-
Die
vorliegende Erfindung betrifft ein Verfahren und ein System zur
Erfassung und Darstellung von Prüfungsfeldern,
die durch Gesamtrisikowerte bewertet werden, um Risiken, die auf
ein Unternehmen einwirken, zu identifizieren. Das Verfahren und
das System sind insbesondere zur Erfassung und Darstellung von Gesamtrisikowerten
sowie zur Bestimmung von risikoorientierten Prüfungsprogrammen zur Bewältigung
der identifizierten Risiken in großen Unternehmen, welche mehrere
Organisationseinheiten und eine Vielzahl von Geschäftsprozessen
umfassen, geeignet.
-
In
Geschäftsunternehmen
wird heutzutage üblicherweise
ein Risikomanagement durchgeführt, um
den Fortbestand des Unternehmens sicherzustellen und Entwicklungen,
welche den Fortbestand des Unternehmens gefährden können, frühzeitig zu erkennen. Darüber hinaus
bestehen auch verpflichtende Regelungen seitens des Gesetzgebers,
wie zum Beispiel das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG), welche mit Hilfe eines Risikomanagements eingehalten
werden können.
-
Das
Risikomanagement umfasst dabei eine Risikoanalyse, welche wiederum
die Risikoidentifikation mit anschließender Risikobewertung und
abschließend
eine Risikoinventarisierung umfasst. Betrachtete Risiken können beispielsweise
Finanzrisiken, Haftungsrisiken, Währungskursrisiken, Verpflichtungen
aus Rückstellungen,
gesetzliche Auflagen, operative und technische Risiken usw. sein.
Da insbesondere bei großen
Unternehmen die Anzahl der zu berücksichtigenden Risiken sehr
groß werden kann,
wird in diesem Fall das Risikomanagement mit Hilfe computerunterstützter Verfahren
durchgeführt. Bestehende
Systeme wenden jedoch nur Standardrisikokataloge auf das jeweilige
Unternehmen als Ganzes an. Insbesondere bei großen Unternehmen mit vielen
Organisationseinheiten besteht somit die Gefahr, dass bei der Risikoanalyse
Risikogebiete in einzelnen Organisationseinheiten des Unternehmens
außer
Acht gelassen werden, so dass die Gefahr einer unvollständigen Risikoanalyse
besteht.
-
Aufgabe
der vorliegenden Erfindung ist es daher, ein Verfahren und ein System
zur Erfassung und Darstellung von Prüfungsfeldern, welche durch Gesamtrisikowerte
bewertet werden können,
bereitzustellen, um eine systematische Abbildung der Risiken eines
gesamten Unternehmens derart bereitzustellen, dass ein Außerachtlassen
von Risiken für einzelne
Organisationseinheiten einfach erkannt und somit verhindert werden
kann. Ferner ist es eine Aufgabe der vorliegenden Erfindung, ein
Verfahren zum Bestimmen eines risikoorientiertes Prüfungsprogramm
bereitzustellen, um die identifizierten Risiken durch Prüfungen zu
bewältigen,
d. h., dass die identifizierten Risiken beispielsweise überwacht
werden oder durch Gegenmaßnahmen
verringert werden.
-
Erfindungsgemäß wird diese
Aufgabe durch ein Verfahren zur Erfassung und Darstellung von Prüfungsfeldern
nach Anspruch 1, ein System zur Erfassung und Darstellung von Prüfungsfeldern
nach Anspruch 12 und ein Verfahren zum Bestimmen eines risikoorientierten
Prüfungsprogramms
nach Anspruch 15 gelöst.
Die abhängigen
Ansprüche
definieren bevorzugte Ausführungsformen
der Erfindung.
-
Im
Rahmen der vorliegenden Erfindung wird ein Verfahren zur Erfassung
und Darstellung von Prüfungsfeldern
bereitgestellt. Die Prüfungsfelder
sind dabei in Abhängigkeit
von Organisationseinheiten und in Abhängigkeit von Prüfungsobjekten
bestimmbar. Organisationseinheiten können beispielsweise verschiedene
Standorte des Unternehmens oder verschiedene Organisationseinheiten
innerhalb eines Standorts des Unternehmens umfassen. Prüfungsobjekte
können
beispielsweise Prozesse des Unternehmens, wie zum Beispiel ein Press-
oder Lackiervorgang, Projekte oder Systeme des Unternehmens sein.
Gemäß dem Verfahren
wird jedes Prüfungsfeld als
Komponente einer Matrix erfasst und dargestellt. Die Matrix umfasst
jeweils mehrere Zeilen und Spalten. Die Prüfungsobjekte werden den Zeilen,
die Organisationseinheiten den Spalten zugeordnet. Eine Komponente
bzw. ein Prüfungsfeld
(m, n) der Matrix entspricht dem Schnittpunkt einer Zeile m und
einer Spalte n. Selbstverständlich
ist auch eine Erfassung und Darstellung in einer Matrix möglich, bei
welcher die Spalten und Zeilen miteinander vertauscht sind.
