handeln, die schon vor der Verwendung von HITGuard, z.B. mit Excel, gepflegt wurde. Solche Listen können mit Hilfe des [[Special:MyLanguage/Datenimport| Datenimporters]] eingeholt werden. Das gleiche gilt für Chancen.

Risiken und Chancen können im Anschluss bewertet werden, indem eine Eintrittswahrscheinlichkeit und ein Schadensausmaß oder ein Nutzen ausgewählt werden. Dadurch ergibt sich die Risikokennzahl, nach der das Risiko oder die Chance z.B. im Risikomanagement Dashboard angezeigt wird. Diese Bewertung erfolgt nach der Klassifikation von Schadensausmaß und Nutzen. Das heißt: wurde ein Risiko/Chance in einem Managementsystem mit der Klassifikation "Standard" bewertet, kann es in einem anderen Managementsystem mit der Klassifikation "Datenschutz" anders bewertet werden (solange es nicht als "Privat" gekennzeichnet ist).

Die Bewertung/Überprüfung von Risiken und Chancen kann an die eingetragen Sachbearbeiter delegiert werden (siehe Workflow Button). Diese finden die Risiken und Chancen dann unter ihren Aufgaben zum Bewerten/Überprüfen.

Im Risiko/Chance selbst werden:
* die Eckdaten dargestellt.
* alle Abweichungen, die dem Risiko oder der Chance zugewiesen sind, angezeigt.
* die Maßnahmen/Kontrollen, die den Abweichungen zugewiesen sind, aufgelistet.
* die Maßnahmen/Kontrollen, die dem Risiko oder der Chance manuell zugewiesen sind, aufgelistet.

Weiters wird jede Änderung der Bewertung protokolliert. Diese Dokumentation ist im Menüpunkt "Zeitliche Entwicklung" zu finden.

Wichtig: Diese sollten für Risiken die vor HITGuard Release Oktober 2020 erstellt wurden, nachdokumentiert werden. Mehr dazu findet sich unter [[#time_dev| Zeitliche Entwicklung]].

[[Datei:Risikobewertung menuefuehrung.PNG|left|thumb|901px|Risikomanagement Menüführung]]

== Risiko oder Chance erfassen & bearbeiten ==

[[Datei:Maske Risiko bearbeiten.PNG|left|thumb|901px|Maske zum Erfassen/Bearbeiten von Risiken und Chancen]]

Kürzel:
*Beim Kürzel tragen Sie den abgekürzten Titel des Risikos/der Chance ein.

Status:
*Aktiv: Das Risiko/die Chance besteht noch.
*Geschlossen: Das Risiko/die Chance wurde behoben.
*Akzeptiert: Sie sind sich des Risikos/der Chance bewusst, werden diese aber aus unterschiedlichen Gründen derzeit nicht beheben/verfolgen. 
*Änderungen hier werden protokolliert ([[#time_dev|Zeitliche Entwicklung]]).

Privat:
*Stellen Sie das Risiko/die Chance auf privat, so wird das Risiko/die Chance nur noch im aktuellen Managementsystem angezeigt. Andernfalls ist es in jedem Managementsystem sichtbar und kann für jede Klassifikation von Schadensausmaß und Nutzen bewertet werden.
*Maßnahmen, Kontrollen, Bedrohungen und Abweichungen sind allerdings nur in den jeweiligen Managementsystemen zu sehen, in denen diese erstellt wurden, unabhängig davon, ob das Risiko oder die Chance als privat gekennzeichnet wurde.
 
Buch-Button:
* [[Datei:6061BuchButton.png|right|thumb|100px|Buch-Button]] Hier können Sie auf Vorlagen für Risiken und Chancen, die in [[Special:MyLanguage/Wissensdatenbanken|Wissensdatenbanken]] gespeichert sind, zugreifen. Der Button ist nur Verfügbar wenn Sie das erste Mal ein Risiko anlegen. Klicken Sie darauf, wählen Sie zuerst die Wissensdatenbank, auf die Sie zugreifen wollen. Danach können sie in den Risiken suchen. Dazu gibt es auch "Kategorien", die die Risiken thematisch kennzeichnen. Beachten Sie, dass mit dem Import eines Risikos keine [[Special:MyLanguage/Risikopolitik#Kategorien_von_Risiken/Chancen_und_Auswirkungen|Risikokategorien]] in der Risikopolitik angelegt werden.

