Effektives Risikomanagement durch Self-Assessments

Eine effiziente Methode, um die Wirksamkeit des Risikomanagements kontinuierlich sicherzustellen, sind Self-Assessments. Hierbei erfolgt eine Bewertung bestimmter Elemente des Risikomanagements durch die Mitarbeiter der Organisation. In Abhängigkeit von der Bedeutung einer Kontrollaktivität erfolgt mehrmals im Jahr ein Self-Assessment zur Beurteilung der Effektivität. Die Planung, Organisation und Nachverfolgung dieser Self-Assessments stellt eine organisatorische Herausforderung dar, insbesondere wenn hierfür keine eigene Risikomanagement-Abteilung vorhanden ist und dies somit nur „nebenbei“ abgewickelt werden muss. Die Auslagerung dieser Tätigkeiten kann dabei zu einer wesentlichen Entlastung der Organisation führen.

Identifikation erforderlicher Self-Assessments

Auf der Grundlage der einzelnen Kontrollaktivitäten und in den darin festgelegten Testintervallen erfolgt zunächst eine Identifikation fälliger Kontrolltests. Dabei wird zwischen einem notwendigen Test of Design und einem Test of Effectiveness unterschieden. Neben der Fälligkeit wird auch berücksichtigt, wie hoch die Belastung eines Risiko- oder Kontroll-Owners für anstehende Kontrolltests ist. Belastungsspitzen für Kontrolltests zum Ende des Geschäftsjahres sollten dadurch möglichst vermieden werden und eine durchgehende geringe Belastung mit Kontroll-Tests erreicht werden.

Benachrichtigung der Tester

Nach der Identifikation der erforderlichen Kontrolltests werden die Tester direkt benachrichtigt. In der Benachrichtigung ist eine detaillierte Beschreibung der erforderlichen Tätigkeiten enthalten, die individuell auf den jeweiligen Kontrolltest zugeschnitten ist. Sofern solche konkreten Kontrolltestbeschreibungen noch nicht vorliegen, können wir Sie auch in deren Erstellung unterstützen.

Feedback-Verwaltung

Das wesentliche Ergebnis des Self-Assessments ist die Rückmeldung des Testers über seine Erkenntnisse. Das Ergebnis kann die Erkenntnis sein, dass der Kontrolltest gezeigt hat, dass die entsprechende Kontrollaktivität effektiv ist (Test of Effectiveness) oder dass die Kontrollaktivität dazu geeignet ist, das zugeordnete Risiko zu reduzieren (Test of Design). Zudem erfolgt ggf. eine Archivierung der angegebenen Testfälle, sodass die Bewertung von Dritten nachvollzogen werden kann.

Alle eingegangenen Feedbacks werden in ARIS modelliert, sodass die Ergebnisse der Self-Assessments zeitnah verfügbar sind.

Self-Assessment Follow-Up

Durch die hohe Priorität und Belastung des Tagesgeschäftes, ist zeitweise die sofortige Ausführung einiger Kontrolltests nicht sichergestellt. Auch kann möglicherweise eine E-Mail für einen Kontrolltest im Rahmen der täglichen E-Mail-Flut rasch untergehen oder die beschriebene Testaktivität unklar sein.

Um eine zeitnahe Durchführung der Kontrolltests sicherzustellen, überwachen wir kontinuierlich den Status einzelner Kontrolltest-Benachrichtigungen und fassen in Abstimmung mit Ihnen nach einem festgelegten Zeitraum telefonisch oder schriftlich nach. Hierdurch stellen wir sicher, dass kein Kontrolltest übersehen oder gar „in Vergessenheit“ gerät.

Eskalations-Management

Sofern Kontroll-Tests fehlschlagen, kann es in einigen Fällen erforderlich sein, eine Eskalation dieses Ergebnisses zu veranlassen, um die Priorität und Geschwindigkeit für die Behebung dieser Schwachstelle zu erhöhen. Nach Abstimmung eines solchen Eskalationsprozesses und der Festlegung der Eskalationsstufen führen wir diesen aus. Dadurch werden Führungskräfte nur mit den wirklich wichtigen Kontrollschwächen konfrontiert.

Deficiency Management

Die wesentliche Tätigkeit, die erforderlich ist, um aus den Self-Assessments den größten Nutzen zu ziehen, ist sicherzustellen, dass die identifizierten Schwachstellen zeitnah behoben werden. Auch dafür ist die Belastung interner Ressourcen nicht erforderlich. Wir können dies für Sie übernehmen und den Status der Schwachstellenbehebung überwachen.

Neben der reinen Nachverfolgung und Überwachung des Status der Schwachstellenbehebung können wir Sie auch bei den operativen Tätigkeiten zur Behebung der Schwachstellen unterstützen. Insbesondere bei der manuellen Aufbereitung oder nachträglichen Zusammenfassung von Kontrollnachweisen kann die Belastung des operativen Geschäftes deutlich reduziert werden. Dadurch wird eine zeitnahe und effiziente Behebung der Schwachstellen ihres Risikomanagementsystems gewährleistet.