-
Durch
die Erfassung und Darstellung von Prüfungsfeldern in einer Matrixform
wird eine übersichtliche
Darstellung der Risiken eines Unternehmens erreicht und gleichzeitig
sichergestellt, dass jedes Prüfungsobjekt
für jede
Organisationseinheit erfasst werden kann. Überdies ist einfach erkennbar, ob
ein Prüfungsobjekt
für eine
spezielle Organisationseinheit bereits erfasst und betrachtet wurde.
Somit wird eine systematische Identifikation der Risiken, die sich
aus den Prüfungsobjekten
ergeben und auf das Unternehmen einwirken, sichergestellt.
-
Gemäß einer
bevorzugten Ausführungsform umfasst
ein Prüfungsfeld
mehrere gewichtete Risikokriterien, welche einzeln zu bewerten sind.
Die Einzelbewertung jedes Risikokriteriums wird mit der jeweiligen
Gewichtung multipliziert. Die Summe der gewichteten Einzelbewertungen
ergibt das Gesamtrisiko für
das Prüfungsfeld.
In der Matrixdarstellung kann dann für jede Komponente der Matrix
das Gesamtrisiko dargestellt werden, so dass ein sehr guter Überblick über die
mit den einzelnen Organisationseinheiten und Prüfungsobjekten verbundenen Risiken
bereitgestellt werden kann. Überdies
können
die Prüfungsfelder
der Matrix, für
welche noch kein Gesamtrisiko ermittelt wurde, schnell und zuverlässig erkannt
werden. Nicht bewertete Prüfungsfelder
können
mit dem Wert N. B. für
nicht bewertet versehen werden.
-
Eine
Komponente bzw. ein Prüfungsfeld
der Matrix kann ferner einen Turnuswert umfassen, welcher einen
Turnus für
eine nächste
Prüfung
dieser Komponente vorgibt. Darüber
hinaus kann die Komponente bzw. das Prüfungsfeld der Matrix eine Datumsinformation
umfassen, welche ein Datum einer letzten Prüfung der Komponente umfasst,
und eine Datumsinformation umfassen, welche ein Datum einer nächsten Prüfung der
Komponente umfasst.
-
Gemäß einer
Ausführungsform
besitzt die Matrix für
ihre Komponenten bzw. Prüfungsfelder verschiedene
Anzeigemodi: Gesamtrisiko, Datum der letzten Prüfung sowie Datum der turnusmäßig nächsten Prüfung. Das
Datum der letzten Prüfung
ergibt sich aus den mit dem Prüfungsfeld
verknüpften, tatsächlich durchgeführten Prüfungen,
die dazu dienen, das Risiko in dem jeweiligen Feld zu bewältigen. Die
Höhe des
Gesamtrisikos eines Prüfungsfeldes bestimmt
dessen Risikokategorie. Jeder Risikokategorie ist ein Prüfungsturnus
zugeordnet, aus dem sich ausgehend von der letzten durchgeführten Prüfung automatisch
das Datum der nächsten
Prüfung errechnet.
Die Länge
eines Turnus ist abhängig
von der Höhe
des Gesamtrisikos. Je höher
das Gesamtrisiko, desto kürzer
der Turnus. Der Turnus sowie die Risikokategorie können von
zentraler Stelle definiert werden. Die verschiedenen Anzeigemodi
ermöglichen
eine übersichtliche
und vielseitige Darstellung der Risikolandschaft sowie der Handlungen,
die durch Risikomanagement zur Bewältigung der Risiken durchgeführt wurden
bzw. noch durchzuführen sind.
-
Gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung kann ein Prüfungsfeld, welches beispielsweise
ein Gesamtrisiko, ein Datum der letzten Prüfung und ein Datum der nächsten Prüfung umfasst,
in Abhängigkeit
seines Gesamtrisikowertes farblich dargestellt werden. Bei einer
grafischen Darstellung der Komponenten der Matrix sind auf diese Art
und Weise beispielsweise besonders hohe Risikowerte oder besonders
dringende nächste Prüfungen durch
eine geeignete Farbwahl für
einen Betrachter deutlich kennzeichenbar, wodurch sichergestellt
wird, dass diese Komponenten der Matrix vorrangig bearbeitet werden.
-
Eine
Quelle von Hinweisen, die zur Bewertung des Gesamtrisikos eines
Prüfungsfeldes
herangezogen werden können,
sind Prüfungsvorschläge. Diese
können
in den Organisationseinheiten, aber auch außerhalb des Unternehmens, gesammelt
werden. Die Prüfungsvorschläge werden
einer Komponente der Matrix zugeordnet. Durch die Zuordnung wird
der Prüfungsvorschlag
in die Risikolandschaft integriert, und stellt einen der Gesichtspunkte
bei der Bewertung des Risikos in dem jeweiligen Prüfungsfeld
dar. Standardmäßig kann
ein Prüfungsvorschlag nach
der Integration in die Matrix die Risikobewertung des Prüfungsfeldes,
dem er zugeordnet ist, übernehmen.