Bezeichnung und Beschreibung:
*Bei der Bezeichnung muss eingetragen werden wie das Risiko oder die Chance benannt werden soll.
*Bei der Beschreibung sollten Sie das Risiko oder die Chance beschreiben/erklären.

Anmerkungen:
* Hier kann erklärt werden wie es zu der Bewertung des Risikos/der Chance gekommen ist.

Strategie
* Bewältigungsstrategien: diese Optionen beschreiben, wie mit der Gefahrensituation umgegangen werden soll.
** Undefiniert (es wurde noch nicht festgelegt, wie damit umzugehen ist)
** Risikovermeidung (Verzicht auf die Tätigkeit; eigentlich sollte das Risiko dann auch geschlossen werden)
** Risikoverminderung (Eintrittswahrscheinlichkeit wird durch Maßnahmen reduziert)
** Transfer (Auslagerung des Risikos; zB durch Überwälzung des Risikos)
** Akzeptanz
* Behandlungsstrategien: diese Optionen beschreiben, wie mit dem Potenzial umgegangen werden soll.
** Ausnutzen
** Ignorieren
** Teilen
** Verstärken

Eintrittswahrscheinlichkeit:
* Hier können Sie eintragen, wie wahrscheinlich es ist, dass das Risiko das Unternehmen trifft oder sich dem Unternehmen die Chance bietet. Mehr Information finden Sie unter [[Risikopolitik#prob|Eintrittswahrscheinlichkeit]].
*Änderungen hier werden protokolliert ([[#time_dev|Zeitliche Entwicklung]]).

Schadensausmaß/Nutzen:
* Hier können Sie eintragen wie groß der potenzielle Schaden ist, der durch das Risiko entstehen kann. Hier können Sie auch eintragen, wie groß der potenzielle Nutzen ist, der durch die Chance entstehen kann.
* Es stehen nur Schadensausmaße und Nutzen der Klassifikation des aktuellen Managementsystems zur Verfügung.
* Änderungen hier werden protokolliert ([[#time_dev|Zeitliche Entwicklung]]).

Monetäre Auswirkung:
* Hier können Sie erfassen, wie groß eine mögliche monetäre Auswirkung des Risikos/der Chance ist.

Kategorien von Risiken und Chancen:
* Hier können Sie erfassen, in welche Kategorien Sie das Risiko oder die Chance eingliedern. Mehr Information finden Sie unter [[Risikopolitik#Risikokategorien|Kategorien von Risiken und Chancen]].

Verantwortlichkeit und Sachbearbeiter:
*Die verantwortliche Person ist der primäre Ansprechpartner für das Risiko/die Chance.
*Die Sachbearbeiter sind für die Behandlung zuständig. Wird eine Überprüfung des Risikos/der Chance angefordert, sind die Sachbearbeiter für die Überprüfung zuständig.

Zugewiesene Schutzziele und Gewichtungen:
*Hier können Sie festhalten auf Welche Schutzziele sich ihr Risiko (bzw. ihre Chance) auswirkt. Über welches Schutzziel werden sich die Schäden, die das Risiko repräsentiert, vorraussichtlich manifestieren? Handelt es sich zB um das Risiko "Serverausfall", ist es naheliegend die Verfügbarkeit hoch, die Integrität niedirig und die Vertraulichkeit kaum zu bewerten. Sie können die Schutzziele auch in der Übersicht der Risiken und Chancen einblenden und danach sortieren.

Norm-Mapping:
*Beschäftigt sich das Risiko/die Chance mit einem oder mehreren Normkapiteln, sollten diese hier eingetragen werden.

Betroffene Strukturelemente:
* Hier werden alle Strukturelemente angeführt, die durch die Abweichungen mit dem Risiko oder der Chance in Beziehung stehen.
* Durch Öffnen des Dropdown-Menüs können Strukturelemente mit dem Risiko/der Chance verknüpft werden. Weiters wird hier ersichtlich, von welchem Prüfobjekt die automatisch gesetzten Verknüpfungen kommen.
*Beispiel:
::: Das Risiko "Temperaturprobleme in Serverräumen" wird z.B. über eine Abweichung beim Überprüfen der Serverräume mit dem Strukturelement "Serverraum" verknüpft.

ID in Drittsystem:
* Durch diese ID kann das Risiko/die Chance durch einen Import aktualisiert werden. Dafür muss die "Datensatz-ID" im Import-file mit der "ID im Drittsystem" des Risikos/der Chance des Imports übereinstimmen. Dieses Feld sollte nur manuell gesetzt werden, falls das Risiko/die Chance bereits manuell angelegt wurde und in Zukunft durch Imports aktualisiert werden soll.

Anhänge:
* Hier können Sie Dokumente oder Links als Anhang zum Risiko hinzufügen.

=== Zugewiesene Abweichungen ===

In diesem Reiter werden alle Abweichungen gelistet, die dem Risiko/der Chance zugewiesen sind. Dies ist im Normalfall das Resultat der Abweichungsbehandlung einer Überprüfung. Sie können aber auch hier existierende Abweichungen zum Risiko oder der Chance zuweisen.

Target Score Gewichtung:
*Falls aktiviert, erfolgt die Sortierung von Schutzzielen anhand der Target Score Gewichtung. Je größer die Abweichung vom Target Score und je größer die Gewichtung des Schutzzieles desto größer ist die Target Score Gewichtung. Mehr zur Target Score Gewichtung finden Sie [[Schwachstellen#Zielreifegrad-Gewichtung|hier]].

Achtung: Es werden nur Abweichungen des aktuellen Managementsystems angezeigt. Nur weil das Risiko oder die Chance in diesem Managementsystem keine Abweichungen hat, heißt das nicht, dass keine existieren.

[[Datei:Risiko zugewiesene Abweichungen.png|left|thumb|802px|Zugewiesene Abweichungen]]
 
Darstellung der Abweichungen:
* Schwarz: Abweichungen, die diesem Risiko/dieser Chance zugewiesen sind und nicht behoben wurden.
* Grün: Abweichungen, die diesem Risiko/dieser Chance zugewiesen sind und behoben oder mit mindestens dem Target Score angegeben wurden. 
* Grau: Hier handelt es sich um historische Abweichungen. Diese wurden in früheren Überprüfungen erkannt und dem Risiko/der Chance zugewiesen. Zwischenzeitlich wurden die Prüfgegenstände dieser Überprüfungen schon einer Neubewertung unterzogen.
* Zu Risiko xx verschoben: Die Abweichung wurde ursprünglich dem aktuell dargestellten Risiko/Chance zugewiesen. In einem weiteren Schritt änderte sich die Zuweisung zu einem anderen Risiko/Chance, dem Risiko/Chance xx.

Abweichungen zuweisen 
Klicken Sie auf "Abweichungen zuweisen" öffnet sich eine Maske zum Zuordnen von Abweichungen.

[[Datei:Risiko Abweichungen zuweisen.png|left|thumb|800px|Maske zum Zuweisen von Abweichungen]]

===Zugewiesene Bedrohungen===
In diesem Reiter werden alle Bedrohungen gelistet, die dem Risiko/der Chance zugewiesen sind. Die Bedrohungen kommen entweder aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (Link Button) oder werden hier speziell für das Risiko/die Chance erstellt ("Plus" Button).

[[Datei:RM_ZugewieseneBedrohungen.png|left|thumb|800px|Zugewiesene Bedrohungen]]

=== Maßnahmen & Kontrollen ===

In diesem Reiter werden alle Maßnahmen und Kontrollen gelistet, die dem Risiko/der Chance zugewiesen sind un damit der Behandlung dienen. Je nach Status werden sie in der oberen oder unteren Tabelle angezeigt, mehr dazu weiter unten. Die Maßnahmen und Kontrollen kommen entweder aus der Verknüpfung mit einer Abweichung, werden von den verfügbaren ausgewählt (Link Button) oder werden hier speziell für das Risiko/die Chance erstellt ("Plus" Button). Werden Maßnahmen hier erstellt, wird der Verantwortliche mit dem Verantwortlichen des Risikos vorbesetzt, kann aber geändert werden.