Alternativ kann der Prüfungsvorschlag mit
Hilfe eines einheitlichen Kriterienkatalogs individuell bewertet
werden. Wird ein Prüfungsvorschlag mehreren
Prüfungsfeldern
zugeordnet, so kann eine individuelle Bewertung des Vorschlags erforderlich sein.
-
Schließlich können Prüfungsfelder
einer vorbestimmten Teilmenge der Zeilen und/oder Spalten der Matrix
dargestellt und erfasst werden. Die vorbestimmte Teilmenge kann
beispielsweise derart festgelegt werden, dass für einen Bearbeiter, welcher
für eine
bestimmte Teilmenge von Organisationseinheiten und eine bestimmte
Teilmenge von Prüfungsobjekten
verantwortlich ist, nur die Teilmenge der Zeilen und Spalten dargestellt
werden, für
welche er verantwortlich ist. Infolge dessen können auch nur Risiken dieser
vorbestimmten Teilmengen der Zeilen und Spalten erfasst werden.
Somit wird einerseits eine Zugriffsbeschränkung beim Erfassen der Prüfungsfelder
auf eine vorbestimmte Teilmenge des Verantwortungsbereichs des Bearbeiters
erreicht und überdies
dem Bearbeiter eine für
seinen Verantwortungsbereich angepasste übersichtliche Darstellung bereitgestellt.
-
Erfindungsgemäß wird ein
System zur Erfassung und Darstellung von Prüfungsfeldern, welche in Abhängigkeit
von Organisationseinheiten und Prüfungsobjekten bestimmbar sind,
bereitgestellt. Das System umfasst eine Ein-/Ausgabeeinheit zum
Erfassen und Darstellen von Prüfungsfeldern,
eine Speichereinheit zum Speichern der erfassten Prüfungsfelder
und eine Verarbeitungseinheit zum Ansteuern der Ein-/Ausgabeeinheit
und der Speichereinheit. Die Verarbeitungseinheit ist derart ausgestaltet,
dass sie auf der Ein-/Ausgabeeinheit eine Matrix darstellt, deren
Komponenten Prüfungsfelder
darstellen. Das Erfassen und Ändern
eines Prüfungsfeldes erfolgt über eine Änderung
einer Komponente der Matrix. Die Matrix umfasst Zeilen und Spalten
und eine Komponente (m, n) der Matrix ist einer Zeile m und einer
Spalte n zugeordnet. Ferner sind die Prüfungsobjekte den Zeilen und
die Organisationseinheiten den Spalten der Matrix zugeordnet. Ein
Prüfungsfeld,
welches in Abhängigkeit
eines Prüfungsobjekts
m der Prüfungsobjekte
und in Abhängigkeit einer
Organisationseinheit n der Organisationseinheiten bestimmbar ist,
wird als Komponente (m, n) der Matrix erfasst und dargestellt. Selbstverständlich ist
die obige Zuordnung von Zeilen und Spalten zu Prüfungsobjekten und Organisationseinheiten
willkürlich,
und eine umgekehrte Zuordnung ist daher ebenso möglich, das heißt, dass
den Zeilen auch die Organisationseinheiten und den Spalten die Prüfungsobjekte
zugeordnet werden können.
-
Das
System kann ferner zur Durchführung des
oben beschriebenen Verfahrens ausgestaltet sein und weist daher
die gleichen Vorteile auf, welche im Zusammenhang mit dem zuvor
beschriebenen Verfahren beschrieben wurden.
-
Die
Ein-/Ausgabeeinheit des Systems kann ferner einen Web Browser umfassen,
welcher entfernt zu der Verarbeitungseinheit angeordnet ist und über ein
Datenkommunikationsnetz mit der Verarbeitungseinheit gekoppelt ist.
Insbesondere bei großen Unternehmen,
welche Organisationseinheiten umfassen, die weltweit verteilt sind,
ermöglicht
eine Ein-/Ausgabe über
einen Web Browser einen Zugriff der weltweit verteilten Organisationseinheiten
auf Prüfungsfelder,
welche in einer zentralen Verarbeitungseinheit und einer zentralen
Speichereinheit gehalten werden.
-
Ferner
stellt die vorliegende Erfindung ein Verfahren zum Bestimmen eines
risikoorientierten Prüfungsprogramms
bereit. Das Verfahren umfasst ein Identifizieren von Gesamtrisiken,
welche in Prüfungsfeldern
enthalten sind, indem die Prüfungsfelder
wie zuvor beschrieben dargestellt und erfasst werden, und ein Bestimmen
eines risikoorientierten Prüfungsprogramms
in Abhängigkeit
von den identifizierten Gesamtrisiken.
-
Mit
Hilfe der mit dem Prüfungsprogramm
geplanten Prüfungen
können
die identifizierten Risiken bewältigt
werden und somit ein effektives Risikomanagement gewährleistet
werden.
-
Die
vorliegende Erfindung wird nachfolgend näher unter Bezugnahme auf die
beigefügte
Zeichnung anhand bevorzugter Ausführungsbeispiele beschrieben.
-
1 zeigt
ein erfindungsgemäßes System zur
Erfassung und Darstellung von Prüfungsfeldern.
-
2 zeigt
eine Ausführungsform
der Erfindung, wobei mit Gesamtrisikowerten versehene Prüfungsfelder
als Komponenten einer Matrix dargestellt werden.
-
3 zeigt
eine weitere Ausführungsform der
Erfindung, wobei Datumsinformationen einer nächsten Prüfung als Komponenten einer
Matrix dargestellt werden.
-
4 zeigt
eine weitere Ausführungsform der
Erfindung, wobei die Matrix eine Teilmenge der Organisationseinheiten
und Prüfungsobjekte
umfasst.
-
5 zeigt
Details einer Komponente der Matrix.
-
6–8 zeigen
weitere Details einer Komponente der Matrix.
-
1 zeigt
ein System 1 zur Erfassung und Darstellung von Prüfungsfeldern.
Auf einer Verarbeitungseinheit 2 wird ein Anwendungsprogramm 3 ausgeführt. Die
Verarbeitungseinheit 2 ist mit einer Ein-/Ausgabeeinheit 4 über eine
Internetverbindung 5 gekoppelt. Die Verarbeitungseinheit 2 ist
weiterhin mit einer Speichereinheit 6 zum Speichern der
erfassten Prüfungsfelder
gekoppelt. Weiterhin ist die Verarbeitungseinheit 2 mit
einer weiteren Speichereinheit 7 verbunden, welche eine
Kommunikation mit weiteren Systemen bereitstellt, um die erfassten
Prüfungsfelder
einem (nicht gezeigten) Revisionsinformationssystem zur weiteren
Verarbeitung bereitzustellen.
-
Die
Ein-/Ausgabeeinheit 4 kann beispielsweise einen Web Browser
umfassen, so dass bei einem Unternehmen, welches örtlich verteilte
Organisationseinheiten umfasst, eine Bearbeitung von Prüfungsfeldern
von unterschiedlichen Standorten des Unternehmens aus möglich ist.
Die Übertragung
zwischen der Ein-/Ausgabeeinheit 4 und der Verarbeitungseinheit 2 kann
dabei mit Hilfe verschlüsselter Protokolle
erfolgen, beispielsweise HTTPS, um eine Geheimhaltung der übertragenen
Daten sicherzustellen.
-
Die
Speichereinheit 6 dient neben der Speicherung der eigentlichen
Prüfungsfelder
auch der Speicherung weiterer dem Prüfungsfeld zugeordneter Werte,
wie zum Beispiel einem Gesamtrisikowert, dem Prüfungsturnus, welcher festlegt,
in welchen Abständen
das Prüfungsfeld
erneut zu prüfen
ist, oder einer Datumsinformation, welche beispielsweise das Datum
der letzten Prüfung
eines Prüfungsfeldes
wiedergibt. Darüber
hinaus werden in der Speichereinheit 6 auch Prüfungsvorschläge gespeichert,
die als eine Quelle zur Bewertung des Gesamtrisikos von Prüfungsfeldern
herangezogen werden. Da auch über
mehrere Ein-/Ausgabeeinheiten 4,
welche örtlich
getrennt angeordnet sind, gleichzeitig auf die in der Speichereinheit 6 gespeicherten
Daten zugegriffen werden kann, umfasst die Speichereinheit 6 eine Datenbank,
welche die Zugriffe synchronisiert und überdies einfache Methoden zur
Sicherung der Daten in der Datenbank bereitstellt.
-
2 zeigt
eine Prüfungsfeldmatrix 8,
welche der Abbildung und Bewertung einer Risikolandschaft, welche
auf ein Unternehmen einwirkt, dient. Eine Risikoanalyse in Form
einer solche Prüfungsfeldmatrix
bildet eine Grundlage für
eine risikoorientierte Planung eines Prüfungsprogramms eines Unternehmens,
welches beispielsweise jährlich
erstellt wird. Die Prüfungsfeldmatrix 8 stellt
in der X-Achse 9 die zu prüfenden Organisationseinheiten
Org. 1–Org. 13
des Unternehmens dar. Auf der Y-Achse 10 werden Prüfungsobjekte
beziehungsweise Prozesse Obj. 1–Obj.
10 dargestellt. Beide Achsen können
in frei definierbare Ebenen unterteilt werden. So kann beispielsweise
eine Organisationseinheit Org. 5 in weitere Unterbereiche, wie zum
Beispiel Produktion Fahrzeug 1, Produktion Fahrzeug 2 usw.
aufgeteilt werden. Die Prüfungsobjekte
auf der Y-Achse 10 können
zum Beispiel Prozesse, wie einen Press-, einen Lackiervorgang oder
eine Endmontagetätigkeit usw.
umfassen. Auch hier kann eine weitere Untergliederung vorgenommen
werden. So kann beispielsweise ein Prüfungsobjekt Pressvorgang bei
Bedarf in Außenhautpressvorgänge und
Innenpressvorgänge
usw. unterteilt werden.