Mehr zum Erstellen von Maßnahmen finden Sie [[Aktuelle Maßnahmen|hier]] und mehr zum Erstellen von Kontrollen [[Kontrolldefinitionen|hier]].

Kommen Maßnahmen und Kontrollen von einer Abweichung, kann die Verknüpfung zum Risiko/zur Chance nur aufgehoben werden, indem die Verknüpfung zur entsprechenden Abweichung aufgehoben wird. Die Verknüpfung zu aus der Liste zugewiesenen oder neu erstellten Maßnahmen oder Kontrolle kann mit dem Button rechts von der Maßnahme oder Kontrolle aufgehoben werden.

Achtung: Es werden nur Maßnahmen und Kontrollen des aktuellen Managementsystems angezeigt. Dass das Risiko/die Chance in diesem Managementsystem keine Maßnahmen oder Kontrollen hat, bedeutet nicht, dass sie in anderen Managementsystemen auch keine Maßnahmen oder Kontrollen zugewiesen hat.

[[Datei:GFL M und K Übersicht.png|center|700px|thumb|Reiter Maßnahmen und Kontrollen]]

==== Bruttorisiko/-chance ====

Brutto ist die Bewertung, die das Initialrisiko kennzeichnet. Das stellt die ursprüngliche Gefährdungslage dar, bevor Maßnahmen und Kontrollen zur Behandlung umgesetzt wurden. Das Bruttorisiko/die Bruttochance wird im Reiter Zeitliche Entwicklung mit einem Badge markiert, wenn es erstmals festgehalten wird. Die Information im Reiter Maßnahmen und Kontrollen reflektiert dies und kann nicht manuell geändert werden.

Mit dem Button rechts können Sie eine Risikomatrix ausklappen, die das Bruttorisiko/-chance grafisch darstellt.

[[Datei:Gefährdungslage Bruttorisiko.png|left|901px|thumb| Ausschnitt: Brutto]]

==== Maßnahmen und Kontrollen zur Behandlung des Bruttorisikos/der Bruttochance ====

Diese Maßnahmen und Kontrollen wurden zur Behandlung des ursprünglichen Bruttorisikos/-chance eingeführt. Durch sie entwickelt sich das Risiko/die Chance von Brutto zum aktuellen Risiko bzw. der aktuellen Chance. Es handelt sich dabei um umgesetzte und/oder abgebrochene Maßnahmen, sowie aktive Kontrolldefinitionen mit erfolgreichen Durchführungen.

Wird eine neue Maßnahme oder Kontrolle umgesetzt und dadurch in diese Tabelle eingefügt, wird empfohlen, das Risiko/die Chance neu zu bewerten. Das Risiko/die Chance und die auslösende Maßnahme oder Kontrolle ist dann mit "Neubewertung empfohlen" gekennzeichnet. Durch die Neubewertung wird erkennbar, ob sich das aktuelle Risiko/die aktuelle Chance dadurch verändert hat. Bei Maßnahmen passiert dies nur, wenn das "Erledigt am" Datum gesetzt ist und nicht am selben Tag wie die letzte relevante Neubewertung liegt (als relevante Neubewertung in diesem Kontext gilt ein Änderungseintrag in der Zeitlichen Entwicklung, bei dem Schadensausmaß/Nutzen oder Eintrittswahrscheinlichkeit geändert wurden).

Wenn Maßnahmen umgesetzt oder Kontrollen durchgeführt wurden, die sich zwar auf das Risiko/die Chance auswirken, aber nicht genug um tatsächlich die Eintrittswahrscheinlichkeit oder das Schadensausmaß/den Nutzen zu verändern, kann die Neubewertung auch darstellen, dass keine ausreichend signifikante Änderung bewirkt wurde. Dazu erstellt man mit dem "Plus" Button einen neuen Eintrag in der Zeitlichen Entwicklung, in dem dieselben Werte gesetzt werden, die bisher gegolten haben. Das aktuelle Risiko oder die aktuelle Chance wird also nicht verändert. In der Begründung kann man dokumentieren, warum sich eine Maßnahme und/oder Kontrolle nicht stärker auf das Risiko/die Chance ausgewirkt hat.