-
Innerhalb
dieser Prüfungsfeldmatrix 8 wird ein
Schnittpunkt einer Organisationseinheit auf der X-Achse 9 und
eines Prüfungsobjektes
beziehungsweise Prozesses auf der Y-Achse 10 als zu bewertendes
Prüfungsfeld 15 definiert.
Prüfungsfelder,
welche für
eine Kombination einer bestimmten Organisation und eines bestimmten
Prüfungsobjekts
nicht definiert sind, zum Beispiel weil in der entsprechenden Organisation
kein Pressprozess vorhanden ist, werden beispielsweise durch die
Großbuchstaben „N. Z." als nicht zutreffend
gekennzeichnet. In der in 2 gezeigten
Prüfungsfeldmatrix
sind beispielsweise die Prüfungsfelder,
welche sich als Schnittpunkte von Org. 1 mit Obj. 1 beziehungsweise
Org. 2 mit Obj. 1 ergeben, nicht zutreffend und somit nicht bewertbar.
-
In
weiteren Prüfungsfeldern 15 der
in 2 dargestellten Prüfungsfeldmatrix 8 sind
Gesamtrisikowerte 54 dargestellt, welche entweder anhand
eines einheitlichen Kriterienkatalogs für das Prüfungsfeld 15 oder
anhand eines dem Prüfungsfeld 15 zugeordneten
Prüfungsvorschlags,
der individuell anhand des einheitlichen Kriterienkatalogs bewertet wurde,
bestimmt werden. Wird einem Prüfungsfeld 15 ein
Gesamtrisiko 54 anhand des einheitlichen Kriterienkatalogs
wie nachfolgend beschrieben zugeordnet, so wird das Gesamtrisiko 54 mit
den vorangestellten Buchstaben „PF" gekennzeichnet. So wurde beispielsweise
der Organisation 5 für
das Prüfungsobjekt 2 ein
Gesamtrisiko von 31 gemäß einer
Risikobewertung anhand des einheitlichen Kriterienkatalogs zugeordnet.
Alternativ kann das Gesamtrisiko 54 einem Prüfungsfeld 15 anhand
eines dem Prüfungsfeld
zugeordneten Prüfungsvorschlags
zugeordnet werden. Dies ist der Fall, wenn die individuelle Risikobewertung
des Prüfungsvorschlags
höher ist, als
die des Prüfungsfeldes.
So wird beispielsweise der Organisation 7 für das Prüfungsobjekt 1 ein
Gesamtrisiko von 19 zugeordnet, wobei dieses Gesamtrisiko
anhand eines Prüfungsvorschlags
bestimmt wurde, d. h. das Gesamtrisiko des Prüfungsfeldes ist kleiner 19.
Dies wird durch ein Voranstellen der Buchstaben „PV" vor dem Gesamtrisiko gekennzeichnet.
-
In
Abhängigkeit
von dem Gesamtrisiko eines Prüfungsfeldes
kann der Hintergrund des Prüfungsfeldes
mit einer farblichen Einfärbung
versehen werden. So können
beispielsweise alle Felder, welche ein Gesamtrisiko von z. B. mehr
als 36 aufweisen, rot gekennzeichnet werden, Prüfungsfelder,
welche ein Gesamtrisiko von z. B. 16–36 aufweisen, orange
gekennzeichnet werden und Prüfungsfelder,
welche ein Gesamtrisiko von z. B. 15 oder weniger aufweisen, gelb
gekennzeichnet werden. Dadurch ist eine leichte Identifizierung
von Prüfungsfeldern
mit hohem Risiko möglich
und überdies
auch durch eine spalten- oder zeilenweise Betrachtung eine Identifizierung von
besonders risikobehafteten Prüfungsobjekten beziehungsweise
Organisationen möglich.
-
Überdies
kann aus der oben beschriebenen Klassifizierung der Gesamtrisikowerte
eine Einteilung der Prüfungsfelder
in Kategorien erfolgen und ein Turnus für eine nächste Prüfung des Prüfungsfeldes daraus, zusätzlich basierend
auf der Information, wann das Prüfungsfeld
zuletzt geprüft
wurde, abgeleitet werden. So können
beispielsweise, wie zuvor beschrieben, die Prüfungsfelder mit einem Risikowert
von mehr als 36 der Kategorie A zugeordnet werden, Prüfungsfelder
mit einem Gesamtrisikowert von 16–36 der Kategorie
B und Prüfungsfelder
mit einem Gesamtrisikowert von weniger als 16 der Kategorie
C zugeordnet werden. Mit Hilfe der Kategorien A, B und C kann dann
zum Beispiel eine vorrangige Behandlung der einzelnen Prüfungsfelder
oder eine vorrangige Betrachtung der einzelnen Prüfungsfelder durchgeführt werden.
Darüber
hinaus kann beispielsweise der Kategorie A ein Turnus für eine Aktualisierung
von einem Jahr, der Kategorie B ein Turnus von drei Jahren und der
Kategorie C ein Turnus von sechs Jahren zugeordnet werden.
-
Aus
einer Speicherung einer Datumsinformation der letzten Prüfung eines
Prüfungsfeldes kann
dann mit Hilfe des Turnus eine Datumsinformation für eine nächste Prüfung eines
Prüfungsfeldes automatisch
bestimmt werden. 3 zeigt eine Prüfungsfeldmatrix 8,
welche ebenso wie die in 2 gezeigte Prüfungsfeldmatrix
auf ihrer X-Achse 9 die zu prüfenden Organisationseinheiten
des Unternehmens und auf der Y-Achse 10 die Prüfungsobjekte beziehungsweise
Prozesse darstellt. In den Prüfungsfeldern 15 der Prüfungsmatrix
sind nun jedoch nicht die Gesamtrisikowerte der Prüfungsfelder
dargestellt, sondern jeweils das Jahr 56, in welchem ein jeweiliges
Prüfungsfeld
zu prüfen
ist. So ist beispielsweise für
die Organisationseinheit 3 das Prüfungsobjekt 1 im Jahr 2008
als nächstes
zu prüfen,
wohingegen für
die Organisationseinheit 8 das Prüfungsobjekt 6 bereits
im Jahr 2007 zu prüfen
ist. Den Jahreszahlen 56 ist ebenso wie den Gesamtrisikowerten
in 2 jeweils vorangestellt, ob der anhand eines einheitlichen
Kriterienkatalogs ermittelte Gesamtrisikowert eine Bewertung des
Prüfungsfeldes
oder eine individuelle Bewertung eines dem Prüfungsfeld zugeordneten Prüfungsvorschlags
darstellt („PF” bzw. „PV"). Die Anzeige „PV" kommt zur Anwendung, wenn
das Gesamtrisiko eines dem Prüfungsfeld
zugeordneten Prüfungsvorschlags
durch eine individuelle Risikobewertung höher ist, als die des Prüfungsfeldes.
Ansonsten erfolgt die Darstellung „PF". Auch in dieser in 3 gezeigten
Darstellung ist eine farbliche Hinterlegung der Felder in Abhängigkeit
von der Datumsinformation möglich.
So können
zum Beispiel alle Prüfungsfelder,
welche z. B. in dem laufenden Geschäftsjahr des Unternehmens zu
prüfen
sind, mit Rot gekennzeichnet werden, wohingegen die Prüfungsfelder,
welche z. B. innerhalb der nächsten
zwei Jahre zu prüfen
sind, mit Orange hinterlegt werden und alle übrigen mit Gelb hinterlegt
werden. Die Farben können
an zentraler Stelle sowie für
den Benutzer individuell einstellbar sein.
-
Die
in 4 dargestellte Prüfungsmatrix 8 zeigt
nur einen Ausschnitt der in der 2 gezeigten Prüfungsfeldmatrix
B. Der in 4 gezeigte Ausschnitt wurde
derart gewählt,
dass genau die Organisationseinheiten und genau die Prüfungsobjekte
beziehungsweise Prozesse, welche von einer bestimmten Person, z.
B. dem jeweiligen Risikomanager, des Unternehmens zu bearbeiten
sind, dargestellt werden. Im vorliegenden Beispiel sind dies die
Organisationseinheiten 2, 3, 5, 6 und 7 sowie
die Prüfungsobjekte 1, 2, 3, 6 und 7.
Indem einer Person, welche einen Teilbereich der Prüfungsfelder
zu bearbeiten hat, nur der entsprechende Teilbereich präsentiert
wird, wird eine übersichtliche
Darstellung erreicht und gleichzeitig ein Schutz gegen unbeabsichtigtes Ändern von
Prüfungsfeldern,
welche nicht in den Zuständigkeitsbereich
der betreffenden Person gehören,
verhindert. Durch die Summenspalte 11 und die Summenzeile 12 können Prüfungsobjekte
beziehungsweise Organisationseinheiten mit besonders hohen Gesamtrisikowerten
besonders einfach identifiziert werden. So sind beispielsweise in
der in 4 gezeigten Prüfungsfeldmatrix 8 das
Prüfungsobjekt 3 sowie
die Organisationseinheiten 2 und 3 mit einem besonders
hohen Risiko behaftet.
-
Zum
Bearbeiten eines Prüfungsfeldes 15 wird
das entsprechende Prüfungsfeld
beispielsweise mit Hilfe eines Mauszeigers einer grafischen Benutzeroberfläche selektiert
und zum Bearbeiten geöffnet.