Ability to Control:
* Das ist die Bewertung der Qualität des bereits implementierten Maßnahmen- und Kontrollensets zur Steuerung des Risikos/der Chance.
* Die zur Auswahl stehenden Abilities to Control können in der [[Special:MyLanguage/Risikopolitik#atc | Risikopolitik]] konfiguriert werden.

Aktuelles Risiko/Chance:
* Aktuell ist die Bewertung, nachdem alle bereits umgesetzten Maßnahmen und implementierten Kontrollen zur Behandlung ergriffen wurden, und bevor die noch geplanten Maßnahmen und Kontrollen umgesetzt wurden.
* Auch hier kann mit dem Button rechts die Position des aktuellen Risikos/Chance in der Risikomatrix eingesehen werden.

[[Datei:Gefährdungslage Behandlung Bruttorisiko.png|left|901px|thumb| Ausschnitt: Maßnahmen und Kontrollen zur Behandlung des Bruttorisikos/der Bruttochance]]

==== Maßnahmen und Kontrollen zur Behandlung des aktuellen Risikos/der aktuellen Chance ====

Diese Maßnahmen und Kontrollen sind zur Behandlung des aktuellen Risikos bzw. der aktuellen Chance geplant und sollen es auf das geplante Nettorisiko/die geplante Nettochance reduzieren. Es handelt sich dabei um offene, geplante und/oder ausgesetzte Maßnahmen (nicht durchgeführte), sowie ausgesetzte, deaktivierte und/oder aktive Kontrolldefinitionen ohne Durchführung.

Nettorisiko/-chance:
* Netto ist die Bewertung im folgenden Szenario: 1) alle umgesetzten und geplanten noch umzusetzenden Maßnahmen sind ergriffen UND 2) alle implementierten und noch zu implementierenden Kontrollen sind umgesetzt. Da es sich dabei um eine Zukunftsprognose handelt, sind davon drei Varianten zu erfassen: Best Case, Most Likely Case, Worst Case.
* Die Bewertung des Nettorisiko/der Nettochance kann entweder über die Dropdownboxes geschehen, oder aber direkt über die angezeigten Matrizen. Ein Klick auf ein Feld in einer Matrix setzt die entsprechende Eintrittswahrscheinlichkeit und das entsprechende Schadensausmaß/den entsprechenden Nutzen.

[[Datei:Gefährdungslage Behandlung Nettorisiko.png|left|901px|thumb| Ausschnitt: Maßnahmen und Kontrollen zur Behandlung des aktuellen Risikos/der aktuellen Chance]]

= Zeitliche Entwicklung =

Die Zeitliche Entwicklung ist ein Änderungsprotokoll, in dem jede Veränderung des Risikos (bzw. der Chance) aufgezeichnet wird. Dies Betrifft Änderungen des Experts sowie Änderungen im Workflow (siehe unten). Ändert ein Expert-User die Eintrittswahrscheinlichkeit, Schadensausmaß/Nutzen oder den Status, muss der User einen Eintrag zum Änderungsprotokoll für seine Änderung angeben. Nur dann wird die Änderung gespeichert. Ändert ein Sachbearbeiter im Workflow etwas am Risiko, muss er ebenfalls eine Begründung angeben, die dann gespeichert wird. 
Ein Protokoll scheint anschließend in der zeitlichen Entwicklung des Risikos (bzw. der Chance) auf.

Der älteste Eintrag, in dem Eintrittswahrscheinlichkeit und Schadensausmaß/Nutzen definiert werden, wird hier mit "Bruttorisiko" bzw. "Bruttochance" markiert und im Reiter Maßnahmen und Kontrollen beim Bruttorisiko/bei der Bruttochance angeführt. Sie können auch manuell einen Eintrag für die zeitliche Entwicklung erstellen. Klicken Sie dafür einfach auf den "Plus" Button in der Übersicht. Bestehende Einträge in dieser Übersicht können Sie auch mit einem Doppelklick auf den jeweiligen Eintrag bearbeiten.