Daraufhin wird von der Applikation 3 auf der Ein- /Ausgabeeinheit 4 eine
Eingabemaske 13 für
ein Prüfungsfeld
dargestellt, wie in 5 gezeigt. Die in 5 gezeigte
Eingabemaske 13 umfasst ein Eingabefeld 14 zum
Definieren eines Titels des Prüfungsfeldes,
ein Eingabefeld 55 für
das Gesamtrisiko des Prüfungsfeldes,
ein Eingabefeld 16 für
eine Risikokategorie des Prüfungsfeldes,
ein Datumsfeld 17 für eine
Eingabe des Datums, an welchem das Prüfungsfeld definiert wurde,
ein Eingabefeld 18 für
einen Prüfungsturnus
des Prüfungsfeldes,
ein Eingabefeld 19 für
eine Datumsinformation, welche angibt, wann das Prüfungsfeld
zuletzt bewertet wurde, sowie ein Eingabefeld 20, welches
ein Jahr einer nächsten Prüfung des
Prüfungsfeldes
angibt. Die Eingabefelder 55, 16, 17, 18, 20 werden
automatisch mit berechneten Werten belegt. So wird das Gesamtrisiko des
Feldes 55 automatisch durch gewichtete Risikowerte 21–27,
wie nachfolgend erklärt
werden wird, bestimmt, die Risikokategorie des Feldes 16 wie
zuvor beschrieben in Abhängigkeit
von dem Gesamtrisiko eingestellt, das Erstellungsdatum des Feldes 17 bei
der Definition des Prüfungsfeldes
automatisch durch das aktuelle Datum festgelegt, der Prüfungsturnus
des Feldes 18 wie zuvor beschrieben in Abhängigkeit
von der Risikokategorie festgelegt und ein nächstes Prüfungsjahr des Feldes 20 in
Abhängigkeit von
dem Prüfungsturnus
und der Datumsinformation des Feldes 19 der letzten Bewertung
automatisch bestimmt.
-
Das
Gesamtrisiko wird als Verknüpfung
von gewichteten Risikowerten eines einheitlichen Kriterienkatalogs
festgelegt. Dazu werden die Risikowerte der Felder 21–27 mit
ihren jeweiligen Gewichtungen aus Feldern 28–34 multipliziert
und die Gesamtsumme der Produkte gebildet. Im vorliegenden Beispiel der 5 ergibt
sich somit ein Gesamtrisikowert von 22. Die einzelnen Gewichtungen 28–34 und
Risikowerte 21–27 sind
einheitlichen Kriterien 35–41 zugeordnet. Diese
Kriterien umfassen z. B. ein mögliches Schadensmaß, ein internes
Kontrollsystem, Aufgaben der Organisationsstruktur, Datenveränderungen und
neue Vorhaben, Hinweise und Prüfungsfeststellungen, äußere Einflüsse und
eine Eintrittswahrscheinlichkeit. An zentraler Stelle besteht die
Möglichkeit,
den einheitlichen Risikokatalog mit den Risikokriterien sowie den
zugehörigen
Gewichtungen zu verändern.
Für den
Fall, dass ein Prüfungsfeld
für eine
Organisationseinheit und ein Prüfungsobjekt nicht
zutreffend ist, das heißt,
für diese
Kombination aus Organisationseinheit und Prüfungsobjekt nicht bestimmt
werden kann, da beispielsweise das entsprechende Prüfungsobjekt
in der entsprechenden Organisationseinheit nicht vorhanden ist,
kann durch selektieren des Feldes 42 der Eingabemaske 13 dieses
Prüfungsfeld
als „nicht
zutreffend" markiert
werden. In der entsprechenden Prüfungsfeldmatrix 8 wird
ein derartiges Prüfungsfeld
dann mit dem Buchstaben „N.
Z." gekennzeichnet,
wie in 2, 3 und 4 dargestellt.
-
6 zeigt
in einer Eingabemaske 53 die dem Prüfungsfeld zugeordneten Prüfungsvorschläge 48, 49 sowie
die individuell ermittelten Risikowerte dieser Vorschläge.
-
Im
oberen Teil der Eingabemaske 53 befinden sich, wie zuvor
bei der Eingabemaske 13 beschrieben, die Eingabefelder 16–20, 55.
In dem unteren Teil der Eingabemaske 53 befinden sich nun
anstatt des einheitlichen Kriterienkatalogs mehrere Zeilen 43, 44,
die jeweils einen Prüfungsvorschlag
umfassen. Durch Auswählen
und Öffnen
eines Vorschlagstitels 48, 49 der Zeilen 43, 44 gelangt
ein Benutzer zur Bearbeitung des Risikowertes des entsprechenden
Prüfungsvorschlags.
Nach der individuellen Bewertung des Prüfungsvorschlags wird ein sich
daraus ergebender Risikowert in der entsprechenden Zeile 43, 44 eingesetzt.
Wird für
einen Prüfungsvorschlag,
der einem Prüfungsfeld
zugeordnet ist, keine individuelle Bewertung vorgenommen, würde in der
entsprechenden Zeile automatisch das Gesamtrisiko des Prüfungsfeldes
sowie in der Spalte 57 "Indio.
Bewertung" ein "nein" dargestellt.
-
An
die Risikoidentifikation und -bewertung schließt sich die Risikoinventarisierung
an. In dieser wird aus den identifizierten Risiken ein risikoorientiertes
Prüfungsprogramm
mit dem Ziel, besonders hohe Risiken durch Prüfungen zu bewältigen,
abgeleitet. Diese Prüfungen
werden in Form von Prüfungsthemen
geplant.
-
7 und 8 zeigen
eine Eingabemaske 58 für
ein Prüfungsthema.
In 7 erfolgt die Eingabe des Prüfungstitel 59, einer
Begründung 60 sowie die
Auswahl der Prüfungsart 61,
wie z. B. planmäßige und
außerplanmäßige Prüfung. In 8 werden
dem Prüfungsthema
die zu prüfenden
Prüfungsfelder
und Prüfungsvorschläge zugeordnet.
Die Zuordnung eines Prüfungsfeldes
erfolgt durch einen Klick auf die Schaltfläche 62 "Prüfungsfelder
zuordnen". Es öffnet sich
die Matrix in 4. Hier hat der Benutzer die Möglichkeit,
mit Hilfe des Mauszeigers über
die Benutzeroberfläche
ein bzw. mehrere Prüfungsfelder vorzugsweise
diese mit hohen Risiken auszuwählen. Die
ausgewählten
Prüfungsfelder
werden automatisch inklusive der ihnen zugeordneten Prüfungsvorschläge in 8 in
das Feld 63 übernommen.
Bei Bedarf kann der Benutzer weitere Prüfungsvorschläge aus der
Rangliste der Prüfungsvorschläge mit Hilfe
des der "+"-Schaltfläche 64 hinzufügen. Ferner
besteht die Möglichkeit,
mit Hilfe der "–"-Schaltflächen 65 zugeordnete
Prüfungsfelder
und Prüfungsvorschläge dem Prüfungsthema
wieder zu entziehen. Die Auswahl ist jederzeit änderbar.
-
Nach
Zusammenstellung aller Prüfungsthemen
werden diese automatisch in das nicht näher gezeigte Revisionsinformationssystem
exportiert.
-
Die
gesamten Daten der Prüfungsfeldmatrix, das
heißt
die definierten Organisationseinheiten, die definierten Prüfobjekte
und Prozesse sowie die Inhalte der Prüfungsfelder einschließlich der
Gesamtrisikowerte, der Turnusinformation, der Datumsinformationen
und der zugeordneten Prüfungsvorschläge werden
in der in 1 gezeigten Datenbank 6 gespeichert.
Darüber
hinaus werden auch alle Informationen für die Prüfungsvorschläge, welche
den Prüfungsfeldern
zugeordnet sind, in der Datenbank 6 gespeichert. Ferner
werden in der Datenbank 6 der 1 die sich
ergebenden Gesamtrisikowerte der einzelnen Prüfungsfelder zusammen mit ihrer
Zuordnung zu Organisationseinheiten und Prüfungsobjekten und Prozessen
gespeichert. In Datenbank 7 der 1 werden
ausschließlich
die aus Datenbank 6 exportierten Prüfungsthemen zur Weiterverarbeitung abgelegt.
Es findet eine Synchronisation zwischen den Datenbanken insofern
statt, dass eine Änderung eines
Prüfungsthemas
in einer Datenbank automatisch eine Änderung in jeweils anderen
Datenbank zur Folge hat.
-
Neben
den aktuell gültigen
Informationen bezüglich
der Prüfungsfelder
und der den Prüfungsfeldern
zugeordneten Prüfungsvorschlägen, werden
in der Datenbank 6 auch historisierte Informationen der Prüfungsvorschläge und Prüfungsfeldinformationen gehalten,
um eine Prüfungsfeldmatrix
für einen
in der Vergangenheit liegenden Zeitpunkt betrachten zu können.
-
- 1
- System
- 2
- Verarbeitungseinheit
- 3
- Anwendungsprogramm
- 4
- Ein-/Ausgabeeinheit
- 5
- Internetverbindung
- 6
- Datenbank
- 7
- Datenbank
- 8
- Prüfungsfeldmatrix
- 9
- X-Achse
der Prüfungsfeldmatrix
- 10
- Y-Achse
der Prüfungsfeldmatrix
- 11
- Summenspalte
- 12
- Summenzeile
- 13
- Eingabemaske
- 14
- Eingabefeld
Titel
- 15
- Prüfungsfeld
- 16
- Eingabefeld
Risikokategorie
- 17
- Eingabefeld
Erstellungsdatum
- 18
- Eingabefeld
Prüfungsturnus
- 19
- Eingabefeld
letzte Prüfung
- 20
- Eingabefeld
nächste
Prüfung
- 21–27
- Risikowert
- 28–34
- Gewichtung
- 35–41
- Risikokriterium
- 42
- Eingabefeld
- 43,
44
- Zeile
für Prüfungsvorschlag
- 48,
49
- Prüfungsvorschlagstitel
- 53
- Eingabemaske
- 54
- Gesamtrisikowert
- 55
- Eingabefeld
Gesamtrisiko
- 56
- Jahreswert
- 57
- Spalte
- 58
- Eingabemaske
- 59
- Titel
- 60
- Begründung
- 61
- Prüfungsart
- 62
- Schaltfläche
- 63
- Feld
- 64,65
- Schaltfläche