[[Datei:Gefährdungslage zeitl entwicklung übersicht.PNG|left|thumb|900px|Zeitliche Entwicklung]]

Hinweis: Da Risiken mit anderen Managementsystemen geteilt werden können indem das Häkchen bei "Privat" entfernt wird, teilen sich die Managementsysteme auch die zetliche Entwicklung. Wird das Risiko in einem Managementsystem geändert, sieht man den Eintrag im Änderungsprotokoll auch in dan anderen Managementsystemen. Auch die Änderungen, die unter einer anderen [[Special:MyLanguage/Risikopolitik#Schadensausmaße|Klassifikation von Schadensausmaß und Nutzen]] erstellt wurden, sind zu sehen. Einträge können aber nur in dem Managementsystem, in dem sie erstellt wurden bearbeitet werden.

=Workflow zur Risikobewertung=

Ganz unten auf der Risiko-bearbeiten-Seite finden Sie drei Buttons. Hier können Sie das Risiko Speichern, Schließen, oder mit „Aktualisierung anfordern“ in den Workflow schicken. Mit jedem Schritt im Workflow wird ein Eintrag für die zeitliche Entwicklung gemacht und dort dokumentiert. Diese Einträge bleiben für Expert-Benutzer bearbeitbar. Der Workflow wird im Folgenden detailliert erklärt:

==Workflow starten==

[[Datei:5135AktualisierungAnfordernButton.png|left|thumb|700px|Buttons um den Workflow zu Starten]]

*Speichern: Wenn sie selbst Eintrittswahrscheinlichkeit, Schadensausmaß oder Strategie angepasst haben, wird HITGuard eine Begründung für das Änderungsprotokoll einfordern, die dann unter [[Special:MyLanguage/Risikobewertung#Zeitliche_Entwicklung| zeitlicher Entwicklung]] abgelegt wird. 
*Aktualisierung anfordern: Hier starten Sie den Workflow. Damit schickt HITGuard das Risiko an die User, die im Feld Sachbearbeiter eingetragen sind und gibt ihnen die Möglichkeit es zu aktualisieren. In einem Pop-up Modal können Sie dann eine Nachricht an die Sachbearbeiter verfassen, um die Kollegen abzuholen. Zusätzlich schickt HITGuard ein automatisches E-Mail an die Sachbearbeiter.

Hinweis: Sachbearbeiter können den Workflow übrigens auch selbstständig starten. Unter Meine Aufgaben > Risiken und Chancen, können Sie mit zwei entsprechenden Buttons ein Risiko (bzw. Chance) melden oder ein bestehendes Risiko (bzw. Chance) aktualisieren.

==Workflow aus Sicht des Sachbearbeiters==

Öffnen Sachbearbeiter das Risiko, das ihnen für die Bearbeitung zugewiesen wurde, werden Sie zunächst von der Nachricht begrüßt, die der Expert beim Anfordern eingegeben hat. Der Expert ist als „Prüfer“ gekennzeichnet:

[[Datei:5135SachbearbeiterPopup.png|left|thumb|700px|Nachricht an den Sachbearbeiter]]

Sachbearbeiter können das Risiko einsehen und einige Datenfelder bearbeiten: 
*Bezeichnung, Beschreibung & Anmerkung, 
*Strategie, Eintrittswahrscheinlichkeit & Schadensausmaß/Nutzen
*Monetäre Auswirkung, Identifiziert-am-Datum
*Außerdem können Sachbearbeiter die Maßnahmen und Kontrollen verknüpfen oder entknüpfen, bei denen sie selbst als Maßnahmen-Verantwortlicher eingetragen sind.

Schließlich haben auch Sachbearbeiter eine Reihe von Buttons zur Verfügung:

[[Datei:5135ButtonsBeimSachbearbeiter.png|left|thumb|700px|Buttons für den Sachbearbeiter]]

*Nachrichten & Verlauf: Hier öffnet man das Modal mit der Nachricht des Expert-Users, das einen beim Öffnen des Risikos begrüßt hat. 
*Änderungen anzeigen: Hier öffnet der Sachbearbeiter einen Überblick über die Änderungen, die er bisher am Risiko vorgenommen hat. 
*Aktualisierung einreichen: Hiermit beendet der Sachbearbeiter seine Bearbeitung und schickt die Aktualisierung an den Expert-User zurück. Dabei muss man eine Begründung für die vorgenommenen Änderungen angeben, die dann in der zeitlichen Entwicklung abgelegt wird. Zusätzlich kann man eine Nachricht für den Prüfer hinzufügen. Dieses Modal sehen sie im folgenden Screenshot:

[[Datei:5315SachearbeiterEinreichen.png|left|thumb|750px|Begründungsangabe für den Sachbearbeiter]]

[[Datei:5315Chatbox.png|right|thumb|650px|Verlauf der Benachrichtigungen zwischen Expert und Sachbearbeiter]] Mit jedem Workflowschritt lassen die User eine Nachricht zurück. Der Expert ist als "Prüfer" gekennzeichnet. Ein Beispiel für einen solchen Nachrichtenverlauf zwischen dem anfordernden Expert und dem antwortenden Sachbearbeiter sehen sie im Screenshot rechts. In diesem Beispiel hat der Expert eine erneute Überarbeitung des Risikos angefordert, nachdem der Sachbearbeiter das Risiko das erste Mal retourniert hat.

Die Personen, die als „Verantwortliche“ im Risiko eingetragen sind, werden nicht per E-Mail informiert, können aber ebenfalls Daten bearbeiten. Sie können alles, was auch Sachbearbeiter können. Zusätzlich können Sie das Feld Sachbearbeiter bearbeiten, also können Sie Sachbearbeiter auswechseln oder hinzufügen.

==Workflow aus Sicht des Expert-Users==

Solange das Risiko beim Sachbearbeiter liegt, ist es für alle anderen Benutzer schreibgeschützt. Sie haben aber die Möglichkeit, die bisherigen Änderungen einzusehen:

[[Datei:5135InAktualisierungButton.png|right|thumb|700px|Buttons im Workflow]]

*In Aktualisierung: Hier können Sie die Änderungen, die der Sachbearbeiter bisher eingegeben hat, einsehen und optional verwerfen. 
*Nachrichten & Verlauf: hier sehen Exeprten die Nachrichenhistorie inklusive ihrer Nachrichten an den Sachbearbeiter.

Hat der Sachbearbeiter das Risiko bereits retourniert, können Experts ebenfalls die Änderungen überprüfen, bevor diese übernommen werden:

[[Datei:5135AktualisierungÜberprüfenButton.png|right|thumb|700px|Buttons um den Workflow abzuschließen]]

*Aktualisierung überprüfen: Auch hier öffnen Sie den Überblick über die Änderungen, die der Practitioner gemacht hat.

Diesen Überblick sehen Sie im folgenden Screenshot:

[[Datei:5135AblehnenÄnderungAkzeptieren.png|left|thumb|700px|Buttons um den Workflow abzuschließen]]

*Aktualisierung ablehnen: Damit werden die Aktualisierungen des Sachbearbeiters verworfen. Das Risiko bleibt in dem Zustand, in dem es vor dem Workflow war. 
*Änderungen anfordern: Damit können Sie die Aktualisierung wieder an den Sachbearbeiter schicken. Klicken Sie darauf, können Sie zuvor noch eine Weitere Nachricht an den Sachbearbeiter verfassen. 
*Aktualisierung akzeptieren: Damit werden alle Änderungen des Sachbearbeiters übernommen und das Risiko aktualisiert. 
*Abbrechen: Schließt das Modal wieder ohne den Workflow abzuschließen.

Egal, ob sie die Aktualisierung schlussendlich akzeptieren oder verwerfen, wird HITGuard einen Eintrag für die zeitliche Entwicklung von ihnen verlangen. In jedem Fall wird die Begründung des Sachbearbeiters auch in der zeitlichen Entwicklung eingetragen. Die Einträge unter zeitliche Entwicklung sind allerdings für Expert-user bearbeitbar.